la question initiale avantage de /proc /bin présent hors de leurs répertoires respectifs?
Rendre /proc accessible à une application chrooté lui permet, par exemple, de lire la charge CPU et d'agir en conséquence.
Sans parler du /dev qui peut être utile.
De même, avoir un /bin sous la main lui permet d'exécuter certaines commandes fort utile...
merci pour les infos
Loic Restoux
Le 30 sep, a 13:01, JB papotait :
extrait de wikipédia: -chroot Cette commande permet d'isoler l'exécution d'un programme et d'éviter ainsi certaines malveillances, comme l'exploitation d'un dépassement de tampon, pour ensuite accéder au répertoire racine de la machine hôte.
C'est malheureusement loin d'être vrai : http://sid.rstack.org/blog/index.php/222-prison-break
-- No fortunes found
Le 30 sep, a 13:01, JB papotait :
extrait de wikipédia:
-chroot
Cette commande permet d'isoler l'exécution d'un programme et d'éviter ainsi
certaines malveillances, comme l'exploitation d'un dépassement de tampon,
pour ensuite accéder au répertoire racine de la machine hôte.
C'est malheureusement loin d'être vrai :
http://sid.rstack.org/blog/index.php/222-prison-break
extrait de wikipédia: -chroot Cette commande permet d'isoler l'exécution d'un programme et d'éviter ainsi certaines malveillances, comme l'exploitation d'un dépassement de tampon, pour ensuite accéder au répertoire racine de la machine hôte.
C'est malheureusement loin d'être vrai : http://sid.rstack.org/blog/index.php/222-prison-break
-- No fortunes found
JB
Loic Restoux wrote:
Le 30 sep, a 13:01, JB papotait :
extrait de wikipédia: -chroot Cette commande permet d'isoler l'exécution d'un programme et d'éviter ainsi certaines malveillances, comme l'exploitation d'un dépassement de tampon, pour ensuite accéder au répertoire racine de la machine hôte.
C'est malheureusement loin d'être vrai : http://sid.rstack.org/blog/index.php/222-prison-break
bonsoir, lecture trés intéressante du lien. merci pour cette information A+ JB
Loic Restoux wrote:
Le 30 sep, a 13:01, JB papotait :
extrait de wikipédia:
-chroot
Cette commande permet d'isoler l'exécution d'un programme et d'éviter
ainsi certaines malveillances, comme l'exploitation d'un dépassement de
tampon, pour ensuite accéder au répertoire racine de la machine hôte.
C'est malheureusement loin d'être vrai :
http://sid.rstack.org/blog/index.php/222-prison-break
bonsoir,
lecture trés intéressante du lien.
merci pour cette information
A+
JB
extrait de wikipédia: -chroot Cette commande permet d'isoler l'exécution d'un programme et d'éviter ainsi certaines malveillances, comme l'exploitation d'un dépassement de tampon, pour ensuite accéder au répertoire racine de la machine hôte.
C'est malheureusement loin d'être vrai : http://sid.rstack.org/blog/index.php/222-prison-break
bonsoir, lecture trés intéressante du lien. merci pour cette information A+ JB
Vengeur Masqué
Loic Restoux writes:
C'est malheureusement loin d'être vrai : http://sid.rstack.org/blog/index.php/222-prison-break
Je vois deux options pour blinder la chose: - GrSecurity, qui interdit tout un tas de techniques de sortie, - ou les "capacités" de Linux, trop souvent ignorées hélas.
-- Le Vengeur Masqué se vengera!
Loic Restoux <lrestoux@free.fr> writes:
C'est malheureusement loin d'être vrai :
http://sid.rstack.org/blog/index.php/222-prison-break
Je vois deux options pour blinder la chose:
- GrSecurity, qui interdit tout un tas de techniques de sortie,
- ou les "capacités" de Linux, trop souvent ignorées hélas.
C'est malheureusement loin d'être vrai : http://sid.rstack.org/blog/index.php/222-prison-break
Je vois deux options pour blinder la chose: - GrSecurity, qui interdit tout un tas de techniques de sortie, - ou les "capacités" de Linux, trop souvent ignorées hélas.
-- Le Vengeur Masqué se vengera!
JB
Vengeur Masqué wrote:
Loic Restoux writes:
C'est malheureusement loin d'être vrai : http://sid.rstack.org/blog/index.php/222-prison-break
Je vois deux options pour blinder la chose: - GrSecurity, qui interdit tout un tas de techniques de sortie, - ou les "capacités" de Linux, trop souvent ignorées hélas.
bonjour, si j'ai bien compris la tracduction, c'est un produit qui se substitu à SELINUX? A+ JB
Vengeur Masqué wrote:
Loic Restoux <lrestoux@free.fr> writes:
C'est malheureusement loin d'être vrai :
http://sid.rstack.org/blog/index.php/222-prison-break
Je vois deux options pour blinder la chose:
- GrSecurity, qui interdit tout un tas de techniques de sortie,
- ou les "capacités" de Linux, trop souvent ignorées hélas.
bonjour,
si j'ai bien compris la tracduction, c'est un produit qui se substitu à
SELINUX?
A+
JB
C'est malheureusement loin d'être vrai : http://sid.rstack.org/blog/index.php/222-prison-break
Je vois deux options pour blinder la chose: - GrSecurity, qui interdit tout un tas de techniques de sortie, - ou les "capacités" de Linux, trop souvent ignorées hélas.
bonjour, si j'ai bien compris la tracduction, c'est un produit qui se substitu à SELINUX? A+ JB
Vengeur Masqué
JB writes:
Je vois deux options pour blinder la chose: - GrSecurity, qui interdit tout un tas de techniques de sortie, - ou les "capacités" de Linux, trop souvent ignorées hélas.
si j'ai bien compris la tracduction, c'est un produit qui se substitu à SELINUX?
Qui ça? GrSecurity? Oui, en quelque sorte. Si ce n'est que GrSecurity propose des défenses génériques que SE Linux n'a pas (la principale étant Pax). Par ailleurs, on n'est pas obligé d'activer le RBAC de GrSecurity, et il est moins poussé que ce que propose SELinux.
-- Le Vengeur Masqué se vengera!
JB <jb@0123456789.fr> writes:
Je vois deux options pour blinder la chose:
- GrSecurity, qui interdit tout un tas de techniques de sortie,
- ou les "capacités" de Linux, trop souvent ignorées hélas.
si j'ai bien compris la tracduction, c'est un produit qui se substitu à
SELINUX?
Qui ça? GrSecurity?
Oui, en quelque sorte. Si ce n'est que GrSecurity propose des défenses
génériques que SE Linux n'a pas (la principale étant Pax). Par ailleurs,
on n'est pas obligé d'activer le RBAC de GrSecurity, et il est moins
poussé que ce que propose SELinux.
Je vois deux options pour blinder la chose: - GrSecurity, qui interdit tout un tas de techniques de sortie, - ou les "capacités" de Linux, trop souvent ignorées hélas.
si j'ai bien compris la tracduction, c'est un produit qui se substitu à SELINUX?
Qui ça? GrSecurity? Oui, en quelque sorte. Si ce n'est que GrSecurity propose des défenses génériques que SE Linux n'a pas (la principale étant Pax). Par ailleurs, on n'est pas obligé d'activer le RBAC de GrSecurity, et il est moins poussé que ce que propose SELinux.
-- Le Vengeur Masqué se vengera!
JB
Vengeur Masqué wrote:
JB writes:
Je vois deux options pour blinder la chose: - GrSecurity, qui interdit tout un tas de techniques de sortie, - ou les "capacités" de Linux, trop souvent ignorées hélas.
si j'ai bien compris la tracduction, c'est un produit qui se substitu à SELINUX?
Qui ça? GrSecurity? Oui, en quelque sorte. Si ce n'est que GrSecurity propose des défenses génériques que SE Linux n'a pas (la principale étant Pax). Par ailleurs, on n'est pas obligé d'activer le RBAC de GrSecurity, et il est moins poussé que ce que propose SELinux.
bonjour, sur le papier, je trouvais selinux trés bien, à part vérifier qu'il est toujours présent dans le noyau, qu'il est bien engagé et qu'aucun des fichiers de la liste n'a changé d'état je vais me documenter A+ JB
Vengeur Masqué wrote:
JB <jb@0123456789.fr> writes:
Je vois deux options pour blinder la chose:
- GrSecurity, qui interdit tout un tas de techniques de sortie,
- ou les "capacités" de Linux, trop souvent ignorées hélas.
si j'ai bien compris la tracduction, c'est un produit qui se substitu à
SELINUX?
Qui ça? GrSecurity?
Oui, en quelque sorte. Si ce n'est que GrSecurity propose des défenses
génériques que SE Linux n'a pas (la principale étant Pax). Par ailleurs,
on n'est pas obligé d'activer le RBAC de GrSecurity, et il est moins
poussé que ce que propose SELinux.
bonjour,
sur le papier, je trouvais selinux trés bien,
à part vérifier qu'il est toujours présent dans le noyau, qu'il est bien
engagé et qu'aucun des fichiers de la liste n'a changé d'état
je vais me documenter
A+
JB
Je vois deux options pour blinder la chose: - GrSecurity, qui interdit tout un tas de techniques de sortie, - ou les "capacités" de Linux, trop souvent ignorées hélas.
si j'ai bien compris la tracduction, c'est un produit qui se substitu à SELINUX?
Qui ça? GrSecurity? Oui, en quelque sorte. Si ce n'est que GrSecurity propose des défenses génériques que SE Linux n'a pas (la principale étant Pax). Par ailleurs, on n'est pas obligé d'activer le RBAC de GrSecurity, et il est moins poussé que ce que propose SELinux.
bonjour, sur le papier, je trouvais selinux trés bien, à part vérifier qu'il est toujours présent dans le noyau, qu'il est bien engagé et qu'aucun des fichiers de la liste n'a changé d'état je vais me documenter A+ JB
