Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

Pages : 1

#1 Le 03/09/2015, à 21:18

Ekinoks

Confinement de processus graphiques

Bonjour,

J'aurais aimé avoir vos avis sur quelle procédure suivre lorsque l'on souhaite exécuter un binaire (avec interface graphique) potentiellement malveillant (donc toute application non open source).

L'idéal serait de pouvoir lancer l'application comme ça :

secure_exec ./leBinaire

et être sur que quelque soit le binaire exécuté, notre système reste saint.

Vous avez la connaissance d'un outil aussi simple d'utilisation que ça pour isoler un processus ?

En cherchant sur internet, je suis tombé sur quelques méthodes permettant d'isoler un processus :
- machine virtuelle style virtualbox : un peu trop usine a gaz.
- chroot : Est-ce que c'est suffisamment sécurisé ?
- lxc : Peut-on exécuter des applications graphiques ?

Que conseillerez-vous comme méthode ?

Merci

Hors ligne

#2 Le 03/09/2015, à 21:28

jplemoine

Re : Confinement de processus graphiques

Ekinoks a écrit :

machine virtuelle style virtualbox : un peu trop usine a gaz.

oui. C'est un peu "prendre un marteau pour écraser une mouche"

Ekinoks a écrit :

chroot : Est-ce que c'est suffisamment sécurisé ?

oui. je pense que c'est bon mais je ne sais pas faire facilement

Ekinoks a écrit :

lxc : Peut-on exécuter des applications graphiques ?

je ne connais pas.

Ce compte ne servira plus : vous pouvez le supprimer si le coeur vous en dit...
Laissé par l'auteur pour historique.

Hors ligne

#3 Le 03/09/2015, à 21:45

Compte anonymisé

Re : Confinement de processus graphiques

Je suis un adepte du chroot. --> https://wiki.debian.org/fr/Chroot
Ce dernier est très proche du jail de FreeBSD par exemple. --> https://www.freebsd.org/doc/fr_FR.ISO88 … jails.html
Je ne connais pas lxc non plus wink

#4 Le 03/09/2015, à 22:53

Ekinoks

Re : Confinement de processus graphiques

Merci pour vos réponses, je vais partir sur un chroot alors big_smile

Hors ligne

#5 Le 04/09/2015, à 21:12

Ekinoks

Re : Confinement de processus graphiques

Ça marche très bien big_smile

Si ça intéresse quelqu'un voici un petit script qui permet de lancer une commande en chroot en faisant simplement :

secure nom_de_la_commande

fichier secure :

#!/bin/bash

PATH_CHROOT="/chroot" 	# Creer un chroot et donner le lien ici

if [ $# -lt 1 ]; then
	echo "Erreur : commande à exécuter à donner en argument."
	exit 1
fi

if [ ! -d "$PATH_CHROOT/tmp/rep" ];then
	sudo mkdir $PATH_CHROOT/tmp/rep
fi

sudo mount --bind $(pwd) $PATH_CHROOT/tmp/rep

sudo chroot /chroot /bin/bash -c "cd /tmp/rep && $*"

sudo umount $PATH_CHROOT/tmp/rep

exit 0

Ne pas oublier de remplacer la valeur de PATH_CHROOT...

Dernière modification par Ekinoks (Le 04/09/2015, à 21:13)

Hors ligne

Pages : 1