Ce journal s'agit en fait d'une sorte de sondage, ou plutôt d'une demande de retour d'expériences.
Je cherche activement à sécuriser mon petit linux des méchants
buffersoverflow et autres joyeusetés... pour une machine x86 en utilisation serveur (PII-266 48moRAM 3goDISK par exemple, mais ne vous heurtez pas à la config, ca pourrai etre un athlon2000+).
dessus ca serai pour utiliser des demons du styles: iptables,dhcpd,ftpd,httpd,sshd
Je cherche à savoir qu'est ce que utilisent les admins qui ont un grand besoin (…)
Le projet PaX compromis
PaX est un projet visant à apporter à Linux des moyens de prévenir et/ou de minimiser l'impact des failles donnant accès à l'espace d'adressage d'une tâche, comme les dépassements de tampon (buffer overflow), les format string attacks, etc. Il est une partie importante de grsecurity, qui fournit un ensemble d'améliorations liées à la sécurité pour Linux (protection renforcée des chroot , RBAC, etc.).
Le projet a annoncé le 4 mars la présence d'une faille majeure dans le code même de PaX, permettant d'obtenir à un utilisateur simple de gagner des droits plus importants sur le système, voire des droits administrateurs. Cette faille est exploitable localement, mais une exploitation à distance semble peu probable.
Une version mise à jour du patch est bien sûr disponible sur le site de PaX, ainsi que la version 2.1.2 de grsecurity qui inclut le correctif. Dans l'urgence,
# echo "0 0" > /proc/sys/vm/pagetable_cache
...permet d'éviter le principal vecteur d'exploitation potentiel.
Les auteurs de PaX ont par ailleurs déclaré qu'au vu de la gravité de la faille et pour d'autres raisons, le développement de celui-ci serait arrêté au 1er avril 2005. Brad Spengler, un des auteurs de grsecurity, s'est cependant porté volontaire pour reprendre le flambeau.
NdM : merci à mmenal pour avoir contribué à la news.
Le projet a annoncé le 4 mars la présence d'une faille majeure dans le code même de PaX, permettant d'obtenir à un utilisateur simple de gagner des droits plus importants sur le système, voire des droits administrateurs. Cette faille est exploitable localement, mais une exploitation à distance semble peu probable.
Une version mise à jour du patch est bien sûr disponible sur le site de PaX, ainsi que la version 2.1.2 de grsecurity qui inclut le correctif. Dans l'urgence,
# echo "0 0" > /proc/sys/vm/pagetable_cache
...permet d'éviter le principal vecteur d'exploitation potentiel.
Les auteurs de PaX ont par ailleurs déclaré qu'au vu de la gravité de la faille et pour d'autres raisons, le développement de celui-ci serait arrêté au 1er avril 2005. Brad Spengler, un des auteurs de grsecurity, s'est cependant porté volontaire pour reprendre le flambeau.
NdM : merci à mmenal pour avoir contribué à la news.
Forum Linux.débutant apache virtualhost readhat grsec
Bonjour,
Nous avons pris un serveur OVH au boulot, je souhaite configurer dans apache un virtualhost pour rediriger different domaine vers différent repertoire.
Je configure mon virtualhost comme c'est indiqué dans la doc.
J'obiens
"The requested URL /test.html was not found on this server."
lorsque je lance ma page .
J'ai a priori bien configuré apache ...
Voilà la version du noyau 2.4.26-grsec
On m'a dit que cela pouvait venir du fait d'avoir grsecurity d'installé.
Quelqu'un peut-il me donner plus (…)
Nous avons pris un serveur OVH au boulot, je souhaite configurer dans apache un virtualhost pour rediriger different domaine vers différent repertoire.
Je configure mon virtualhost comme c'est indiqué dans la doc.
J'obiens
"The requested URL /test.html was not found on this server."
lorsque je lance ma page .
J'ai a priori bien configuré apache ...
Voilà la version du noyau 2.4.26-grsec
On m'a dit que cela pouvait venir du fait d'avoir grsecurity d'installé.
Quelqu'un peut-il me donner plus (…)
Journal 2.6.8 dans les bacs
Ah mon beau journal, quelle belle journée ensoleillée pour profiter du 2.6.8 final a recompiler sur sa belle station :) Bref, que du bon. Nouveau site pour grsecurity mais pas encore de patch en téléchargement, attendons lundi ou mardi.
LE changelog : http://kernel.org/pub/linux/kernel/v2.6/ChangeLog-2.6.8(...)
LE changelog : http://kernel.org/pub/linux/kernel/v2.6/ChangeLog-2.6.8(...)
Journal httpd + grsecutity
bonjour à tous,
je suis stagiaire et répand la bonne parole dans mon entreprise mais j'ai besoin de vous pour impressionner mon patron demain (ou à défaut ne pas me faire taper ;-/ ).
j'ai fait des procédures d'installation de serveurs, le problème :
- si je recompile avec ma doc en patchant le noyau avec grsecurity (mode medium dans le xconfig), ça marche
- si j'installe avec ma doc sur un linux "tout frais" apache 2 et que je (…)
je suis stagiaire et répand la bonne parole dans mon entreprise mais j'ai besoin de vous pour impressionner mon patron demain (ou à défaut ne pas me faire taper ;-/ ).
j'ai fait des procédures d'installation de serveurs, le problème :
- si je recompile avec ma doc en patchant le noyau avec grsecurity (mode medium dans le xconfig), ça marche
- si j'installe avec ma doc sur un linux "tout frais" apache 2 et que je (…)
Journal Qui va sauver grsecurity ?
Le projet grsecurity n'a plus de sponsor et le développement est arrêté. Il est prévu de fermer le site le 7 Juin.
http://www.grsecurity.org/(...)
Pour ceux qui ne connaissent pas il s'agit d'un projet visant à augmenter fortement la sécurité et permettant en particulier d'ajouter de nombreuses restriction à ce que l'on a droit de faire sur la machine
http://www.grsecurity.org/(...)
Pour ceux qui ne connaissent pas il s'agit d'un projet visant à augmenter fortement la sécurité et permettant en particulier d'ajouter de nombreuses restriction à ce que l'on a droit de faire sur la machine
Journal grsecurity va fermer ?
5/31/04 Important Announcement Regarding the grsecurity Project Beginning today, May 31, 2004, development of grsecurity will cease. On June 7, the website, forums, mailing list, and CVS will be shut down. Due to a sponsor unexpectedly dropping sponsorship of grsecurity while continually promising payment, I began the summer in debt and had to borrow money from family to pay for food. If none of the companies that depend on grsecurity, some of them being very large, are able to sponsor (…)
Journal Debian, noyau 2.4.23 et grsecurity
En cette période post-bacchanale, v'là-t-y pas que l'envie me prend de compiler ma kernel avec la rustine de sécurité qui va bien : grsecurity-1.9.13-2.4.13.
Or donc, en utilisant :
make-kpkg --append-to-version=-grsec --revision=.`date %y%m%d`kernel_image
Je me retrouve devant un paquet qui bégaie !
Jugez plutôt : kernel-image-2.4.23-grsec-grsec_040104_i386.deb
Diante, m'exclame-je ! Je vois double, je suis encore bourré !
Après moultes alkaselzer pour mézigue et M. Propre pour Debian, force est de constater que le sus-dit paquet continue à bégayer alors même (…)
Or donc, en utilisant :
make-kpkg --append-to-version=-grsec --revision=.`date %y%m%d`kernel_image
Je me retrouve devant un paquet qui bégaie !
Jugez plutôt : kernel-image-2.4.23-grsec-grsec_040104_i386.deb
Diante, m'exclame-je ! Je vois double, je suis encore bourré !
Après moultes alkaselzer pour mézigue et M. Propre pour Debian, force est de constater que le sus-dit paquet continue à bégayer alors même (…)
ASLR pour le noyau 2.6
Le premier patch de sécurité (qui ne soit pas un système de contrôle d'accès à la SELinux ou à la RSBAC) pour le noyau 2.6 a vu le jour, il s'agit d'un port basique de la partie du patch PaX (patch utilisé pour la protection de l'espace d'adressage dans grsecurity) concernant la randomization de l'espace d'adressage.
Journal Theo de Raadt et PaX
Apparement Theo de Raadt n'aime pas beaucoup PaX et ses developpeurs :
http://marc.theaimsgroup.com/?l=openbsd-misc&m=106573542723629&(...)
http://pageexec.virtualave.net/(...)
http://www.grsecurity.net/(...)
http://marc.theaimsgroup.com/?l=openbsd-misc&m=106573542723629&(...)
http://pageexec.virtualave.net/(...)
http://www.grsecurity.net/(...)
Journal ce Maudit GRSecurity
Chère journal,
je déprime vraiment ;-), après ces windowsien que je connais pas qui
veulent me rendre malade avec leur virus, j'ai mon serveur WWW qui
m'embête.
Comment ca ??, et bien en ne voulant pas m'exécuter un script cgi autre
part que dans le repertoire d'apache (/home/www/).
J'ai essayé plein de trucs et astuces, j'ai cherché sur le net, tout le mondde
à ce problème mais personne ne connais la soluce :'-(.
En fait, j'ai configuré apache pour que (…)
je déprime vraiment ;-), après ces windowsien que je connais pas qui
veulent me rendre malade avec leur virus, j'ai mon serveur WWW qui
m'embête.
Comment ca ??, et bien en ne voulant pas m'exécuter un script cgi autre
part que dans le repertoire d'apache (/home/www/).
J'ai essayé plein de trucs et astuces, j'ai cherché sur le net, tout le mondde
à ce problème mais personne ne connais la soluce :'-(.
En fait, j'ai configuré apache pour que (…)
Journal Bouh la la qu'est ce qui ce passe.....
Rho la j'ai une merde ... bizarre. Hier soir je faisait un inventaires des diverses videos et autres fichiers multimedia disponibles sur mes DD.
Nautilus me proposait de lire les videos avec totem (un derive de xine) ... mais impossible de faire quoi que ce soit, l'interface n'apparaissait pas et le processus restait en fond.
Qu'a cela ne tienne je me dit c un bug dans totem (je venait de mettre a jour ma Debian/sid) et je lance mon mplayer (…)
Nautilus me proposait de lire les videos avec totem (un derive de xine) ... mais impossible de faire quoi que ce soit, l'interface n'apparaissait pas et le processus restait en fond.
Qu'a cela ne tienne je me dit c un bug dans totem (je venait de mettre a jour ma Debian/sid) et je lance mon mplayer (…)
Journal @#§! de patch WOLK
Lorsque je suis tombé sur http://wolk.sf.net/ (Wolk est un très gros patch à appliquer sur le noyau 2.4.20 apportant toutes les améliorations des versions de developpement 2.5.x), je me suis dit « Chouette, c'est mon serveur qui va etre heureux ». Mais que de soucis avec ! Tout d'abord, à ma première recompilation j'avais oublié d'incorporer le bon support des quotas (Il y a 3 interfaces/API/Formats différentes), ensuite, un autre probleme avec la gestion du NAT, puis impossible d'obtenir la (…)
Journal kernel securisé
il y a un kernel avec la mdk 9.1 version securisé
http://grsecurity.net/features.php
quelqu'un a testé ?
sinon je trouve la nouvelle version de mdk lourde
mon amd k6 2 souffre meme avec 456 de ram,
serait QT2 ?
cela sera sans doute la derniere upgrade et peut etre un openbsd
la prochaine fois sir les ports sont plus consistants dans la version 3.3.
Poissons d'avril
Divers poissons envoyés par les visiteurs de LinuxFr ou récoltés sur le net (non exhaustif bien entendu) :
Sur Deadly.org
OpenBSD Renamed GNU/OpenBSD et
i386 Support Dropped
Sur cpan.org, "Matt Script Archive", une parodie de page perso
Sur gnomemeeting.org/ , Gnome Meeting devient propriétaire
SciencesNat.org sur les oiseaux descendants des poissons
Branchez-vous.com, « IBM engage Linus Torvalds et acquiert Linux »
Sur Libroscope.org, GPLv3 par France Telecom
Distrowatch suggère de tester un nouvel OS
Le CLX attaqué par les rats
Sur Deadly.org
OpenBSD Renamed GNU/OpenBSD et
i386 Support Dropped
Sur cpan.org, "Matt Script Archive", une parodie de page perso
Sur gnomemeeting.org/ , Gnome Meeting devient propriétaire
SciencesNat.org sur les oiseaux descendants des poissons
Branchez-vous.com, « IBM engage Linus Torvalds et acquiert Linux »
Sur Libroscope.org, GPLv3 par France Telecom
Distrowatch suggère de tester un nouvel OS
Le CLX attaqué par les rats