Le Mon, 14 Jan 2013 12:52:18 +0100, Xavier Beaudouin <k...@oav.net> a écrit :
> Sur FreeBSD tu peux aussi ajouter un jail qui te permet d'avoir, en > plus de MAC, des choses assez blindées. > > Après pour garantir que ton OS n'est pas modifiable : > > kern_securelevel="3" > kern_securelevel_enable="YES" > > Et un reboot, dans ce cas présent toute modification de fichiers > système ne peux être obtenu que : > > - en single user (donc accès console) > - en modifiant /etc/rc.conf et un reboot (donc en général un reboot > ca se voit) C'est effectivement une approche de j'aime beaucoup et que j'utilise très souvent. en couplant cela avec IPFW qui permet d'adapter les règles de filtrage IP en fonction de l'uid/guid, on obtient une granulatité très fine. Juste pour re-situer le contexte, il s'agit d'ouvrir un accès ssh restreint sur un serveur mutualisé avec une centaine de vhosts. Donc le jail est un peut trop lourd dans ce cas. -- Jean-Christophe PAROLA CTO _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
