[Précédent (date)] [Suivant (date)] [Précédent (sujet)] [Suivant (sujet)] [Index par date] [Index par sujet]

Re: Stratégies pour les fichiers setuid ?



On Sun, 2002-12-29 at 14:31, Etienne Robillard wrote:
> bonjour,
> 
> je sais pas quoi faire vraiment avec les fichiers
> setuid/sgid... je sais que, puisque mon kernel est en
> insecure mode, il s'agit d'un risque de sécurité
> potentiel si un programme malicieux aurait accès a
> /dev/kmem...
> 
> ma solution est de chmod 0 tous ces fichiers mais
> c'est plutot long et c'est pas trop élégant...
> 
> je voulais savoir s'il n'aurait pas d'autres
> solutions,
> a part de sécuriser le kernel biensur :-)

Je n'crois pas qu'il ait beaucoup de bonnes facons de gerer ce probleme.
Selon moi les points important a souligner sonts

1. Qu'il est rare qu'un programme n'ait pas de bug.
2. Que la majoritee des vulnerabilitees sonts gardees privees.

Donc pour etre assure d'une securitee optimum il faudrait soit tout
simplement enlever ces modes qui, je te l'accorde, n'est pas toujours
tres elegant ou de securiser son kernel. 

Je prends comme exemple grsecurity (grsecurity.sf.net) ou la protection
contre les "buffer overflow" peut eliminer l'access a /dev/kmem et ou la
Liste de Controle d'Access (ACL) me permet bien de determiner les
permissions que je veux voir enlevees a des repertoires, fichiers
specifique sur tout les utilisateurs ainsi que root.

On peut toujours prier pour que ce style d'option soient inclus dans la
nouvelle generation de noyeau soit 2.6.x! =)

Bonne Chance!

---
Nicolas Couture
mailto: nc at stormvault dot net
OpenPGP: 0x92B7B083