Firewall FreeBSD sur un CD

• # eeeeh.....ça tue !!

  Posté par Schneider Dark le 07 mars 2002 à 13:49. Évalué à -4.

  

  Bon,j'ai pas encore lut l'article(pas le temps) mais je penses que l'avantage majeur,c'est que les p'tits crackers peuvent pas modifier la config pour pouvoir passer...un cd-rom,c'est statique !!! ;)
  
  
  "Comme on dit chez les terriens : ALLER HOOOP DANS L'CUUUUUUL !!! "
  
  ID4

  • [^] # Re: eeeeh.....ça tue !!

    Posté par gilles renault (site web personnel, Mastodon) le 07 mars 2002 à 13:55. Évalué à -4.

    

    ché mé on dit "dans l't'chu"
    
    ok ok ok ok je sors!

  • [^] # Re: eeeeh.....ça tue !!

    Posté par matiasf le 07 mars 2002 à 14:00. Évalué à 10.

    

    Rien ne t'interdit de monter des partitions en Read-only.
    
    De plus, il y a une commande hdparm qui permet de mettre un disque en read-only.
    
    Question securite, le CD-ROM n'apporte rien ...

    • [^] # Re: eeeeh.....ça tue !!

      Posté par Yann Hirou le 07 mars 2002 à 14:19. Évalué à 10.

      

      ouais, et puis surtout rien n'empêche le méchant pirate de modifier tout ce qui est en mémoire - ou sur ramdisk (par exemple pour les répertoire /var, /tmp, etc...)
      
      Ca empêche juste au pirate d'installer des backdoors durable, puisqu'en cas de reboot tout redeviendra propre (mais avec les mêmes failles).
      
      Donc à moins de rebooter régulièrement, il n'y a pas de réelle sécurité additionnelle.
      
      (et puis faut se regraver un CD à chaque patch, c'est lourd).

      • [^] # Re: eeeeh.....ça tue !!

        Posté par matiasf le 07 mars 2002 à 14:36. Évalué à 10.

        

        Et si t'as pas besoin de log, tu peux meme faire un halt. Le noyau continu sa fonction pare-feu.
        
        Et la t'es un pare-feu hyper protege (mais comme sur un pare-feu il y a rien d'interessant (doc confidentiel, etc...) ...).

      • [^] # Re: eeeeh.....ça tue !!

        Posté par Rossel Olivier le 07 mars 2002 à 15:14. Évalué à 10.

        

        Si tu arrives a demonter le CD, tu es a peu pres protege. Puisque tous les outils de /bin, /usr/bin disparaissent de la vue de n'importe quel utilisateur.
        
        Ensuite si tu veux reutiliser les outils pour modifier quoi que ce soit, tu remontes le CD.
        
        Tout ca, tout ca grace a un ash.static dans un coin, et un executable de mount linke en statique lui aussi.

    • [^] # sans aller jusque là...

      Posté par B. franck le 07 mars 2002 à 15:15. Évalué à 10.

      

      Pour protéger mon système des bourdes que je peux faire
      quand j'ai l'imprudence de travailler en tant que root,
      j'utilise le jeu de commandes assez utile:
      
      chattr
      lsattr
      
      le premier permet de positionner (notamment)
      le drapeau 'i' (pour immuable) sur n'importe quel
      inode (euh... je n'ai pas essayé les devices)
      
      lsattr liste ces drapeaux
      
      # chattr +i /bin /sbin /etc
      empêche déjà pas mal de casse...

      • [^] # Re: sans aller jusque là...

        Posté par zeDek le 07 mars 2002 à 17:20. Évalué à 10.

        

        Sachant bien sûr que ces 2 commandes ne s'appliquent que sur des FS de type ext2.

        • [^] # Re: sans aller jusque là...

          Posté par Miod in the middle le 07 mars 2002 à 17:57. Évalué à 10.

          

          Ces deux commandes s'appliquent à ext2 (et, je suppose, également ext3), mais d'autres systèmes de fichiers disposent de commandes du même acabit permettant de placer cet attribut d'immuabilité.
          
          Par exemple, dans le cas des systèmes de fichier ffs sous *BSD, il s'agit de chflags(1).

  • [^] # Re: eeeeh.....ça tue !!

    Posté par Blackknight (site web personnel, Mastodon) le 07 mars 2002 à 14:56. Évalué à 10.

    

    En fait, j'ai même pas lu l'article étant donné qu'il existe sous FreeBSD un projet qui s'appelle PicoBSD et dont le but est de faire tenir une passerelle firewall sur une ou plusieurs disquettes, on est loin du CD-ROM quand même.
    Du coup, je vous file même le lien :
    http://people.freebsd.org/~picobsd/(...)
    Comme quoi, des fois, on fait beaucoup de bruit pour pas grand chose. Certes, la configuration n'est pas des plus aisées mais bon, ça se fait. En plus, c'est extensible à soit grâce aux fichiers de conf du crunchgen.
    Voilà, c'est tout ce que j'ai à dire.

    • [^] # Re: eeeeh.....ça tue !!

      Posté par Blackknight (site web personnel, Mastodon) le 07 mars 2002 à 15:02. Évalué à 10.

      

      Tout le monde aura compris que c'est "extensible à souhait".
      Petit ajout tout de même :
      La page PicoBSD précise qu'il s'agit d'un FB 3.0 ou 2.5. En fait, à chaque release du noyau, on trouve dans les sources du système, tout ce qu'il faut pour fabriquer un Pico donc la version n'est absolument pas figée en 2.5.

• # il faut a rajouter a la liste qui n'a pas l'air exhaustive sur le 3eme liens

  Posté par blackshack le 07 mars 2002 à 14:00. Évalué à 7.

  

  la SuSE-Firewall on CD, baséee sur la Suse plus leur firewall que l'on trouve dans les distrib suse, le tout sur un cd pareille sur le meme principe...

  • [^] # SUSE SU>< C'EST MEME PAS GPL

    Posté par twolife le 07 mars 2002 à 15:46. Évalué à -3.

    

    j'ai rien de plus à dire ;-)
    
    [jesorsetjeretournesurlatribuneencourant] -1

  • [^] # Re: il faut a rajouter a la liste qui n'a pas l'air exhaustive sur le 3eme liens

    Posté par Guillaume POIRIER le 07 mars 2002 à 17:07. Évalué à 10.

    

    Okay, il existe des TAS de distribs Linux dépouillées au maximum pour ne grader que le strict nécessaire.
    Rien de sert donc de trop s'emporter là-dessus.
    L'avantage d'avoir comme base un système BSD est que le soucis de sécurité pris en compte dès le dévellopement alors que Linux est plus dévellopé dans le but d'être toujours le plus à jour, et de permettre au plus grand nombre de technologies d'être suportées.
    
    (De toutes façons, en matière d'OS, c'est comme pour la musique, y'en a pour tous les gouts, et il vaut mieux dire "j'aime ou pas" plutôt que "c'est nul")
    ;-)

• # Knoppix

  Posté par Rossel Olivier le 07 mars 2002 à 14:17. Évalué à 10.

  

  Moi j'ai un firewall qui marche tres bien, sans disque dur, en utilisant le CD Knoppix.
  C'est une sorte de Demolinux (base sur Debian donc) utilisant un 2.4.17, et incluant iptables.
  
  Ca le fait bien.

  • [^] # Re: Knoppix

    Posté par zeDek le 07 mars 2002 à 15:41. Évalué à 6.

    

    Ta distro (knoppix) m'interresse mais leur site est en allemand (enfin quelque chose qui s'en rapproche). Donc problème je ne comprends pas l'allemand et donc je peux même pas voir si il propose une traduction de leur site.
    
    Tu peux m'aider please ?

    • [^] # Re: Knoppix

      Posté par poil oq le 07 mars 2002 à 17:03. Évalué à 5.

      

      mais bien sûr, voila leur URL en anglais :
      
      http://www.smoothwall.org(...)

      • [^] # Re: Knoppix

        Posté par poil oq le 07 mars 2002 à 17:06. Évalué à 10.

        

        nan je déconne complétement moi c'est :
        
        http://www.vianova.at/index.php?product_gibraltar_overview_eng(...)

      • [^] # Re: Knoppix

        Posté par cliklik le 09 mars 2002 à 23:19. Évalué à 0.

        

        smoothwall est en 2.2, et quand on est habitué à iptables ça manque.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.