SELinux/fr

From Gentoo Wiki
Jump to: navigation, search


SELinux est un contrôle d'accès obligatoire qui permet un contrôle d'accès plus granulaire et qui permet à l'administrateur de la sécurité de définir ce qu'un utilisateur peut ou ne peut pas faire. Au contraire du contrôle d'accès standard et à la discrétion de l'utilisateur en place sur Linux (qui permet encore à l'utilisateur final de partager des fichiers qu'il ne devrait pas partager, d'autoriser d'autres utilisateurs à accéder en écriture à ses fichiers, etc.) un système de contrôle d'accès obligatoire est entièrement régi à travers une politique de sécurité.

Avec SELinux, qui fonctionne en parallèle du DAC, le système de contrôle d'accès à discrétion standard (le système DAC est le premier consulté et ce n'est que quand celui-ci autoriserait une activité, que SELinux est consulté à son tour), les processus s'exécutent dans ce qui est appelé un domaine. Les privilèges son alors assignés à un domaine pour définir les interactions autorisées avec d'autres ressources (que ce soient des processus, d'autres domaines, des fichiers, des sockets, des capacités, des contextes de fichiers, des sémaphores, des messages,...).

Prise en charge par Gentoo

Dans le projet Gentoo, SELinux est pris en charge via le projet Gentoo durci bien qu'il ne réclame pas l'utilisation des profils durçis (vous pouvez activer SELinux sans utiliser la chaîne d'outils durcie).

Ressources SELinux de Gentoo durci

Voici une liste des ressources disponibles pour aider les utilisateurs et les développeurs dans leur quête SELinux. Ces ressources sont maintenues par les développeurs du sous-projet de SELinux de Gentoo Hardened.

Il existe aussi quelques documentations relatives au développement, pour le cas où vous seriez intéressé à contribuer à la prise en charge de SELinux dans le projet Gentoo Hardened.

Modules de politique de SELinux

SELinux utilise une approche modulaire dans ses politiques. Le cœur des permissions est contenu dans la politique de base tandis que des privilèges additionnels sont définis dans des modules SELinux. Vous pouvez afficher la liste des modules SELinux chargés via semodule -l. Comme un module de politique contient des définitions (quels domaines sont fournis par le module, quelles ressources sont étiquetées et comment elles le sont), des privilèges( quelles interactions sont autorisées), des privilèges facultatifs ( qui sont déclenchés par des variables booléenne de SELinux) et plus encore, il est parfois nécessaire d'avoir un document plus élaboré sur les particularités de ce module.

Voici une liste des modules documentés :

  • apache le module SELinux pour la prise en charge des serveur WEB comme apache ou lighttpd
  • bind le module SELinux pour la prise en charge du serveur de noms de domaine
  • chromium le module SELinux pour la prise en charge du navigateur chromium
  • cron le module SELinux pour la prise en charge des domaines cron (comme vixie-cron)
  • ldaple module SELinux pour la prise en charge d'OpenLDAP
  • portage le module SELinux module pour la prise en charge de Portage et des outils relatifs à Portage (comme gcc-config, eselect, ...)