Suivez des événements de sécurité et isolez des services avec des MACs.
objectifs d’apprentissage
- Installer auditd.
- Filtrer des événements.
- Comprendre profils AppArmor/SELinux.
prérequis
- Accès root.
- Système compatible.
notions clés
- auditctl.
- ausearch/aureport.
- Enforcing vs Permissive.
démonstration guidée
étape 1
Activer auditd et rechercher des événements récents.
sudo systemctl enable --now auditd || true
sudo aureport --summary 2>/dev/null | head -n 10 || trueétape 2
Lister les profils AppArmor actifs (Ubuntu).
sudo aa-status 2>/dev/null || sudo getenforce 2>/dev/null || trueexercice
Placez un service en mode enforcing (selon OS) et observez les refus.
correction
Commandes indicatives selon distribution.
# SELinux: sudo setenforce 1
# AppArmor: sudo aa-enforce /etc/apparmor.d/usr.bin.myservicequiz éclair
- Quelle commande affiche l’état SELinux ?
- a) getenforce
- b) semanage
- c) setenforce