On Mon, 26 Jan 2004 12:43:19 +0100, Farid Messaoud
<[EMAIL PROTECTED]> wrote :

> Pour r�pondre � ta question � ta place :
> 
> Des vuln�rabilit�s existe afin de casser le chroot. Une fois cass� le 
> casseur devient root !!!
> Grsecurity �vite ces probl�mes :
> 
> - Protection des espaces d'adressage (buffers overflows);
> - Limitation des possibilit�s offertes aux programmes se trouvant � 
> l'int�rieur d'un chroot;

Bon ok c'est un peu vague pour moi mais apparemment cela signifie que le
chroot est plus efficace avec ce patch.

> - Possibilit� de logguer a peu pr�s n'importe quel �v�nement.
> - La possibilit� de cacher un certains nombre d'informations aux 
> utilisateurs autres que root (moins ils en savent, mieux on se porte)
> - Diff�rentes protections r�seau telles que l'alt�ration des r�ponses
> au ping (rendant la d�tection de l'os plus difficile)
> - La mise au point d'ACL (Access Control List, comprenez syst�me de 
> limitation d'acc�s pour admin parano�aques)

Par contre l� �a me semble un peu inutile (pour mon utilisation
j'entends). Je ne cherche pas � mettre en place une citadelle imprenable
dernier cri mais juste � impl�menter correctement une mesure de
s�curit�.

Dans le domaine de la s�curit�, il n'y a pas de limites, on pourra
toujours trouver un nouveau concept r�volutionnaire, ou le dernier
logiciel � la mode qui b�tonnera encore plus le syst�me.

Je pensais au d�but � me limiter au firewall (via r�gles iptables) et �
faire tr�s attention aux droits administrateurs/utilisateurs (pas de bit
suid, ex�cution des programmes en tant qu'utilisateurs, etc...).
Cependant le concept de chrootage est int�ressant et au prime abord pas
tr�s difficile � mettre en place et ajoute un degr� de s�curit�
appr�ciable au syst�me. Mais je ne pense pas aller plus loin (pour le
moment).

Donc pour moi amener toute l'artillerie de grsecurity n'a pas beaucoup
de sens (vu que je ne saurai pas l'utiliser ou le configurer).

Peut-�tre plus tard ? en tout cas je souhaite pour le moment juste
comprendre le fonctionnement de chroot...

Merci n�anmois de m'avoir indiqu� l'existence de ce patch.

Répondre à