Linux systrace rencontre iptables: fireflier (manque plus que "Xtrace")

Posté par (page perso) . Modéré par Nÿco.
Tags :
0
21
fév.
2003
Linux
Suite à l'article précédent sur systrace GTK (définition interactive des droits d'accès d'un programme aux appels systèmes, et peut-etre le meilleur IDS pour linux) voici fireflier QT, qui permet de définir interactivement les règles du firewall iptables et d'etre sollicité quand des paquets sont refusés.
Avec ces 2 systèmes, avoir une sécurité maximale sous Linux n'a jamais été aussi simple. Ou presque.

Il nous manque maintenant cruellement le meme genre d'outil pour la sécurité de X : par défaut tous les process qui accèdent à un serveur X peuvent observer et interagir avec le clavier et toutes les fenetres de ce serveur ! Ce qui rend systrace et fireflier en partie inutiles (pensez aux overflows dans les programmes internet qui ont accès à votre serveur X, comme votre browser ...) En attendant un éventuel outil "Xtrace", les paranos sont obligés d'utiliser plusieurs serveurs X, les consoles textes ou le mode untrusted de xauth (mode qui est compatible avec peu d'applications X). Rien de facile ni de pleinement satisfaisant.
http://wwwinfo.cern.ch/umtf/working-groups/X11/security/X_Security.html

PS: notons aussi le soft "mason", qui construit des regles iptables non interactivement, en observant votre usage habituel de IP
(note: tous ces softs sont dispo par apt dans testing ou unstable pour les Debianistes)
(5 commentaires).
Epub

  • # Re: systrace rencontre iptables: fireflier (manque plus que

    Posté par . Évalué à 10.

    OpenBSD est en train d'implémenter la séparation de privilège dans XFree, ca veindra peut-être un jour sous Linux.

    • [^] # Re: systrace rencontre iptables: fireflier (manque plus que

      Posté par (page perso) . Évalué à 9.

      j'aimerais savoir ce que tu entends par "séparation de privilège". Si il s'agit de lancer le serveur X sous un auyre compte que root, c'est bien; mais ça ne résoud pas le problème dont on parle ici, à savoir empecher les fenetres d'une application d'accéder aux fenetres d'une autre application qui s'affiche sur le meme écran.

      Après une longue recherche sur internet et dans les docs X j'ai réussi à obtenir ces infos:
      - la technologie broadway/untrusted introduite dans X11 R6.3 (on en est à R6.6) est censé évoluer un jour vers un controle fin des communications entre les fenetres.

      - dores et deja on peut faire man Xserver pour avoir la syntaxe qui permet de préciser à quelles ressources du serveur X ont accès les untrusted applications.

      Malheureusement ce mécanisme ne définit que 2 compartiments: le compartiment trusted dont les applications ont accès à toutes les resources (dangereux, à éviter). Et le compartiment untrusted, chaque application untrusted ayant par défaut un accès direct aux ressources des autres applications untrusted.

      Bref ce mécanisme ne permet pas pour l'instant d'avoir plusieurs applications untrusted protégées les unes des autres.

  • # Re: systrace rencontre iptables: fireflier (manque plus que

    Posté par (page perso) . Évalué à 10.

    Excellent !

    http://fireflier.sourceforge.net/features.html:(...)
    Filtering on application:
    FireFlier is also capable of filtering by application. So you are for example able to simply allow your ICQ Client to do anything it wants.
    Le firewall applicatif n'était pour l'instant pas possible sous Linux, ou tout du moins pas de manière aussi simple (GUI), comme le font les outils Windows de type ZoneAlarme / TinyFirewall / etc ...

    Voila qui permet de rendre Linux encore plus simple à utiliser pour les Windowsiens qui se convertissent à Linux, et qui veulent avoir un minimum de sécurité, sans pour autant les effrayer avec la configuration d'Iptable/Ipchain ...

    Le seul truc un peu embettant, c'est que l'application doit être lancé avec les droits root (http://fireflier.sourceforge.net/requirements.html(...) root privileges: as FireFlier wants to modify the firewall rules, it has of course got to be root. (this applies only to the server !!!)). Bah, un petit "sudo" et ca marche !

    • [^] # Re: systrace rencontre iptables: fireflier (manque plus que

      Posté par (page perso) . Évalué à 1.

      > Le firewall applicatif n'était pour l'instant pas possible sous Linux, ou tout du moins pas de manière aussi simple (GUI)
      Sauf que c'est tres experimental. Ça et le fait que cela n'était pas très utilisé -> le module risque de pas être présent dans les Mandrake et autres chapeaux_rouges (quelqu'un pour confirmer?).
      Si ils sont pas présents... pour la facilité on repasseras.

      De plus (d'après ce que j'ai crût lire), le filtrage se fait suivant la commande complète (pas le nom de l'executable) ou l'ID du process.
      Alors:
      *soit une application (qui doit être très fiable) réactualise les règles avec le nouvel ID
      *soit "mozilla" c'est pas la même application que "mozilla http://www.gnu.org(...)"
      *soit j'ai mal compris

      Tout ça pour dire que ce système risque fort de pas être très au point (ce qui est genant pour un utilitaire lié à la sécurité). D'ailleurs la fonction est pas visible sur les screenshots:
      http://fireflier.sourceforge.net/qtclient_main.html(...)
      http://fireflier.sourceforge.net/qtclient_iptables.html(...)

  • # xsupervisor et exec-shield

    Posté par (page perso) . Évalué à 1.

    j'ai trouvé mon Xtrace: il s'appelle xsupervisor

    dans un autre genre j'aime bien le patch noyau exec-shield (contre les overflows)

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.