LabEx
EntrerRejoindre

Comment vérifier si SELinux est activé sur Linux

LinuxBeginner
Pratiquer maintenant

Introduction

Dans ce laboratoire, vous apprendrez à vérifier l'état et la configuration de SELinux sur un système Linux. SELinux est un mécanisme de sécurité essentiel qui offre un contrôle d'accès obligatoire.

Vous utiliserez la commande sestatus pour obtenir un résumé de l'état actuel de SELinux, inspecterez le fichier de configuration SELinux /etc/selinux/config pour comprendre ses paramètres par défaut, et utiliserez la commande getenforce pour vérifier rapidement le mode de fonctionnement actuel. En effectuant ces étapes, vous acquerrez une compréhension de base de la manière de déterminer si SELinux est activé et comment il est configuré sur votre système.

Vérifier l'état de SELinux avec sestatus

Dans cette étape, vous apprendrez à vérifier l'état de SELinux sur votre système. SELinux (Security-Enhanced Linux) est un mécanisme de sécurité qui offre un contrôle d'accès obligatoire (MAC - Mandatory Access Control) pour les processus et les ressources. Il ajoute une couche de sécurité supplémentaire par-dessus le contrôle d'accès discrétionnaire (DAC - Discretionary Access Control) traditionnel.

Pour vérifier l'état actuel de SELinux, nous utilisons la commande sestatus. Cette commande fournit un résumé de la configuration de SELinux et de son état actuel.

Ouvrez votre terminal s'il n'est pas déjà ouvert. Vous pouvez le faire en cliquant sur l'icône Xfce Terminal sur le côté gauche de votre bureau.

Maintenant, tapez la commande suivante dans le terminal et appuyez sur Entrée :

sestatus

Vous devriez voir une sortie similaire à celle-ci :

SELinux status:                 enabled
SELinuxfs mount:                /sys/fs/selinux
SELinux root directory:         /etc/selinux
Loaded policy name:             targeted
Current mode:                   enforcing
Mode from config file:          enforcing
Policy version:                 ...
Policy load time:               ...

Décortiquons les parties importantes de la sortie :

  • SELinux status : Indique si SELinux est activé ou désactivé sur le système.
  • Current mode : Affiche le mode de fonctionnement actuel de SELinux. Les modes courants sont enforcing, permissive et disabled.
  • Mode from config file : Affiche le mode défini dans le fichier de configuration de SELinux (/etc/selinux/config).

Dans cette sortie, SELinux status: enabled signifie que SELinux est actif, et Current mode: enforcing signifie que SELinux applique activement ses politiques de sécurité.

Comprendre l'état de SELinux est la première étape pour gérer son comportement.

Cliquez sur Continue pour passer à l'étape suivante.

Vérifier la configuration de SELinux avec cat /etc/selinux/config

Dans l'étape précédente, vous avez vérifié l'état actuel de SELinux en utilisant sestatus. Maintenant, examinons le fichier de configuration qui détermine le comportement par défaut de SELinux.

Le principal fichier de configuration de SELinux se trouve à l'emplacement /etc/selinux/config. Nous pouvons afficher le contenu de ce fichier en utilisant la commande cat. La commande cat est utilisée pour afficher le contenu des fichiers.

Tapez la commande suivante dans votre terminal et appuyez sur Entrée :

cat /etc/selinux/config

Vous devriez voir une sortie similaire à celle-ci :

## This file controls the state of SELinux on the system.
## SELINUX= can take one of these three values:
##     enforcing - SELinux security policy is enforced.
##     permissive - SELinux prints warnings instead of enforcing.
##     disabled - No SELinux policy is loaded.
SELINUX=enforcing
## SELINUXTYPE= can take one of these three values:
##     targeted - Targeted processes are protected,
##               for more information see selinux-policy-targeted(8)
##     strict - Full SELinux protection, see selinux-policy(8)
##     mls - Multi-Level Security protection.
SELINUXTYPE=targeted

C'est dans ce fichier que vous configurez le mode SELinux par défaut (SELINUX=) et le type de politique (SELINUXTYPE=).

  • SELINUX=enforcing : Cette ligne indique que le système est configuré pour démarrer en mode enforcing par défaut.
  • SELINUXTYPE=targeted : Cette ligne spécifie que la politique targeted est utilisée. La politique targeted est la plus courante et protège des processus système spécifiques.

Les paramètres de ce fichier sont généralement appliqués lors du démarrage du système. Bien que vous puissiez changer le mode actuel temporairement (ce que nous verrons dans l'étape suivante), les modifications apportées à /etc/selinux/config nécessitent un redémarrage du système pour prendre pleinement effet.

Comprendre le fichier de configuration vous permet de voir l'état SELinux prévu pour le système.

Cliquez sur Continue pour passer à l'étape suivante.

Inspecter le mode SELinux avec getenforce

Dans les étapes précédentes, vous avez utilisé sestatus pour obtenir un aperçu détaillé de SELinux et cat /etc/selinux/config pour voir la configuration par défaut. Maintenant, utilisons une commande plus simple, getenforce, pour vérifier rapidement le mode SELinux actuel.

La commande getenforce est spécifiquement conçue pour afficher uniquement le mode de fonctionnement actuel de SELinux. Cela est utile pour une vérification rapide sans avoir besoin de la sortie complète de sestatus.

Tapez la commande suivante dans votre terminal et appuyez sur Entrée :

getenforce

Vous devriez voir une sortie similaire à celle-ci :

Enforcing

La sortie sera l'une des suivantes :

  • Enforcing : SELinux est actif et applique ses politiques. Toute action qui viole une politique sera bloquée.
  • Permissive : SELinux est actif mais n'applique pas les politiques. Il enregistrera des avertissements concernant les actions qui auraient été bloquées en mode enforcing, mais il les laissera se dérouler. Ce mode est utile pour les tests et la résolution de problèmes.
  • Disabled : SELinux n'est pas actif et aucune politique n'est chargée.

Dans ce cas, la sortie Enforcing confirme que SELinux est actuellement en mode enforcing, ce qui correspond à ce que nous avons vu avec la commande sestatus.

La commande getenforce est un outil pratique pour une vérification rapide de l'état de SELinux.

Cliquez sur Continue pour terminer ce laboratoire.

Résumé

Dans ce laboratoire, vous avez appris à vérifier l'état de SELinux sur un système Linux. Vous avez utilisé la commande sestatus pour obtenir un résumé de la configuration de SELinux, notamment si elle est activée, son mode de fonctionnement actuel (enforcing, permissive ou disabled) et le mode défini dans le fichier de configuration.

Vous avez également appris à vérifier la configuration de SELinux en inspectant le fichier /etc/selinux/config à l'aide de la commande cat, qui affiche le mode SELinux par défaut qui sera appliqué au démarrage du système. Enfin, vous avez utilisé la commande getenforce pour vérifier rapidement le mode SELinux actuel. Ces étapes constituent des méthodes essentielles pour comprendre l'état actuel et la configuration de SELinux.

Connexe Linux Cours
Démarrage rapide avec Linux

Démarrage rapide avec Linux

linux
Devenez Administrateur Système Junior

Devenez Administrateur Système Junior

linuxshell
Linux pour les débutants

Linux pour les débutants

linux