Selinux: Module de sécurité du noyau Linux
Security-Enhanced Linux, abrégé SELinux, est un Linux security module (LSM), qui permet de définir une politique de contrôle d'accès obligatoire aux éléments d'un système issu de Linux.
| Développé par | Red Hat |
|---|---|
| Dernière version | 3.6 () |
| Version avancée | 2.9-rc2 () |
| Dépôt | github.com/SELinuxProject/selinux |
| Écrit en | C |
| Système d'exploitation | GNU/Linux |
| Type | Module de sécurité du noyau Linux (d) |
| Licence | Licence publique générale GNU |
| Site web | selinuxproject.org |
Son architecture dissocie l'application de la politique d'accès et sa définition. Il permet notamment de classer les applications d'un système en différents groupes, avec des niveaux d'accès plus fins. Il permet aussi d'attribuer un niveau de confidentialité pour l'accès à des objets systèmes, comme des descripteurs de fichiers, selon un modèle de sécurité multiniveau (MLS pour Multi level Security). SELinux utilise le modèle Bell LaPadula complété par le mécanisme Type enforcement (en) de contrôle de l'intégrité, développé par SCC (en). Il s'agit d'un logiciel libre, certaines parties étant sous licences GNU GPL et BSD.
Historique
La National Security Agency (ou NSA), service de renseignement des États-Unis, avait besoin de logiciels de Multi-Level Security (MLS) pour conserver ses informations secrètes. Multi-Level Security consiste à permettre à des données avec différents niveaux de classification de coexister sur la même machine.
Stephen Smalley (en), afin de réduire les coûts, et de donner accès à ce type de logiciel au secteur privé (banques, services de santé, etc.) pour se protéger des pirates informatiques, a décidé de placer ce logiciel sous licence open source.[évasif] Il est parti des prototypes de recherche (prototypes DTMach, DTOS, projet FLASK) réalisés avec SCC (en) et l'université d'Utah aux États-Unis et les a publiés sous licence GPL. L'objectif est la formation d'une communauté de chercheurs, d'utilisateurs et d'entreprises pour améliorer le logiciel et fournir des solutions avancées.
Utilisation
En pratique, la base de l'innovation est de définir des attributs étendus dans le système de fichiers. En plus de la notion de « droits de lecture, écriture, exécution » pour un usager donné, SELinux définit pour chaque fichier ou processus :
- Un usager virtuel (ou collection de rôles) ;
- Un rôle ;
- Un contexte de sécurité.
Les commandes « système » sont étendues pour pouvoir manipuler ces objets et définir des politiques (règles d'accès), et des statuts (niveau de confidentialité). Par exemple la commande « ls -Z » fait apparaître lesdits attributs étendus, soit :
ls -Z /etc/passwd
donne le résultat suivant:
-rw-r--r-- root root system_u:object_r:etc_t /etc/passwd
Une distribution Linux peut être livrée avec des politiques prédéfinies pour la totalité du système (mode strict), ou une partie des services / applications (mode ciblé ou targeted). Le réglage d'un certain nombre de variables booléennes prédéfinies permet de personnaliser le comportement des applications correspondantes.
Notes et références
Voir aussi
Articles connexes
- Durcissement (informatique)
- Sécurité des systèmes d'information
- AppArmor
- grsecurity
- Systrace
- Access Control List
- Contrôle d'accès obligatoire
- Contrôle d'accès à base de rôles
- Contrôle d'accès discrétionnaire
- Simplified Mandatory Access Control Kernel
- National Security Agency
Liens externes
- (fr) « Wiki SELinux » (Fedora)
- (en) « HowTos SELinux » (CentOS)
- (en) « Security-Enhanced Linux » (NSA)
- (en) « SELinux Project » (GitHub)
- (fr) « Désactiver SELinux sous les distributions Linux »
This article uses material from the Wikipedia Français article SELinux, which is released under the Creative Commons Attribution-ShareAlike 3.0 license ("CC BY-SA 3.0"); additional terms may apply (view authors). Le contenu est disponible sous licence CC BY-SA 4.0 sauf mention contraire. Images, videos and audio are available under their respective licenses.
®Wikipedia is a registered trademark of the Wiki Foundation, Inc. Wiki Français (DUHOCTRUNGQUOC.VN) is an independent company and has no affiliation with Wiki Foundation.