1.5. États et modes SELinux
SELinux peut fonctionner dans l'un des trois modes suivants : renforcement, permissif ou désactivé.
- Le mode "Enforcing" est le mode de fonctionnement par défaut et recommandé. En mode "Enforcing", SELinux fonctionne normalement, appliquant la politique de sécurité chargée sur l'ensemble du système.
- En mode permissif, le système agit comme si SELinux appliquait la politique de sécurité chargée, notamment en étiquetant les objets et en émettant des entrées de refus d'accès dans les journaux, mais il ne refuse en fait aucune opération. Bien qu'il ne soit pas recommandé pour les systèmes de production, le mode permissif peut être utile pour le développement et le débogage de la politique SELinux.
- Le mode désactivé est fortement déconseillé ; non seulement le système évite d'appliquer la politique SELinux, mais il évite également d'étiqueter les objets persistants tels que les fichiers, ce qui rend difficile l'activation de SELinux à l'avenir.
Utilisez l'utilitaire setenforce pour passer du mode "enforcing" au mode "permissive". Les modifications apportées à l'aide de setenforce ne sont pas prises en compte lors des redémarrages. Pour passer en mode "enforcing", entrez la commande setenforce 1 en tant qu'utilisateur racine de Linux. Pour passer en mode permissif, entrez la commande setenforce 0. Utilisez l'utilitaire getenforce pour afficher le mode SELinux actuel :
# getenforce
Enforcing# setenforce 0 # getenforce Permissive
# setenforce 1 # getenforce Enforcing
Dans Red Hat Enterprise Linux, vous pouvez configurer des domaines individuels en mode permissif alors que le système fonctionne en mode forcé. Par exemple, pour rendre le domaine httpd_t permissif :
# semanage permissive -a httpd_tNotez que les domaines permissifs sont un outil puissant qui peut compromettre la sécurité de votre système. Red Hat recommande d'utiliser les domaines permissifs avec prudence, par exemple, lors du débogage d'un scénario spécifique.
