SELinux (Security-Enhanced Linux)

SELinux (Security-Enhanced Linux) est un module de sécurité du noyau Linux développé initialement par la NSA, qui apporte un contrôle d'accès obligatoire (MAC — Mandatory Access Control) en complément du DAC traditionnel (Discretionary Access Control via permissions UNIX). Avec SELinux, même un processus root est limité par les politiques définies, ce qui mitigue grandement l'impact d'une compromission.

SELinux étiquette chaque fichier, processus et port avec un contexte sécuritaire (user:role:type:level). Les politiques (généralement targeted) définissent quelles transitions et accès sont autorisés. Les modes de fonctionnement : Enforcing (applique les règles), Permissive (logue mais n'applique pas — utile pour debug), Disabled (désactivé, déconseillé).

Les commandes essentielles : getenforce, setenforce 0/1, ls -Z (voir contextes), chcon (changer temporairement), restorecon (restaurer le contexte), semanage (gérer politiques permanentes), ausearch + sealert (analyser les denials). SELinux est obligatoire à connaître pour la certif RHCSA EX200 et est central dans les environnements RHEL/CentOS/Rocky.