Recherche de site Web

Comment activer ou désactiver les valeurs booléennes SELinux


Security-Enhanced Linux (SELinux) est un mécanisme de sécurité pour le contrôle d'accès obligatoire (MAC) implémenté dans le noyau Linux. Il s'agit d'une opération flexible conçue pour renforcer la sécurité globale du système : elle permet des contrôles d'accès imposés à l'aide d'une politique chargée sur le système qui ne peut pas être modifiée par des utilisateurs normaux ou des programmes se comportant mal.

L'article suivant explique clairement SELinux et comment l'implémenter dans votre système Linux.

  1. Implémentation du contrôle d'accès obligatoire avec SELinux ou AppArmor sous Linux

Dans cet article, nous allons vous montrer comment activer ou désactiver les valeurs booléennes SELinux dans les distributions CentOS, RHEL et Fedora Linux.

Pour afficher tous les booléens SELinux, utilisez la commande getsebool avec la commande less.

Remarque : SELinux doit être dans l'état activé pour lister tous les booléens.

getsebool -a | less

Pour afficher toutes les valeurs booléennes d'un programme (ou démon) spécifique, utilisez l'utilitaire grep, la commande suivante vous montre tous les booléens httpd.

getsebool -a | grep httpd

Pour activer (1) ou désactiver les booléens (0) SELinux, vous pouvez utiliser le programme setsebool comme décrit ci-dessous.

Activer ou désactiver les valeurs booléennes SELinux

Si un serveur Web est installé sur votre système, vous pouvez autoriser les scripts HTTPD à écrire des fichiers dans des répertoires étiquetés public_content_rw_t en activant le booléen allow_httpd_sys_script_anon_write.

getsebool allow_httpd_sys_script_anon_write 
setsebool allow_httpd_sys_script_anon_write on
OR
setsebool allow_httpd_sys_script_anon_write 1

De même, pour désactiver ou désactiver la valeur booléenne SELinux supérieure, exécutez la commande suivante.

setsebool allow_httpd_sys_script_anon_write off
setsebool allow_mount_anyfile off
OR
setsebool allow_httpd_sys_script_anon_write  0
setsebool allow_mount_anyfile  0

Vous pouvez trouver la signification de tous les booléens SELinux sur https://wiki.centos.org/TipsAndTricks/SelinuxBooleans

N’oubliez pas de lire les articles suivants sur la sécurité.

  1. Comment désactiver SELinux temporairement ou définitivement dans RHEL/CentOS
  2. Principes essentiels du contrôle d'accès obligatoire avec SELinux
  3. Le méga guide pour renforcer et sécuriser CentOS 7

Dans cet article, nous avons expliqué comment activer ou désactiver les valeurs booléennes SELinux dans les distributions CentOS, RHEL et Fedora. Si vous avez des questions, posez-les via le commentaire ci-dessous.