Security-X
Forum Security-X => Système d'Exploitation => Linux => Discussion démarrée par: Tawal le juin 08, 2016, 15:32:47
-
Bonjour, :AAC
Je suis en train de regarder SELinux (https://wiki.debian.org/SELinux/Setup)
Outre le fait qu'il vaut mieux utiliser postfix qu' exim en Mail Transfert Agent (MTA)
Je me demande si SELinux et Apparmor peuvent coexister ? Et n'est-ce pas redondant ? ::)
Je sais bien que ces deux systèmes de contrôle d'accès n'agissent pas au même niveau (je crois) et pas de la même façon (c'est sûr ^^).
Merci de m'éclairer :AAN
-
Mais pourquoi tu parles de postfix et exim ???
SELinux est une MAC faisant du contrôle d'accès à grain fin (il agit au niveau des appels système)
AppArmor est plus un pbac (process based access control) c'est à dire que tu vais définir des acl supplémentaires (appliqués différement que les classiques), un peu comme grsecurity.
Selinux = plus puissant, mais plus compliqué à configurer/maintenir
ArrArmor = plus simple à configurer, mais moins expressif
-
Re,
Mais pourquoi tu parles de postfix et exim ???
Tout simplement parce que mon MTA est exim4 et qu'il est fortement recommandé d'utiliser postix avec SELinux
SELinux - mail servers (postfix/exim/etc) (https://wiki.debian.org/SELinux/Setup#mail_servers_.28postfix.2Fexim.2Fetc.29) ;)
SELinux est une MAC faisant du contrôle d'accès à grain fin (il agit au niveau des appels système)
AppArmor est plus un pbac (process based access control) c'est à dire que tu vais définir des acl supplémentaires (appliqués différement que les classiques), un peu comme grsecurity.
Si je comprends bien, en utilisant SELinux, Apparmor devient "inutile" car le processus qu'il confine a déjà des restrictions en amont engendrées par SELinux.
Si tout est bien configuré ... :hi:
Merci bien, au plaisir d'échanger avec toi :AAN
-
Tu peux les empiler, normalement depuis quelques noyau c'est possible (même si au final apparmor ne sert à rien) mais effectivement ça n'en vaut pas le coup.
Ca peut être l'occasion de faire la politique SELinux pour exim.
D'un point de vu pratique, SELinux est beaucoup plus fonctionnel sous les systèmes REDHAT( centos, fedora, etc) que sous les debian like, car c"'est maintenu par red hat.
-
Bonjour,
Un bon papier sur SELlinux : https://fedoraproject.org/wiki/SELinux
:AAN
-
Bonjour à tous, salut igor51,
Quelqu'un a-t-il une expérience avec "grsecurity" ?
D'après mes lectures, il est légèrement "parano"... mais semble efficace (si bien configuré).
Lien (officiel) : https://grsecurity.net/compare.php (https://grsecurity.net/compare.php)
@ vous lire,
:miam:
-
Hello,
Aucune expérience avec grsecurity :-X
Un autre lien de comparaison : http://www.cyberciti.biz/tips/selinux-vs-apparmor-vs-grsecurity.html
Au plaisir :AAN
-
Quelqu'un a-t-il une expérience avec "grsecurity" ?
Oui moi.
Grsecurity est un pbac, il ajoute des acl aux processus (sujet) du système.
En terme de granularité, SELinux est meilleur mais la contrainte c'est qu'il est plus difficile à configurer
Grsecurity est plus accessible, mais, comme il agit en tant que patch noyau, il est moins maintenable (faut recompiler le noyau à chaque fois)
AppArmor, vis à vis des autres, ne sert à rien
Attention : il faut bien différencier Grsecurity de PAX. L'un est un MAC tandis que l'autre est un mécanisme de protection contre l'exploitation. On peut appliquer GrSec sans PAX et inversement.
(je n'ai pas lu le lien, je le ferai ce soirà)
-
J'ai lu rapidement le lien
On peut déjà rajouter :
- SMACK
- TOMOYO
- RSBAC
De plus, tous les MAC ont un impact sur les performances, ça va dépendre de ce qu'ils font, de la taille de leur policy et de leur implémentation. Ce n'est pas parce que l'auteur n'arrive pas à la mesurer qu'il n'y en a pas ^^
Après je ne suis pas d'accord sur tous les points, mais c'est plus une vision personnelle des choses
-
Re,
De plus, tous les MAC ont un impact sur les performances, ça va dépendre de ce qu'ils font, de la taille de leur policy et de leur implémentation. Ce n'est pas parce que l'auteur n'arrive pas à la mesurer qu'il n'y en a pas ^^
Ça m'a surpris aussi.
Toute action demande un laps de temps et de la ressource ...
Je vais déjà voir si je me dépatouille dans la compréhension de SELinux ;D
-
Bonjour à tous,
igor51, tu réponds parfaitement bien aux questions que je me posais.
Si je te lis bien entre les lignes, tu utilises SELinux "only"... ? :)
A la limite du hors-sujet, mais cela me donnera l'impression d'avoir apporté des éléments au fil de discussion, je vous remets ici un post récent de grsecurity au sujet de l'annonce faite par INTEL la semaine passée : https://forums.grsecurity.net/viewtopic.php?f=7&t=4490 (https://forums.grsecurity.net/viewtopic.php?f=7&t=4490)
Je vous souhaite une excellente semaine.
-
Salut
L'idéal pour moi c'est PaX et SELinux et d'autres trucs beaucoup plus compliqué à configurer/installer.
Mais comme je n'ai pas envie de recompiler mon noyau à chaque mise à jour, je ne fais effectivement que du SELinux, ce qui est largement suffisant dans la plus grande majorité des cas, surtout quand il est bien configuré/utilisé.
La seule politique intéressante étant la MLS
-
Hello,
J'en suis pas encore à l'application de SELinux. Je lis, je lis ...
Pour la politique Multi-Level-System, j'ai trouvé ça :
https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Security-Enhanced_Linux/mls.html
D'ailleurs, le guide complet est bien :
https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Security-Enhanced_Linux/index.html
Il faut faire attention avec la MLS, ça peut-être bloquant (jusqu'à empêcher le boot !) si c'est mal configuré.
De plus, c'est déconseillé de l'utiliser avec un serveur X.
It is not recommended to use the MLS policy on a system that is running the X Window System.
Encore de la lecture :miam:
-
Re,
En fait, dans le concept théorique des MAC, il n'y a plus de notion de root (ou d'admin). pour décrire ce role, on va utiliser des rôles (rbac) qui vont définir les privilèges associés.
La politique targeted SELInux de RH est une blague, les utilisateurs sont en unconfined par défaut et comme l'indique son nom, ils ne sont pas confinés... La mls implémente le concept de confidentialité décrit pas Bell La Padula et est beaucoup plus stricte.
-
Tiens, pour voir, j'ai installé le noyau Grsecurity + PaX maintenu spécifiquement pour Debian.
Ba il reste du boulot pour l'utiliser en mode desktop...Impossible de lancer FF sans un kernel panic, pas de son, un souris qui clignotte, etc.
C'est pas gagné pour le mettre grand public
-
Bonjour à tous, salut igor51,
Je vous remercie pour ces informations... et les tests.
Impossible de lancer FF sans un kernel panic, pas de son, un souris qui clignotte, etc.
==> J'étais tombé sur un billet qui décrivait en effet plusieurs "exceptions" à mettre en place pour que Grsecurity soit vraiment fonctionnel (dans la vraie vie) : https://micahflee.com/2016/01/debian-grsecurity (https://micahflee.com/2016/01/debian-grsecurity)/
@ tout bientôt,
:AAN
Edit : correction orthographique
-
Salut Wawa;
Je lirai ton lien ce soir ou ce week-end si j'ai pas oublié d'ici.
La problématique de ce genre de chose (grsecurity, selinux) et différemment pax, c''est qu'il faut faire des exceptions pour que certains programmes, mais qui dit exceptions, dit création de failles de sécu donc bon.
P-e que si je me motive, je regarderai pour faire fonctionner Grsecurity + PaX sur ma debian,
-
Re-
:)
mais qui dit exceptions, dit création de failles de sécu donc bon.
==> Je suis complètement d'accord avec toi.
==> Supprimer toutes les fonctionnalités d'un système le rendra plus sécurisé, forcément...
P-e que si je me motive, je regarderai pour faire fonctionner Grsecurity + PaX sur ma debian,
==> Si tu le fais, ton retour d'expérience sera intéressant.
==> Je devrais aussi... si j'avais plus de temps...
==> Si d'autres sont tentés, cela nous intéressera aussi évidemment... ^^