On Mon, 26 Jan 2004 12:43:19 +0100, Farid Messaoud <[EMAIL PROTECTED]> wrote :
> Pour répondre à ta question à ta place : > > Des vulnérabilités existe afin de casser le chroot. Une fois cassé le > casseur devient root !!! > Grsecurity évite ces problèmes : > > - Protection des espaces d'adressage (buffers overflows); > - Limitation des possibilités offertes aux programmes se trouvant à > l'intérieur d'un chroot; Bon ok c'est un peu vague pour moi mais apparemment cela signifie que le chroot est plus efficace avec ce patch. > - Possibilité de logguer a peu près n'importe quel évènement. > - La possibilité de cacher un certains nombre d'informations aux > utilisateurs autres que root (moins ils en savent, mieux on se porte) > - Différentes protections réseau telles que l'altération des réponses > au ping (rendant la détection de l'os plus difficile) > - La mise au point d'ACL (Access Control List, comprenez système de > limitation d'accès pour admin paranoïaques) Par contre là ça me semble un peu inutile (pour mon utilisation j'entends). Je ne cherche pas à mettre en place une citadelle imprenable dernier cri mais juste à implémenter correctement une mesure de sécurité. Dans le domaine de la sécurité, il n'y a pas de limites, on pourra toujours trouver un nouveau concept révolutionnaire, ou le dernier logiciel à la mode qui bétonnera encore plus le système. Je pensais au début à me limiter au firewall (via règles iptables) et à faire très attention aux droits administrateurs/utilisateurs (pas de bit suid, exécution des programmes en tant qu'utilisateurs, etc...). Cependant le concept de chrootage est intéressant et au prime abord pas très difficile à mettre en place et ajoute un degré de sécurité appréciable au système. Mais je ne pense pas aller plus loin (pour le moment). Donc pour moi amener toute l'artillerie de grsecurity n'a pas beaucoup de sens (vu que je ne saurai pas l'utiliser ou le configurer). Peut-être plus tard ? en tout cas je souhaite pour le moment juste comprendre le fonctionnement de chroot... Merci néanmois de m'avoir indiqué l'existence de ce patch.
