jeudi 24 juillet
April | Agenda du libre | Framasoft | Léa-Linux | Lolix | JeSuisLibre | Eyrolles | LinuxMag | Veni, Vidi, Libri | InLibroVeritas | LinuxGraphic
Faire un don ! | | style | statistiques | contactez-nous | plan | lettre d'information
Accueil :: Dépêches :: Archives :: Proposer une dépêche :: Journaux :: Forums :: Entretiens :: Suivi :: RDF

Derniers journaux de sporniket :

Journal : Ouin, Grsec il m'embête (T_T)

Posté par David Sporn (page perso, ) le 27 avril 2004
Cher journal,

Je pensait avoir compris la config avec drakperm (j'ai une mandrake 9.1) et j'ai rajouté une règle pour pouvoir executer les fichier executables dans mon répertoire avec une règle pour /home/dsporn/*

En effet grâce à ça j'ai enfin pu lancer Eclipse sans devoir faire un su /o\

Maintenant, je me mets à la programmation gtk, je me suis créé des sous répertoires qui vont bien pour ranger mes fichiers, mais là, tous les executables de ces dossiers sont refusés par grsec parce qu'ils les estime "untrusted"

J'ai rajouté une règle pour le dossier contenant mon projet : rien.
J'ai changé la règle "/home/dsporn/*" en "/home/dsporn/" des fois que, mais rien non plus.
Sur Google, j'ai trouvé pour un problème similaire le nom de la commande chpax, mais elle n'existe pas sous Mandrake.
J'ai copier mon répertoire à différents endroits, mais j'ai là aussi fait choux blanc.

Bref, là je sèche...

> Lire le journal (3 commentaires, moyenne: 1,3).  

Cette discussion est archivée, il n'est plus possible de laisser des commentaires.

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.

Re: Ouin, Grsec il m'embête (T_T)

Posté par unk () le 27/04/2004 à 08:14. (lien). Évalué à 1.

Je ne sais pas comment fonctionne l'interface drakperm avec une Mandrake. Cependant, en ce qui concerne l'exécution de scripts avec grsec, on peut utiliser l'interface /proc : cf. /proc/sys/kernel/grsecurity
Là, si le noyau est compilé pour ça, on trouve 3 "variables" :
- tpe : active/désactive la gestion des chemins sûrs(*) d'exécution par le noyau (echo 1 > tpe pour activer)
- tpe_gid : numéro du GID pour lequel la restriction d'exécution s'applique
- tpe_restrict_all : tous les utilisateurs du système voient leur droit d'exécution réduit : ils ne peuvent exécuter que les programmes dans des chemins sûrs(*) et dans les répertoires qui leur appartiennent et où eux seuls ont le droit d'écriture.

Si on veut limiter les droits d'exécution des utilisateurs afin qu'ils puissent quand même lancer des scripts depuis leurs répertoires, il faut activer tpe_restrict_all mais ces mêmes utilisateurs ne doivent pas appartenir au groupe tpe_gid.

(*) les chemins sûrs d'exécution (Trusted Path Execution) sont définis de la manière suivante :
- les répertoires appartiennent au root (uid/gid = 0)
- les droits de ces répertoires sont 0755 (c'est à dire que personne à part le root ne peut écrire dedans)

Note, je ne sais pas si ces droits d'exécution peuvent aussi se gérer avec les ACL de GRSecurity, donc j'ai ptet répondu à côté de la plaque ?

  • [^]Re: Ouin, Grsec il m'embête (T_T)

    Posté par cykl (Jabber id, ) le 27/04/2004 à 09:59. (lien). Évalué à 2.

    En même temps si tu peux encore modifier les sysctl/proc alors que le système fonctionne tu ferais mieux de retirer totalement ton grsec. Ca evitera de te bouffer 12 cycles CPUs pour rien.

    Il faut bien entendu faire un lock au boot et empecher chargement de module/access aux disques/mem

  • [^]Re: Ouin, Grsec il m'embête (T_T)

    Posté par David Sporn (page perso, ) le 29/04/2004 à 05:04. (lien). Évalué à 1.

    > et dans les répertoires qui leur appartiennent et où eux seuls ont le droit d'écriture

    Au début j'ai pas fait gaffe à ce détail dans ton mail. Merci c'est exactement ce que je veux :) et ça marche \o/

Revenir en haut de page

Run by Team LinuxFr.org

Cette page a été générée par Templeet en 0.0605s (dont 0.0099 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.