Une façon d'améliorer la sécurité de votre système Linux est de ajouter une couche de sécurité supplémentaire à l'aide de selinux. Avec Linux (Selinux) amélioré par la sécurité, les applications de vos systèmes Linux sont isolées les unes des autres, protégeant votre système hôte. Par défaut, Ubuntu utilise le Apparmor, un système de contrôle d'accès obligatoire qui améliore la sécurité, mais vous pouvez utiliser le selinux pour obtenir la même.
Selinux est bénéfique, et en cas de violation de sécurité sur votre système, il empêche la propagation de la brèche pour protéger votre système. De plus, l'outil protège les serveurs Web en fonction du mode que vous définissez pour le selinux. Ce guide propose un tutoriel pratique sur la façon de désactiver l'Apparmor, d'installer le selinux, d'activer les différents modes et de désactiver SELINUX.
Début avec selinux
Notez qu'avant de procéder avec Selinux, il y a un risque à l'utiliser, d'autant plus qu'il peut rendre votre système inutilisable. Donc, utilisez-le uniquement si vous le devez et dans un tel cas applicable. De plus, il est toujours plus sûr de désactiver l'apparmor avant d'installer le selinux.
Pour désactiver l'Apparmor, exécutez la commande suivante:
1 | $ sudo systemctl stop apparmor |
Une fois que l'Apparmor s'arrête, redémarrez votre système.
Comment installer selinux sur Ubuntu
Une fois que vous avez désactivé ou supprimé l'Apparmor, ouvrez votre terminal et exécutez la commande suivante pour installer selinux.
1 2 3 | $ sudo apt mise à jour |
Une fois l'installation réussie, vous devez activer l'outil. Vous pouvez le faire en utilisant la commande suivante:
1 | $ sudo selinux-activat |
Activer les modes selinux sur Ubuntu
Il existe trois modes différents que vous pouvez utiliser avec selinux. Le premier est désactivé, qui fait la même chose que son nom. Il désactive à l'aide du service selinux. Lorsque seinux est activé, vous pouvez le régler sur permissif ou appliquant modes. En mode permissif, seule la surveillance de l'interaction est effectuée. Cependant, si vous souhaitez filtrer et surveiller l'interaction, utilisez le mode d'application.
Commençons par définir le mode d'application. Utilisez la commande suivante:
1 | $ sudo selinux-config-enforce |
Alternativement, vous pouvez utiliser la commande setenforce pour définir le mode d'application. La commande pour cela est la suivante:
1 | $ setenforce 1 |
Une fois que vous avez défini le mode, vous devez redémarrer votre système pour qu'il prenne effet.
1 | $ redémarrer |
Notez que le processus de rééquilibre commence pendant le redémarrage. Le système redémarre normalement une fois qu'il est terminé. Pendant la rééquilibre, vous devez noter un message d'avertissement comme dans l'image suivante:
Après un redémarrage réussi, vous pouvez exécuter la commande suivante pour vérifier le statut selinux. Il doit être défini pour faire respecter.
1 | $ SESSATUS |
Le mode d'application est le défaut par défaut par selinux. Dans cet état, la plupart sinon toutes les demandes sont bloquées. La solution consiste à sélectionner le mode permissif, qui enregistre toutes les règles violées. Vous pouvez vérifier le fichier journal pour plus de détails.
Pour définir le mode permissif, utilisez la commande suivante:
1 | $ setenforce 0 |
Allez-y et vérifiez le mode en utilisant le Commande setStatus ou utilisez le Gettenforce commande:
1 2 3 4 5 | $ SetStatus |
Avec Getenforce, vous ne verrez que le nom du mode actuel, mais le setStatus montre plus de détails sur le mode actuellement défini.
Notez que vous devez redémarrer le système pour basculer entre les deux modes. De plus, vous pouvez afficher les modes définis de la / etc / fichier sysconfig / selinux.
Comme nous l'avons noté, le mode permissif est plus flexible et ne bloquera pas nécessairement toutes les demandes. Au lieu de cela, il conserve un fichier journal lorsque les règles sont violées. Pour accéder au fichier journal, vous pouvez utiliser la commande suivante:
1 | $ grep selinux / var / log / audit / audit.enregistrer |
Pour définir le mode permissif, utilisez la commande suivante:
1 | $ sudo setenforce 0 |
Comment désactiver SELINUX
Nous avons vu comment activer et définir les différents modes selinux. Mais que diriez-vous de le désactiver? La meilleure option consiste à le désactiver à partir des fichiers de configuration en permanence. Pour cela, ouvrez le fichier à l'aide d'un éditeur comme Nano. Ensuite, modifiez le mode de l'application aux désactivés, comme indiqué dans la commande suivante:
1 | $ sudo nano / etc / selinux / config |
Une fois ouvert, recherchez le Selinux = application de la ligne et le changer en selinux = désactivé.
Conclusion
L'Apparmor est la couche de sécurité supplémentaire dans Ubuntu et d'autres systèmes Linux. Cependant, si vous préférez utiliser le selinux, nous avons couvert comment vous pouvez installer, activer et utiliser ses différents modes. Avant d'installer le selinux, assurez-vous de désactiver l'apparmor et de redémarrer le système. Procédez également à la prudence lorsque vous utilisez le selinux pour éviter de gâcher votre système.