Un système Linux à jour est très sûr, avec une protection intégrée contre les attaques de virus et d'autres fonctions de sécurité essentielles. Cependant, dans le monde actuel de l'accès à distance et du commerce électronique international, les enjeux sont élevés, et certains DSI et gestionnaires de réseaux veulent savoir s'ils peuvent rendre leurs systèmes Linux encore plus sûrs. Une autre option pour ajouter une couche de sécurité supplémentaire à votre environnement Linux consiste à intégrer le contrôle d'accès obligatoire (MAC).
Le contrôle d'accès obligatoire est un concept issu des systèmes de sécurité à plusieurs niveaux utilisés pour les secrets militaires et autres informations privilégiées. La meilleure façon de comprendre le MAC est de voir en quoi il diffère des systèmes conventionnels de contrôle d'accès discrétionnaire (DAC) basés sur Unix et utilisés dans les environnements Linux prêts à l'emploi.
Un système Linux traditionnel attribue des privilèges de lecture/écriture/exécution à une ressource et permet au propriétaire ou à l'administrateur d'accorder l'accès aux utilisateurs et aux groupes. Un utilisateur superuser (souvent appelé "root") a un contrôle total sur le système et peut accéder ou accorder l'accès à n'importe quelle ressource. Si tout le monde se comporte bien et que personne ne commet d'erreur, le système est souple, facile à comprendre et très sûr. Mais que se passe-t-il si le propriétaire d'une ressource donne par inadvertance l'accès à quelqu'un qui ne devrait pas l'avoir ? Ou, ce qui est peut-être plus important, que se passe-t-il si le compte utilisateur est compromis et qu'un intrus exploite la flexibilité du système DAC pour élever ses privilèges ?
La présence du compte "root" tout-puissant est une autre caractéristique incompatible avec les principes de sécurité granulaire utilisés dans les organisations hautement sécurisées. Les environnements hautement sécurisés ont tendance à attribuer des rôles aux administrateurs système en fonction de responsabilités précises. Le contrôle d'accès obligatoire vous permet de créer des politiques qui accordent aux utilisateurs les privilèges minimums nécessaires et empêchent les changements et l'escalade des privilèges. Tout ce qui touche à l'informatique a un coût. Avant d'adopter un système de contrôle d'accès obligatoire, assurez-vous qu'il correspond à vos besoins. La perte de flexibilité peut entraîner des frais généraux et des complications dans les processus d'entreprise, obligeant parfois à une intervention administrative pour ce qui ne serait autrement qu'une tâche ordinaire.
Les deux outils les plus populaires pour le contrôle d'accès obligatoire sous Linux sont SELinux et AppArmor. Les distributions basées sur Red Hat telles que CentOS 7 et CentOS 8 sont préconfigurées pour SELinux. Ubuntu et openSUSE utilisent AppArmor ; cependant, les développeurs peuvent toujours désinstaller AppArmor et configurer SELinux si vous êtes plus habitué à cet outil ou si vous pensez qu'il fonctionnera mieux dans votre environnement. AppArmor et SELinux se présentent tous deux sous la forme de modules du noyau Linux et peuvent être configurés pour fonctionner sur la plupart des grands systèmes Linux, bien que le degré d'assistance technique puisse varier.
En général, AppArmor est plus facile à configurer et à utiliser. Cependant, bien qu'AppArmor soit très sûr - et bien plus sûr que de fonctionner sans cadre de contrôle d'accès obligatoire - SELinux offre un niveau de protection plus profond et plus polyvalent. AppArmor est conçu pour protéger les fichiers et les autres ressources, mais il n'offre pas de protection équivalente pour les processus. De plus, comme AppArmor référence les ressources par chemin d'accès, un intrus qui se trouve déjà sur le système pourrait théoriquement jouer des tours avec les liens en dur, ce qui ne serait pas possible avec SELinux basé sur les inodes.
SELinux a été développé à l'origine sur la base de recherches menées par la National Security Agency (NSA), une agence de renseignement de niveau national du ministère de la défense des États-Unis. Il offre une approche plus hermétique du contrôle d'accès. Toutefois, comme il est plus difficile à configurer et à utiliser, il faut s'attendre à ce qu'il nécessite un temps de configuration supplémentaire et une courbe d'apprentissage plus longue pour le personnel informatique.
Avec l'adhésion de l'équipe, les avantages d'un MAC sont nombreux et peuvent ouvrir la voie à une prise de conscience de la sécurité qui se répercute sur l'ensemble de la structure de l'entreprise.
Commentaires (2)
“an intruder who is already on the system could theoretically play some tricks with hard links that wouldn’t be possible using the Linode-based SELinux.”
That should probably be “inode-based”.
Hey Rudolph – thanks for bringing this to our attention! I’ll let our team know so that they can review this.