Le 06 juillet à 08:37 Jérôme Fenal a écrit > Le 6 juillet 2010 01:49, Thomas Sechet <[email protected]> a écrit : > > Le Mon, 5 Jul 2010 21:07:16 +0200, > > Jérôme Fenal <[email protected]> a écrit : > > > >> Le 5 juillet 2010 21:00, patrick.forums.info > >> <[email protected]> a écrit : > >> > > >> > Re, > >> > > >> > Ca ne suffit pas de passer le uid et le guid dans la commande > >> > chroot? > >> > > >> > Le seul truc qui m'effaye un peu c'est de rechercer tout ce qu'il > >> > faut pour mettre le daemon dans la cage. J'entends par la faire la > >> > liste des dev des libs etc... > >> > >> Bonsoir, > >> > >> Question bête, pourquoi ne pas utiliser SELinux ? > >> > >> Quel est le type de service à protéger, et contre quoi ? > >> > > > > Pour moi SELinux, n'est qu'une rustine au noyau Linux. Ne pas > > l'utiliser c'est renoncer à Linux. Dans ce cas, comme l'administration > > de serveurs sensibles, il vaut mieux s'orienter vers, par exemple, > > "free-bsd", la sécurité est au cœur du développement depuis l'origine. > > Tu parles d'OpenBSD ou de FreeBSD, là ? > En fait, il te faut un mécanisme d'isolement comme « jail » sous (Free)BSD, ou vserver (ou linux containers) sous GNU/Linux.
> > Le tout est de mesurer les risques ! > > C'est comme beaucoup de choses, affaire de compromis. > D'où ma question sur ce qu'il y a à protéger... > [..] > Cela dit, un chroot peut toujours avoir du sens si ce qui est éxécuté dedans n'est pas uid = 0 dans le sens où il va limiter la propagation en cas de débordement de tampon. Vx -- Rejoignez les 5489 adhérents de l'April <http://www.april.org/adherer> Parinux, logiciel libre à Paris : <http://www.parinux.org> +33 (0) 148 295 997 <http://blog.thetys-retz.net/> GPG Id: EBEC C39A DAAE F766 9785 EF23 E76F 467D 2E14 CE70 _________________________________ Linux mailing list [email protected] http://lists.parinux.org/mailman/listinfo/linux
