Chapitre 8. Rédaction d'une politique SELinux personnalisée
Cette section vous explique comment rédiger et utiliser une stratégie personnalisée qui vous permet d'exécuter vos applications dans les limites de SELinux.
8.1. Politiques SELinux personnalisées et outils connexes
Une politique de sécurité SELinux est un ensemble de règles SELinux. Une politique est un élément central de SELinux et est chargée dans le noyau par les outils SELinux de l'espace utilisateur. Le noyau impose l'utilisation d'une politique SELinux pour évaluer les demandes d'accès au système. Par défaut, SELinux refuse toutes les demandes à l'exception de celles qui correspondent aux règles spécifiées dans la politique chargée.
Chaque règle SELinux décrit une interaction entre un processus et une ressource du système :
ALLOW apache_process apache_log:FILE READ;
Vous pouvez lire cet exemple de règle comme suit : The Apache process can read its logging file. Dans cette règle, apache_process et apache_log sont labels. Une politique de sécurité SELinux attribue des étiquettes aux processus et définit les relations avec les ressources du système. De cette manière, une politique fait correspondre les entités du système d'exploitation à la couche SELinux.
Les étiquettes SELinux sont stockées en tant qu'attributs étendus des systèmes de fichiers, tels que ext2. Vous pouvez les lister à l'aide de l'utilitaire getfattr ou de la commande ls -Z, par exemple :
$ ls -Z /etc/passwd
system_u:object_r:passwd_file_t:s0 /etc/passwd
Où system_u est un utilisateur SELinux, object_r est un exemple de rôle SELinux et passwd_file_t est un domaine SELinux.
La politique SELinux par défaut fournie par les paquetages selinux-policy contient des règles pour les applications et les démons qui font partie de Red Hat Enterprise Linux 9 et qui sont fournis par des paquetages dans ses dépôts. Les applications qui ne sont pas décrites dans une règle de cette politique de distribution ne sont pas limitées par SELinux. Pour changer cela, vous devez modifier la politique à l'aide d'un module de politique, qui contient des définitions et des règles supplémentaires.
Dans Red Hat Enterprise Linux 9, vous pouvez interroger la politique SELinux installée et générer de nouveaux modules de politique à l'aide de l'outil sepolicy. Les scripts que sepolicy génère avec les modules de stratégie contiennent toujours une commande utilisant l'utilitaire restorecon. Cet utilitaire est un outil de base permettant de résoudre les problèmes d'étiquetage dans une partie sélectionnée d'un système de fichiers.
Ressources supplémentaires
-
sepolicy(8)etgetfattr(1)pages de manuel
