Comme dit sur https://blog.microlinux.fr/selinux
SELinux est une extension du noyau Linux qui permet de surveiller des processus en cours d’exécution, en garantissant que ceux-ci respectent certaines règles. Il est déployé, en apportant une couche supplémentaire aux traditionnels droits d’accès aux fichiers Unix.
Commande | Fonction |
---|---|
getenforce | Savoir si SELinux est activé ou non |
setenforce 1 | Activer SELinux |
setenforce 0 | Désactiver SELinux |
ls -Z | Lister les fichiers et leur étiquette par SELinux |
restorecon -v -R . | Sur le répertoire en cours, remet l'étiquette par défaut sur les fichiers |
Une des commandes qui sert le plus est celle qui remet l'étiquette par défaut sur les fichiers du répertoire en cours
Dans les autres commandes que j'ai déjà dû utiliser, il y à celle-ci qui permet à HAProxy de se connecter à n'importe quel port réseau
Vu aussi avec le cache varnish, on avait toujours une erreur en lançant le service alors que le programme se lançait bien si on le lançait directement.
Sur leur lien https://docs.varnish-software.com/tutorials/selinux-faq/
j'ai appris que les process pouvaient avoir un label de sécurité. On peut les voir avec
Pour voir spécifiquement ceux du cache varnish
Et du coup suivant les labels affichés, on peut les ajouter dans une liste de ceux autorisés.
Exemple avec celui de varnish, pour autoriser son label varnishd_t, faire
Pour le supprimer, faire
Pour lister ce qui est autorisé
Pour voir les blocages de SELinux dans le journal d'audit système
Article(s) en relation(s)