🛡️ SELinux en Action : Du Confinement à la Résilience Système

Dans le cadre de ma formation en cybersécurité, la sécurité des environnements Linux est devenue une priorité absolue. Aujourd'hui, je partage avec vous un retour d'expérience sur deux exercices pratiques de durcissement (hardening) via SELinux sur AlmaLinux 10.

1. Exercice 1 : Le confinement des utilisateurs (staff_u)

Le premier défi consistait à restreindre les privilèges d'un prestataire externe nommé lbaker. L'objectif ? L'empêcher d'exécuter des scripts malveillants depuis le dossier /tmp.

La stratégie mise en œuvre

Au lieu de modifier les permissions classiques (chmod), nous avons utilisé le contrôle d'accès obligatoire (MAC) de SELinux.

Assignation du rôle : Nous avons forcé l'utilisateur dans le rôle staff_u, un profil beaucoup plus restreint que l'utilisateur standard.
Le Boolean magique : Pour une protection globale, nous avons activé un interrupteur de sécurité appelé "Boolean".
Bash
sudo setsebool -P staff_exec_content off

Ce réglage interdit au rôle de lbaker d'exécuter du contenu dans tout répertoire où il possède des droits d'écriture.

2. Exercice 2 : Gestion de crise et mode TTY

L'administration système n'est jamais un long fleuve tranquille. Lors du durcissement, un blocage complet de l'interface graphique (GUI) est survenu.

Diagnostic et Résilience

Le confinement était si strict que les processus nécessaires à l'affichage du bureau étaient bloqués par SELinux. Pour reprendre la main, j'ai dû :

Basculer en mode console pur via les terminaux virtuels (Ctrl+Alt+F2).
Passer temporairement en mode Permissif (setenforce 0) pour diagnostiquer sans bloquer.
Analyser les logs de sécurité (AVC) pour identifier les refus d'accès.

3. Ce qu'il faut retenir (Leçon apprise)

Ces deux exercices démontrent que SELinux est un outil puissant mais qui demande une grande précision.

Concept Utilité

Concept	Utilité
Labels (Contextes)	Définissent l'identité sécuritaire d'un fichier (ex: `tmp_t`).
Booleans	Permettent de modifier la politique de sécurité à la volée sans redémarrer.
Ausearch	L'outil indispensable pour lire les alertes et comprendre les blocages.

Labels (Contextes)

Définissent l'identité sécuritaire d'un fichier (ex: tmp_t).

Booleans

Permettent de modifier la politique de sécurité à la volée sans redémarrer.

Ausearch

L'outil indispensable pour lire les alertes et comprendre les blocages.

Conclusion

La sécurité n'est pas un produit, c'est un processus. En maîtrisant SELinux, nous transformons une machine vulnérable en une forteresse capable de résister aux erreurs humaines et aux tentatives d'intrusion.

Vous voulez approfondir ? Consultez les rapports complets de mes manipulations techniques !

*Résumé NoteBookLM