From Fedora Project Wiki
Old page
This page has been marked as "old", and likely contains content that is irrelevant or incorrect. If you can, please update this page. This page will be deleted if action is not taken.

/etc/selinux/config

Le fichier de configuration original de SELinux se trouve dans /etc/sysconfig/selinux et il existe également un lien vers /etc/selinux/config. Ou toute la magie de SELinux démarre. Libselinux lit ce fichier pour consulter de quelle manière SELinux est configuré.

Ce fichier ressemble généralement à cela:

SELINUX=enforcing
SELINUXTYPE=targeted

Dans FC5 il y à deux variables additionnelles dont je parlerais plus tard.

# SETLOCALDEFS= Check local definition changes
SETLOCALDEFS=0

ce fichier est lu par SELinux et sert à determiner dans quel mode SELinux s'exécute et quelle politique utiliser. Lors du démarrage de la machine, init utilise libselinux pour lire ce fichier et détermine quelle politique doit être charger et dans quel mode placer la machine.


Variables

  • SELINUX - variable qui peut prendre trois valeurs distinctes.
  • Enforcing
  • Cela informe le système de s'exécuter avec SELinux scrutant tous les accès au système et de stoper tout accès "refusé".
  • Ce devrait être le mode par défaut.
  • Le noyau bloque tout les accès à moins qu'ils n'aient été explicitement autorisés. Tout accès refusé et renseigné dans le journal système en tant que AVC (accès Vector Cache), à moins qu'un auteur de politique ai explicitement informé le noyau de ne pas auditer le message.
  • Permissive
  • Le noyau rapportera toute violation d'accès en tant que message AVC mais permettra l'accès.
  • Le noyau continuera de correctement labéliser les fichiers.
  • Il y a un nombre majeur de différences avec lesquelle le noyau inscrit ces messages AVC.

1. Le noyau inscrira seulement la première violation d'accès en mode permissif pour un Domaine Confiné sur un objet particulier, le mode renforcé inscrira chaque accès refusé. 2. Vous pouvez avoir de nombreux messages AVC additionnel qui n'auraient jamais dû s'afficher en mode renforcé. Par exemple, si un Domaine Confiné n'est pas autorisé à lire un répertoire ou n'importe quel fichier se trouvant dedans. En mode renforcé l'accès au répertoire sera refusé et un message AVC sera généré. En mode permissif, l'accès au répertoire & chaque accès au fichier génèrera un AVC.

  • When reporting AVC Messages we would prefer that you report avc messages in Enforcing mode. But sometimes Permissive mode is necessary to get all the AVC Messages. You can boot the kernel in permissive mode with the enforcing=0 switch.
  • Vous pouvez utiliser setenforce 0 pour activer le mode permissif et setenforce 1 pour activé le mode renforcé.
  • Disabled
  • Disabled informe le programme init de désactiver pour toujours du système. Ceci n'est lu qu'au démarrage du système, alors si vous désirer désactiver SELinux, vous devez activer cette option et redémarrer.
  • Désactive complétement la restriction SELinux et arrète également la labélisation correcte des fichiers.
  • Vous pouvez désactiver SELinux si vous ne souhaiter pas l'utiliser. Vous pouvez utiliser le mode permissif lorsque vous souhaiter diagnostiquer un problème.
  • Si vous voulez désactiver SELinux, vous devez éditer /etc/selinux/config et changer la ligne SELINUX à disabled. Vous aurez besoin ensuite de redémarrer la machine, depuis que SELinux s'exécute dans le kernel.
  • Si vous souhaitez réactiver SElinux, vous aurez besoin de relabéliser complètement le système de fichier. Il ya deux paramètres du noyau qui permettent de passer outre ces paramètres. Si vous désirez démarrer un système avec SELinux désactivé, vous pouvez indiquer le paramètre de boot selinux=0. Cela empèchera à init de ne pas lire le répertoire /etc/selinux/config. Vous pouvez également démarrer la machine en mode permissif en indiquant le paramètre de boot enforcing=0. Et, vous pouvez également démarrer en mode renforcé en indiquant le paramètre enforcing=1.
  • SELINUXTYPE
  • Cela informe libselinux dans quel répertoire rechercher le reste des fichiers de configuration de SELinux. Si vous faite une installation complète de Fedora Core 5 vous verrez les répertoires /etc/selinux/mls, /etc/selinux/targeted, /etc/selinux/strict. Vous pouvez choisir n'importe quel de ces répertoires ou créer vos propres repertoires et configurations, utilisez le nom du répertoire du chemin d'accès complet (ex : targeted, strict, mls, MaPolitique). touch /.autorelabel ; redémarrez et votre machine sera prète avec la nouvelle politique choisie. Cela est la théorie... Pour certaines politiques (MLS) vous aurez besoin de redémarrer en mode permissif, et, ensuite passer en mode renforcé lorsque la relabélisation est terminée.

Maintenant, parlons de ces deux autres champs. Je les apelle "le magicien d'Oz", " "Ignorez l'homme derrière les rideaux" (retrouver citation fr). Alors, ne touchez pas à ces champs tant que vous n'êtes pas sur de ce que vous faites autrement, n'y touchez pas.

  • SETLOCALDEFS
  • SETLOCALDEFS informe init et le processus load_policy si il utilise ou non la nouvelle architecture de gestion. Si non, il les personalisations locales, les booleennes et les utilisateurs. Since going forward we are going to use the new infrastructure this should always be set to 0.
  • REQUIRESUSERS
  • REQUIRESEUSERS peut être utilisé pour indiquer que s'il n'y a aucune correspondance entre les Utilisateurs SELinux et pas d'entrée par défaut, nous refusons l'ouverture de session plutot que de réaliser une recherche de l'utilisateur dans les politique et en dernier recours de retomber vers user_u.

Mon conseil, ne touchez pas à ces paramètres.