🛡️ SELinux en Action : Du Confinement Ă  la RĂ©silience Système




 Dans le cadre de ma formation en cybersĂ©curitĂ©, la sĂ©curitĂ© des environnements Linux est devenue une prioritĂ© absolue. Aujourd'hui, je partage avec vous un retour d'expĂ©rience sur deux exercices pratiques de durcissement (hardening) via SELinux sur AlmaLinux 10.

1. Exercice 1 : Le confinement des utilisateurs (staff_u)

Le premier défi consistait à restreindre les privilèges d'un prestataire externe nommé lbaker. L'objectif ? L'empêcher d'exécuter des scripts malveillants depuis le dossier /tmp.





La stratégie mise en œuvre

Au lieu de modifier les permissions classiques (chmod), nous avons utilisé le contrôle d'accès obligatoire (MAC) de SELinux.

  • Assignation du rĂ´le : Nous avons forcĂ© l'utilisateur dans le rĂ´le staff_u, un profil beaucoup plus restreint que l'utilisateur standard.

  • Le Boolean magique : Pour une protection globale, nous avons activĂ© un interrupteur de sĂ©curitĂ© appelĂ© "Boolean".

    Bash
    sudo setsebool -P staff_exec_content off

Ce réglage interdit au rôle de lbaker d'exécuter du contenu dans tout répertoire où il possède des droits d'écriture.


2. Exercice 2 : Gestion de crise et mode TTY

L'administration système n'est jamais un long fleuve tranquille. Lors du durcissement, un blocage complet de l'interface graphique (GUI) est survenu.

Diagnostic et RĂ©silience

Le confinement était si strict que les processus nécessaires à l'affichage du bureau étaient bloqués par SELinux. Pour reprendre la main, j'ai dû :

  1. Basculer en mode console pur via les terminaux virtuels (Ctrl+Alt+F2).

  2. Passer temporairement en mode Permissif (setenforce 0) pour diagnostiquer sans bloquer.

  3. Analyser les logs de sécurité (AVC) pour identifier les refus d'accès.


3. Ce qu'il faut retenir (Leçon apprise)

Ces deux exercices démontrent que SELinux est un outil puissant mais qui demande une grande précision.

ConceptUtilité
Labels (Contextes)

Définissent l'identité sécuritaire d'un fichier (ex: tmp_t).

Booleans

Permettent de modifier la politique de sécurité à la volée sans redémarrer.

Ausearch

L'outil indispensable pour lire les alertes et comprendre les blocages.

Conclusion

La sécurité n'est pas un produit, c'est un processus. En maîtrisant SELinux, nous transformons une machine vulnérable en une forteresse capable de résister aux erreurs humaines et aux tentatives d'intrusion.


Vous voulez approfondir ? Consultez les rapports complets de mes manipulations techniques !

*Résumé NoteBookLM


Commentaires

Enregistrer un commentaire

Posts les plus consultés de ce blog

🎵 OnlyAudio : un lecteur audio multiplateforme avec tĂ©lĂ©commande Android — un projet open‑source pensĂ© pour la simplicitĂ©

Image
OnlyAudio : un lecteur audio multiplateforme avec tĂ©lĂ©commande Android OnlyAudio est un lecteur audio moderne, lĂ©ger et compatible Windows, macOS et Linux. Il se distingue par une fonctionnalitĂ© rare : une tĂ©lĂ©commande Android permettant de contrĂ´ler la lecture Ă  distance via le rĂ©seau local. Pourquoi j’ai crĂ©Ă© OnlyAudio ? Je voulais un lecteur audio simple, rapide, agrĂ©able et surtout pilotable depuis un smartphone . L OnlyAudio Desktop : un lecteur audio moderne Lecture fluide (MP3, FLAC, WAV, OGG, AAC, M4A) Affichage complet des mĂ©tadonnĂ©es Playlist avec shuffle & repeat Barre de progression avec seek prĂ©cis ContrĂ´le du volume Mode plein Ă©cran Interface sombre Ă©lĂ©gante Dual‑player pre‑buffering pour un changement de piste instantanĂ© Installateur Windows avec mise Ă  jour automatique Installation Windows : installeur .exe macOS : archive .zip Linux : AppImage TĂ©lĂ©commande Android : contrĂ´ler la musique depuis son canapĂ© L’...
Lire la suite

🚀 De VMware à WSL2 : Comment j'ai transformé mon PC en station de hacking pro

Image
Après des semaines Ă  lutter contre la lenteur de VMware, j'ai dĂ©cidĂ© de tout changer. Voici le rĂ©cit de ma migration vers **WSL2** et comment ce nouveau setup m'a permis de "poutrer" un lab d'escalade de privilèges en un temps record. ## đź›  Pourquoi j'ai tuĂ© ma machine virtuelle (VM) ? Soyons honnĂŞtes : VMware, c'est lourd. Entre la RAM monopolisĂ©e et les bugs d'affichage, mon workflow Ă©tait cassĂ©.  En passant sur **WSL2**, j'ai rĂ©cupĂ©rĂ© : - Une intĂ©gration native avec Windows. - Des performances CPU/RAM dynamiques. - Un terminal ultra-rapide. ## 🏗 La configuration "Guerre Froide" Pour ĂŞtre prĂŞt, j'ai installĂ© la panoplie complète directement dans mon terminal Ubuntu : 1. **WireGuard** pour le tunnel VPN. 2. **Docker & Compose** pour lancer mes labs localement. 3. **Jedha-CLI** pour piloter le tout. *Plus de fenĂŞtres superflues. Juste moi et le shell.* ## 🕵️‍♂️ Étude de cas : La faille SUID Pour tester mon nouveau jouet, j'a...
Lire la suite