Phenquestions
Dans l'article d'aujourd'hui, nous aimerions partager avec vous les méthodes de configuration de SELinux en mode « Permissif » après vous avoir expliqué ses détails importants.
Qu'est-ce que le mode permissif SELinux?
Le mode « Permissif » est également l'un des trois modes dans lesquels SELinux fonctionne, i.e., « Enforcing », « Permissive » et « Disabled ». Ce sont les trois catégories particulières de modes SELinux, alors que de manière générique, nous pouvons dire qu'à tout moment particulier, SELinux sera soit « Activé » soit « Désactivé ». Les modes « Enforcing » et « Permissive » appartiennent tous deux à la catégorie « Enabled ». En d'autres termes, cela signifie que chaque fois que SELinux est activé, il fonctionnera soit en mode « Enforcing » soit en mode « Permissive ».
C'est pourquoi la plupart des utilisateurs confondent les modes « Enforcing » et « Permissive » car, après tout, ils relèvent tous les deux de la catégorie « Enabled ». Nous aimerions établir une distinction claire entre les deux en définissant d'abord leurs objectifs, puis en les mappant sur un exemple. Le mode « Enforcing » fonctionne en implémentant toutes les règles énoncées dans la politique de sécurité SELinux. Il bloque l'accès de tous les utilisateurs qui ne sont pas autorisés à accéder à un objet particulier dans la politique de sécurité. De plus, cette activité est également enregistrée dans le fichier journal SELinux.
D'autre part, le mode "Permissif" ne bloque pas les accès indésirables, il enregistre simplement toutes ces activités dans le fichier journal. Par conséquent, ce mode est principalement utilisé pour le suivi des bogues, l'audit et l'ajout de nouvelles règles de politique de sécurité. Considérons maintenant l'exemple d'un utilisateur « A » qui souhaite accéder à un répertoire nommé « ABC ». Il est mentionné dans la politique de sécurité de SELinux que l'utilisateur « A » se verra toujours refuser l'accès au répertoire « ABC ».
Maintenant, si votre SELinux est activé et fonctionne en mode « Enforcing », alors chaque fois que l'utilisateur « A » essaiera d'accéder au répertoire « ABC », l'accès sera refusé et cet événement sera enregistré dans le fichier journal. En revanche, si votre SELinux fonctionne en mode « Permissif », alors l'utilisateur « A » sera autorisé à accéder au répertoire « ABC », mais tout de même, cet événement sera enregistré dans le fichier journal afin qu'un administrateur peut savoir où la faille de sécurité s'est produite.
Méthodes de configuration de SELinux en mode permissif sur CentOS 8
Maintenant que nous avons bien compris le but du mode "Permissif" de SELinux, nous pouvons facilement parler des méthodes de réglage de SELinux en mode "Permissif" sur CentOS 8. Cependant, avant de passer à ces méthodes, il est toujours bon de vérifier l'état par défaut de SELinux en exécutant la commande suivante dans votre terminal :
$ statut
Le mode par défaut de SELinux est mis en évidence dans l'image ci-dessous :
Méthode de réglage temporaire de SELinux en mode permissif sur CentOS 8
En réglant temporairement SELinux sur le mode « Permissif », nous entendons que ce mode ne sera activé que pour la session en cours et, dès que vous redémarrerez votre système, SELinux reprendra son mode de fonctionnement par défaut, i.e., le mode « Enforcement ». Pour définir temporairement SELinux en mode « Permissif », vous devez exécuter la commande suivante sur votre terminal CentOS 8 :
$ sudo setenforce 0
En définissant la valeur du drapeau "setenforce" sur "0", nous modifions essentiellement sa valeur en "Permissive" de "Enforcing". L'exécution de cette commande n'affichera aucune sortie, comme vous pouvez le voir à partir de l'image jointe ci-dessous.
Maintenant, pour vérifier si SELinux a été défini sur le mode « Permissif » dans CentOS 8 ou non, nous allons exécuter la commande suivante dans le terminal :
$ getforce
L'exécution de cette commande renverra le mode actuel de SELinux et qui sera « permissif », comme mis en évidence dans l'image ci-dessous. Cependant, dès que vous redémarrerez votre système, SELinux reviendra au mode « Enforcing ».
Méthode de configuration permanente de SELinux en mode permissif sur CentOS 8
Nous avons déjà indiqué dans la méthode n ° 1 qu'en suivant la méthode ci-dessus, SELinux ne passera que temporairement en mode "Permissif". Cependant, si vous souhaitez que ces modifications soient présentes même après le redémarrage de votre système, vous devrez alors accéder au fichier de configuration SELinux de la manière suivante :
$ sudo nano /etc/selinux/config
Le fichier de configuration de SELinux est présenté dans l'image ci-dessous :
Maintenant, vous devez définir la valeur de la variable "SELinux" sur "permissive", comme souligné dans l'image suivante, après quoi vous pouvez enregistrer et fermer votre fichier.
Maintenant, vous devez vérifier à nouveau l'état de SELinux pour savoir si son mode a été changé en « Permissif » ou non. Vous pouvez le faire en exécutant la commande suivante dans votre terminal :
$ statut
Vous pouvez voir sur la partie en surbrillance de l'image ci-dessous que, pour le moment, seul le mode du fichier de configuration est modifié en « Permissif », alors que le mode actuel est toujours « Enforcing ».
Maintenant, pour que nos modifications prennent effet, nous allons redémarrer notre système CentOS 8 en exécutant la commande suivante dans le terminal :
$ sudo shutdown -r maintenant
Après avoir redémarré votre système, lorsque vous vérifierez à nouveau l'état de SELinux avec la commande « sestatus », vous remarquerez que le mode actuel a également été défini sur « Permissif ».
Conclusion:
Dans cet article, nous avons appris la différence entre les modes « Enforcing » et « Permissive » de SELinux. Ensuite, nous avons partagé avec vous les deux méthodes de configuration de SELinux en mode "Permissif" dans CentOS 8. La première méthode consiste à changer temporairement de mode, tandis que la deuxième méthode consiste à changer définitivement le mode en « Permissif ». Vous pouvez utiliser l'une des deux méthodes selon vos besoins.
