Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 28/08/2011, à 10:16

01101011

Grsecurity VS SELinux VS Whatever

Bonjour,

Je suis confronté à un choix plutôt difficile et important.

Je dois absolument sécuriser un chroot, mais bon un chroot à la base c'pas fait pour empêcher quelqu'un de pénétrer ton système et l'empêcher de s'échapper du chroot, mais ça peut se faire.

Alors on me parle de Grsecurity, que je ne connaissais pas et qui semble être un logiciel très puissant puisqu'il permet même à root d'interdire certaine chose (utile dans le cas d'un chroot) et très avancé en terme de sécurité. Seulement, ce gros patch n'est pas du tout apprécié de Linus Torvalds. Certes ce type est un troll mais je crois que s'il refuse quelque chose d'aussi important dans le kernel (plusieurs dizaines de milliers de lignes) c'est qu'il a une bonne raison. D'un autre côté : Linus et Grsecurity ne se supportent pas, en effet Grsecurity ne fait aucun effort pour accepter la critique et ne souhaite pas jouer dans «les mêmes règles» et utiliser certaines choses que les devs du kernel Linux ont choisit (sûrement pour de bonne raison, toujours). Alors Linus les refuses systématiquement (ce qui est compréhensible). De l'autre Linus le dit carrément, la sécurité il s'en tape pas mal...
Comme je le disais, Grsecurity est un patch non intégré de base dans le noyau de plusieurs dizaines de milliers de lignes ! Ce n'est pas rien ! Et il peut provoquer des problèmes quand un nouveau noyau sort (bon, j'suis sur Squeeze, là n'est pas la question tongue !).
Le choix officiel est SELinux, ou apparmor (si j'ai bien compris). Dans le cas de SELinux il est utilisé par défaut par Fedora, CentOS et RHEL (ce qui n'est pas rien, je rappel que RHEL est le GNU/Linux le plus installé sur des serveurs pros) mais semble, selon quelqu'un qui m'a conseillé, vraiment chiant à maintenir (pas plus de détail).

Pas mal de gens m'ont conseillé Grsecurity, mais il me fait peur ce truc vraiment... J'ai peur que ce soit une grosse bidouille. En plus ce truc a apparemment faillit être gelé (plus maintenue) à cause de problèmes de finances (notamment du fait qu'il ne soit pas de base dans le noyau, dur d'avoir des sponsors après).

Des conseils ?

#2 Le 28/08/2011, à 10:57

Xun

Re : Grsecurity VS SELinux VS Whatever

Moi je m'abonne.

Cela dit, j'ai toujours entendu parler de SElinux ...

Xun

Hors ligne

#3 Le 24/03/2014, à 21:45

francoise_peace

Re : Grsecurity VS SELinux VS Whatever

J'ai découvert Lynis Auditing Tool gratuit, génial, on me parle de tout cela au fur et à mesure du check up de sécurité qui est long:

[+] Security frameworks
------------------------------------
  - Checking presence AppArmor                                [ FOUND ]
    - Checking AppArmor status                                [ ENABLED ]
  - Checking presence SELinux                                 [ NOT FOUND ]
  - Checking presence grsecurity                              [ NOT FOUND ]

[ Press [ENTER] to continue, or [CTRL]+C to stop ]

[+] Software: Malware scanners
------------------------------------
  - Checking chkrootkit...                                    [ NOT FOUND ]
  - Checking Rootkit Hunter...                                [ NOT FOUND ]
  - Checking ClamAV scanner...                                [ NOT FOUND ]
  - Checking ClamAV daemon...                                 [ NOT FOUND ]

Hors ligne