Sécuriser un serveur Ubuntu Linux avec SELinux

SELinux est un système de sécurité robuste et personnalisable qui est livré par défaut sur de nombreux systèmes d'exploitation Linux , tels que Fedora et RHEL. Si vous souhaitez ajouter une sécurité supplémentaire à votre serveur Ubuntu, suivez-nous pendant que nous vous montrons comment sécuriser votre serveur Ubuntu Linux avec SELinux.

Comment désactiver AppArmor sur Ubuntu

Ubuntu utilise AppArmor par défaut. C'est un excellent système qui fait à peu près ce que SELinux prétend faire. Cependant, si vous souhaitez utiliser SELinux à la place, vous devrez désactiver AppArmor. Pour désactiver AppArmor sur Ubuntu Server, procédez comme suit.

Tout d'abord, SSH dans votre système de serveur Ubuntu (ou asseyez-vous physiquement et utilisez le terminal). Une fois que vous êtes connecté au terminal, utilisez la commande systemctl disable pour désactiver AppArmor de votre système Ubuntu.

sudo systemctl désactiver apparmor --maintenant

Après avoir exécuté cette commande, vous pouvez utiliser la commande systemctl status pour vérifier si AppArmor est bien désactivé. Si ce n'est pas le cas, essayez de redémarrer et d'exécuter à nouveau la commande systemctl disable .

affichage d'état systemctl

Comment installer SELinux sur Ubuntu

Avant d'utiliser SELinux sur votre système Ubuntu, vous devez l'installer. L'installation de SELinux sur Ubuntu nécessite quelques packages, en particulier les packages «policycoreutils», «selinux-utils» et «selinux-basics». Pour installer ces packages, utilisez la commande suivante :

sudo apt install policycoreutils selinux-utils selinux-basics

Après avoir installé les packages ci-dessus, SELinux sera installé sur votre système Ubuntu. Cependant, vous ne pourrez pas profiter pleinement de SELinux sur votre serveur Ubuntu tant qu'il ne sera pas activé.

Pour activer SELinux sur votre système Ubuntu Server, utilisez la commande selinux-activate . Cette commande modifiera le chargeur de démarrage Grub d'Ubuntu Server pour qu'il fonctionne avec SELinux et l'activera au démarrage.

sudo selinux-activer

Avec SELinux activé, activez l'application de SELinux à l'aide de la commande selinux-config-enforcing .

sudo selinux-config-enforcing

Après l'activation, vous devez redémarrer le serveur Ubuntu. Utilisez la commande sudo reboot pour redémarrer votre système.

redémarrage sudo

Lorsque le système a fini de redémarrer, reconnectez-vous à votre serveur à l'aide de votre compte d'utilisateur.

Comment configurer SELinux

Bien que l'application de SELinux soit activée, vous devez toujours la configurer en fonction de vos besoins. Il existe des dizaines et des dizaines de politiques SELinux que vous pouvez activer pour une meilleure sécurité sur le serveur Ubuntu.

Pour commencer, répertoriez les politiques SELinux disponibles que votre système a désactivées. Vous pouvez répertorier ces politiques SELinux avec la commande semanage boolean -l .

semanage booléen -l

Parcourez les politiques que vous souhaitez activer. Par exemple, si vous souhaitez activer "use_nfs_home_dirs" dans vos politiques d'application SELinux, vous pouvez l'activer en exécutant la commande suivante.

Notez que "1" équivaut à activer quelque chose dans SELinux avec la commande setsebool .

sudo setsebool -P use_nfs_home_dirs 1

Si vous souhaitez désactiver "use_nfs_home_dirs" dans vos politiques d'application SELinux, vous pouvez utiliser la commande setsebool mais remplacez le "1" par un "0". Le « 0 » équivaut à écrire « désactiver ».

sudo setsebool -P use_nfs_home_dirs 0

Comment désactiver les valeurs inutiles avec SELinux

Il existe plusieurs valeurs SELinux activées dont vous n'avez peut-être pas besoin. La désactivation de ces valeurs dans SELinux sur votre système Ubuntu augmentera considérablement votre sécurité. Pour afficher les valeurs SELinux activées, exécutez la commande getsebool -a suivante dans un terminal.

sudo getebool-a | grep -E '\b\w+\b\s+-->\s+sur\b'

La commande ci-dessus affichera chaque valeur activée. Examinez ces valeurs activées et déterminez si vous souhaitez les laisser activées. Par exemple, si vous n'utilisez pas de serveur Squid, vous n'aurez peut-être pas besoin d'activer "squid_use_pinger", etc.

Une fois que vous avez déterminé la ou les valeurs que vous souhaitez désactiver, vous pouvez exécuter la commande setsebool suivante. Cette commande changera la politique d'activée à désactivée dans votre configuration SELinux.

sudo setsebool -P VALUE_NAME 0

Réactiver AppArmor sur le serveur Ubuntu

Si vous avez décidé de ne pas utiliser SELinux sur Ubuntu Server, voici comment revenir à AppArmor. Tout d'abord, ouvrez un terminal et utilisez la commande "sed" suivante pour désactiver SELinux dans son fichier de configuration.

sudo sed -i 's/^SELINUX=.*/SELINUX=disabled/' /etc/selinux/config

Après avoir ajouté "disabled" au fichier de configuration SELinux, vous devez redémarrer. Lorsque vous redémarrez, SELinux ne s'exécutera pas au démarrage.

redémarrage sudo

Lors de la reconnexion, vous pouvez réactiver AppArmor sur Ubuntu en utilisant la commande systemctl enable .

sudo systemctl activer apparmor

Après avoir activé le service AppArmor, démarrez-le sur votre système Ubuntu en exécutant la commande systemctl start suivante .

sudo systemctl start apparmor

Vous pouvez vérifier si AppArmor s'exécute correctement sur votre système Ubuntu en utilisant la commande systemctl status .

affichage d'état systemctl