Journal Ouin, Grsec il m'embête (T_T)

Posté par  (site web personnel) .
Étiquettes : aucune
0
27
avr.
2004
Cher journal,

Je pensait avoir compris la config avec drakperm (j'ai une mandrake 9.1) et j'ai rajouté une règle pour pouvoir executer les fichier executables dans mon répertoire avec une règle pour /home/dsporn/*

En effet grâce à ça j'ai enfin pu lancer Eclipse sans devoir faire un su /o\

Maintenant, je me mets à la programmation gtk, je me suis créé des sous répertoires qui vont bien pour ranger mes fichiers, mais là, tous les executables de ces dossiers sont refusés par grsec parce qu'ils les estime "untrusted"

J'ai rajouté une règle pour le dossier contenant mon projet : rien.
J'ai changé la règle "/home/dsporn/*" en "/home/dsporn/" des fois que, mais rien non plus.
Sur Google, j'ai trouvé pour un problème similaire le nom de la commande chpax, mais elle n'existe pas sous Mandrake.
J'ai copier mon répertoire à différents endroits, mais j'ai là aussi fait choux blanc.

Bref, là je sèche...

  • # Re: Ouin, Grsec il m'embête (T_T)

    Posté par  . Évalué à 1.

    Je ne sais pas comment fonctionne l'interface drakperm avec une Mandrake. Cependant, en ce qui concerne l'exécution de scripts avec grsec, on peut utiliser l'interface /proc : cf. /proc/sys/kernel/grsecurity
    Là, si le noyau est compilé pour ça, on trouve 3 "variables" :
    - tpe : active/désactive la gestion des chemins sûrs(*) d'exécution par le noyau (echo 1 > tpe pour activer)
    - tpe_gid : numéro du GID pour lequel la restriction d'exécution s'applique
    - tpe_restrict_all : tous les utilisateurs du système voient leur droit d'exécution réduit : ils ne peuvent exécuter que les programmes dans des chemins sûrs(*) et dans les répertoires qui leur appartiennent et où eux seuls ont le droit d'écriture.

    Si on veut limiter les droits d'exécution des utilisateurs afin qu'ils puissent quand même lancer des scripts depuis leurs répertoires, il faut activer tpe_restrict_all mais ces mêmes utilisateurs ne doivent pas appartenir au groupe tpe_gid.

    (*) les chemins sûrs d'exécution (Trusted Path Execution) sont définis de la manière suivante :
    - les répertoires appartiennent au root (uid/gid = 0)
    - les droits de ces répertoires sont 0755 (c'est à dire que personne à part le root ne peut écrire dedans)

    Note, je ne sais pas si ces droits d'exécution peuvent aussi se gérer avec les ACL de GRSecurity, donc j'ai ptet répondu à côté de la plaque ?

    • [^] # Re: Ouin, Grsec il m'embête (T_T)

      Posté par  . Évalué à 2.

      En même temps si tu peux encore modifier les sysctl/proc alors que le système fonctionne tu ferais mieux de retirer totalement ton grsec. Ca evitera de te bouffer 12 cycles CPUs pour rien.

      Il faut bien entendu faire un lock au boot et empecher chargement de module/access aux disques/mem

    • [^] # Re: Ouin, Grsec il m'embête (T_T)

      Posté par  (site web personnel) . Évalué à 1.

      > et dans les répertoires qui leur appartiennent et où eux seuls ont le droit d'écriture

      Au début j'ai pas fait gaffe à ce détail dans ton mail. Merci c'est exactement ce que je veux :) et ça marche \o/

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.