SELinux et AppArmor 22 min de lecture

MAC, modes et resolution de blocages

MAC vs DAC

DAC (Discretionary Access Control) : permissions classiques (rwx). Le proprietaire decide.

MAC (Mandatory Access Control) : le systeme impose des regles supplementaires. Meme root peut etre bloque.

SELinux (RHEL/Fedora)

getenforce                     # Voir le mode
sudo setenforce 0              # Permissive (log sans bloquer)
sudo setenforce 1              # Enforcing (bloque)
sestatus                       # Statut complet
ausearch -m AVC --start recent # Logs de blocage
setsebool -P httpd_can_network_connect on  # Boolean

AppArmor (Debian/Ubuntu)

sudo aa-status                 # Statut des profils
sudo aa-complain /usr/sbin/nginx  # Mode complain (log)
sudo aa-enforce /usr/sbin/nginx   # Mode enforce (bloque)
cat /var/log/syslog | grep apparmor  # Logs
Connectez-vous pour suivre votre progression Atelier : Diagnostiquer un blocage MAC