Articles précédents : Sécurité
- [20] Trou de sécurité dans PHP 4.3.0
- [124] VeriSign impose le support des adresses Web avec accents
- [2] Applications web : le top 10 des vulnérabilités
- [22] Un ver pour VIM
- [19] Sortie du HS de linux mag spécial Firewall act 2
- [159] Les députés durcissent la loi Sarkozy, entre autres sur l'informatique
- [9] Phrack #60 est sorti
- [11] Sortie de KDE 3.0.5a
- [9] Une faille dans flash
- [16] Slackware.org est de retour
Liens connexes
- fireflier interactif (1784 clics)
- mason, non interactif firewall builder (853 clics)
- article sur systrace (1377 clics)
Dépêche modérée par
Sécurité : systrace rencontre iptables: fireflier (manque plus que "Xtrace")
Posté par free2.org (page perso, ). Modéré le 21 février 2003.
Avec ces 2 systèmes, avoir une sécurité maximale sous Linux n'a jamais été aussi simple. Ou presque.
Il nous manque maintenant cruellement le meme genre d'outil pour la sécurité de X : par défaut tous les process qui accèdent à un serveur X peuvent observer et interagir avec le clavier et toutes les fenetres de ce serveur ! Ce qui rend systrace et fireflier en partie inutiles (pensez aux overflows dans les programmes internet qui ont accès à votre serveur X, comme votre browser ...)
![[en]](../../../images/en.png)
fireflier interactif (1784 clics)-
mason, non interactif firewall builder (853 clics)
![[fr]](../../../images/fr.png)
article sur systrace (1377 clics)
> Lire la suite (5 commentaires, moyenne: 7,8). [dépêche : 541 caractères]
http://wwwinfo.cern.ch/umtf/working-groups/X11/security/X_Security.html
PS: notons aussi le soft "mason", qui construit des regles iptables non interactivement, en observant votre usage habituel de IP
(note: tous ces softs sont dispo par apt dans testing ou unstable pour les Debianistes)
Re: systrace rencontre iptables: fireflier (manque plus que
OpenBSD est en train d'implémenter la séparation de privilège dans XFree, ca veindra peut-être un jour sous Linux.
-
[^]Re: systrace rencontre iptables: fireflier (manque plus que
Posté par free2.org (page perso, ) le 21/02/2003 à 14:05. (lien). Évalué à 9.j'aimerais savoir ce que tu entends par "séparation de privilège". Si il s'agit de lancer le serveur X sous un auyre compte que root, c'est bien; mais ça ne résoud pas le problème dont on parle ici, à savoir empecher les fenetres d'une application d'accéder aux fenetres d'une autre application qui s'affiche sur le meme écran.
Après une longue recherche sur internet et dans les docs X j'ai réussi à obtenir ces infos:
- la technologie broadway/untrusted introduite dans X11 R6.3 (on en est à R6.6) est censé évoluer un jour vers un controle fin des communications entre les fenetres.
- dores et deja on peut faire man Xserver pour avoir la syntaxe qui permet de préciser à quelles ressources du serveur X ont accès les untrusted applications.
Malheureusement ce mécanisme ne définit que 2 compartiments: le compartiment trusted dont les applications ont accès à toutes les resources (dangereux, à éviter). Et le compartiment untrusted, chaque application untrusted ayant par défaut un accès direct aux ressources des autres applications untrusted.
Bref ce mécanisme ne permet pas pour l'instant d'avoir plusieurs applications untrusted protégées les unes des autres.
Re: systrace rencontre iptables: fireflier (manque plus que
Excellent !
http://fireflier.sourceforge.net/features.html:(...)
Filtering on application:
FireFlier is also capable of filtering by application. So you are for example able to simply allow your ICQ Client to do anything it wants.
Le firewall applicatif n'était pour l'instant pas possible sous Linux, ou tout du moins pas de manière aussi simple (GUI), comme le font les outils Windows de type ZoneAlarme / TinyFirewall / etc ...
Voila qui permet de rendre Linux encore plus simple à utiliser pour les Windowsiens qui se convertissent à Linux, et qui veulent avoir un minimum de sécurité, sans pour autant les effrayer avec la configuration d'Iptable/Ipchain ...
Le seul truc un peu embettant, c'est que l'application doit être lancé avec les droits root (http://fireflier.sourceforge.net/requirements.html(...) root privileges: as FireFlier wants to modify the firewall rules, it has of course got to be root. (this applies only to the server !!!)). Bah, un petit "sudo" et ca marche !
-
[^]Re: systrace rencontre iptables: fireflier (manque plus que
Posté par Brice Arnould ( un_brice ) (page perso, ) le 29/06/2003 à 23:15. (lien). Évalué à 1.> Le firewall applicatif n'était pour l'instant pas possible sous Linux, ou tout du moins pas de manière aussi simple (GUI)
Sauf que c'est tres experimental. Ça et le fait que cela n'était pas très utilisé -> le module risque de pas être présent dans les Mandrake et autres chapeaux_rouges (quelqu'un pour confirmer?).
Si ils sont pas présents... pour la facilité on repasseras.
De plus (d'après ce que j'ai crût lire), le filtrage se fait suivant la commande complète (pas le nom de l'executable) ou l'ID du process.
Alors:
*soit une application (qui doit être très fiable) réactualise les règles avec le nouvel ID
*soit "mozilla" c'est pas la même application que "mozilla http://www.gnu.org(...)"
*soit j'ai mal compris
Tout ça pour dire que ce système risque fort de pas être très au point (ce qui est genant pour un utilitaire lié à la sécurité). D'ailleurs la fonction est pas visible sur les screenshots:
http://fireflier.sourceforge.net/qtclient_main.html(...)
http://fireflier.sourceforge.net/qtclient_iptables.html(...)--
Respect à RMS.
xsupervisor et exec-shield
j'ai trouvé mon Xtrace: il s'appelle xsupervisor
dans un autre genre j'aime bien le patch noyau exec-shield (contre les overflows)
Cette page a été générée par Templeet en 0.122s (dont 0.0517 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Faire un don !
Cette discussion est archivée, il n'est plus possible de laisser des commentaires.
Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.