En 2000, la NSA (National Security Agency) met SELinux à disposition de la communauté, comme preuve du concept (poc : proof of concept) de contrôle d’accès obligatoire (MAC : mandatory access control) dans une architecture FLASK (Flux Advanced Security Kernel, cf. Fluke OS).

Avant de l’accepter comme partie intégrante du noyau, Linus Torvalds exige le développement d’une architecture spécifique permettant un chargement modulaire de futures autres nouvelles fonctionnalités de sécurité. C’est ainsi que naît l’API (Application Programming Interface) LSM (Linux Security Modules).

LSM est un cadre de travail (framework) pour la sécurité et fait partie intégrante du noyau Linux depuis la version 2.6. Il est intégré aux parties du noyau qui contrôlent l’accès aux fichiers, aux interfaces réseau, … Une fois porté sur l’API LSM, le code SELinux a été intégré au noyau.

La première distribution à supporter SELinux fût la Fedora Core, pilotée par Red Hat. Aujourd’hui SELinux est supporté par la grande majorité des autres distributions, parmi lesquels Gentoo et plus récemment Debian.

Pour déterminer si SELinux est activé sur un système, il faut utiliser la commande getenforce, qui — si elle est présente — renvoie le mode courant du système parmi les 3 états existants : actif (enforcing), désactivé (disabled) ou permissif (permissive). Ce dernier état ne bloque aucun accès mais journalise toutes les vérifications de la politique effectuées.

SELinux décompose le système d’exploitation en deux catégories : les sujets et les objets.

Les sujets sont les processus et autres éléments « actifs », comme les utilisateurs ou les applications. Ils peuvent être de confiance ou pas.

Les objets, à l’inverse, sont les fichiers, ports de connexion (sockets), tubes, interfaces et toute autre entité plus statique qu’on peut trouver au sein du système.

À chaque objet est assigné un contexte de sécurité de type définissant qui (quel sujet) peut l’utiliser et comment (pour quoi faire).

• <cible> <sujet> <objet>:<classe> { <permission1> <permission2> }
• Exemple :
  • allow named_t sbin_t:dir search
  • autoriser le sujet de type named_t sur les objets de type sbin_t de la classe dir (répertoire) à effectuer des recherches

SELinux est fondé sur ce concept, appelé renforcement du type (TE : type enforcement).

Sur chaque partie du système d’exploitation — des utilisateurs aux fichiers en passant par les ports TCP, SELinux appose une étiquette (label) définissant les politiques de sécurité qui affectent cet objet et fournit un contexte d’utilisation.

SELinux assigne automatiquement les étiquettes aux éléments du système, mais l’administrateur peut modifier celles-ci selon ses besoins, la politique s’appliquant suivant les étiquettes et non suivant les fichiers.

Une clé de SELinux est la compréhension et l’utilisation des contextes SELinux. Chaque élément du système est associé à un contexte, et ces contextes sont utilisés pour déterminer quels utilisateurs, applications et services ont accès à quels fichiers, répertoires et applications. Sans même comprendre le détail du mécanisme de création d’une politique de sécurité, la plupart des utilisateurs de SELinux peut gérer ses système est utilisant et modifiant les contextes.

Il existe trois type des contextes dans SELinux. Pour visualiser les contextes d’un répertoire ou d’un fichier, il suffit d’utiliser la commande ls avec l’option longue --context ou l’option courte -Z :

[olm@olm www]$ ls -Z /var/www
drwxr-xr-x. root root system_u:object_r:httpd_sys_content_t:s0 html

NB : Ces options s’appliquent à de nombreuses autres commandes et permettent de connaître le contexte de sécurité des utilisateurs (id, …), des processus (ps, ss, lsof, …).

Dans le résultat fourni par la commande, c’est la partie suivante qu’il faut examiner : system_u:object_r:httpd_sys_content_t.

On y trouve les trois contextes du répertoire :

• system_u est le contexte utilisateur,
• object_r est le contexte de rôle utilisé seulement dans le cadre d’une application stricte,
• httpd_sys_script_exec_t= est le contexte de type.

Même si activée la politique SELinux peut ne pas concerner l’ensemble du fonctionnement du système d’exploitation. Le périmètre d’application de la politique SELinux peut être :

• ciblé (targeted), appliquée sur un sous-ensemble de services, le reste du système n’étant pas confiné (unconfined)
• strict, l’ensemble du fonctionnement du système étant soumis au vérification SELinux.

• Architecture Flask :
  • Règles de gestion de la politique de sécurité
    • certaines règles sont obligatoires
    • d’autres règles sont conditionnelles et gérées via des booléens
    • des règles additionnelles peuvent être chargées sous forme de modules (semodule)
• LSM :
  1. Le DAC est toujours prioritaire
  2. Grâce aux crochets (hooks) implantés dans le code, le noyau appelle le LSM
  3. Un vecteur d’accès est construit (AV : access vector)
  4. le cache des vecteurs d’accès (AVC : access vector cache) est consulté
  5. En l’absence d’une réponse dans le cache le serveur de sécurité est appelé
  6. Les décisions sont journalisées (si c’est possible techniquement et autorisé par la politique)
  7. la réponse est transmise au noyau (autorisation ou interdiction d’accès)
• Journalisation d’audit

• Activation (setenforce)
• Portée
• Booléens : getsebool, setsebool
• Fichiers et répertoires de configuration
  • /etc/selinux
  • /etc/selinux/<politique>
  • /sys/fs/selinux
  • /usr/share/selinux
  • /var/log/audit/audit.log
• Étiquetage des fichiers, ré-étiquetage : chcon, restorecon, semanage fcontext, /.autorelabel, …

• Chargement du noyau (pas encore de SELinux)
• Montage de /sys/fs/selinux
• Vérification de la version de la politique
• Chargement de la politique
• init

type=AVC msg=audit(1133209488.535:344): avc: denied { getattr } for pid=4198 comm="httpd" name="toto.html" dev=dm-0 ino=3438923 scontext=root:system_r:httpd_t tcontext=system_u:object_r:httpd_private_content_t tclass=file

• Explications :
  • type=AVC : Cache de vecteurs d’accès
  • msg=audit(1133209488.535:344) : identifiant du message
  • avc: denied { getattr } : résultat, obtention d’un attribut refusé
  • Sujet :
    • pid=4198 : identifiant du processus sujet concerné
    • comm=« httpd » : commande correspondant au processus
    • scontext=root:system_r:httpd_t : contexte de sécurité du sujet
  • Objet :
    • name=« toto.html » : nom du fichier objet concerné
    • dev=dm-0 : périphérique où est stocké l’objet
    • ino=3438923 : numéro d’inode de l’objet
    • tcontext=system_u:object_r:httpd_private_content_t : contexte de sécurité de l’objet
    • tclass=file : classe d’objet
• Rechercher dans les journaux d’audit : ausearch -m AVC
• Transformer les messages en module de politique : audit2allow
• Certains refus peuvent ne pas être journalisés (dontaudit)
• Autres outils liés au module d’audit : aureport, auditctl, audit2why

• Site de l’un des principaux développeurs (inclus les modalités d’accès à une machine et d’autres liens choisis)
• Un livre électronique gratuit sur SELinux
• La documentation Red Hat
• Le wiki du projet