Je reste toujours simple avec mes configs. Je doit reconnaitre que Systrace, je m'en fous un peu voir complètement. Unix a un système de protection plutôt cohérant. L'utilisation de Systrace, avec l'accroissement de privilège, est un détournement des principes de base d'unix et rend le système moins cohérant, il y a un moins bonne visibilité sur la sécurité. Attention, je ne nie pas son intérêt dans quelques cas particuliers.
Je suis d'accord que pour le "commun des utilisateurs Linux", Systrace est un outil complexe et peut-être pas nécessaire.
Néanmoins, je pense que sur des configs serveurs, cela peut être utile de "blinder" des applications avec Systrace afin qu'elles ne puissent pas être détournées. Pour moi, le problème que je cite en exemple (un buffer overflow distant sur WU-FTP donnant un shell root sur la machine) pourrait être évité avec une config Systrace correcte pour le démon ftpd.
Mais il est vrai que l'on peut déjà sécuriser un serveur de nombreuses façons (chrooting, utilisation de LIDS sur Linux...) et que pour des non-spécialistes, cela reste complexe et surperflu.
Systrace est développé par les "furieux" de la sécurité sur OpenBSD et sur cet OS, toute amélioration de ce point est primordiale (voir aussi l'ajout actuel de Propolice à OpenBSD).
[^] # Re: Audit du système
Posté par Foxy (site web personnel) . En réponse à la dépêche Utilisation de Systrace. Évalué à 2.
Je suis d'accord que pour le "commun des utilisateurs Linux", Systrace est un outil complexe et peut-être pas nécessaire.
Néanmoins, je pense que sur des configs serveurs, cela peut être utile de "blinder" des applications avec Systrace afin qu'elles ne puissent pas être détournées. Pour moi, le problème que je cite en exemple (un buffer overflow distant sur WU-FTP donnant un shell root sur la machine) pourrait être évité avec une config Systrace correcte pour le démon ftpd.
Mais il est vrai que l'on peut déjà sécuriser un serveur de nombreuses façons (chrooting, utilisation de LIDS sur Linux...) et que pour des non-spécialistes, cela reste complexe et surperflu.
Systrace est développé par les "furieux" de la sécurité sur OpenBSD et sur cet OS, toute amélioration de ce point est primordiale (voir aussi l'ajout actuel de Propolice à OpenBSD).