Pourquoi un shelll réduit? Pas de shell du tout! chroot peut lancer une commande lui meme?
On Wed, 07 Jul 2010 11:33:39 +0200, Laurent <laur...@hpfrcu08.france.hp.com> wrote: > Le chroot sert: > en limitant l'environnment d'un process, on peut avoir un perimetre > plus facilement maitrisable, reduisant les risques de securites. > > On limite aussi la possibilite pour un process de chercher les > vulnerabilite, d'installer des points d'entres, de regarder la ou on a > pas droit. > > > I les en generale aussi conseille de definir un restricted shell comme > SHELL, et de ne pas mettre un shell complet dans la choucroute > autoriser la creation de fichier que dans des repertoires non défini > dans le PATH ............ > et plein d'autre truc pour limiter toute possibilite d'injection. > > > En conclusion, meme si de nouveaux outils permettre d'aller encore plus > loin dans la securite avec une granularite plus fine, le choucroutage > peut etre utile encore dans la limitation simple de perimetre. > > > > > > > > Le 07/07/2010 10:19, patrick.forums.info a écrit : >> >> >> >> On Tue, 6 Jul 2010 23:14:40 +0200, Vincent-Xavier JUMEL >> <endymion+pari...@thetys-retz.net> wrote: >>> Le 06 juillet à 21:37 patrick.forums.info a écrit >>>> Re, >>>> >>>> J'ai une machine qui me sert de DNS, firewall, serveur LPR, et routeur > ( >>> 5 >>>> interfaces ethernet ) quand je suis a Paris le WE. >>>> >>> 5 ips, 5 cartes ou autre ? >> autre : une carte 4 ports et une carte 1 port 1000! et donc 5 ips. et > 3-400 >> lignes de firewall ( avec du copier coller ) >> >>> >>>> Elle ne fait rien d'autre, SSH seulement depuis l'intérieur, pas de >>>> serveur web ni ftp, sendmail de temps en temps. >>>> >>>> Le reste ce sont une machine principale une machine pour les cartes > DVB >>> S >>>> et T, deux portables, deux imprimentes, matos electronique ( DMM4040, >>>> AFG3xxx TDS3xxx ) >>>> >>>> Je souhaiterais toujours plus de sécurité et surtout y mettre > asterisk >>>> qui me semble n'est pas connu pour l'absence de failles. >>>> >>> que dit la documentation ? >> Ok beaucoups de problemes viennent du fait qu'Asterisk est livré "tout >> ouvert", il faut éditer les fichiers de config. Mais il y a eu pas mal > de >> failles. Sinon il y a peut etre eu des ameliorations depuis quelques >> années, je vais relire la doc, si on peut le lancer depuis du non root >> c'est cool. >> >>> >>>> Du coup je mettrais aussi bind dans une autre cage et LPR si je peux ( >>> bind >>>> fonctionne en user non root mais pas les autres ) >>>> >>> Pour bind, c'est pas un souci, pour lpr non plus (y'a cups d'ailleurs >>> maintenant) >> Cups, je l'ai passé par la fenetre il y a quelques années. A l'époque >> les problemes étaient: * incompatible avec udev * incompatible avec ma >> DL5600 * incompatible avec les traceurs hpgl * incompatible avec les >> fonctions d'impression des oscilloscopes * configuration par http > seulement >> ( ce qui oblige a etre sur la machine cible ), l'absence d'outils > console ( >> en plus d'outils graphiques ) est éliminatoire pour moi * Fout la merde >> dans certaines réalisations électroniques utilisant les port // ou > serie >> * pas de colorisation des sources C,C++. >> Maintenant avec ma Xerox 6130 certains problemes seraient résolus, peut >> etre ai-je jugé sur une des premieres versions. >> >>> >>>> Ce qui m'inquiete le plus c'est que je lit dans les forums qu'il y a >>> tout >>>> le temp des scans, qu'on peut limiter les logs mais pas les attaques > en >>>> changeant les ports. J'ai mis au bac a sable ( par le firewall ) tout >>> tout >>>> ce qui n'est pas listé ci dessus et les simples tentatives de >>> connections >>>> sont totalement innexistantes, pourtant il y a un dépot de nom en > .name >>> . >>>> >>> Je ne suis pas sûr de comprendre ce dernier paragraphe >> On cherche toujours plus de sécurité par parano surtout que je ne >> comprends pas pourquoi je n'ai pas les scans que tout le monde a ( voir > les >> archives des listes ). Nerim ne bloque rien. J'ai beau recompiler les >> commandes sur une autre machine >> et les remettre dessus ca ne change rien, si je change l'adresse ip d'un >> portable pour prendre celle du modem et le mettre a la place le temps > d'un >> nmap, j'ai bien les événements du bac a sable. >> Mais en fonctionnement normal rien. >> >> >> En conclusion j'ai un peu l'impression que si on peut lancer les daemons > en >> non root, le chroot n'apporte rien de plus. >> >>> >>> Vx >>> >> >> _________________________________ >> Linux mailing list >> Linux@lists.parinux.org >> http://lists.parinux.org/mailman/listinfo/linux > > _________________________________ > Linux mailing list > Linux@lists.parinux.org > http://lists.parinux.org/mailman/listinfo/linux _________________________________ Linux mailing list Linux@lists.parinux.org http://lists.parinux.org/mailman/listinfo/linux
