A propos des jails BSD, il est intéressant de noter que Grsecurity implémente justement ces mécanismes pour le noyau Linux. Ca peut être intéressant de regarder ça avant de se lancer dans une installation de SElinux, qui est quand même bien plus lourd à mettre en place et à gérer (quoique, dans ce domaine je pense que c'est plus une question d'habitude).
Perso, je reste plutôt partisan de la solution du vserver (c'est simple à mettre en place et ca ouvre pas mal de possibilités au niveau administration).
J'en profite pour lancer une question qui me taraude depuis pas mal de temps. Je sais bien que ports <1024 ne peuvent être ouverts qu'avec les privilèges root, afin déviter que n'importe quel utilisateur puisse lancer les services standards. Cependant, l'impact d'une compromission sur ces services là a des effets plutôt moches (même si maintenant la plupart sont capables d'abandonner les capacités de l'utilisateur root une fois qu'ils se sont initialisés). Pourquoi cette limitation perdure-t-elle ? Est-ce pour une question de conformité POSIX ?
[^] # Re: C'est normal
Posté par sk . En réponse au journal User root de apache : une faille ?. Évalué à 1.
Perso, je reste plutôt partisan de la solution du vserver (c'est simple à mettre en place et ca ouvre pas mal de possibilités au niveau administration).
J'en profite pour lancer une question qui me taraude depuis pas mal de temps. Je sais bien que ports <1024 ne peuvent être ouverts qu'avec les privilèges root, afin déviter que n'importe quel utilisateur puisse lancer les services standards. Cependant, l'impact d'une compromission sur ces services là a des effets plutôt moches (même si maintenant la plupart sont capables d'abandonner les capacités de l'utilisateur root une fois qu'ils se sont initialisés). Pourquoi cette limitation perdure-t-elle ? Est-ce pour une question de conformité POSIX ?