Journal HardenedBSD, ASLR + PIE, Ptrace hardening

Posté par David Carlier le 07 septembre 2014 à 09:20. Licence CC By‑SA.

Étiquettes :

18

7

sept.

2014

Hello.

Tout récemment, un nouveau projet autour de FreeBSD a emergé. HardenedBSD qui vise a apporter le support ASLR, et quelques autres features.
C'est, en gros, apporter l'esprit Grsecurity dans FreeBSD … tout en essayant de pousser les changements upstream ;-)

En esperant que cela réussisse mieux que TrustedBSD !

Les journaux LinuxFr.org les mieux notés de l’été 2017

Posté par Florent Zara (site web personnel, Mastodon) le 11 septembre 2017 à 12:57. Édité par Davy Defaud et Benoît Sibaud. Modéré par claudex. Licence CC By‑SA.

Étiquettes :

15

11

sept.

2017

LinuxFr.org propose des dépêches et articles, soumis par tout un chacun, puis revus et corrigés par l’équipe de modération avant publication. C’est la partie la plus visible de LinuxFr.org, ce sont les dépêches qui sont le plus lues et suivies, sur le site, via Atom/RSS, ou bien via partage par messagerie instantanée, par courriel, ou encore via médias sociaux.

Bannière LinuxFr.org

Ce que l’on sait moins, c’est que LinuxFr.org vous propose également à tous de tenir vos propres articles directement publiables, sans validation a priori des modérateurs. Ceux‐ci s’appellent des journaux. Voici un florilège d’une dizaine de ces journaux parmi les mieux notés par les utilisateurs… qui notent. Lumière sur ceux des mois de juillet et août passés.

Journal Brad remet le couvert

Posté par Victor STINNER (site web personnel) le 19 septembre 2009 à 05:24.

Étiquettes :

14

19

sept.

2009

Brad a décidé de faire parler de lui cette année :-) Il vient (le 16 septembre) d'écrire un exploit pour le noyau 2.6.31 tout chaud, à peine sorti du four (le 9 sept.). Il a d'abord posté des vidéos sur Youtube, puis (le 18 sept.) le code de son exploit :
* Linux 2.6.31 perf_counter 0day Local Root Exploit
* Linux 2.6.31 perf_counter x64 Local Root Exploit
* enlightenment.tgz: exploit ainsi qu'une boite à outils pour faciliter l'écriture (…)

Les journaux LinuxFr.org les mieux notés d'août 2015

Posté par Florent Zara (site web personnel, Mastodon) le 04 septembre 2015 à 14:13. Modéré par bubar🦥. Licence CC By‑SA.

Étiquettes :

14

4

sept.

2015

LinuxFr.org propose des dépêches et articles, soumis par tout un chacun, puis revus et corrigés par l'équipe de modération avant publication. C'est la partie la plus visible de LinuxFr.org, ce sont les dépêches qui sont le plus lues et suivies, sur le site, via Atom/RSS, ou bien via partage par messagerie instantanée, par courriel, ou encore via médias sociaux.

Bannière LinuxFr.org

Ce que l’on sait moins, c’est que LinuxFr.org vous propose également à tous de tenir vos propres articles directement publiables, sans validation a priori des modérateurs. Ceux-ci s'appellent des journaux. Votre blog en fait, hébergé chez nous. Voici un florilège d'une dizaine de ces journaux parmi les mieux notés par les utilisateurs… qui notent. Lumière sur ceux publié en pleine torpeur estivale pendant que vous étiez AFK.

La fin du "permissive add-on model" chez Mozilla, ou comment flinguer une base d'extensions par Kalenx
La saga FFmpeg continue par desktop.ready
C'est lundi : Mon expérience Linux ou l'utopie devient réalité extatique par Neije
Concours de musique 1-bit par zurvan
À propos d'IPv4 et d'IPv6 par Adrien Dorsaz
Grsecurity : le patch stable réservé aux sponsors par patrick_g
Enfin un successeur à Freecode (ex-Freshmeat) ? par Claude SIMON
Alpine Linux 3.2.3 par smumu
le dessous des cartes par steph1978
Petite prévision pour l'avenir. Oracle ! par Thom
Accessibilité: ACAT, Intel libère le logiciel d'assistance du professeur Hawking par Tonton Benoit

Journal Utiliser un noyau grsecurity sous Debian

Posté par Glandos le 12 septembre 2016 à 14:13. Licence CC By‑SA.

Étiquettes :

13

12

sept.

2016

Bonjour tout l'monde.
Un journal pas très détaillé pour dire que malgré les annonces sur la fin prématurée de grecurity, cet ensemble de patchs est toujours vivant, et s'installe (vachement) bien avec Debian.

apt install linux-image-grsec-amd64
reboot

Évidemment des choses vont péter, notamment les programmes qui font du Just-In-Time (pypy, php7, rspamd, etc). Il faut donc utiliser paxctl pour les régler afin de pouvoir continuer à s'exécuter. Ça affaiblit le niveau de sécurité, mais bon, faut bien que ça marche.

(…)

Les journaux LinuxFr.org les mieux notés du mois d’avril 2017

Posté par Florent Zara (site web personnel, Mastodon) le 05 mai 2017 à 00:27. Édité par Davy Defaud. Modéré par Pierre Jarillon. Licence CC By‑SA.

Étiquettes :

11

5

mai

2017

LinuxFr.org propose des dépêches et articles, soumis par tout un chacun, puis revus et corrigés par l’équipe de modération avant publication. C’est la partie la plus visible de LinuxFr.org, ce sont les dépêches qui sont le plus lues et suivies, sur le site, via Atom/RSS, ou bien via partage par messagerie instantanée, par courriel, ou encore via médias sociaux.

Bannière LinuxFr.org

Ce que l’on sait moins, c’est que LinuxFr.org vous propose également à tous de tenir vos propres articles directement publiables, sans validation a priori des modérateurs. Ceux‐ci s’appellent des journaux. Voici un florilège d’une dizaine de ces journaux parmi les mieux notés par les utilisateurs… qui notent. Lumière sur ceux du mois d’avril passé :

Mark Shuttleworth annonce l’abandon d’Unity, par patrick_g ;
Un print(1 + "3a"), ça nous inspire comment ?, par anaseto ;
On cherche mes remplaçants…, par Denis Dordoigne ;
Arrestation du développeur Debian Dmitry Bogatov, par kantien ;
Pas de trackers sur interieur.gouv.fr, par elf32 ;
Mettre ses parties en ligne !, par Renaud Guezennec ;
Gamedev Framework 0.4.0, par rewind ;
Mastodon, le réseau social qui monte ?, par Space_e_man ;
Et si on achetait des serveurs Open Hardware ?, par vejmarie ;
grsecurity abandonne le gratuit, par Glandos.

Sondage Quel mécanisme de contrôle d'accès utilisez-vous pour votre système d'exploitation ?

Posté par arkhe le 21 septembre 2014 à 13:21. Licence CC By‑SA.

Étiquettes :

7

21

sept.

2014

Avant la conférence Kernel Recipes et la rédaction d'un article pour Linux Mag, j'aimerais lancer les questions suivantes : utilisez-vous un mécanisme de contrôle d'accès avec vos systèmes d'exploitation ? Si oui lequel ?

merci. Samir

SElinux :
103
(11.6 %)
AppArmor :
79
(8.9 %)
SMACK :
0
(0.0 %)
tomoyo :
3
(0.3 %)
yama :
4
(0.4 %)
capabilities :
8
(0.9 %)
grsecurity :
13
(1.5 %)
chroot :
38
(4.3 %)
aucun (ou le parefeu OpenOffice.org) :
451
(50.7 %)
geste de la main plus « ce n'est pas cet accès que vous cherchez » :
155
(17.4 %)
autre (en commentaire ) :
35
(3.9 %)

Total : 889 votes

Sondage Dix ans après, quel mécanisme de contrôle d'accès utilisez-vous pour votre système d'exploitation ?

Posté par Julien.D le 25 février 2023 à 18:54. Licence CC By‑SA.

Étiquettes :

5

25

fév.

2023

En cherchant ici du contenu, des avis et des retours d’expériences sur les différentes propositions logiciels (LSM) qui essayent d’augmenter le niveau de sécurité de nos systèmes Linux, j’ai beaucoup trouvé de ressources de la décennie dernière.

Je vous propose donc d’actualiser ce sondage en partageant vos pratiques en la matière, ce que soit sur vos ordinateurs personnels, professionnels ou vos serveurs.

Plutôt AppArmor, SELinux, ou GrSecurity ?
Les autres propositions semblaient vraiment anecdotiques sur le dernier sondage et c’est uniquement ce dernier qui me les a fait découvrir, certains ici les utilisent ?
Est-ce que vos ordinateurs fixes/mobiles/serveurs sont concernés ?

SElinux :
167
(15.5 %)
AppArmor :
156
(14.5 %)
grsecurity :
6
(0.6 %)
capabilities :
18
(1.7 %)
le cloud ! :
24
(2.2 %)
autre (en commentaire) :
14
(1.3 %)
eh ben en fait alors je... rien peut-être ? :
691
(64.2 %)

Total : 1076 votes

Forum Linux.général Confiner un processus

Posté par Yakulu le 24 mai 2010 à 15:13.

Étiquettes :

3

24

mai

2010

Bonjour à tous,

Je recherche une solution simple et efficace pour confiner des processus. Idéalement, la solution, en dehors de l'isolation, permettrait :

une consommation de ressources supplémentaires faible
une administration aisée
éventuellement de pouvoir limité le processus en termes de consommation, mémoire, disque, cpu

Étant donné que mes besoins sont assez légers - en gros isoler un serveur Web, un serveur de base de données... - j'aurais tendance à disqualifier Xen et autres KVM. J'ai ainsi retenu :

Le (…)

Sortie d'OpenWall Linux 1.0

Posté par j le 16 octobre 2002 à 23:43. Modéré par Amaury.

Étiquettes :

0

16

oct.

2002

OpenWall Linux est une distribution libre, volontairement dépouillée de gadgets, mais fortement axée sur la sécurité.

Après un an de tests, Solar Designer et son équipe viennent de fêter la sortie de la version 1.0 de cette distribution. Les procédures d'installation rebuteront les habitués des installeurs graphiques, mais raviront ceux qui préférent les installeurs textes.

Ndm : Openwall est également connu pour les patches destinés à sécuriser le noyau Linux, comme grsecurity.

Journal @#§! de patch WOLK

Posté par Nicolas Bareil (site web personnel) le 12 juin 2003 à 16:16.

Étiquettes :

0

12

juin

2003

Lorsque je suis tombé sur http://wolk.sf.net/ (Wolk est un très gros patch à appliquer sur le noyau 2.4.20 apportant toutes les améliorations des versions de developpement 2.5.x), je me suis dit « Chouette, c'est mon serveur qui va etre heureux ». Mais que de soucis avec ! Tout d'abord, à ma première recompilation j'avais oublié d'incorporer le bon support des quotas (Il y a 3 interfaces/API/Formats différentes), ensuite, un autre probleme avec la gestion du NAT, puis impossible d'obtenir la (…)

Graves problèmes de sécurité dans x.org

Posté par tuiu pol le 15 mai 2006 à 16:56. Modéré par rootix.

Étiquettes :

0

15

mai

2006

Un chercheur français du DCSSI, Loïc Duflot, a récemment publié un article sur un trou de sécurité dans l'architecture même de x.org, faille suffisante pour contourner les protections habituelles (type SELinux, GRsecurity, etc).

La description du problème est assez complexe mais securityfocus a publié une interview de M. Duflot très éclairante : il s'agit de profiter de l'accès direct (sans passer par le noyau), par X11, a certaines fonctionnalités des processeurs x86 pour pouvoir détourner les flux logiciels, et exécuter du code à l'insu du noyau (et de ses éventuelles couches de protections).

NdA : Merci à herodiade pour son journal. Je vous invite à lire les commentaires intéressants qui ont été faits.

Journal Linux sécurisé, GRsecurity, RSBAC, PaX, SSP, libsafe, SElinux,...

Posté par abc le 10 août 2005 à 23:01.

Étiquettes :

0

10

août

2005

Ce journal s'agit en fait d'une sorte de sondage, ou plutôt d'une demande de retour d'expériences.

Je cherche activement à sécuriser mon petit linux des méchants
buffersoverflow et autres joyeusetés... pour une machine x86 en utilisation serveur (PII-266 48moRAM 3goDISK par exemple, mais ne vous heurtez pas à la config, ca pourrai etre un athlon2000+).

dessus ca serai pour utiliser des demons du styles: iptables,dhcpd,ftpd,httpd,sshd

Je cherche à savoir qu'est ce que utilisent les admins qui ont un grand besoin (…)

Journal httpd + grsecutity

Posté par lbw le 09 juin 2004 à 15:20.

Étiquettes :

0

9

juin

2004

bonjour à tous,

je suis stagiaire et répand la bonne parole dans mon entreprise mais j'ai besoin de vous pour impressionner mon patron demain (ou à défaut ne pas me faire taper ;-/ ).

j'ai fait des procédures d'installation de serveurs, le problème :
- si je recompile avec ma doc en patchant le noyau avec grsecurity (mode medium dans le xconfig), ça marche
- si j'installe avec ma doc sur un linux "tout frais" apache 2 et que je (…)

Forum Linux.noyau Résultat de paxtest

Posté par Henry-Nicolas Tourneur (site web personnel) le 23 juillet 2007 à 19:43.

Étiquettes :

0

23

juil.

2007

Bonjour, Je suis en train de configurer grsecurity et pax sur un kernel 2.6.19.2. Je lance paxtest pour voire les progressions mais il y a 4 vulnérabilités que je n'arrive pas à écarter. Voici le résultat de ./paxtest blackhat :

PaXtest - Copyright(c) 2003,2004 by Peter Busser  Released under the GNU Public Licence version 2 or later Mode: blackhat Linux Viki 2.6.19.2-grsec #7 Mon Jul 23 18:07:29 CEST 2007 i686 GNU/Linux Executable anonymous mapping : Killed Executable bss : (…)

Tous les contenus étiquetés avec « grsecurity »