Chapitre 8. Application des politiques de sécurité
Au cours du processus de mise à niveau en place, la politique SELinux doit être commutée en mode permissif. En outre, les profils de sécurité peuvent contenir des modifications entre les versions majeures. Cette section vous guide dans la sécurisation de vos systèmes RHEL mis à niveau et couvre les détails des étapes préalables à la mise à niveau des composants liés à la sécurité.
8.1. Changement du mode SELinux en mode "enforcing
Au cours du processus de mise à niveau, l'utilitaire Leapp
définit le mode SELinux sur permissif. Lorsque le système est mis à niveau avec succès, vous devez changer manuellement le mode SELinux en mode "enforcing".
Conditions préalables
- Le système a été mis à niveau et vous avez effectué les étapes de vérification décrites dans la section Vérification de l'état post-mise à niveau du système RHEL 9.
Procédure
Assurez-vous qu'il n'y a pas de refus SELinux, par exemple en utilisant l'utilitaire
ausearch
:# ausearch -m AVC,USER_AVC -ts boot
Notez que l'étape précédente ne couvre que le scénario le plus courant. Pour vérifier tous les refus SELinux possibles, voir la section Identifier les refus SELinux dans le titre Utiliser SELinux, qui fournit une procédure complète.
Ouvrez le fichier
/etc/selinux/config
dans un éditeur de texte de votre choix, par exemple :# vi /etc/selinux/config
Configurez l'option
SELINUX=enforcing
:# This file controls the state of SELinux on the system. # SELINUX= can take one of these three values: # enforcing - SELinux security policy is enforced. # permissive - SELinux prints warnings instead of enforcing. # disabled - No SELinux policy is loaded. SELINUX=enforcing # SELINUXTYPE= can take one of these two values: # targeted - Targeted processes are protected, # mls - Multi Level Security protection. SELINUXTYPE=targeted
Enregistrez la modification et redémarrez le système :
# reboot
Vérification
Après le redémarrage du système, confirmez que la commande
getenforce
renvoieEnforcing
:$ getenforce Enforcing
Ressources supplémentaires