« LINUX:SELinux » : différence entre les versions

De WIKI sur Linux (ADB)
Aller à la navigation Aller à la recherche
Aucun résumé des modifications
Aucun résumé des modifications
 
(22 versions intermédiaires par le même utilisateur non affichées)
Ligne 10 : Ligne 10 :


Nous n'allons pas expliquer en détail SELinux; de très nombreux sites le font bien mieux que nous. Je conseille de commencer par consulter quelques sites de base tels:
Nous n'allons pas expliquer en détail SELinux; de très nombreux sites le font bien mieux que nous. Je conseille de commencer par consulter quelques sites de base tels:
* https://blog.microlinux.fr/selinux/
* <nowiki>https://blog.microlinux.fr/selinux/</nowiki>
* https://doc.fedora-fr.org/wiki/SELinux
* <nowiki>https://doc.fedora-fr.org/wiki/SELinux</nowiki>
* https://debian-handbook.info/browse/fr-FR/stable/sect.selinux.html
* <nowiki>https://debian-handbook.info/browse/fr-FR/stable/sect.selinux.html</nowiki>
* https://documentation.suse.com/sles/12-SP5/html/SLES-all/cha-selinux.html
* <nowiki>https://documentation.suse.com/sles/12-SP5/html/SLES-all/cha-selinux.html</nowiki>
Et si vous voulez aller plus loin:
* <nowiki>https://selinuxproject.org/page/Main_Page</nowiki>
* <nowiki>https://edu.anarcho-copy.org/GNU%20Linux%20-%20Unix-Like/SELINUX_SYSTEM_ADMINISTRATION_SECOND_EDITION.pdf</nowiki>
Il en existe bien d'autres.
Il en existe bien d'autres.


Ligne 32 : Ligne 35 :
  dnf install selinux-policy-devel selinux-policy-doc
  dnf install selinux-policy-devel selinux-policy-doc


Il faut s'assurer que le service "auditd.service" est installé:
Il faut s'assurer que les services "auditd.service" et "rsyslog.service" sont installés:
  dnf install audit
  dnf install audit rsyslog


Chaque service vient normalement avec ses règles SELinux mais certains paquets demandent une installation séparée, par exemple:
Chaque service vient normalement avec ses règles SELinux mais certains paquets demandent une installation séparée, par exemple:
Ligne 50 : Ligne 53 :
Le fichier de configuration central est "/etc/selinux/config".
Le fichier de configuration central est "/etc/selinux/config".


SELinux possède trois états:
L'option "SELINUX" possède trois états:
* '''disable''' : SELinux est désactivé, non opérationnel; c'est l'état que j'ai longtemps utilisé comme de nombreux autres administrateurs afin d'éviter les difficultés de mise en oeuvre.
* '''disable''' : SELinux est désactivé, non opérationnel; c'est l'état que j'ai longtemps utilisé comme de nombreux autres administrateurs afin d'éviter les difficultés de mise en oeuvre.
* '''permissive''' : SELinux est activé, les règles sont testées mais non appliquées. Si une règle n'est pas respectée, un message d'erreur est ajoutée aux journaux mais aucun blocage n'est effectué.
* '''permissive''' : SELinux est activé, les règles sont testées mais non appliquées. Si une règle n'est pas respectée, un message d'erreur est ajoutée aux journaux mais aucun blocage n'est effectué.
Ligne 56 : Ligne 59 :


Dans un premier temps, nous utiliserons l'état "'''permissive'''" afin de nous familiariser avec SELinux et de régler à notre aise les différents problèmes. Quand le système nous semblera stable, on passera à l'état "enforcing".
Dans un premier temps, nous utiliserons l'état "'''permissive'''" afin de nous familiariser avec SELinux et de régler à notre aise les différents problèmes. Quand le système nous semblera stable, on passera à l'état "enforcing".
Toute autre modification du paramétrage devra se faire au travers de commandes de ligne et jamais dans d'autres fichiers.




Ligne 67 : Ligne 67 :


Nous laissons le niveau par défaut "'''targeted'''", installé par défaut, qui permet sur nos serveurs de surveiller les différents services. Notre but n'est pas de créer une politique de sécurité complète mais d'utiliser celles mise en place par la distribution et d'adapter certaines règles découlant d'imperfections ou de nos personnalisations de la configuration de base.
Nous laissons le niveau par défaut "'''targeted'''", installé par défaut, qui permet sur nos serveurs de surveiller les différents services. Notre but n'est pas de créer une politique de sécurité complète mais d'utiliser celles mise en place par la distribution et d'adapter certaines règles découlant d'imperfections ou de nos personnalisations de la configuration de base.
Toute autre modification du paramétrage devra se faire au travers de commandes de ligne et jamais dans d'autres fichiers.
Pour information, on peut trouver diverses informations sur SELinux dans les répertoires "/etc/selinux", "/var/lib/selinux" et "/sys/fs/selinux".




=Première activation=
=Première activation=
On vérifie que le service "auditd.service" est actif
On vérifie que les services "auditd.service" et "rsyslog.service" sont actifs:
  systemctl enable auditd
  systemctl enable auditd.service
  systemctl start auditd
  systemctl start auditd.service
  systemctl status auditd
  systemctl status auditd.service
systemctl enable rsyslog.service
systemctl start rsyslog.service
systemctl status rsyslog.service
Ces services sont cruciaux, ce sont eux qui vont recueillir les messages et alertes.




Ligne 82 : Ligne 90 :




On redémarre la machine. Ce n'est qu'à cette condition que l'on pourra effectuer les commandes suivantes. C'est pour cette raison que nous n'avons pas commencé par une explication succincte de quelques base de SELinux car nous n'aurions pu les montrer par l'exemple.
On doit redémarrer la machine. Ce n'est qu'à cette condition que l'on pourra effectuer les commandes suivantes. C'est pour cette raison que nous n'avons pas commencé par une explication succincte de quelques base de SELinux car nous n'aurions pu les montrer par l'exemple.
 
 
=Changement d'état à la volée=
Au démarrage l'état "permissive" ou "enforcing" est défini selon le fichier de configuration "/etc/selinux/config". Mais il est possible de passer de l'un à l'autre interactivement sans devoir redémarrer le système.
 
La commande suivante permet de passer à l'état "permissive":
setenforce 0
Et inversement pour passer à l'état "enforcing":
setenforce 1
 
A tout moment, il est possible de connaitre l'état de SELinux via la commande:
sestatus
qui donne:
----
SELinux status:                enabled
SELinuxfs mount:                /sys/fs/selinux
SELinux root directory:        /etc/selinux
Loaded policy name:            targeted
Current mode:                  enforcing
Mode from config file:          enforcing
Policy MLS status:              enabled
Policy deny_unknown status:    allowed
Memory protection checking:    actual (secure)
Max kernel policy version:      33
----
 
On peut faire ce changement d'état au travers l'interface de Cockpit. Dans le menu de gauche, on passe au point "SELinux". Au dessus de l'écran, un bouton basculant permet de passer de l'un à l'autre.
 
[[FILE:LINUX:Selinux.cockpit3.png|center|800px]]
 
 
=[[LINUX:SELinux-Concept|Concept]]=
Rappelons que sous Unix tout est basé sur des fichiers. A chaque fichier est lié un Context SELinux.
 
Un utilisateur est lié à un utilisateur SELinux.
 
Cet utilisateur SELinux appartient à un ou plusieurs rôles.
 
Un rôle donne accès à divers domaines qui sont une des catégorie de type SELinux.
 
Et tout un immense ensemble de règles régissent les interactions entre ces divers contexts. Cet ensemble de règles définit la sécurité SELinux.




=[[LINUX:SELinux-Alertes et Journaux|Alertes et Journaux]]=
Quand une règle est enfreinte, outre que l'accès demandé est refusé, une alerte est déclenchée et un message est envoyé aux journaux.




=[[LINUX:SELinux-Module|Module]]=
Un module est un ensemble cohérent des différentes composantes de SELinux: Types, règles, Fcontext,...
Il se présente sous une forme ayant beaucoup d'analogie avec un programme.




=[[LINUX:SELinux-Méthode de première mise en route|Méthode de première mise en route]]=
Je ne conseille pas de suivre aveuglément les conseils données par Cockpit ou les messages du service setroubleshootd.service. Je présente ici l'approche que j'ai utilisée.




=[[LINUX:SELinux-Exercice de création d'un module personnel|Exercice de création d'un module personnel]]=
J'ai voulu essayer de créer un module pour une application personnelle élémentaire.




Ligne 100 : Ligne 158 :
----
----
__NOEDITSECTION__
__NOEDITSECTION__
<!--
[[Category:LINUX]]
[[Category:LINUX]]
-->

Dernière version du 16 janvier 2024 à 14:20


retour au menu de Linux


But

SELinux (Security-Enhanced Linux) est une architecture de sécurité pour systèmes Linux qui permet aux administrateurs de mieux contrôler les accès au système. SELinux définit les contrôles d'accès pour les applications, processus et fichiers d'un système lancé par un utilisateur donné. Il ajoute une couche de sécurité différente au traditionnel modèle de sécurité appliqué aux fichiers: propriétaires/groupes et permissions d'accès (lecture, écriture et exécution). Son modèle est basé sur un ensemble de règles.

Souvenons-nous que sous Unix toute ressources est accessible via un fichier donc en mettant une règle sur un fichier, on contrôle toute activité.


Nous n'allons pas expliquer en détail SELinux; de très nombreux sites le font bien mieux que nous. Je conseille de commencer par consulter quelques sites de base tels:

  • https://blog.microlinux.fr/selinux/
  • https://doc.fedora-fr.org/wiki/SELinux
  • https://debian-handbook.info/browse/fr-FR/stable/sect.selinux.html
  • https://documentation.suse.com/sles/12-SP5/html/SLES-all/cha-selinux.html

Et si vous voulez aller plus loin:

  • https://selinuxproject.org/page/Main_Page
  • https://edu.anarcho-copy.org/GNU%20Linux%20-%20Unix-Like/SELINUX_SYSTEM_ADMINISTRATION_SECOND_EDITION.pdf

Il en existe bien d'autres.


Nous nous limiterons aux serveurs. Notre but est de présenter une approche pour arriver à mettre en route SELinux avec succès par étapes.


Installation

Sous Fedora, SELinux est installé de base. On peut le vérifier:

dnf install selinux-policy selinux-policy-targeted

Nous allons y ajouter divers paquets:

  • outils en lignes de commandes:
dnf install setools-console 
dnf install setroubleshoot-server
  • onglet additionnel à Cockpit:
dnf install cockpit-selinux
  • outils de développement afin d'ajouter un module personnel:
dnf install selinux-policy-devel selinux-policy-doc

Il faut s'assurer que les services "auditd.service" et "rsyslog.service" sont installés:

dnf install audit rsyslog

Chaque service vient normalement avec ses règles SELinux mais certains paquets demandent une installation séparée, par exemple:

  • pour PHP:
dnf install php-pecl-selinux php74-php-pecl-selinux php80-php-pecl-selinux php81-php-pecl-selinux
  • pour Nagios:
dnf install nagios-selinux
  • pour Fail2Ban:
dnf install fail2ban-selinux
  • pour MySql:
dnf install mysql-selinux

Il faut chercher dans l'ensemble des paquets contenant le mot "selinux".


Configuration

Le fichier de configuration central est "/etc/selinux/config".

L'option "SELINUX" possède trois états:

  • disable : SELinux est désactivé, non opérationnel; c'est l'état que j'ai longtemps utilisé comme de nombreux autres administrateurs afin d'éviter les difficultés de mise en oeuvre.
  • permissive : SELinux est activé, les règles sont testées mais non appliquées. Si une règle n'est pas respectée, un message d'erreur est ajoutée aux journaux mais aucun blocage n'est effectué.
  • enforcing : SELinux est activé, les règles sont testées et appliquées. Si une règle n'est pas respectée, un message d'erreur est ajoutée aux journaux et le blocage s'ensuit.

Dans un premier temps, nous utiliserons l'état "permissive" afin de nous familiariser avec SELinux et de régler à notre aise les différents problèmes. Quand le système nous semblera stable, on passera à l'état "enforcing".


SELinux comporte trois niveaux de complexité:

  • minimum : Seuls les processus sélectionnés sont protégés.
  • targeted : Les processus des services sont protégés.
  • mls : Protection "Multi Level Security". (pour les experts)

Nous laissons le niveau par défaut "targeted", installé par défaut, qui permet sur nos serveurs de surveiller les différents services. Notre but n'est pas de créer une politique de sécurité complète mais d'utiliser celles mise en place par la distribution et d'adapter certaines règles découlant d'imperfections ou de nos personnalisations de la configuration de base.


Toute autre modification du paramétrage devra se faire au travers de commandes de ligne et jamais dans d'autres fichiers. Pour information, on peut trouver diverses informations sur SELinux dans les répertoires "/etc/selinux", "/var/lib/selinux" et "/sys/fs/selinux".


Première activation

On vérifie que les services "auditd.service" et "rsyslog.service" sont actifs:

systemctl enable auditd.service
systemctl start auditd.service
systemctl status auditd.service
systemctl enable rsyslog.service
systemctl start rsyslog.service
systemctl status rsyslog.service

Ces services sont cruciaux, ce sont eux qui vont recueillir les messages et alertes.


Suite à la modification du fichier de configuration "/etc/selinux/config", SELinux ne sera effectif qu'après un redémarrage de la machine. Mais pour ce premier lancement, il faut s'assurer une première fois que tous les fichiers de la machine reçoivent bien leur bon label selon la politique de sécurité implémentée. Pour ce faire, on crée à la racine un fichier vide "/.autorelabel":

touch /.autorelabel 

Lors du redémarrage suivant, tous les fichiers du serveur vont être passé en revue et relabéllisés si nécessaire. Il ne faut pas vous étonner du temps de ce démarrage plus long qui dépend du nombre de fichiers et des performances de votre machine. Après redémarrage, ce fichier est éliminé.


On doit redémarrer la machine. Ce n'est qu'à cette condition que l'on pourra effectuer les commandes suivantes. C'est pour cette raison que nous n'avons pas commencé par une explication succincte de quelques base de SELinux car nous n'aurions pu les montrer par l'exemple.


Changement d'état à la volée

Au démarrage l'état "permissive" ou "enforcing" est défini selon le fichier de configuration "/etc/selinux/config". Mais il est possible de passer de l'un à l'autre interactivement sans devoir redémarrer le système.

La commande suivante permet de passer à l'état "permissive":

setenforce 0

Et inversement pour passer à l'état "enforcing":

setenforce 1

A tout moment, il est possible de connaitre l'état de SELinux via la commande:

sestatus

qui donne:


SELinux status:                 enabled
SELinuxfs mount:                /sys/fs/selinux
SELinux root directory:         /etc/selinux
Loaded policy name:             targeted
Current mode:                   enforcing
Mode from config file:          enforcing
Policy MLS status:              enabled
Policy deny_unknown status:     allowed
Memory protection checking:     actual (secure)
Max kernel policy version:      33

On peut faire ce changement d'état au travers l'interface de Cockpit. Dans le menu de gauche, on passe au point "SELinux". Au dessus de l'écran, un bouton basculant permet de passer de l'un à l'autre.

LINUX:Selinux.cockpit3.png


Concept

Rappelons que sous Unix tout est basé sur des fichiers. A chaque fichier est lié un Context SELinux.

Un utilisateur est lié à un utilisateur SELinux.

Cet utilisateur SELinux appartient à un ou plusieurs rôles.

Un rôle donne accès à divers domaines qui sont une des catégorie de type SELinux.

Et tout un immense ensemble de règles régissent les interactions entre ces divers contexts. Cet ensemble de règles définit la sécurité SELinux.


Alertes et Journaux

Quand une règle est enfreinte, outre que l'accès demandé est refusé, une alerte est déclenchée et un message est envoyé aux journaux.


Module

Un module est un ensemble cohérent des différentes composantes de SELinux: Types, règles, Fcontext,... Il se présente sous une forme ayant beaucoup d'analogie avec un programme.


Méthode de première mise en route

Je ne conseille pas de suivre aveuglément les conseils données par Cockpit ou les messages du service setroubleshootd.service. Je présente ici l'approche que j'ai utilisée.


Exercice de création d'un module personnel

J'ai voulu essayer de créer un module pour une application personnelle élémentaire.




retour au menu de Linux