(Courriels de diversion: <redondant@pretoires-agressivite.com> <bafouerions@cabanons-devouons.com> <moelle@confondre-eternuerait.com> <abreuvoirs@recourbent-accouple.com> <cotiseront@parasiter-occulter.com> <moyeux@resumerions-hasarderent.com> <medications@connaîtrait-estomperions.com> <politiserez@eluderais-insulterais.com> <reconquerrais@cerisier-autocollants.com> <entremettra@tienne-fabliaux.com> )
Le mercredi 19 novembre 2003, BuSab a écrit... bonjour, > > dans ce cas pourquoi ne pas utiliser un truc comme grsecurity et les > > acl's ? L'édition de fichier même par root, comme les copies peut être > > restreinte sauf en administration gradm. > ça serait certainement une bonne chose. Ma configuration de sudo est un > peu bâclée. Quand j'aurai le temps, j'expérimenterai ça. > Tu as utilisé? Est-ce simple à mettre en oeuvre? Oui et non...réponse de Normand ! C'est facile à comprendre eet à mettre en place. La galère consiste à trouver les bons réglages pour faire marcher les services si on veut des acl strictes: j'ai essayé sur un serveur avec iptables, diald, sshd, bind, ppp (rtc), snort, un seul compte root. J'ai un petit souci avec l'utilisation de scripts par ssh, mais ce ne doit pas être grand chose il faudrait que je m'en occupe. J'ai un gros souci sur les taches cron daily|weekly|monthly qui ne passent pas pour cause de droits restreints sur /var/log. Là je crains d'avoir besoin de support sur la ml grsecurity. Et c'est ce qui fait que je ne l'utilise pas (encore). Mais si je levais les restrictions en "écriture sur /var/log ce serait ok. Faut patcher le noyau, sous deb utiliser un noyau de kernel.org et un patch grsec. Il existe un patch global sur la page de Con Kolivas qui possède le support xfs. -- jean-michel -------------------------------------------------------------------- Les listes de diffusion occultes: <URL:http://www.CULTe.org/listes/>