Journal Linux sécurisé, GRsecurity, RSBAC, PaX, SSP, libsafe, SElinux,...

Posté par  .
Étiquettes :
0
10
août
2005
Ce journal s'agit en fait d'une sorte de sondage, ou plutôt d'une demande de retour d'expériences.

Je cherche activement à sécuriser mon petit linux des méchants
buffersoverflow et autres joyeusetés... pour une machine x86 en utilisation serveur (PII-266 48moRAM 3goDISK par exemple, mais ne vous heurtez pas à la config, ca pourrai etre un athlon2000+).

dessus ca serai pour utiliser des demons du styles: iptables,dhcpd,ftpd,httpd,sshd

Je cherche à savoir qu'est ce que utilisent les admins qui ont un grand besoin (…)

Le projet PaX compromis

Posté par  (site web personnel) . Modéré par rootix.
Étiquettes :
0
7
mar.
2005
Sécurité
PaX est un projet visant à apporter à Linux des moyens de prévenir et/ou de minimiser l'impact des failles donnant accès à l'espace d'adressage d'une tâche, comme les dépassements de tampon (buffer overflow), les format string attacks, etc. Il est une partie importante de grsecurity, qui fournit un ensemble d'améliorations liées à la sécurité pour Linux (protection renforcée des chroot , RBAC, etc.).

Le projet a annoncé le 4 mars la présence d'une faille majeure dans le code même de PaX, permettant d'obtenir à un utilisateur simple de gagner des droits plus importants sur le système, voire des droits administrateurs. Cette faille est exploitable localement, mais une exploitation à distance semble peu probable.

Une version mise à jour du patch est bien sûr disponible sur le site de PaX, ainsi que la version 2.1.2 de grsecurity qui inclut le correctif. Dans l'urgence,

# echo "0 0" > /proc/sys/vm/pagetable_cache

...permet d'éviter le principal vecteur d'exploitation potentiel.

Les auteurs de PaX ont par ailleurs déclaré qu'au vu de la gravité de la faille et pour d'autres raisons, le développement de celui-ci serait arrêté au 1er avril 2005. Brad Spengler, un des auteurs de grsecurity, s'est cependant porté volontaire pour reprendre le flambeau.

NdM : merci à mmenal pour avoir contribué à la news.

Forum Linux.débutant apache virtualhost readhat grsec

Posté par  .
Étiquettes :
0
17
sept.
2004
Bonjour,

Nous avons pris un serveur OVH au boulot, je souhaite configurer dans apache un virtualhost pour rediriger different domaine vers différent repertoire.

Je configure mon virtualhost comme c'est indiqué dans la doc.
J'obiens

"The requested URL /test.html was not found on this server."

lorsque je lance ma page .

J'ai a priori bien configuré apache ...


Voilà la version du noyau 2.4.26-grsec

On m'a dit que cela pouvait venir du fait d'avoir grsecurity d'installé.

Quelqu'un peut-il me donner plus (…)

Journal 2.6.8 dans les bacs

Posté par  (site web personnel) .
Étiquettes :
0
14
août
2004
Ah mon beau journal, quelle belle journée ensoleillée pour profiter du 2.6.8 final a recompiler sur sa belle station :) Bref, que du bon. Nouveau site pour grsecurity mais pas encore de patch en téléchargement, attendons lundi ou mardi.

LE changelog : http://kernel.org/pub/linux/kernel/v2.6/ChangeLog-2.6.8(...)

Journal httpd + grsecutity

Posté par  .
Étiquettes :
0
9
juin
2004
bonjour à tous,

je suis stagiaire et répand la bonne parole dans mon entreprise mais j'ai besoin de vous pour impressionner mon patron demain (ou à défaut ne pas me faire taper ;-/ ).

j'ai fait des procédures d'installation de serveurs, le problème :
- si je recompile avec ma doc en patchant le noyau avec grsecurity (mode medium dans le xconfig), ça marche
- si j'installe avec ma doc sur un linux "tout frais" apache 2 et que je (…)

Journal Qui va sauver grsecurity ?

Posté par  (site web personnel) .
Étiquettes :
0
31
mai
2004
Le projet grsecurity n'a plus de sponsor et le développement est arrêté. Il est prévu de fermer le site le 7 Juin.

http://www.grsecurity.org/(...)

Pour ceux qui ne connaissent pas il s'agit d'un projet visant à augmenter fortement la sécurité et permettant en particulier d'ajouter de nombreuses restriction à ce que l'on a droit de faire sur la machine

Journal grsecurity va fermer ?

Posté par  (site web personnel) .
Étiquettes :
0
1
juin
2004
5/31/04 Important Announcement Regarding the grsecurity Project Beginning today, May 31, 2004, development of grsecurity will cease. On June 7, the website, forums, mailing list, and CVS will be shut down. Due to a sponsor unexpectedly dropping sponsorship of grsecurity while continually promising payment, I began the summer in debt and had to borrow money from family to pay for food. If none of the companies that depend on grsecurity, some of them being very large, are able to sponsor (…)

Journal Debian, noyau 2.4.23 et grsecurity

Posté par  .
Étiquettes :
0
4
jan.
2004
En cette période post-bacchanale, v'là-t-y pas que l'envie me prend de compiler ma kernel avec la rustine de sécurité qui va bien : grsecurity-1.9.13-2.4.13.
Or donc, en utilisant :
make-kpkg --append-to-version=-grsec --revision=.`date %y%m%d`kernel_image
Je me retrouve devant un paquet qui bégaie !
Jugez plutôt : kernel-image-2.4.23-grsec-grsec_040104_i386.deb
Diante, m'exclame-je ! Je vois double, je suis encore bourré !
Après moultes alkaselzer pour mézigue et M. Propre pour Debian, force est de constater que le sus-dit paquet continue à bégayer alors même (…)

ASLR pour le noyau 2.6

Posté par  . Modéré par Nÿco.
Étiquettes :
0
29
oct.
2003
Sécurité
Le premier patch de sécurité (qui ne soit pas un système de contrôle d'accès à la SELinux ou à la RSBAC) pour le noyau 2.6 a vu le jour, il s'agit d'un port basique de la partie du patch PaX (patch utilisé pour la protection de l'espace d'adressage dans grsecurity) concernant la randomization de l'espace d'adressage.

Journal ce Maudit GRSecurity

Posté par  .
Étiquettes :
0
3
sept.
2003
Chère journal,

je déprime vraiment ;-), après ces windowsien que je connais pas qui
veulent me rendre malade avec leur virus, j'ai mon serveur WWW qui
m'embête.

Comment ca ??, et bien en ne voulant pas m'exécuter un script cgi autre
part que dans le repertoire d'apache (/home/www/).

J'ai essayé plein de trucs et astuces, j'ai cherché sur le net, tout le mondde
à ce problème mais personne ne connais la soluce :'-(.

En fait, j'ai configuré apache pour que (…)

Journal Bouh la la qu'est ce qui ce passe.....

Posté par  (site web personnel) .
Étiquettes :
0
14
août
2003
Rho la j'ai une merde ... bizarre. Hier soir je faisait un inventaires des diverses videos et autres fichiers multimedia disponibles sur mes DD.
Nautilus me proposait de lire les videos avec totem (un derive de xine) ... mais impossible de faire quoi que ce soit, l'interface n'apparaissait pas et le processus restait en fond.
Qu'a cela ne tienne je me dit c un bug dans totem (je venait de mettre a jour ma Debian/sid) et je lance mon mplayer (…)

Journal @#§! de patch WOLK

Posté par  (site web personnel) .
Étiquettes :
0
12
juin
2003
Lorsque je suis tombé sur http://wolk.sf.net/ (Wolk est un très gros patch à appliquer sur le noyau 2.4.20 apportant toutes les améliorations des versions de developpement 2.5.x), je me suis dit « Chouette, c'est mon serveur qui va etre heureux ». Mais que de soucis avec ! Tout d'abord, à ma première recompilation j'avais oublié d'incorporer le bon support des quotas (Il y a 3 interfaces/API/Formats différentes), ensuite, un autre probleme avec la gestion du NAT, puis impossible d'obtenir la (…)

Journal kernel securisé

Posté par  .
Étiquettes :
0
30
mar.
2003
il y a un kernel avec la mdk 9.1 version securisé http://grsecurity.net/features.php quelqu'un a testé ? sinon je trouve la nouvelle version de mdk lourde mon amd k6 2 souffre meme avec 456 de ram, serait QT2 ? cela sera sans doute la derniere upgrade et peut etre un openbsd la prochaine fois sir les ports sont plus consistants dans la version 3.3.

Poissons d'avril

Posté par  (site web personnel) . Modéré par Benoît Sibaud.
Étiquettes :
0
2
avr.
2003
Humour
Divers poissons envoyés par les visiteurs de LinuxFr ou récoltés sur le net (non exhaustif bien entendu) :

Sur Deadly.org
OpenBSD Renamed GNU/OpenBSD et
i386 Support Dropped

Sur cpan.org, "Matt Script Archive", une parodie de page perso

Sur gnomemeeting.org/ , Gnome Meeting devient propriétaire

SciencesNat.org sur les oiseaux descendants des poissons

Branchez-vous.com, « IBM engage Linus Torvalds et acquiert Linux »

Sur Libroscope.org, GPLv3 par France Telecom

Distrowatch suggère de tester un nouvel OS

Le CLX attaqué par les rats