Journal HardenedBSD, ASLR + PIE, Ptrace hardening

Posté par David Carlier le 07 septembre 2014 à 09:20. Licence CC By‑SA.

Étiquettes :

18

7

sept.

2014

Hello.

Tout récemment, un nouveau projet autour de FreeBSD a emergé. HardenedBSD qui vise a apporter le support ASLR, et quelques autres features.
C'est, en gros, apporter l'esprit Grsecurity dans FreeBSD … tout en essayant de pousser les changements upstream ;-)

En esperant que cela réussisse mieux que TrustedBSD !

Les journaux LinuxFr.org les mieux notés de l’été 2017

Posté par Florent Zara (site web personnel, Mastodon) le 11 septembre 2017 à 12:57. Édité par Davy Defaud et Benoît Sibaud. Modéré par claudex. Licence CC By‑SA.

Étiquettes :

15

11

sept.

2017

LinuxFr.org propose des dépêches et articles, soumis par tout un chacun, puis revus et corrigés par l’équipe de modération avant publication. C’est la partie la plus visible de LinuxFr.org, ce sont les dépêches qui sont le plus lues et suivies, sur le site, via Atom/RSS, ou bien via partage par messagerie instantanée, par courriel, ou encore via médias sociaux.

Bannière LinuxFr.org

Ce que l’on sait moins, c’est que LinuxFr.org vous propose également à tous de tenir vos propres articles directement publiables, sans validation a priori des modérateurs. Ceux‐ci s’appellent des journaux. Voici un florilège d’une dizaine de ces journaux parmi les mieux notés par les utilisateurs… qui notent. Lumière sur ceux des mois de juillet et août passés.

Journal Brad remet le couvert

Posté par Victor STINNER (site web personnel) le 19 septembre 2009 à 05:24.

Étiquettes :

14

19

sept.

2009

Brad a décidé de faire parler de lui cette année :-) Il vient (le 16 septembre) d'écrire un exploit pour le noyau 2.6.31 tout chaud, à peine sorti du four (le 9 sept.). Il a d'abord posté des vidéos sur Youtube, puis (le 18 sept.) le code de son exploit :
* Linux 2.6.31 perf_counter 0day Local Root Exploit
* Linux 2.6.31 perf_counter x64 Local Root Exploit
* enlightenment.tgz: exploit ainsi qu'une boite à outils pour faciliter l'écriture (…)

Les journaux LinuxFr.org les mieux notés d'août 2015

Posté par Florent Zara (site web personnel, Mastodon) le 04 septembre 2015 à 14:13. Modéré par bubar🦥. Licence CC By‑SA.

Étiquettes :

14

4

sept.

2015

LinuxFr.org propose des dépêches et articles, soumis par tout un chacun, puis revus et corrigés par l'équipe de modération avant publication. C'est la partie la plus visible de LinuxFr.org, ce sont les dépêches qui sont le plus lues et suivies, sur le site, via Atom/RSS, ou bien via partage par messagerie instantanée, par courriel, ou encore via médias sociaux.

Bannière LinuxFr.org

Ce que l’on sait moins, c’est que LinuxFr.org vous propose également à tous de tenir vos propres articles directement publiables, sans validation a priori des modérateurs. Ceux-ci s'appellent des journaux. Votre blog en fait, hébergé chez nous. Voici un florilège d'une dizaine de ces journaux parmi les mieux notés par les utilisateurs… qui notent. Lumière sur ceux publié en pleine torpeur estivale pendant que vous étiez AFK.

La fin du "permissive add-on model" chez Mozilla, ou comment flinguer une base d'extensions par Kalenx
La saga FFmpeg continue par desktop.ready
C'est lundi : Mon expérience Linux ou l'utopie devient réalité extatique par Neije
Concours de musique 1-bit par zurvan
À propos d'IPv4 et d'IPv6 par Adrien Dorsaz
Grsecurity : le patch stable réservé aux sponsors par patrick_g
Enfin un successeur à Freecode (ex-Freshmeat) ? par Claude SIMON
Alpine Linux 3.2.3 par smumu
le dessous des cartes par steph1978
Petite prévision pour l'avenir. Oracle ! par Thom
Accessibilité: ACAT, Intel libère le logiciel d'assistance du professeur Hawking par Tonton Benoit

Journal Utiliser un noyau grsecurity sous Debian

Posté par Glandos le 12 septembre 2016 à 14:13. Licence CC By‑SA.

Étiquettes :

13

12

sept.

2016

Bonjour tout l'monde.
Un journal pas très détaillé pour dire que malgré les annonces sur la fin prématurée de grecurity, cet ensemble de patchs est toujours vivant, et s'installe (vachement) bien avec Debian.

apt install linux-image-grsec-amd64
reboot

Évidemment des choses vont péter, notamment les programmes qui font du Just-In-Time (pypy, php7, rspamd, etc). Il faut donc utiliser paxctl pour les régler afin de pouvoir continuer à s'exécuter. Ça affaiblit le niveau de sécurité, mais bon, faut bien que ça marche.

(…)

Les journaux LinuxFr.org les mieux notés du mois d’avril 2017

Posté par Florent Zara (site web personnel, Mastodon) le 05 mai 2017 à 00:27. Édité par Davy Defaud. Modéré par Pierre Jarillon. Licence CC By‑SA.

Étiquettes :

11

5

mai

2017

LinuxFr.org propose des dépêches et articles, soumis par tout un chacun, puis revus et corrigés par l’équipe de modération avant publication. C’est la partie la plus visible de LinuxFr.org, ce sont les dépêches qui sont le plus lues et suivies, sur le site, via Atom/RSS, ou bien via partage par messagerie instantanée, par courriel, ou encore via médias sociaux.

Bannière LinuxFr.org

Ce que l’on sait moins, c’est que LinuxFr.org vous propose également à tous de tenir vos propres articles directement publiables, sans validation a priori des modérateurs. Ceux‐ci s’appellent des journaux. Voici un florilège d’une dizaine de ces journaux parmi les mieux notés par les utilisateurs… qui notent. Lumière sur ceux du mois d’avril passé :

Mark Shuttleworth annonce l’abandon d’Unity, par patrick_g ;
Un print(1 + "3a"), ça nous inspire comment ?, par anaseto ;
On cherche mes remplaçants…, par Denis Dordoigne ;
Arrestation du développeur Debian Dmitry Bogatov, par kantien ;
Pas de trackers sur interieur.gouv.fr, par elf32 ;
Mettre ses parties en ligne !, par Renaud Guezennec ;
Gamedev Framework 0.4.0, par rewind ;
Mastodon, le réseau social qui monte ?, par Space_e_man ;
Et si on achetait des serveurs Open Hardware ?, par vejmarie ;
grsecurity abandonne le gratuit, par Glandos.

Sondage Quel mécanisme de contrôle d'accès utilisez-vous pour votre système d'exploitation ?

Posté par arkhe le 21 septembre 2014 à 13:21. Licence CC By‑SA.

Étiquettes :

7

21

sept.

2014

Avant la conférence Kernel Recipes et la rédaction d'un article pour Linux Mag, j'aimerais lancer les questions suivantes : utilisez-vous un mécanisme de contrôle d'accès avec vos systèmes d'exploitation ? Si oui lequel ?

merci. Samir

SElinux :
103
(11.6 %)
AppArmor :
79
(8.9 %)
SMACK :
0
(0.0 %)
tomoyo :
3
(0.3 %)
yama :
4
(0.4 %)
capabilities :
8
(0.9 %)
grsecurity :
13
(1.5 %)
chroot :
38
(4.3 %)
aucun (ou le parefeu OpenOffice.org) :
451
(50.7 %)
geste de la main plus « ce n'est pas cet accès que vous cherchez » :
155
(17.4 %)
autre (en commentaire ) :
35
(3.9 %)

Total : 889 votes

Sondage Dix ans après, quel mécanisme de contrôle d'accès utilisez-vous pour votre système d'exploitation ?

Posté par Julien.D le 25 février 2023 à 18:54. Licence CC By‑SA.

Étiquettes :

5

25

fév.

2023

En cherchant ici du contenu, des avis et des retours d’expériences sur les différentes propositions logiciels (LSM) qui essayent d’augmenter le niveau de sécurité de nos systèmes Linux, j’ai beaucoup trouvé de ressources de la décennie dernière.

Je vous propose donc d’actualiser ce sondage en partageant vos pratiques en la matière, ce que soit sur vos ordinateurs personnels, professionnels ou vos serveurs.

Plutôt AppArmor, SELinux, ou GrSecurity ?
Les autres propositions semblaient vraiment anecdotiques sur le dernier sondage et c’est uniquement ce dernier qui me les a fait découvrir, certains ici les utilisent ?
Est-ce que vos ordinateurs fixes/mobiles/serveurs sont concernés ?

SElinux :
167
(15.5 %)
AppArmor :
156
(14.5 %)
grsecurity :
6
(0.6 %)
capabilities :
18
(1.7 %)
le cloud ! :
24
(2.2 %)
autre (en commentaire) :
14
(1.3 %)
eh ben en fait alors je... rien peut-être ? :
691
(64.2 %)

Total : 1076 votes

Forum Linux.général Confiner un processus

Posté par Yakulu le 24 mai 2010 à 15:13.

Étiquettes :

3

24

mai

2010

Bonjour à tous,

Je recherche une solution simple et efficace pour confiner des processus. Idéalement, la solution, en dehors de l'isolation, permettrait :

une consommation de ressources supplémentaires faible
une administration aisée
éventuellement de pouvoir limité le processus en termes de consommation, mémoire, disque, cpu

Étant donné que mes besoins sont assez légers - en gros isoler un serveur Web, un serveur de base de données... - j'aurais tendance à disqualifier Xen et autres KVM. J'ai ainsi retenu :

Le (…)

Journal Debian, noyau 2.4.23 et grsecurity

Posté par TyrandO le 04 janvier 2004 à 15:53.

Étiquettes :

0

4

jan.

2004

En cette période post-bacchanale, v'là-t-y pas que l'envie me prend de compiler ma kernel avec la rustine de sécurité qui va bien : grsecurity-1.9.13-2.4.13.
Or donc, en utilisant :
make-kpkg --append-to-version=-grsec --revision=.`date %y%m%d`kernel_image
Je me retrouve devant un paquet qui bégaie !
Jugez plutôt : kernel-image-2.4.23-grsec-grsec_040104_i386.deb
Diante, m'exclame-je ! Je vois double, je suis encore bourré !
Après moultes alkaselzer pour mézigue et M. Propre pour Debian, force est de constater que le sus-dit paquet continue à bégayer alors même (…)

Journal 2.6.8 dans les bacs

Posté par FRLinux (site web personnel) le 14 août 2004 à 12:37.

Étiquettes :

0

14

août

2004

Ah mon beau journal, quelle belle journée ensoleillée pour profiter du 2.6.8 final a recompiler sur sa belle station :) Bref, que du bon. Nouveau site pour grsecurity mais pas encore de patch en téléchargement, attendons lundi ou mardi.

LE changelog : http://kernel.org/pub/linux/kernel/v2.6/ChangeLog-2.6.8(...)

Forum Linux.noyau Freeze quand passerelle buggé

Posté par alpha_one_x86 (site web personnel) le 28 septembre 2015 à 12:25. Licence CC By‑SA.

Étiquettes :

0

28

sept.

2015

Bonjour,

J'ai noté un comportement trés étrange, hardware: compute utilite (Noyau 4.1.5 + Grsec + Pax), port eth0 FEC vers internet, port eth1 IGB vers réseau local.
- sysctl net.ipv4.ip_forward=1
- -A POSTROUTING -o ethToInternet -j MASQUERADE
Et tout se qui vas bien pour une passerelle.
Sachant que 192.168.0.1 est ma passerelle, si je fait cela:
/sbin/arp -s 192.168.0.1 30:46:9a:b3:99:66
avec une Mac fausse cela plante tout le hardware. Pas de probléme si je foire une autre addresse Mac (Quelque (…)

Sortie d'OpenWall Linux 1.0

Posté par j le 16 octobre 2002 à 23:43. Modéré par Amaury.

Étiquettes :

0

16

oct.

2002

OpenWall Linux est une distribution libre, volontairement dépouillée de gadgets, mais fortement axée sur la sécurité.

Après un an de tests, Solar Designer et son équipe viennent de fêter la sortie de la version 1.0 de cette distribution. Les procédures d'installation rebuteront les habitués des installeurs graphiques, mais raviront ceux qui préférent les installeurs textes.

Ndm : Openwall est également connu pour les patches destinés à sécuriser le noyau Linux, comme grsecurity.

Journal @#§! de patch WOLK

Posté par Nicolas Bareil (site web personnel) le 12 juin 2003 à 16:16.

Étiquettes :

0

12

juin

2003

Lorsque je suis tombé sur http://wolk.sf.net/ (Wolk est un très gros patch à appliquer sur le noyau 2.4.20 apportant toutes les améliorations des versions de developpement 2.5.x), je me suis dit « Chouette, c'est mon serveur qui va etre heureux ». Mais que de soucis avec ! Tout d'abord, à ma première recompilation j'avais oublié d'incorporer le bon support des quotas (Il y a 3 interfaces/API/Formats différentes), ensuite, un autre probleme avec la gestion du NAT, puis impossible d'obtenir la (…)

Graves problèmes de sécurité dans x.org

Posté par tuiu pol le 15 mai 2006 à 16:56. Modéré par rootix.

Étiquettes :

0

15

mai

2006

Un chercheur français du DCSSI, Loïc Duflot, a récemment publié un article sur un trou de sécurité dans l'architecture même de x.org, faille suffisante pour contourner les protections habituelles (type SELinux, GRsecurity, etc).

La description du problème est assez complexe mais securityfocus a publié une interview de M. Duflot très éclairante : il s'agit de profiter de l'accès direct (sans passer par le noyau), par X11, a certaines fonctionnalités des processeurs x86 pour pouvoir détourner les flux logiciels, et exécuter du code à l'insu du noyau (et de ses éventuelles couches de protections).

NdA : Merci à herodiade pour son journal. Je vous invite à lire les commentaires intéressants qui ont été faits.

Tous les contenus étiquetés avec « grsecurity »