Bloquer les exploits root de type Ptrace et pb Webmin 0.88

Posté par . Modéré par Fabien Penso.
Tags :
0
6
nov.
2001
Sécurité
Infos trouvées sur www.secusys.com,
"« Ptracekm » est un module kernel pour Linux 2.2 (et probablement 2.4 mais non testé) permettant de bloquer les appels (syscall) ptrace() pour tous les utilisateurs excepté le root.
Ce module vous protègera donc contre les pirates voulant prendre le root grâce aux exploits de type ptrace()."

De plus, ne pas oublier de vérifier Webmin 0.88 qui permet la création de fichiers modifiables par tous sous /tmp avec les droits 777.... pour modifier le script run.cgi... voir la news originale pour plus de détails.

Note du modérateur : Le problème webmin, c'est un rappel, on en avait déjà parlé ici le 22 Octobre.
  • # euhhhhhhh

    Posté par . Évalué à 0.

    C'est /tmp pas /temp...
    • [^] # Re: euhhhhhhh

      Posté par (page perso) . Évalué à -3.

      Bourré de faute cette news :)
    • [^] # Sécuriser /tmp

      Posté par . Évalué à 10.

      Je vois souvent des niouzes sur des exploits utilisant les fichiers temporaires créés par différents démons et autre applis.

      Pourtant, il est assez facile de s'en protéger, et je ne comprend pas pourquoi une configuration sécurisée n'est pas proposée par défaut, ou tout du moins comme solution.

      Dans le fichier /etc/fstab, il suffit de donner quelques options à son /tmp pour éviter les soucis :

      /dev/hdxx /tmp ext2 rw,nodev,nosuid,noexec 0 0

      explication des options :
      rw : read/write, en opposition à read-only, c'est préférable pour un /tmp :)
      nodev : impossibilité de créer des fichiers spéciaux qui permettrait d'accèder au materiel
      nosuid : les executable suid ne peuvent pas changer d'euid
      noexec : les binaires ne peuvent pas être éxecutés, c'est à mon avis primordial sur un /tmp.

      A vos claviers.

      pour le /home, c'est plus sympa de virer l'option noexec, en laissant le nosuid. Par contre, l'option usrquota avec la mise en place de la gestion des quotas ne fait pas de mal.

      --
      PS: Bug DaCode ? on ne peut plus poster de nouveau commentaire (testé avec IE, Moz et Lynx)
  • # Pour télécharger le module

    Posté par (page perso) . Évalué à 6.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.