SELinux

De SeRoM - Wiki
Aller à : navigation, rechercher

Les modes

Il y a 3 niveaux:

  • Enforcing: Block
  • Permissive: Log uniquement (debug)
  • Disabled: désactivé

Pour connaitre me mode:

 getenforce

Pour modifier le mode de façon persistante

 setenforce [ Enforcing | Permissive | 1 | 0 ]

Pour modifier le mode de façon persistante

 vim /etc/sysconfig/selinux
     SELINUX=enforcing

Les Booleans

Pour lister les boolean:

 getsebool -a

Pensez à utiliser grep pour filter votre recherche

Pour activer ou désactiver le boolean:

 setsebool <boolean> [on|off]

Pour activer ou désactiver le boolean de façon persistante':

 setsebool -P <boolean> [on|off]

Jouer avec les contextes

Récuprer le contexte d'un processus

 ps -efZ

Récuprer le contexte d'un fichier

 ls -lZ

Changer le contexte d'un fichier

 chcon -t <context_t> <monFichier>

Changer récusivement le contexte de fichiers

 chcon -R -t <context_t> <monFichier>

Restaurer le contexte en accord avec de la policy:

 restorecon <monFichier>

Troubleshoot

setroubleshootd

Fichier de log

 /var/log/audit/audit.log

Note

Note

Une bonne idée est de monitorer le nombre de "denied". Si d'un coup on a beaucoup d'entrées qui apparaissent c'est qu'il se passe quelque chose.

Aide

Un peu d'aide additionnelle

 man <xxx_selinux>

Examples

 man httpd_selinux
 man ftpd_selinux