Activer SELinux sous Debian Jessie svp ?

Support Debian
#1

Bonjour, je cherche à activer et à paramétrer SELinux sous Debian Jessie, je pars de zéro, je ne sais pas vers quoi me diriger, ni comment faire les choses dans l’ordre avec SELinux svp, merci de tous conseils.

#2

bonjour.

Une petite recherche vous aurait déjà permis de débroussailler la question

http://doc.fedora-fr.org/wiki/SELinux

http://debian-handbook.info/browse/fr-FR/stable/sect.selinux.html

https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Security-Enhanced_Linux/sect-Security-Enhanced_Linux-Working_with_SELinux-Enabling_and_Disabling_SELinux.html

http://wiki.centos.org/HowTos/SELinux

http://selinuxproject.org/

https://wiki.debian.org/SELinux

#3

Bonjour, j’ai fait ces recherches avant de venir ici pensez-vous. Et je me suis heurté au premier problème, je vous explique :

Au lieu que j’ai repris parmis les liens que vous m’avez donné, ils disent ceci :

La commande aptitude install selinux-basics selinux-policy-default installera automatiquement les paquets nécessaires pour configurer un système SELinux.

Voilà je me suis arrêté là, sous Debian Jessie je n’ai pas le paquet appelé selinux-policy-default dans Synaptic, savez-vous s’il a été remplacé par un autre svp ?

Je n’ai donc pas pu continuer à suivre ce mode d’emploi, merci de votre aide.

#4

concernant debian

https://wiki.debian.org/SELinux

https://wiki.debian.org/SELinux/Setup#Introduction_to_SELinux_on_Debian

#5

Je ne comprends rien à l’anglais et pour traduire ce genre de pages c’est l’horreur, quelle machance que la communauté anglophone-francophone ne s’y soit pas déjà attelée, mais enfin, ça doit être difficile pour eux aussi, décemment je ne peux pas poursuivre ma demande en l’état des choses, ce que je cherche à faire là est trop complexe.

Encore merci avram pour ton temps, le poste est en suspend.(si je peux dire ainsi ?)

#6

Bonsoir,

A voir que tu bute déjà sur la simple activation de selinux, je n’imagine même pas ce qu’il en seras de la configuration qui est relativement hard :confused:
Je te conseille plutôt de t’ orienter vers apparmor qui est une alternative à selinux et qui est bien plus simple d’utilisation.

Enfin c’est mon avis.

#7

[quote=“Cybab”]Bonsoir,

A voir que tu bute déjà sur la simple activation de selinux, je n’imagine même pas ce qu’il en seras de la configuration qui est relativement hard :confused: [/quote]

Hello Cybab, tu as compris clairement ce que je me suis dit à 21heures aujourd’hui :wink:

[quote=“Cybab”]Je te conseille plutôt de t’ orienter vers apparmor qui est une alternative à selinux et qui est bien plus simple d’utilisation.

Enfin c’est mon avis.[/quote]

Apparmor est déjà en route oui, mais pas seul, je l’ai renforcé avec l’activation du ptracescope via le module YAMA du noyau, car le module Yama peut être en combinaison avec apparmor (ou d’autres comme SELinux) et renforcer encore la sécurité sous Debian.

Tu connais Yama ?

Ils en parlent ici (mais ça date de 2012 et depuis, ils se sont mis d’accord et bien sûr, on peut désormais activer Yama via le ptracescope et ainsi renforcer la sécurité sous Dbian (ou Ubuntu d’ailleurs, ainsi que Trisquel, et sûrement d’autres), mais enfin, l’évolution, est que deux “modules” de sécurité peuvent maintenant cohabiter ensemble, et c’est ce que j’ai fait ici : Apparmor + Yama, et par la force des choses, je vais en rester là.

La page en français des échanges des gars (2012) : linuxfr.org/news/sortie-officiel … 3-4#toc_12

Les échanges récents (en anglais) : lists.ubuntu.com/archives/kerne … 38441.html

Un petit mot de mise en route (sur le wiki ubuntu) : wiki.ubuntu.com/SecurityTeam/Ro … Protection

La page sur Kernel.org : kernel.org/doc/Documentatio … y/Yama.txt

Ce que cette commande donne-ci (ici) :

[code]monpc@monpc:~$ egrep -i “security” /boot/config-3.16.0-4-amd64
CONFIG_IP_NF_SECURITY=m
CONFIG_IP6_NF_SECURITY=m
CONFIG_EXT4_FS_SECURITY=y
CONFIG_REISERFS_FS_SECURITY=y
CONFIG_JFS_SECURITY=y
CONFIG_JFFS2_FS_SECURITY=y
CONFIG_F2FS_FS_SECURITY=y
CONFIG_NFS_V4_SECURITY_LABEL=y

CONFIG_NFSD_V4_SECURITY_LABEL is not set

CONFIG_9P_FS_SECURITY=y

Security options

CONFIG_SECURITY_DMESG_RESTRICT is not set

CONFIG_SECURITY=y
CONFIG_SECURITYFS=y
CONFIG_SECURITY_NETWORK=y
CONFIG_SECURITY_NETWORK_XFRM=y
CONFIG_SECURITY_PATH=y
CONFIG_SECURITY_SELINUX=y

CONFIG_SECURITY_SELINUX_BOOTPARAM is not set

CONFIG_SECURITY_SELINUX_DISABLE is not set

CONFIG_SECURITY_SELINUX_DEVELOP=y
CONFIG_SECURITY_SELINUX_AVC_STATS=y
CONFIG_SECURITY_SELINUX_CHECKREQPROT_VALUE=1

CONFIG_SECURITY_SELINUX_POLICYDB_VERSION_MAX is not set

CONFIG_SECURITY_SMACK is not set

CONFIG_SECURITY_TOMOYO=y
CONFIG_SECURITY_TOMOYO_MAX_ACCEPT_ENTRY=2048
CONFIG_SECURITY_TOMOYO_MAX_AUDIT_LOG=1024

CONFIG_SECURITY_TOMOYO_OMIT_USERSPACE_LOADER is not set

CONFIG_SECURITY_TOMOYO_POLICY_LOADER="/sbin/tomoyo-init"
CONFIG_SECURITY_TOMOYO_ACTIVATION_TRIGGER="/sbin/init"
CONFIG_SECURITY_APPARMOR=y
CONFIG_SECURITY_APPARMOR_BOOTPARAM_VALUE=1
CONFIG_SECURITY_APPARMOR_HASH=y
CONFIG_SECURITY_YAMA=y
CONFIG_SECURITY_YAMA_STACKED=y

CONFIG_DEFAULT_SECURITY_SELINUX is not set

CONFIG_DEFAULT_SECURITY_TOMOYO is not set

CONFIG_DEFAULT_SECURITY_APPARMOR is not set

CONFIG_DEFAULT_SECURITY_YAMA is not set

CONFIG_DEFAULT_SECURITY_DAC=y
CONFIG_DEFAULT_SECURITY=""
monpc@monpc:~$ [/code]

J’en sors les lignes intéressantes à la fin :

CONFIG_SECURITY_APPARMOR=y
CONFIG_SECURITY_APPARMOR_BOOTPARAM_VALUE=1
CONFIG_SECURITY_APPARMOR_HASH=y
CONFIG_SECURITY_YAMA=y
CONFIG_SECURITY_YAMA_STACKED=y

Il est important d’en apprendre qu’Apparmor est en route en même temps que YAMA, et que YAMA est en mode STACKED (donc “coller” à Apparmor comme un poisson pilote :wink: et bien sûr tu l’auras compris, donnant un bon coup de main).

Voilou, encore merci à toi.

#8

SeLinux n’oubliez pas que c’est surtout conçu pour les distributions dans la famille Red Hat (Red Hat Entreprise LInux, Fedora, CentOS…). Y’a pas besoin de ça sous Debian pour avoir un système sécurisé !

#9

Hello,

intéressant, tu peux développer stp ?

Citer tes sources ? Donner des exemples de ce qu’à besoin Debian pour être sécurisée stp ?

Merci :049

#10

[quote=“SylvainMuller”]

Il est important d’en apprendre qu’Apparmor est en route en même temps que YAMA, et que YAMA est en mode STACKED (donc “coller” à Apparmor comme un poisson pilote :wink: et bien sûr tu l’auras compris, donnant un bon coup de main).

Voilou, encore merci à toi.[/quote]

Sont activé par defaut depuis le kernel 3.4 :

CONFIG_SECURITY_YAMA=y
CONFIG_SECURITY_YAMA_STACKED=y

Par defaut la configuration de yama n’est pas opérationnel, pour la rendre active tu dois ajouter à /etc/sysctl.conf :

et recharger sysctl avec sysctl -p /etc/sysctl.conf

Pour vérifier si Yama est bien en mode restriction tu dois vérifier avec cette commande :

Si il te retourne 0 c’est qu’il est n’est pas actif si 1 alors il est opérationnel.

Edit : je n’avais pas fais attention que tu avais fais mention du ptrace_scope dans ton message précédent. Mon post servira à ceux qui souhaite l’activer.

@+

#11

[quote=“Cybab”]Par defaut la configuration de yama n’est pas opérationnelle, pour la rendre active tu dois ajouter à /etc/sysctl.conf :

et recharger sysctl avec sysctl -p /etc/sysctl.conf[/quote]

Hello Cybab,

donc oui on sait comment activer Yama (et les lecteurs attentifs de mon post précédents aussi :wink: ) et donc si j’ai donné ce lien ci au dessus : linuxfr.org/news/sortie-officiel … 3-4#toc_12 c’est parce qu’ils expliquent dès le début ce que tu nous expliques ici pour activer le ptracescope, donc je renseignai déjà le lecteur sur comment activer le ptracescope. Seulement il faut lire un peu (mais j’avai donné ce lien car il est en français et que c’est expliqué en français comment activer Yama via le ptracescope et le sysctl du coup :wink: ).

[quote=“Cybab”]Edit : je n’avais pas fais attention que tu avais fais mention du ptrace_scope dans ton message précédent.Mon post servira à ceux qui souhaite l’activer.

@+[/quote]

Oui donc pas seulement comme tu viens de le voir, j’ai donné aussi les liens suivant pour ceux qui voulaient savoir depuis quelles versions du noyau le module Yama avait été autorisé à être en mode STACKED (c’est à dire depuis quand il pouvait être lancé en même temps que Apparmor ou SELinux, pour venir les épauler), donc ça on le voit à ce lien là : wiki.ubuntu.com/SecurityTeam/Ro … Protection

Et aussi j’ai donné la page directe sur Kernel.org, pour que ceux qui ne veulent pas s’arrêter aux deux réglages que tu nous donnes ici (soit 0, soit 1 dans tes exemples), mais qui doivent en utiliser une ou l’autre des deux autres valeurs (soit 2 et 3) pour leur utilité personnelle, là c’est à ce lien là que l’on apprend que Yama peut avoir en plus des valeurs 0 et 1, les valeurs 2 et 3 (et on a le mode d’emploi de Yama accéssoirement :wink: ) : kernel.org/doc/Documentatio … y/Yama.txt

En même temps si personne ne lit les liens que je donne, il va y avoir beaucoup de monde qui va passer dire comment faire pour activer le module Yama, et quelle valeur il peut avoir en plus de 0 ou 1 :079

Cela dit, ton mode d’emploi de comment éditer le fichier sysctl.conf est très bien pour les débutants, et il est clair et précis, ce qui donnera les mêmes chances à chacun pour activer Yama ou pas, et c’est aussi sûrement bien plus digeste que l’analyse des liens que j’avai donné au dessus(même le premier lien en français qui explique qu’il faut donner une valeur au sysctl pour activer Yama), donc merci pour eux :wink: