Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions
Privacy Policy

  




 

 

Linuxtopia - CentOS Enterprise Linux Guide de reference - SELinux

Chapitre 21. SELinux

Security-Enhanced Linux (ou SELinux) est une architecture de s�curit� int�gr�e dans le noyau 2.6.x � l'aide des modules LSM (ou linux security modules). Il s'agit d'un projet de l'organisation United States National Security Agency (NSA) et de la communaut� SELinux. L'int�gration de SELinux dans Red Hat Enterprise Linux est le fruit d'un effort commun entre l'organisation NSA et Red Hat.

21.1. Introduction � SELinux

SELinux fournit un syst�me de contr�le d'acc�s obligatoire (ou MAC, de l'anglais mandatory access control) int�gr� au noyau Linux. Sous un syst�me standard de contr�le d'acc�s discr�tionnaire Linux (ou DAC, de l'anglais discretionary access control), une application ou un processus ex�cut� en tant qu'utilisateur (UID ou SUID) re�oit la permission de l'utilisateur sur des objets tels que des fichiers, des sockets et d'autres processus. L'ex�cution d'un noyau MAC SELinux permet de prot�ger le syst�me contre des applications malveillantes ou d�fectueuses qui peuvent endommager ou d�truire le syst�me. SELinux d�finit les droits d'acc�s et de transition de chaque utilisateur, application, processus et fichier du syst�me. SELinux gouverne alors les interactions de ces sujets et objets � l'aide d'une politique de s�curit� qui sp�cifie le degr� de rigueur ou de souplesse d'une installation donn�e de Red Hat Enterprise Linux.

Dans l'ensemble, SELinux est presque compl�tement invisible pour les utilisateurs du syst�me. Seuls les administrateurs syst�me doivent se pr�occuper de la rigureur d'une politique devant �tre impl�ment�e dans leur environnement serveur. La politique, qui peut �tre aussi rigoureuse ou souple que n�cessaire, est d�finie de mani�re tr�s d�taill�e. Ce niveau de d�tails donne au noyau SELinux un contr�le complet et granulaire sur l'ensemble du syst�me.

Lorsqu'un sujet tel qu'une application tente d'acc�der � un objet tel qu'un fichier, le serveur d'application des politiques dans le noyau cherche un AVC (ou access vector cache), dans lequel les permissions sur des sujets et des objets sont mises en cache. Si une d�cision ne peut pas �tre prise en fonction des donn�es pr�sentes dans l'AVC, la requ�te continue son chemin vers le serveur de s�curit� qui recherche le contexte de s�curit� de l'application et du fichier dans la matrice. La permission est alors accord�e ou refus�e et un message avc: denied appara�t dans /var/log/messages de mani�re d�taill�e. Les sujets et les objets obtiennent leur contexte de s�curit� de la politique install�e, qui fournit �galement les informations peuplant la matrice du serveur de s�curit�.

Outre l'ex�cution en mode d'application (ou enforcing mode), SELinux peut tourner dans un mode permissif (ou permissive mode), o� l'AVC est consult� et les refus sont journalis�s, mais SELinux n'applique pas cette politique.

Pour obtenir davantage d'informations sur la mani�re selon laquelle SELinux fonctionne, consultez la Section 21.3.

 
 
  Published under the terms of the GNU General Public License Design by Interspire