Assurer la sécurité d’un serveur est un élément essentiel de la gestion d’un serveur, mais les projets personnels ou de petite taille peuvent compromettre certains aspects de la sécurité. Dans le domaine des distributions Linux, nombre d’entre elles ont déjà mis en place des protocoles de sécurité robustes. Parmi elles, CentOS 7 et RHEL sont largement reconnues comme les options de sécurité les plus fiables de Linux, grâce à leur protection SELinux à plusieurs niveaux.
Malgré leurs avantages, les mesures de sécurité excessives peuvent parfois entraver les activités quotidiennes et communautaires. Par conséquent, la désactivation de certaines mesures peut s’avérer nécessaire. Cet article a pour but de vous expliquer comment désactiver SELinux dans CentOS 7/8 et RHEL.
Qu’est-ce que SELinux ?
SELinux est une fonction de contrôle de sécurité installée sur votre système, qui restreint l’accès à des modules spécifiques du noyau. Par défaut, CentOS 7 et RHEL intègrent cette fonctionnalité pour offrir une couche de sécurité supplémentaire au système. Cependant, d’autres distributions Linux, comme Debian, peuvent également l’implémenter.
SELinux fonctionne grâce à des politiques spécifiques, appelées “règles”, qui autorisent ou limitent l’utilisation de certaines applications pour les composants critiques du système. La création de telles politiques peut être une tâche difficile.
SELinux a trois états distincts :
- Le Enforcing refuse tout accès non autorisé, et l’activation de cet état est appelée SELinux activé.
- Dans l’état Permissive, SELinux génère des avertissements. Contrairement à l’état “enforcing”, l’accès non autorisé est permis, mais un avertissement est affiché.
- L’état Disable signifie que la fonctionnalité SELinux est désactivée et que l’accès est autorisé sans avertissement.
Après avoir appris le fonctionnement de SELinux, nous pouvons maintenant déterminer s’il vaut la peine de le désactiver.
Désactivation de SELinux
Il existe deux façons de désactiver SELinux : temporairement ou définitivement. Chaque méthode a ses propres avantages. La désactivation temporaire permet de tester le système sans compromettre sa sécurité. Au redémarrage du système, SELinux se réactivera automatiquement.
Inversement, la désactivation permanente de SELinux peut accroître la productivité, en particulier pour les projets personnels ou de taille moyenne. Il est essentiel de noter que la plupart des distributions Linux ont déjà mis en place de solides politiques de sécurité à ce stade, de sorte que cette approche peut être réalisable.
Ce billet vous expliquera comment effectuer une désactivation SELinux temporaire et permanente sur CentOS 7/8 et RHEL.
Désactiver temporairement SELinux sur CentOS 7/8 et RHEL
Pour commencer, nous devons établir une connexion SSH pour accéder au serveur. Pour ce faire, exécutez la commande suivante :
$ ssh your-user@your-serverAlternativement, si nous utilisons CentOS sur notre ordinateur personnel, nous pouvons ouvrir le terminal.
Ensuite, nous devons vérifier l’état de SELinux, ce qui peut être fait en exécutant la commande suivante :
$ sestatusLa sortie nous informe que SELinux est activé avec l’état “enforcing”.
Pour désactiver temporairement SELinux, nous pouvons exécuter les commandes suivantes :
$ su
$ setenforce 0Nous devons ensuite vérifier à nouveau l’état de SELinux.
La sortie indiquera que SELinux est maintenant en mode permissif, ce qui nous permet d’utiliser le système sans problème.
Comme cette méthode désactive temporairement SELinux, les changements seront automatiquement appliqués lors du redémarrage, lorsque SELinux sera réactivé. Le principal avantage de cette méthode est qu’elle ne nécessite pas de redémarrage du système.
Désactiver SELinux en permanence sur CentOS 7/8 et RHEL
Afin de désactiver SELinux de manière permanente, nous devons éditer un fichier de configuration. Pour commencer, nous devons installer l’éditeur de texte nano en exécutant la commande suivante :
$ yum install nanoEnsuite, nous devons modifier le fichier de configuration SELinux.
$ nano /etc/sysconfig/selinuxPour désactiver SELinux de manière permanente, nous devons modifier le fichier de configuration de SELinux. Ce fichier contient plusieurs valeurs qui peuvent être attribuées à SELinux, représentant les différents états qu’il peut prendre. Pour le désactiver complètement, nous devons définir la valeur “Disabled” (désactivé) de la manière suivante :
SELINUX=disabledUne fois cela fait, nous devons enregistrer le fichier en appuyant sur CTRL+O et le fermer avec CTRL+X. Pour s’assurer que les modifications ont bien été prises en compte, il convient de redémarrer le système et de vérifier l’état de SELinux en exécutant la commande suivante :
$ sestatusEn procédant ainsi, nous aurons réussi à désactiver SELinux dans CentOS 7/8 et RHEL.
Réactivation de SELinux sur CentOS
En activant SELinux, vous aller renforcer la sécurité de votre système, en particulier dans les scénarios où le système est exposé à des environnements potentiellement hostiles ou lorsque des données sensibles sont stockées ou traitées. Il peut également être utile dans les situations où des applications tierces non fiables s’exécutent sur le système.
$ sudo setenforce 1Cette commande modifie immédiatement le mode SELinux en “enforcing”, mais la modification ne persiste pas lors des redémarrages.
Pour rendre la modification persistante, éditez le fichier de configuration SELinux /etc/selinux/config à l’aide d’un éditeur de texte tel que nano ou vim.
$ sudo nano /etc/selinux/configLocalisez la ligne qui commence par SELINUX= et changez sa valeur en enforcing.
SELINUX=enforcingEnregistrez les modifications apportées au fichier et quittez l’éditeur de texte.
Redémarrez ensuite votre système pour que les modifications soient prises en compte.
Conclusion
Bien que SELinux fournisse une excellente sécurité à CentOS 7/8 et RHEL, certains peuvent le trouver gênant ou incommode. Avant de décider de désactiver une fonction de sécurité, il faut toujours prendre en compte les risques potentiels.
Dans ce post, nous avons montré comment désactiver SELinux de manière temporaire ou permanente, en fonction de vos besoins.
Français
English
العربية
Webhi.Technology
@WebHiTechnology