LabEx
EntrerRejoindre

Diagnostiquer et résoudre les violations de politique SELinux

Red Hat Enterprise LinuxBeginner
Pratiquer maintenant

Introduction

En tant qu'administrateur système, vous êtes responsable du maintien de la sécurité de votre système Linux. Un aspect essentiel de cette mission est la gestion de SELinux (Security-Enhanced Linux), un mécanisme de contrôle d'accès obligatoire qui applique des politiques de sécurité. Lorsqu'un processus tente une action qui enfreint une politique, SELinux refuse l'action et enregistre un refus AVC (Access Vector Cache). Dans ce défi, vous apprendrez à diagnostiquer et à résoudre une violation courante de la politique SELinux à l'aide des outils standards de RHEL, une compétence cruciale pour l'examen RHCSA.

Diagnostiquer et résoudre les violations de politique SELinux

Scénario

Un serveur web sur votre système est censé diffuser du contenu à partir des répertoires personnels des utilisateurs (par exemple, depuis un répertoire ~/public_html). Cependant, les utilisateurs signalent que leurs pages web ne sont pas accessibles et affichent des erreurs "Forbidden" (Interdit). Vous soupçonnez un problème lié à SELinux. Votre tâche consiste à examiner les journaux SELinux, à identifier la violation de politique et à appliquer le correctif approprié pour permettre au serveur web de fonctionner comme prévu.

Tâches

  • Examiner les journaux d'audit du système pour trouver les récents refus AVC de SELinux.
  • Analyser le message de refus pour comprendre quelle action a été bloquée et quel booléen SELinux peut résoudre le problème.
  • Modifier le booléen SELinux approprié pour autoriser le serveur web à accéder aux répertoires personnels des utilisateurs.
  • S'assurer que la modification de la politique est persistante, afin qu'elle survive à un redémarrage du système.

Exigences

  • Toutes les commandes doivent être exécutées en tant qu'utilisateur labex. Utilisez sudo lorsque des privilèges administratifs sont requis.
  • Le booléen SELinux que vous devez modifier est httpd_enable_homedirs.
  • Le changement doit être rendu persistant.

Conseils

  • Utilisez la commande ausearch pour interroger les journaux d'audit. L'option -m avc permet de filtrer les messages AVC.
  • Portez une attention particulière à la sortie de ausearch. Elle contient souvent des suggestions de setroubleshoot sur la manière de résoudre le refus.
  • La commande setsebool est utilisée pour changer la valeur d'un booléen SELinux. Utilisez l'option -P pour rendre le changement persistant.
  • Vous pouvez vérifier la valeur actuelle d'un booléen avec la commande getsebool.
✨ Vérifier la solution et pratiquer

Résumé

Dans ce défi, vous avez appris à diagnostiquer et à traiter une violation courante de la politique SELinux. Vous vous êtes exercé à utiliser ausearch pour inspecter les journaux d'audit à la recherche de refus AVC, à interpréter les résultats pour identifier la cause racine et à utiliser setsebool -P pour appliquer un changement de politique persistant. La maîtrise de ce flux de travail est essentielle pour gérer la sécurité du système sur RHEL et constitue une compétence fondamentale testée lors de l'examen RHCSA.

Connexe Red Hat Enterprise Linux Cours
Laboratoires de Certification en Administration Système Red Hat (RH124)

Laboratoires de Certification en Administration Système Red Hat (RH124)

rhellinux
Laboratoires de Certification en Administration Système Red Hat (RH134)

Laboratoires de Certification en Administration Système Red Hat (RH134)

rhellinux
Laboratoires de Certification Red Hat Enterprise Linux Automation avec Ansible (RH294)

Laboratoires de Certification Red Hat Enterprise Linux Automation avec Ansible (RH294)

rhelansiblelinux