"« Ptracekm » est un module kernel pour Linux 2.2 (et probablement 2.4 mais non testé) permettant de bloquer les appels (syscall) ptrace() pour tous les utilisateurs excepté le root.
Ce module vous protègera donc contre les pirates voulant prendre le root grâce aux exploits de type ptrace()."
De plus, ne pas oublier de vérifier Webmin 0.88 qui permet la création de fichiers modifiables par tous sous /tmp avec les droits 777.... pour modifier le script run.cgi... voir la news originale pour plus de détails.
Note du modérateur : Le problème webmin, c'est un rappel, on en avait déjà parlé ici le 22 Octobre.
Aller plus loin
- Secusys (3 clics)
- News Webmin 0.88 (4 clics)
- News Ptracekm (3 clics)
# euhhhhhhh
Posté par Anonyme . Évalué à 0.
[^] # Re: euhhhhhhh
Posté par Fabien Penso (site web personnel, Mastodon) . Évalué à -3.
[^] # Sécuriser /tmp
Posté par Jerome Demeyer . Évalué à 10.
Pourtant, il est assez facile de s'en protéger, et je ne comprend pas pourquoi une configuration sécurisée n'est pas proposée par défaut, ou tout du moins comme solution.
Dans le fichier /etc/fstab, il suffit de donner quelques options à son /tmp pour éviter les soucis :
/dev/hdxx /tmp ext2 rw,nodev,nosuid,noexec 0 0
explication des options :
rw : read/write, en opposition à read-only, c'est préférable pour un /tmp :)
nodev : impossibilité de créer des fichiers spéciaux qui permettrait d'accèder au materiel
nosuid : les executable suid ne peuvent pas changer d'euid
noexec : les binaires ne peuvent pas être éxecutés, c'est à mon avis primordial sur un /tmp.
A vos claviers.
pour le /home, c'est plus sympa de virer l'option noexec, en laissant le nosuid. Par contre, l'option usrquota avec la mise en place de la gestion des quotas ne fait pas de mal.
--
PS: Bug DaCode ? on ne peut plus poster de nouveau commentaire (testé avec IE, Moz et Lynx)
[^] # Bug DaCode
Posté par gilles renault (site web personnel, Mastodon) . Évalué à 0.
Merci pour les conseils
[^] # Re: Sécuriser /tmp
Posté par Anonyme . Évalué à 2.
Le HOWTO revient sur la question (pour développeurs):
http://www.linuxdoc.org/HOWTO/Secure-Programs-HOWTO/index.html(...)
# Pour télécharger le module
Posté par Pierre Tramal (site web personnel) . Évalué à 6.
[^] # Et pour la mise à jour de webmin
Posté par gilles renault (site web personnel, Mastodon) . Évalué à 1.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.