NSA Linux : isolation des process
Le
Vincent Bernat
Coucou !
Est-il possible avec le NSA Linux du 2.6 d'isoler les process d 'un
utilisateur, c'est à dire que l'on ne voit plus les process des autres
utilisateur sauf pour root ?
--
HARDFAIL("Not enough magic.");
2.4.0-test2 /usr/src/linux/drivers/block/nbd.c
Est-il possible avec le NSA Linux du 2.6 d'isoler les process d 'un
utilisateur, c'est à dire que l'on ne voit plus les process des autres
utilisateur sauf pour root ?
--
HARDFAIL("Not enough magic.");
2.4.0-test2 /usr/src/linux/drivers/block/nbd.c
Poser une question
Bon, je répond un poil à côté, mais les patchs kernel de grsecurity permettent,
entre autre, de restreindre les droits sur /proc, de manière à ce qu'un
utilisateur X ne voit que ses process X.
C'est d'ailleurs finalement très pratique pour l'utilisateur lambda:
un ps -ef ne liste que ses propres process
Grsecurity --->
Filesystem Protections --->
[*] Proc restrictions
[*] Restrict to user only
[ ] Additional restrictions
Il y a un paquet d'autres petites choses fort agréables, comme les restrictions
sur les liens (ln -s /.rhosts /foo :)), les fifo, les chroots, et évidemment
la pile (et le tas) non executable ..
http://freshmeat.net/projects/grsec...C148%2C862
Xavier Roche
C'est exactement ce que je veux, mais comme grsecurity est pas porté
sur un 2.6...
--
Je vote [OUI] (mon chat aussi) a la creation de fr.comp.misc.dinosaures
-+- XH in: Guide du Cabaliste Usenet - Bien configurer son dinosaure -+-
Il le sera sans doute - mais la politique de grsecurity est claire: ils
attendent toujours un temps certain avant de porter leur patch sur un
nouveau noyau, le temps de tester et d'évaluer les effets de bords.
Pour le 2.4 ca a pris mal mal de temps (2.4.12 ? je sais plus..)