Journal HardenedBSD, ASLR + PIE, Ptrace hardening

Posté par  . Licence CC By‑SA.
Étiquettes :
18
7
sept.
2014

Hello.

Tout récemment, un nouveau projet autour de FreeBSD a emergé. HardenedBSD qui vise a apporter le support ASLR, et quelques autres features.
C'est, en gros, apporter l'esprit Grsecurity dans FreeBSD … tout en essayant de pousser les changements upstream ;-)

En esperant que cela réussisse mieux que TrustedBSD !

Les journaux LinuxFr.org les mieux notés de l’été 2017

Posté par  (site web personnel, Mastodon) . Édité par Davy Defaud et Benoît Sibaud. Modéré par claudex. Licence CC By‑SA.
Étiquettes :
15
11
sept.
2017
LinuxFr.org

LinuxFr.org propose des dépêches et articles, soumis par tout un chacun, puis revus et corrigés par l’équipe de modération avant publication. C’est la partie la plus visible de LinuxFr.org, ce sont les dépêches qui sont le plus lues et suivies, sur le site, via Atom/RSS, ou bien via partage par messagerie instantanée, par courriel, ou encore via médias sociaux.

Bannière LinuxFr.org

Ce que l’on sait moins, c’est que LinuxFr.org vous propose également à tous de tenir vos propres articles directement publiables, sans validation a priori des modérateurs. Ceux‐ci s’appellent des journaux. Voici un florilège d’une dizaine de ces journaux parmi les mieux notés par les utilisateurs… qui notent. Lumière sur ceux des mois de juillet et août passés.

Les journaux LinuxFr.org les mieux notés d'août 2015

Posté par  (site web personnel, Mastodon) . Modéré par bubar🦥. Licence CC By‑SA.
Étiquettes :
14
4
sept.
2015
LinuxFr.org

LinuxFr.org propose des dépêches et articles, soumis par tout un chacun, puis revus et corrigés par l'équipe de modération avant publication. C'est la partie la plus visible de LinuxFr.org, ce sont les dépêches qui sont le plus lues et suivies, sur le site, via Atom/RSS, ou bien via partage par messagerie instantanée, par courriel, ou encore via médias sociaux.

Bannière LinuxFr.org

Ce que l’on sait moins, c’est que LinuxFr.org vous propose également à tous de tenir vos propres articles directement publiables, sans validation a priori des modérateurs. Ceux-ci s'appellent des journaux. Votre blog en fait, hébergé chez nous. Voici un florilège d'une dizaine de ces journaux parmi les mieux notés par les utilisateurs… qui notent. Lumière sur ceux publié en pleine torpeur estivale pendant que vous étiez AFK.

Journal Brad remet le couvert

Posté par  (site web personnel) .
Étiquettes :
14
19
sept.
2009
Brad a décidé de faire parler de lui cette année :-) Il vient (le 16 septembre) d'écrire un exploit pour le noyau 2.6.31 tout chaud, à peine sorti du four (le 9 sept.). Il a d'abord posté des vidéos sur Youtube, puis (le 18 sept.) le code de son exploit :
* Linux 2.6.31 perf_counter 0day Local Root Exploit
* Linux 2.6.31 perf_counter x64 Local Root Exploit
* enlightenment.tgz: exploit ainsi qu'une boite à outils pour faciliter l'écriture (…)

Journal Utiliser un noyau grsecurity sous Debian

Posté par  . Licence CC By‑SA.
Étiquettes :
13
12
sept.
2016

Bonjour tout l'monde.
Un journal pas très détaillé pour dire que malgré les annonces sur la fin prématurée de grecurity, cet ensemble de patchs est toujours vivant, et s'installe (vachement) bien avec Debian.

apt install linux-image-grsec-amd64
reboot

Évidemment des choses vont péter, notamment les programmes qui font du Just-In-Time (pypy, php7, rspamd, etc). Il faut donc utiliser paxctl pour les régler afin de pouvoir continuer à s'exécuter. Ça affaiblit le niveau de sécurité, mais bon, faut bien que ça marche.

(…)

Les journaux LinuxFr.org les mieux notés du mois d’avril 2017

Posté par  (site web personnel, Mastodon) . Édité par Davy Defaud. Modéré par Pierre Jarillon. Licence CC By‑SA.
Étiquettes :
11
5
mai
2017
LinuxFr.org

LinuxFr.org propose des dépêches et articles, soumis par tout un chacun, puis revus et corrigés par l’équipe de modération avant publication. C’est la partie la plus visible de LinuxFr.org, ce sont les dépêches qui sont le plus lues et suivies, sur le site, via Atom/RSS, ou bien via partage par messagerie instantanée, par courriel, ou encore via médias sociaux.

Bannière LinuxFr.org

Ce que l’on sait moins, c’est que LinuxFr.org vous propose également à tous de tenir vos propres articles directement publiables, sans validation a priori des modérateurs. Ceux‐ci s’appellent des journaux. Voici un florilège d’une dizaine de ces journaux parmi les mieux notés par les utilisateurs… qui notent. Lumière sur ceux du mois d’avril passé :

Sondage Quel mécanisme de contrôle d'accès utilisez-vous pour votre système d'exploitation ?

Posté par  . Licence CC By‑SA.
Étiquettes :
7
21
sept.
2014

Avant la conférence Kernel Recipes et la rédaction d'un article pour Linux Mag, j'aimerais lancer les questions suivantes : utilisez-vous un mécanisme de contrôle d'accès avec vos systèmes d'exploitation ? Si oui lequel ?

merci. Samir

  • SElinux :
    103
    (11.6 %)
  • AppArmor :
    79
    (8.9 %)
  • SMACK :
    0
    (0.0 %)
  • tomoyo :
    3
    (0.3 %)
  • yama :
    4
    (0.4 %)
  • capabilities :
    8
    (0.9 %)
  • grsecurity :
    13
    (1.5 %)
  • chroot :
    38
    (4.3 %)
  • aucun (ou le parefeu OpenOffice.org) :
    451
    (50.7 %)
  • geste de la main plus « ce n'est pas cet accès que vous cherchez » :
    155
    (17.4 %)
  • autre (en commentaire ) :
    35
    (3.9 %)

Total : 889 votes

Sondage Dix ans après, quel mécanisme de contrôle d'accès utilisez-vous pour votre système d'exploitation ?

Posté par  . Licence CC By‑SA.
Étiquettes :
5
25
fév.
2023

En cherchant ici du contenu, des avis et des retours d’expériences sur les différentes propositions logiciels (LSM) qui essayent d’augmenter le niveau de sécurité de nos systèmes Linux, j’ai beaucoup trouvé de ressources de la décennie dernière.

Je vous propose donc d’actualiser ce sondage en partageant vos pratiques en la matière, ce que soit sur vos ordinateurs personnels, professionnels ou vos serveurs.

  • Plutôt AppArmor, SELinux, ou GrSecurity ?
  • Les autres propositions semblaient vraiment anecdotiques sur le dernier sondage et c’est uniquement ce dernier qui me les a fait découvrir, certains ici les utilisent ?
  • Est-ce que vos ordinateurs fixes/mobiles/serveurs sont concernés ?
  • SElinux :
    167
    (15.5 %)
  • AppArmor :
    156
    (14.5 %)
  • grsecurity :
    6
    (0.6 %)
  • capabilities :
    18
    (1.7 %)
  • le cloud ! :
    24
    (2.2 %)
  • autre (en commentaire) :
    14
    (1.3 %)
  • eh ben en fait alors je... rien peut-être ? :
    691
    (64.2 %)

Total : 1076 votes

Forum Linux.général Confiner un processus

Posté par  .
Étiquettes :
3
24
mai
2010
Bonjour à tous,

Je recherche une solution simple et efficace pour confiner des processus. Idéalement, la solution, en dehors de l'isolation, permettrait :
  • une consommation de ressources supplémentaires faible
  • une administration aisée
  • éventuellement de pouvoir limité le processus en termes de consommation, mémoire, disque, cpu

Étant donné que mes besoins sont assez légers - en gros isoler un serveur Web, un serveur de base de données... - j'aurais tendance à disqualifier Xen et autres KVM. J'ai ainsi retenu :

ASLR pour le noyau 2.6

Posté par  . Modéré par Nÿco.
Étiquettes :
0
29
oct.
2003
Sécurité
Le premier patch de sécurité (qui ne soit pas un système de contrôle d'accès à la SELinux ou à la RSBAC) pour le noyau 2.6 a vu le jour, il s'agit d'un port basique de la partie du patch PaX (patch utilisé pour la protection de l'espace d'adressage dans grsecurity) concernant la randomization de l'espace d'adressage.

Journal grsecurity va fermer ?

Posté par  (site web personnel) .
Étiquettes :
0
1
juin
2004
5/31/04 Important Announcement Regarding the grsecurity Project Beginning today, May 31, 2004, development of grsecurity will cease. On June 7, the website, forums, mailing list, and CVS will be shut down. Due to a sponsor unexpectedly dropping sponsorship of grsecurity while continually promising payment, I began the summer in debt and had to borrow money from family to pay for food. If none of the companies that depend on grsecurity, some of them being very large, are able to sponsor (…)

Journal Debian, noyau 2.4.23 et grsecurity

Posté par  .
Étiquettes :
0
4
jan.
2004
En cette période post-bacchanale, v'là-t-y pas que l'envie me prend de compiler ma kernel avec la rustine de sécurité qui va bien : grsecurity-1.9.13-2.4.13.
Or donc, en utilisant :
make-kpkg --append-to-version=-grsec --revision=.`date %y%m%d`kernel_image
Je me retrouve devant un paquet qui bégaie !
Jugez plutôt : kernel-image-2.4.23-grsec-grsec_040104_i386.deb
Diante, m'exclame-je ! Je vois double, je suis encore bourré !
Après moultes alkaselzer pour mézigue et M. Propre pour Debian, force est de constater que le sus-dit paquet continue à bégayer alors même (…)

Forum Linux.noyau Freeze quand passerelle buggé

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
0
28
sept.
2015

Bonjour,

J'ai noté un comportement trés étrange, hardware: compute utilite (Noyau 4.1.5 + Grsec + Pax), port eth0 FEC vers internet, port eth1 IGB vers réseau local.
- sysctl net.ipv4.ip_forward=1
- -A POSTROUTING -o ethToInternet -j MASQUERADE
Et tout se qui vas bien pour une passerelle.
Sachant que 192.168.0.1 est ma passerelle, si je fait cela:
/sbin/arp -s 192.168.0.1 30:46:9a:b3:99:66
avec une Mac fausse cela plante tout le hardware. Pas de probléme si je foire une autre addresse Mac (Quelque (…)

Poissons d'avril

Posté par  (site web personnel) . Modéré par Benoît Sibaud.
Étiquettes :
0
2
avr.
2003
Humour
Divers poissons envoyés par les visiteurs de LinuxFr ou récoltés sur le net (non exhaustif bien entendu) :

Sur Deadly.org
OpenBSD Renamed GNU/OpenBSD et
i386 Support Dropped

Sur cpan.org, "Matt Script Archive", une parodie de page perso

Sur gnomemeeting.org/ , Gnome Meeting devient propriétaire

SciencesNat.org sur les oiseaux descendants des poissons

Branchez-vous.com, « IBM engage Linus Torvalds et acquiert Linux »

Sur Libroscope.org, GPLv3 par France Telecom

Distrowatch suggère de tester un nouvel OS

Le CLX attaqué par les rats