à une époque où les cyber-menaces évoluent rapidement, la sécurisation des systèmes Linux va bien au-delà des autorisations de base des utilisateurs. Les mécanismes de sécurité traditionnels comme le contr?le discrétionnaire d'accès (DAC) offrent des garanties limitées contre l'escalade des privilèges, les applications compromises et les menaces d'initiés. Pour répondre à ces limitations, Linux amélioré par la sécurité (SELINUX) propose un cadre puissant et à grain fin pour le contr?le d'accès obligatoire (MAC) - et ce n'est plus seulement pour les distributions basées sur Red Hat.

Dans cet article, nous explorerons comment intégrer Sellinux dans Debian , l'une des distributions GNU / Linux les plus utilisées et les plus respectées. Nous décomposons son architecture, ses procédures de configuration, sa gestion des politiques et ses techniques de dépannage. Que vous exécutiez un serveur critique de mission ou que vous cherchiez à durcir votre environnement de bureau, ce guide vous montrera comment Selinux peut élever la sécurité de votre système selon les normes de qualité d'entreprise.

Comprendre les fondements de SELINUX

Qu'est-ce que SELINUX?

SELINUX est un module de sécurité du noyau initialement développé par la United States National Security Agency (NSA) en collaboration avec la communauté open source. Il introduit le concept de contr?les d'accès obligatoires en appliquant des règles basées sur des politiques qui définissent strictement comment les processus et les utilisateurs peuvent interagir avec les fichiers, les répertoires, les prises et les appareils.

Contrairement à DAC, où les propriétaires de fichiers contr?lent l'accès, les stratégies MAC sont imposées par l'administrateur système et appliquées par le noyau, indépendamment de la possession ou des autorisations des utilisateurs.

Composants centraux de selinux

• Sujets : entités actives (généralement des processus).

• Objets : entités passives (comme les fichiers, les répertoires, les appareils).

• Contextes : étiquettes de sécurité affectées aux sujets et aux objets.

• Types / domaines : utilisés pour définir les règles d'accès et le comportement.

• Politiques : ensembles de règles écrits qui déterminent la logique de contr?le d'accès.

Modes d'application

• Application : les politiques SELINUX sont appliquées et les violations sont bloquées.

• Permissive : les politiques ne sont pas appliquées, mais les violations sont enregistrées.

• Désactivé : Selinux est complètement désactivé.

Selinux sur Debian: une vérification de la réalité

Debian a traditionnellement favorisé Apparmor pour sa simplicité et sa facilité d'intégration. Cependant, le support de Selinux est pleinement présent dans les référentiels de Debian. à partir de Debian 12 (Bookworm) et plus tard, l'intégration de Selinux est plus rationalisée et mieux documentée que jamais.

Pourquoi utiliser selinux sur Debian?

• Contr?le granulaire sur l'accès aux ressources système.

• Les politiques obligatoires empêchent l'escalade des privilèges et les actions non autorisées.

• La modularité politique permet l'application ciblée entre les services système.

• De puissants outils d'audit aident à découvrir des erreurs de conformité et une activité suspecte.

Installation et activation de Selinux sur Debian

Condition préalable

Assurez-vous que votre système répond à ces exigences:

• Exécution d'un noyau Debian pris en charge (4.x ou plus récent).

• Accès racine ou privilèges sudo.

étape 1: Installez les packages Selinux

sudo apt update sudo apt installer selinux-basics selinux-policy-défault auditd polimcycoreutils

étape 2: Configurer SELINUX AU BOOT

Modifiez la configuration de Grub pour activer Selinux au démarrage:

sudo nano / etc / par défaut / grub

Ajouter seLinux = 1 Security = selinux à la ligne GRUB_CMDLINE_LINUX_DEFAULT:

GRUB_CMDLINE_LINUX_DEFAULT = "Quiet Selinux = 1 Security = Selinux"

Mettre à jour Grub:

Sudo Update-Grub

étape 3: Redémarrez et reallez le système de fichiers

Avant que Selinux ne puisse fonctionner correctement, l'ensemble du système de fichiers doit être relances avec des contextes de sécurité appropriés:

Sudo Touch /.AutoreLabel Sudo Reboot

Au redémarrage, le système analysera et realablera tous les fichiers, ce qui peut prendre plusieurs minutes.

étape 4: Vérifiez le statut de selinux

Sestatus

Sortie attendue en mode d'application:

SELINUX Statut: Mode actuel activé: Application de la stratégie Version: 33 Politique à partir du fichier de configuration: ciblé

Gérer les politiques de Selinux

Politiques par défaut vs personnalisées

Debian est expédié avec Sellinux-Policy-Default , un ensemble complet de règles couvrant des services communs comme SSH, Apache, Cron et plus encore.

Les politiques personnalisées sont créées à l'aide d'outils comme:

• CheckModule: Compiles .te (Type Enforcement) Fichiers en modules.

• SEMODULE_PACKAGE: Packages Modules en fichiers .pp pour l'installation.

• Sémodule: charge ou supprime les modules de politique.

Outils de gestion utiles

• SEMANAGE : Ajustez les paramètres comme les contextes de fichiers, les booléens, les ports et les utilisateurs.

• SetSebool : Toggle Runtime Selinux Boolean Valeurs.

• RESTORECON : restaurer les contextes SELINUX par défaut sur les fichiers.

• Audit2Allow : générer des règles de stratégie à partir des journaux d'audit.

Cas d'utilisation pratiques

Sécuriser un serveur Web (exemple Apache)

1. Vérifiez le contexte du domaine pour Apache:

PS -EZ | grep apache2

2. étiqueter les répertoires de contenu Web:

Sudo Semanage fcontext -a -t httpd_sys_content_t "/srv/www(/.*)?" sudo restorecon -rv / srv / www

3. Autoriser Apache à établir des connexions réseau:

sudo setSebool -p httpd_can_network_connect 1

Protection des services de base de données

Selinux peut empêcher les échappements de coquille liés à l'injection SQL en appliquant les limites de contexte MySQLD_T. En isolant le processus MySQLD et en restreignant les types de fichiers auxquels il peut accéder, la surface du risque est considérablement réduite.

Dépannage de Selinux

Décodage des refus

Les problèmes les plus courants découlent des refus politiques. Ceux-ci apparaissent dans /var/log/audit/audit.log ou via Journalctl.

Exemple de déni AVC:

type = avc msg = audit (162777): avc: refusé {read} pour pid = 1532 comm = "nginx" name = "index.html" dev = "sda1" ino = 12345 scontex

Outils de résolution

• Audit2Allow -A : examinez tous les refus et générez des politiques.

• Audit2Why : Expliquez la justification des déni.

• Mode permissif : Désactiver temporairement l'application:

sudo setenforce 0

Revenez en mode d'application après avoir résolu le problème:

sudo setenforce 1

SELINUX VS. Apparmor sur Debian

Fonctionnalité	Selinux	Apparmor
Granularité	Très élevé (basé sur le contexte)	Modéré (basé sur le chemin)
Courbe d'apprentissage	Raide	Faible
Portée de la politique	à l'échelle du système	Spécifique à l'application
Outillage	Avancé	Plus simple
Par défaut sur Debian	Non	Oui

Utilisez SELINUX lorsque vous avez besoin d'un contr?le à grain fin et d'une sécurité robuste à grande échelle (par exemple, des serveurs multi-locataires). Choisissez Apparmor pour des configurations plus simples et motivées par le profil avec des frais généraux minimaux.

Conclusion: élever la posture de défense de Debian avec Selinux

Selinux fournit un modèle de sécurité industriel qui fortifie les systèmes Linux bien au-delà de ce que les contr?les d'accès traditionnels offrent. Bien qu'il ait une courbe d'apprentissage, les avantages de sécurité justifient l'investissement - en particulier pour les utilisateurs de Debian qui exécutent des charges de travail critiques.

En intégrant Selinux dans votre flux de travail Debian, vous gagnez:

• Protection à l'épreuve des balles contre l'accès non autorisé.

• Visibilité claire dans l'application des politiques via l'audit.

• Modularité politique pour s'adapter à mesure que votre environnement se développe.

Démarrez petit, surveillez les journaux, réglez les politiques et passez progressivement du mode permissif au mode d'application . Ce faisant, vous transformerez votre système Debian de ?Secure suffisamment? en sécurisé par conception .

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!