Passez de l’utilisation basique à l’écriture de politiques personnalisées.
objectifs d’apprentissage
- Analyser AVC.
- Générer module.
- Mettre en enforce sans casser.
prérequis
- Système avec SELinux.
- Accès root.
notions clés
- audit2allow.
- booleans.
- contexts (type, role).
démonstration guidée
étape 1
Lister état et booleans sensibles.
getenforce 2>/dev/null || true
getsebool -a 2>/dev/null | grep httpd || trueétape 2
Générer un module depuis des AVCs (exemple).
# sudo ausearch -m avc -ts recent | audit2allow -M mymod
# sudo semodule -i mymod.ppexercice
Activez httpd_can_network_connect et testez l’accès réseau d’HTTPD.
correction
Activation d’un boolean.
sudo setsebool -P httpd_can_network_connect on || truequiz éclair
- Quel outil convertit des AVCs en règles SELinux ?
- a) audit2allow
- b) aa-complain
- c) ausearch