Les sections suivantes examinent les fichiers de configuration de SELinux et les syst�mes de fichiers connexes.
21.2.1. Pseudo-syst�me de fichiers /selinux/
Le pseudo-syst�me de fichiers /selinux/ contient des commandes qui sont utilis�es le plus couramment par le sous-syst�me du noyau. Ce type de syst�me de fichiers est semblable au pseudo-syst�me de fichiers /proc/.
Dans la plupart des cas, les administrateurs et les utilisateurs n'ont pas � manipuler ce composant, contrairement � d'autres fichiers et r�pertoires de SELinux.
L'extrait ci-dessous reproduit un �chantillon du contenu du r�pertoire /selinux/�:
Par exemple, l'ex�cution de la commande cat sur le fichier enforce renvoie soit un 1 pour le mode d'application, soit un 0 pour le mode permissif.
21.2.2. Fichiers de configuration de SELinux
Les sections suivantes examinent les fichiers de configuration et de politiques de SELinux ainsi que les syst�mes de fichiers connexes qui se trouvent dans le r�pertoire /etc/.
21.2.2.1. Fichier de configuration /etc/sysconfig/selinux
Il est possible de configurer SELinux Red Hat Enterprise Linux de deux mani�res�: en utilisant l'Outil de configuration du niveau de s�curit� (system-config-securitylevel) ou en �ditant manuellement le fichier de configuration (/etc/sysconfig/selinux).
Le fichier /etc/sysconfig/selinux est le fichier de configuration principal permettant non seulement d'activer ou de d�sactiver SELinux, mais permettant �galement de d�terminer la politique sp�cifique qui doit �tre appliqu�e sur le syst�me ainsi que la mani�re selon laquelle elle doit �tre appliqu�e.
Remarque
Le fichier /etc/sysconfig/selinux contient un lien symbolique vers le fichier de configuration proprement dit, � savoir /etc/selinux/config.
La partie ci-dessous examine la totalit� du sous-syst�me d'options qui sont disponibles pour la configuration�:
SELINUX=<enforcing|permissive|disabled> — D�finit l'�tat de niveau sup�rieur de SELinux sur un syst�me.
enforcing — La politique de s�curit� de SELinux est appliqu�e.
permissive — Le syst�me SELinux �met des messages d'avertissements mais n'applique pas la politique. Cette option est utile pour le d�bogage ou la r�solution de probl�mes. En mode permissif, davantage de refus seront journalis�s �tant donn� que les sujets seront en mesure de poursuivre des actions qui, en mode d'application, seraient par contre refus�es. Par exemple, un utilisateur traversant toute une arborescence de r�pertoires entra�ne la cr�ation de multiples messages avc: denied pour chaque niveau de r�pertoire lu, une situation qui ne se produirait pas avec un noyau en mode d'application car il aurait emp�ch� d�s le d�part l'utilisateur de traverser l'arborescence et aurait mis fin � la cr�ation d'autres messages de refus.
disabled — SELinux est compl�tement d�sactiv�e. Les crochets de SELinux sont retir�s du noyau et le pseudo-syst�me de fichiers est abandonn�.
Astuce
Les actions prises alors que SELinux est d�sactiv�e peuvent avoir un impact sur le syst�me de fichiers dans le sens o� il n'aura peut-�tre plus le bon contexte de s�curit�, tel qu'il est d�fini par la politique. En ex�cutant fixfiles relabel avant d'activer SELinux le syst�me de fichiers reprendra la bonne �tiquette (ou label) afin que SELinux fonctionne correctement lors de son activation. Pour obtenir davantage d'informations, consultez la page de manuel de fixfiles(8).
Remarque
Des espaces blancs suppl�mentaires � la fin d'une ligne de configuration ou des lignes blanches superflues � la fin du fichier peuvent entra�ner un comportement impr�vu. Par mesure de s�curit�, supprimez tout espace blanc qui n'est pas n�cessaire.
SELINUXTYPE=<targeted|strict> — Sp�cifie la politique sp�cifique qui est actuellement appliqu�e par SELinux.
targeted — Seuls les d�mons r�seau cibl�s sont prot�g�s.
Important
Les d�mons suivants sont prot�g�s dans la politique cibl�e par d�faut�: dhcpd, httpd (apache.te), named, nscd, ntpd, portmap, snmpd, squid et syslogd. Le reste du syst�me est ex�cut� dans le domaine unconfined_t.
Les fichiers de politiques pour ces d�mons se trouvent dans /etc/selinux/targeted/src/policy/domains/program et sont susceptibles de modifications suite � la publication de nouvelles versions de Red Hat Enterprise Linux.
L'application des politiques pour ces d�mons peut �tre activ�e ou d�sactiv�e � l'aide de valeurs bool�ennes contr�l�es par l'Outil de configuration du niveau de s�curit� (system-config-securitylevel). La modification d'une valeur bool�enne pour un d�mon cibl� d�sactive la transition de politique pour le d�mon, ce qui emp�che par exemple init de faire transiter dhcpd du domaine unconfined_t au domaine sp�cifi� dans dhcpd.te. Le domaine unconfined_t autorise les sujets et objets avec ce contexte de s�curit� � �tre ex�cut�s sous une s�curit� Linux standard.
strict — La protection SELinux est totale et ce, pour tous les d�mons. Les contextes de s�curit� sont d�finis pour tous les sujets et objets et toute action est trait�e par le serveur d'application des politiques.
21.2.2.2. R�pertoire /etc/selinux/
Le r�pertoire /etc/selinux/ repr�sente l'emplacement primaire de tous les fichiers de politiques ainsi que celui du principal fichier de configuration.
L'extrait ci-dessous reproduit un �chantillon du contenu du r�pertoire /etc/selinux/�:
Les deux sous-r�pertoires strict/ et targeted/ sont les r�pertoires sp�cifiques dans lesquels les fichiers de politiques portant le m�me nom (c'est � dire strict et targeted) sont stock�s.
Pour obtenir davantage d'informations sur la politique de SELinux et sur la configuration des politiques, consultez le Guide de r�daction de politiques SELinux de Red Hat.
21.2.3. Utilitaires de SELinux
La liste suivante contient certains des utilitaires de SELinux les plus couramment utilis�s�:
/usr/bin/setenforce — Modifie en temps r�el le mode que SELinux ex�cute. En ex�cutant setenforce 1, SELinux est mis en mode d'application (ou enforcing mode). En ex�cutant setenforce 0, SELinux est mis en mode permissif (ou permissive mode). Pour vraiment d�scativer SELinux, vous devez soit d�finir le param�tre dans /etc/sysconfig/selinux, soit passer le param�tre selinux=0 au noyau, soit dans /etc/grub.conf, soit au d�marrage.
/usr/bin/sestatus -v — Obtient le status d�taill� d'un syst�me ex�cutant SELinux. L'exemple suivant reproduit un extrait de la sortie de sestatus�:
/usr/bin/newrole — Ex�cute un nouveau shell dans un nouveau contexte ou r�le. La politique doit autoriser la transition vers le nouveau r�le.
/sbin/restorecon — D�finit le contexte de s�curit� d'un ou plusieurs fichiers en marquant les attributs �tendus avec le fichier ou le contexte de s�curit� appropri�.
/sbin/fixfiles — V�rifie ou corrige la base de donn�es du contexte de s�curit� sur le syst�me de fichiers.
Pour obtenir davantage d'informations, consultez la page de manuel abordant ces utilitaires.
Pour obtenir davantage d'informations sur l'ensemble des utilitaires binaires disponibles, consultez le contenu des paquetages setools ou policycoreutils en ex�cutant rpm -ql <package-name> o� <package-name> correspond au nom du paquetage sp�cifique.