(...)
Je me posait la question de savoir si des systèmes MAC (Mandatory
Access Control) comme SELinux/AppArmor ou les MAC de FreeBSD n'était
pas prévu pour ça.
Avec un Framework MAC on traiterait du coup le pb du ssh user mais
aussi d'autres points.....question ouverte.
Sur FreeBSD tu peux aussi ajouter un jail qui te permet d'avoir, en plus
de MAC, des choses assez blindées.
Après pour garantir que ton OS n'est pas modifiable :
kern_securelevel="3"
kern_securelevel_enable="YES"
Et un reboot, dans ce cas présent toute modification de fichiers système
ne peux être obtenu que :
- en single user (donc accès console)
- en modifiant /etc/rc.conf et un reboot (donc en général un reboot ca
se voit)
/Xavier
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/
