SELinux
Qu'est-ce que SELinux ?
SELinuxSecurity-Enhanced Linux, cadre MAC developpe par la NSA, mis en oeuvre via les hooks LSM et une politique de type enforcement.
SELinux (Security-Enhanced Linux) est un cadre de controle d'acces obligatoire (MAC) base sur l'architecture Flask, developpe a l'origine par la NSA et integre au noyau Linux 2.6 en 2003. Il etiquette chaque processus, fichier, socket et objet IPC avec un contexte de securite (user:role:type:level) et applique, via les hooks LSM, une politique compilee centralement par-dessus les permissions DAC classiques. Le modele dominant combine type enforcement, controle base sur les roles et eventuellement MLS/MCS. SELinux est livre en mode enforcing par defaut dans RHEL, CentOS Stream, Fedora et Android, et est largement utilise pour confiner les conteneurs, serveurs web et demons privilegies ; sa complexite de politique reste le principal grief.
● Exemples
- 01
RHEL applique par defaut la politique targeted en mode enforcing.
- 02
Android utilise SELinux pour confiner system_server, Zygote et chaque domaine d'application.
● Questions fréquentes
Qu'est-ce que SELinux ?
Security-Enhanced Linux, cadre MAC developpe par la NSA, mis en oeuvre via les hooks LSM et une politique de type enforcement. Cette notion relève de la catégorie Cryptographie en cybersécurité.
Que signifie SELinux ?
Security-Enhanced Linux, cadre MAC developpe par la NSA, mis en oeuvre via les hooks LSM et une politique de type enforcement.
Comment fonctionne SELinux ?
SELinux (Security-Enhanced Linux) est un cadre de controle d'acces obligatoire (MAC) base sur l'architecture Flask, developpe a l'origine par la NSA et integre au noyau Linux 2.6 en 2003. Il etiquette chaque processus, fichier, socket et objet IPC avec un contexte de securite (user:role:type:level) et applique, via les hooks LSM, une politique compilee centralement par-dessus les permissions DAC classiques. Le modele dominant combine type enforcement, controle base sur les roles et eventuellement MLS/MCS. SELinux est livre en mode enforcing par defaut dans RHEL, CentOS Stream, Fedora et Android, et est largement utilise pour confiner les conteneurs, serveurs web et demons privilegies ; sa complexite de politique reste le principal grief.
Comment se défendre contre SELinux ?
Les défenses contre SELinux combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de SELinux ?
Noms alternatifs courants : Security-Enhanced Linux, NSA SELinux.
● Termes liés
- cryptography№ 053
AppArmor
Systeme de controle d'acces obligatoire base sur les chemins pour Linux, utilise par Ubuntu et SUSE comme alternative plus simple a SELinux pour confiner les programmes.
- cryptography№ 979
seccomp
Fonctionnalite du noyau Linux qui restreint les appels systeme autorises a un processus ; le mode moderne seccomp-BPF/eBPF offre des filtres fins par syscall.
- identity-access№ 652
Contrôle d'accès obligatoire (MAC)
Modèle de contrôle d'accès dans lequel une politique centrale — et non le propriétaire de la ressource — impose les décisions à partir des classifications et habilitations des sujets et objets.
- cloud-security№ 213
Sécurité des conteneurs
Ensemble de pratiques visant à sécuriser les images de conteneur, les registres, les orchestrateurs et le runtime qui exécute les conteneurs.
- vulnerabilities№ 860
Élévation de privilèges
Catégorie de vulnérabilités permettant à un attaquant d'obtenir des droits supérieurs à ceux accordés initialement, par exemple passer d'un utilisateur standard à administrateur.
● Voir aussi
- № 615Capabilities Linux
- № 120BPF LSM