Le chroot sert:
en limitant l'environnment d'un process, on peut avoir un perimetre
plus facilement maitrisable, reduisant les risques de securites.
On limite aussi la possibilite pour un process de chercher les
vulnerabilite, d'installer des points d'entres, de regarder la ou on a
pas droit.
I les en generale aussi conseille de definir un restricted shell comme
SHELL, et de ne pas mettre un shell complet dans la choucroute
autoriser la creation de fichier que dans des repertoires non défini
dans le PATH ............
et plein d'autre truc pour limiter toute possibilite d'injection.
En conclusion, meme si de nouveaux outils permettre d'aller encore plus
loin dans la securite avec une granularite plus fine, le choucroutage
peut etre utile encore dans la limitation simple de perimetre.
Le 07/07/2010 10:19, patrick.forums.info a écrit :
On Tue, 6 Jul 2010 23:14:40 +0200, Vincent-Xavier JUMEL
<[email protected]> wrote:
Le 06 juillet à 21:37 patrick.forums.info a écrit
Re,
J'ai une machine qui me sert de DNS, firewall, serveur LPR, et routeur (
5
interfaces ethernet ) quand je suis a Paris le WE.
5 ips, 5 cartes ou autre ?
autre : une carte 4 ports et une carte 1 port 1000! et donc 5 ips. et 3-400
lignes de firewall ( avec du copier coller )
Elle ne fait rien d'autre, SSH seulement depuis l'intérieur, pas de
serveur web ni ftp, sendmail de temps en temps.
Le reste ce sont une machine principale une machine pour les cartes DVB
S
et T, deux portables, deux imprimentes, matos electronique ( DMM4040,
AFG3xxx TDS3xxx )
Je souhaiterais toujours plus de sécurité et surtout y mettre asterisk
qui me semble n'est pas connu pour l'absence de failles.
que dit la documentation ?
Ok beaucoups de problemes viennent du fait qu'Asterisk est livré "tout
ouvert", il faut éditer les fichiers de config. Mais il y a eu pas mal de
failles. Sinon il y a peut etre eu des ameliorations depuis quelques
années, je vais relire la doc, si on peut le lancer depuis du non root
c'est cool.
Du coup je mettrais aussi bind dans une autre cage et LPR si je peux (
bind
fonctionne en user non root mais pas les autres )
Pour bind, c'est pas un souci, pour lpr non plus (y'a cups d'ailleurs
maintenant)
Cups, je l'ai passé par la fenetre il y a quelques années. A l'époque
les problemes étaient: * incompatible avec udev * incompatible avec ma
DL5600 * incompatible avec les traceurs hpgl * incompatible avec les
fonctions d'impression des oscilloscopes * configuration par http seulement
( ce qui oblige a etre sur la machine cible ), l'absence d'outils console (
en plus d'outils graphiques ) est éliminatoire pour moi * Fout la merde
dans certaines réalisations électroniques utilisant les port // ou serie
* pas de colorisation des sources C,C++.
Maintenant avec ma Xerox 6130 certains problemes seraient résolus, peut
etre ai-je jugé sur une des premieres versions.
Ce qui m'inquiete le plus c'est que je lit dans les forums qu'il y a
tout
le temp des scans, qu'on peut limiter les logs mais pas les attaques en
changeant les ports. J'ai mis au bac a sable ( par le firewall ) tout
tout
ce qui n'est pas listé ci dessus et les simples tentatives de
connections
sont totalement innexistantes, pourtant il y a un dépot de nom en .name
.
Je ne suis pas sûr de comprendre ce dernier paragraphe
On cherche toujours plus de sécurité par parano surtout que je ne
comprends pas pourquoi je n'ai pas les scans que tout le monde a ( voir les
archives des listes ). Nerim ne bloque rien. J'ai beau recompiler les
commandes sur une autre machine
et les remettre dessus ca ne change rien, si je change l'adresse ip d'un
portable pour prendre celle du modem et le mettre a la place le temps d'un
nmap, j'ai bien les événements du bac a sable.
Mais en fonctionnement normal rien.
En conclusion j'ai un peu l'impression que si on peut lancer les daemons en
non root, le chroot n'apporte rien de plus.
Vx
_________________________________
Linux mailing list
[email protected]
http://lists.parinux.org/mailman/listinfo/linux
_________________________________
Linux mailing list
[email protected]
http://lists.parinux.org/mailman/listinfo/linux
