[ << ] [ < ] [ Sommaire ] [ > ] [ >> ]

2. Démarrer un noyau SELinux

Table des matières :

Installer un noyau SELinux
Compiler le noyau avec options SELinux
Mise à jour du fstab
Configurer Baselayout
Redémarrage

2.a. Installer un noyau SELinux

Il est temps d'installer un noyau contenant SELinux. Un noyau 2.6 est requis, nous vous recommandons le paquet hardened-sources.

Attention : Les noyaux 2.6.14 et 2.6.15 ne doivent pas être utilisés par les utilisateurs de XFS car des bogues affectent le support XFS de SELinux.

Exemple de code 1.1 : Installer un noyau contenant SELinux

(Ce doit forcément être un noyau 2.6.)
# emerge hardened-sources

2.b. Compiler le noyau avec options SELinux

Le noyau doit être compilé avec le support des modules de sécurité, de SELinux, de devpts et des étiquettes de sécurité des attributs étendus des systèmes de fichiers. Référez-vous au guide principal d'installation pour les autres options du noyau.

Exemple de code 2.1 : Location des options requises dans menuconfig

Dans « Code maturity level options »
[*] Prompt for development and/or incomplete code/drivers

Dans « General setup »
[*] Auditing support
[*]   Enable system-call auditing support

Dans « File systems »
<*> Second extended fs support (pour ext2)
[*]   Ext2 extended attributes
[ ]     Ext2 POSIX Access Control Lists
[*]     Ext2 Security Labels
<*> Ext3 journalling file system support (pour ext3)
[*]   Ext3 extended attributes
[ ]     Ext3 POSIX Access Control Lists
[*]     Ext3 Security labels
<*> JFS filesystem support (pour JFS)
[ ]   JFS POSIX Access Control Lists
[*]   JFS Security Labels
[ ]   JFS debugging
[ ]   JFS statistics
<*> XFS filesystem support (pour XFS)
[ ]   Realtime support (EXPERIMENTAL)
[ ]   Quota support
[ ]   ACL support
[*]   Security Labels

Dans « Pseudo filesystems » (via « File systems »)
[ ] /dev file system support (EXPERIMENTAL)
[*]   /dev/pts Extended Attributes
[*]     /dev/pts Security Labels    
[*] Virtual memory file system support (former shm fs)
[*]   tmpfs Extended Attributes
[*]     tmpfs Security Labels

Dans « Security options »
[*] Enable different security models
[*]   Socket and Networking Security Hooks
<*>   Default Linux Capabilities
[*] NSA SELinux Support
[ ]   NSA SELinux boot parameter
[ ]   NSA SELinux runtime disable
[*]   NSA SELinux Development Support
[ ]   NSA SELinux AVC Statistics
(1)   NSA SELinux checkreqprot default value
[ ]   NSA SELinux enable new secmark network controls by default
[ ]   NSA SELinux maximum supported policy format version

Note : Les options disponibles peuvent très légèrement varier selon la version du noyau que vous utilisez. Les autres options des attributs étendus devraient être désactivées.

Les étiquettes de sécurité des attributs étendus doivent être activées pour devpts et pour tous vos types de systèmes de fichiers. Devfs n'est pas utilisable avec SELinux et doit donc être désactivé. Certaines options n'existent pas dans les noyaux 2.6 plus vieux, telles que le support de l'audit ou « runtime disable ». Dans les noyaux plus récents, le support des attributs étendus pour proc et tmps sont activés par défaut et l'option n'apparait pas dans le menuconfig.

Attention : N'activez pas l'option « SELinux MLS Policy » si elle est disponible, car elle n'est pas supportée et empêchera votre machine de démarrer.

Maintenant, compilez et installez votre noyau et ses modules. Ne redémarrez pas encore le système.

2.c. Mise à jour du fstab

SELinuxFS doit également être monté au démarrage. Ajoutez cette ligne à votre /etc/fstab :

Exemple de code 3.1 : Activation du selinuxfs au démarrage

none	/selinux	selinuxfs	defaults	0	0

2.d. Configurer Baselayout

SELinux ne supporte pas Devfs. Vous devez configurer Baselayout afin qu'il utilise soit une arborescence statique de fichiers de périphériques, soit udev. Si vous souhaitez utiliser udev, l'archivage des fichiers périphériques doit être désactivé. Éditez le fichier /etc/conf.d/rc. Mettez RC_DEVICES à static ou udev et RC_DEVICE_TARBALL à no. Si vous avez des fichiers de périphériques personnalisés, static est suggéré, sinon udev.

Exemple de code 4.1 : Configuration des scripts d'initialisation

# Use this variable to control the /dev management behavior.
#  auto   - let the scripts figure out what's best at boot
#  devfs  - use devfs (requires sys-fs/devfsd)
#  udev   - use udev (requires sys-fs/udev)
#  static - let the user manage /dev

RC_DEVICES="udev"

# UDEV OPTION:
# Set to "yes" if you want to save /dev to a tarball on shutdown
# and restore it on startup.  This is useful if you have a lot of
# custom device nodes that udev does not handle/know about.

RC_DEVICE_TARBALL="no"

2.e. Redémarrage

Nous devons créer quelques répertoires avant de redémarrer.

Exemple de code 5.1 : Créer les répertoires nécessaires

# mkdir /selinux
# mkdir /sys

Maintenant, redémarrez.

[ << ] [ < ] [ Sommaire ] [ > ] [ >> ]

Ce document est protégé par la licence Creative Commons : Paternité - Partage des Conditions Initiales à l'Identique 2.5.

Imprimer

Voir tout

Dernière mise à jour le 22 juillet 2007

Résumé : Installer et démarrer un noyau SELinux.

Chris PeBenito
Author

Camille Huot
Traducteur

Donate to support our development efforts.