Le Jeudi 23 Juin 2005 16:20, Ludovic Desfontaines a écrit : > Je te suggère de regarder également du côté des vservers. > Car, quitte à sécuriser, autant le faire au max. > > URL : http://linux-vserver.org/
Il est clair qu'un simple chroot ne sert pas à se protéger des attaques contre le service ouvert : en l'occurence le service ssh. Le souci, c'est qu'à chaque problème de sécurité dans le service ssh, il faudra refaire les chroot. En effet, comme ssh fonctionne en tant que root, un problème de sécurité = chroot cassé et un attaquant peut en sortir pour aller voir ce qu'il se passe sur le serveur qui contient le chroot - en root évidemment :( Avec le patch grsec, il me semble qu'il est plus difficile de sortir d'un chroot, mais cela n'enlève pas le problème d'une attaque sur tes services ssh chrootés et la gestion de toutes les versions en parallèle. Avec les vserveurs, tu auras la possibilité de partager certains fichiers entre toutes les instances, ce qui te permettra en cas de mise à jour du service ssh de ne le faire qu'une seule fois. -- Davy Gigan System & Network Administration [Please no HTML, I'm not a browser] University Of Caen (France) [Pas d'HTML, je ne suis pas un navigateur]
pgpgPldRHNFNc.pgp
Description: PGP signature