Accueil Technologie

Comment installer et configurer SELinux sur Ubuntu

Vous pouvez améliorer la sécurité de votre système Linux en installant et en mettant en œuvre SELinux. Cela fournit une couche supplémentaire de protection en isolant les applications sur le système et en sécurisant l’hôte.


Par défaut, Ubuntu utilise AppArmor, un autre système de contrôle d’accès obligatoire. Pour rendre votre système Linux plus sûr, vous pouvez utiliser SELinux à la place. Voyons comment vous pouvez installer et configurer SELinux sur Ubuntu en utilisant quelques commandes Linux de base.

Qu’est-ce que SELinux ?

Security-Enhanced Linux (SELinux) est un module de sécurité du noyau Linux qui offre un mécanisme de prise en charge des politiques de sécurité de contrôle d’accès, notamment les contrôles d’accès obligatoires (MAC).

SELinux est une amélioration de la sécurité pour Linux qui comprend des modifications du noyau et des outils utilisateur. Il sépare la mise en œuvre des décisions de sécurité de la politique de sécurité et simplifie le processus d’application de la politique.

Comment installer SELinux sur Ubuntu

Voici les étapes à suivre pour installer SELinux sur une machine Ubuntu :

Étape 1 : Mise à jour et mise à niveau d’Ubuntu

Avant de commencer à installer SELinux, mettez à jour et à niveau votre système afin de pouvoir installer de nouvelles applications en douceur sans rencontrer de problèmes avec des paquets cassés ou périmés.

Pour mettre à jour et à niveau Ubuntu, ouvrez le terminal en appuyant sur Ctrl + Alt + Tet exécutez :

Lire  Comment bloquer les fenêtres pop-up de consentement aux cookies dans votre navigateur ?

 sudo apt-get update && apt-get upgrade 

Étape 2 : Arrêter et supprimer AppArmor sur Ubuntu

Une autre chose que vous devez faire avant d’installer SELinux est de désactiver AppArmor ou de le supprimer complètement.

Pour désactiver AppArmor, commencez par arrêter le service à l’aide de l’utilitaire systemctl :

 sudo systemctl stop apparmor 

Une fois que vous avez arrêté le service, vérifiez son état avec :

 systemctl status apparmor 

Maintenant vous pouvez facilement désactiver AppArmor en exécutant :

 sudo systemctl disable apparmor 
apparmor arrêté et désactivé sur Ubuntu

C’est bien si vous voulez seulement désactiver le service et non le supprimer. Cependant, si vous voulez aussi le supprimer, exécutez :

 sudo apt-get remove apparmor -y 

Pour que les changements prennent effet, redémarrez votre machine Ubuntu :

 sudo reboot 

Étape 3 : Installer SELinux sur Ubuntu

Avant d’installer SELinux, vous devez savoir que son installation comporte un risque. Le service peut rendre votre système instable, assurez-vous donc de sauvegarder votre système avant de procéder à son installation.

Si vous utilisez un environnement virtuel, prenez un instantané de la machine virtuelle (VM) Ubuntu avant d’apporter des modifications à votre système.

Pour installer SELinux et ses dépendances essentielles sur Ubuntu, exécutez :

 sudo apt-get install policycoreutils selinux-utils selinux-basics -y 

Après avoir installé SELinux et ses dépendances, activez le service en utilisant :

 sudo selinux-activate 

Étape 4 : définir les modes de SELinux sur Ubuntu

Il y a quatre modes différents disponibles dans SELinux :

  1. Mode désactivé
  2. Activer le mode
  3. Mode permissif
  4. Mode coercitif

Le premier mode, disable, indique par son nom à quoi il sert. Si vous avez réglé le mode SELinux sur disable, cela signifie que le service n’est pas actif sur votre système. D’autre part, le mode enable est l’inverse, ce qui signifie que le service SELinux est en cours d’exécution sur votre système.

Lorsque le mode SELinux est défini sur enable, vous pouvez utiliser le mode permissif ou enforcing. Vous devriez utiliser le mode permissif lorsque vous avez seulement besoin de surveiller les interactions. Mais si vous voulez filtrer et surveiller les interactions, utilisez le mode enforcing.

Pour régler le mode SELinux sur enforcing, exécutez :

 sudo selinux-config-enforcing 

Vous pouvez également utiliser cette commande à la place pour définir le mode à appliquer :

 setenforce 1 

Pour mettre à jour les modifications, redémarrez votre système :

 sudo reboot 

Après le redémarrage du système, vérifiez l’état de SELinux pour vous assurer qu’il a été activé :

 setstatus 

Si vous voulez régler le mode sur permissif, utilisez :

 setenforce 0 

Après avoir modifié le mode, vous devez toujours redémarrer.

 sudo reboot 

Utilisez l’une des deux commandes pour contrôler l’état du service et vérifier les modifications que vous venez d’effectuer :

 setstatus
getenforce
selinux current mode is set to permissive

Le site getenforce La commande getenforce affiche uniquement le mode actuel sur le terminal. Cependant, la commande setstatus donne plus de détails sur le mode qui est actuellement défini sur votre système.

Vous pouvez également vérifier les modes actuels en accédant à la commande /etc/sysconfig/selinux fichier.

Le mode permissif est plus flexible que le mode enforcing. Ce mode ne bloque pas toutes les demandes et conserve un fichier journal pour enregistrer un événement en cas de violation des règles.

Accès au fichier journal SELinux sur Ubuntu

Vous trouverez les journaux SELinux dans le fichier audit.log stocké dans le répertoire /var/log/audit répertoire.

Pour afficher les journaux SELinux, exécutez :

 grep selinux /var/log/audit/audit.log 

Comment désactiver SELinux sur Ubuntu

Voyons maintenant comment supprimer ou désactiver SELinux sur Ubuntu. Il y a deux méthodes que vous pouvez utiliser pour le faire :

1. Désactiver temporairement SELinux

Lorsque vous désactivez temporairement SELinux, vous arrêtez immédiatement son application et laissez SELinux dans un état inactif jusqu’au prochain redémarrage du système. Après le redémarrage, SELinux sera à nouveau appliqué.

Pour désactiver temporairement SELinux, vous devez d’abord devenir un utilisateur root :

 sudo -i 

Maintenant, désactivez SELinux avec :

 echo  > /selinux/enforce 

Vous pouvez également utiliser l’outil setenforce pour désactiver SELinux pour la session en cours :

 setenforce 0 

2. Désactiver SELinux de façon permanente

Vous pouvez également désactiver SELinux de façon permanente à l’aide de son fichier de configuration afin qu’il ne soit plus appliqué à chaque redémarrage.

Pour désactiver SELinux, ouvrez le fichier de configuration situé dans le répertoire /etc/selinux/config répertoire :

 sudo nano /etc/selinux/config 

Cherchez la ligne « SELINUX=enforcing« dans le contenu du fichier et changez-le en « SELinux=désactivé« .

Le fichier de configuration de selinux est affiché sur Ubuntu

Une fois terminé, sauvegardez et quittez le fichier en appuyant sur Ctrl + Xpuis Yet frappe Entrez.

Comment désinstaller SELinux sur Ubuntu

Si vous ne souhaitez plus utiliser SELinux et devez le supprimer en raison de problèmes d’instabilité, exécutez :

 sudo apt-get install policycoreutils selinux-utils selinux-basics -y 

La commande mentionnée ci-dessus supprimera complètement SELinux et ses dépendances de votre système.

Ajouter une sécurité supplémentaire à Linux en utilisant SELinux

SELinux peut fournir une protection supplémentaire en limitant la propagation d’une faille de sécurité. De plus, il peut sécuriser les serveurs Web en fonction du mode SELinux que vous avez sélectionné. Vous pouvez définir le mode sur permissif ou enforcing.

En plus de cela, il y a d’autres mesures que vous pouvez prendre pour garder votre système Linux sécurisé, comme l’utilisation de mots de passe forts. Vous pouvez demander à votre machine Linux de générer des mots de passe forts pour vous en utilisant plusieurs outils de ligne de commande tels que apg, gpg, pwgen, etc.