Avec des failles et des vulnérabilités découvertes presque chaque jour et des signalements de cybercrimes en hausse, la sécurité est au cœur des préoccupations. Il existe plusieurs façons de renforcer la sécurité de votre système. Si vous utilisez (ou envisagez d'utiliser) un serveur CentOS ou Fedora, SELinux est un point de départ idéal. SELinux est un protocole et une application de sécurité rapides qui vous permettent de contrôler les utilisateurs et leur niveau d'accès aux fichiers et applications du système. Dans cet article, je vous présente brièvement SELinux avant de vous montrer comment l'activer sur CentOS 7.
Qu'est-ce que SELinux ?
Le Linux amélioré pour la sécurité (SELinux) est une architecture de sécurité conçue pour donner aux administrateurs système Linux un meilleur contrôle sur les accès utilisateurs. Développé à l'origine par l'Agence nationale de sécurité américaine (NSA) sous forme de correctifs et d'améliorations du noyau Linux via les modules de sécurité Linux (LSM), SELinux a été publié en open source en 2000, puis intégré à l'ensemble du noyau Linux en 2003.
Comment fonctionne SELinux ?
SELinux contrôle l'accès à tous les fichiers, processus et applications de votre système. En s'appuyant sur un ensemble de règles prédéfinies comme politiques de sécurité, SELinux permet de définir une politique d'accès fiable et précise. SELinux protège le système et bloque toute tentative d'accès non autorisé à une ressource. Dans cette approche, le principe du moindre privilège signifie que l'utilisateur d'un programme doit disposer des permissions nécessaires pour accéder aux fichiers, répertoires, sockets et autres services.
Lorsqu'une application ou un processus (appelé « sujet ») demande l'accès à un fichier en tant qu'objet, SELinux utilise l'Access Vector Cache (AVC) pour évaluer cette demande. Ce cache stocke toutes les autorisations associées aux sujets et aux objets, c'est-à-dire aux processus et aux ressources auxquelles ils tentent d'accéder. Sans entrées en cache, SELinux ne peut prendre aucune décision. Dans ce cas, il contacte directement le serveur de sécurité pour obtenir les informations nécessaires à l'évaluation de la demande. Le serveur de sécurité applique alors la politique SELinux, puis accepte ou refuse la demande en conséquence. Vous pouvez consulter les journaux système (dans "/var/log.messages") pour voir quelles demandes ont été acceptées ou refusées.
Quels sont les modes SELinux ?
SELinux permet aux administrateurs de choisir parmi trois modes de fonctionnement. Chaque mode applique des restrictions de sécurité différentes :
Mode d'application : C'est le mode par défaut : il bloque et consigne les actions qui ne respectent pas les règles de la politique.
Mode permissif : Ce mode vous permet d'analyser les journaux et les événements en détail. Il est particulièrement utile pour tester la fonctionnalité SELinux. Ici, passer du mode forcé au mode permissif, et inversement, ne nécessite pas de redémarrage du système.
Mode désactivé : Ce mode vous permet d'effectuer toutes les actions sans les journaliser. Le passage à ce mode nécessite un redémarrage du système.
Comment activer SELinux dans CentOS 7
-
Vérifiez le statut de SELinux :
Étape 1 : Vérifiez l'état On/Off de votre SELinux
Avant d'essayer d'activer SELinux, vérifiez d'abord s'il est déjà désactivé.
Entrez la commande suivante dans votre terminal pour vérifier les paramètres :
sestatus
La sortie indique que SELinux est maintenant désactivé sur votre système.
Étape 2 : Vérifiez les prérequis pour activer SELinux
- Un compte utilisateur avec les privilèges sudo
- Accès à un terminal/console
- Un système basé sur RHEL comme CentOS 7
- L'éditeur de texte nano
L'hébergement Linux simplifié
Vous cherchez une meilleure façon d'héberger vos sites et applications web ? Vous développez quelque chose de nouveau ? Vous n'aimez tout simplement pas Windows ? C'est pour ça que nous proposons Linux VPS.
Obtenez votre Linux VPS-
Démarrage de SELinux :
Étape 3 : Ouvrir le fichier de configuration avec l'éditeur nano
Définissez le statut SELinux du service. Pour cela, ouvrez le fichier /etc/selinux/config et utilisez un éditeur de texte comme Nano.
sudo nano /etc/selinux/config
Étape 4 : Modifier le mode SELinux
Vous pouvez maintenant changer le mode SELinux en permissif or enforcing.
Modifiez ici la ligne indiquée selon le mode souhaité.
Étape 5 : Enregistrer les modifications
Appuyez ensuite sur CTRL + X pour appliquer et enregistrer. Puis appuyez sur 'y', puis Enter pour confirmer l'opération
Étape 6 : Redémarrer votre serveur
Redémarrez maintenant le système. Pour cela, entrez la commande ci-dessous et appuyez sur <Enter> :
sudo reboot
Étape 7 : Vérifier à nouveau le statut SELinux
Pour vérifier le statut de SELinux, entrez sestatus dans la ligne de commande.
Le résultat confirme que le mode enforcing est bien activé sur le système.
Comment désactiver SELinux sur CentOS 7
Utilisez la commande suivante pour passer temporairement le mode SELinux de targeted à permissive :
sudo setenforce
Notez que ce changement ne s'applique qu'à la session en cours.
Pour désactiver SELinux de façon permanente sur votre système CentOS 7, suivez ces étapes :
Étape 1 : Mettez le mode SELinux sur « désactivé »
Open the /etc/selinux/config file, then you should set the SELINUX mode to “disabled”
Étape 2 : Enregistrer les modifications et redémarrer
Enregistrez le fichier, puis redémarrez votre système CentOS avec la commande :
sudo shutdown -r now
Étape 3 : Vérifier à nouveau le statut de SELinux
Au démarrage du système, vérifiez le changement avec la commande sestatus :
sestatus
Comment changer le mode SELinux
Plutôt que de désactiver SELinux complètement, vous pouvez passer en mode permissive. Les actions effectuées sont alors consignées dans le fichier journal.
Suivez les étapes ci-dessous pour faire passer le mode SELinux de enforcing to permissif tapez :
sudo setenforce 0
Activez maintenant le mode enforcing en entrant la commande suivante :
sudo setenforce 1
Ces changements ne sont valables que pour la session en cours. Ils reviendront à leurs valeurs par défaut après un redémarrage. Pour les rendre permanents, modifiez le fichier de configuration avec un éditeur de texte (comme nano, par exemple).
L'hébergement Linux simplifié
Vous cherchez une meilleure façon d'héberger vos sites et applications web ? Vous développez quelque chose de nouveau ? Vous n'aimez tout simplement pas Windows ? C'est pour ça que nous proposons Linux VPS.
Obtenez votre Linux VPSSécuriser votre serveur CentOS 7 au-delà de SELinux
Maintenant que vous avez installé SELinux sur votre CentOS 7, votre système est mieux protégé qu'auparavant. Bien entendu, aucun système ne peut être entièrement sécurisé. Il reste toujours des points à améliorer : consultez, par exemple, les éléments de ce guide pour sécuriser votre Linux VPS. En réalité, même avec SELinux, nous n'avons utilisé que les mesures de sécurité les plus basiques qu'il propose. Par ailleurs, toutes les protections que vous mettez en place ne serviront à rien si l'hébergeur de votre serveur n'est pas lui-même suffisamment sécurisé. C'est pourquoi, chez Cloudzy, nous maintenons les plus hauts niveaux de sécurité : pare-feux matériels et basés sur l'IA, protection DDoS intelligente et autres mesures propriétaires. Profitez de nos solutions CentOS VPS et exploitez un serveur vraiment sécurisé.
