Je viens de me reinstaller une mdk91, j'ai choisis le mode de sécurité
'élevé'
lorsque je fais un 'service proftpd start', j'ai pas de messages d'erreur,
mais les log affirme le contraire
si je fais un ftp KawasakiER5.local, j'ai pas de réponse du ftp
Comment puis-je faire en sorte que proftp démarre avec ce niveau de sécurité
?
May 25 11:11:05 192.168.0.104 proftpd: Démarrage de proftpd succeeded
May 25 11:11:05 192.168.0.104 kernel: grsec: From 192.168.0.20: signal 11
sent to (proftpd:18566) UID(0) EUID(65534), parent (init:1) UID(0) EUID(0)
--
Les fautes d'orthographes sont ma signature :-)
pour me répondre en BAL (mode antispam)
http://batman.dyndns.org/V2/Mail/?src=news.free
Le mar 25 mai 2004 à 11:16, Batman a tapoté : | Bon jour/soir/nuit,
Salut.
| Je viens de me reinstaller une mdk91, j'ai choisis le mode de sécurité | 'élevé' | | lorsque je fais un 'service proftpd start', j'ai pas de messages d'erreur, | mais les log affirme le contraire | si je fais un ftp KawasakiER5.local, j'ai pas de réponse du ftp
Fallait mettre KawasakiGPZ.local ;)
| Comment puis-je faire en sorte que proftp démarre avec ce niveau de sécurité | ?
Configurer les ACL pour que grsec ne tue pas proftpd.
| May 25 11:11:05 192.168.0.104 proftpd: Démarrage de proftpd succeeded | May 25 11:11:05 192.168.0.104 kernel: grsec: From 192.168.0.20: signal 11 | sent to (proftpd:18566) UID(0) EUID(65534), parent (init:1) UID(0) EUID(0)
Tu vois ici, dans ce message, que grsec (le module de sécurité du noyau) envoie le signal 11 (segmentation fault) à proftpd. Ceci est certainement dû au fait que dans ton mode de sécurité élevée, un serveur ftp est considéré comme non sûr (ce qui est normal). Afin de remédier à cela, il te faut trouver où se trouve la config de grsec dans ta mandrake, puis modifier la configuration pour proftpd ou autre serveur ftp accédant aux ports 20/21.
Thomas -- BOFH excuse #384: T's an ID-10-T error.
Le mar 25 mai 2004 à 11:16, Batman a tapoté :
| Bon jour/soir/nuit,
Salut.
| Je viens de me reinstaller une mdk91, j'ai choisis le mode de sécurité
| 'élevé'
|
| lorsque je fais un 'service proftpd start', j'ai pas de messages d'erreur,
| mais les log affirme le contraire
| si je fais un ftp KawasakiER5.local, j'ai pas de réponse du ftp
Fallait mettre KawasakiGPZ.local ;)
| Comment puis-je faire en sorte que proftp démarre avec ce niveau de sécurité
| ?
Configurer les ACL pour que grsec ne tue pas proftpd.
| May 25 11:11:05 192.168.0.104 proftpd: Démarrage de proftpd succeeded
| May 25 11:11:05 192.168.0.104 kernel: grsec: From 192.168.0.20: signal 11
| sent to (proftpd:18566) UID(0) EUID(65534), parent (init:1) UID(0) EUID(0)
Tu vois ici, dans ce message, que grsec (le module de sécurité du
noyau) envoie le signal 11 (segmentation fault) à proftpd. Ceci est
certainement dû au fait que dans ton mode de sécurité élevée, un
serveur ftp est considéré comme non sûr (ce qui est normal). Afin de
remédier à cela, il te faut trouver où se trouve la config de grsec
dans ta mandrake, puis modifier la configuration pour proftpd ou
autre serveur ftp accédant aux ports 20/21.
Le mar 25 mai 2004 à 11:16, Batman a tapoté : | Bon jour/soir/nuit,
Salut.
| Je viens de me reinstaller une mdk91, j'ai choisis le mode de sécurité | 'élevé' | | lorsque je fais un 'service proftpd start', j'ai pas de messages d'erreur, | mais les log affirme le contraire | si je fais un ftp KawasakiER5.local, j'ai pas de réponse du ftp
Fallait mettre KawasakiGPZ.local ;)
| Comment puis-je faire en sorte que proftp démarre avec ce niveau de sécurité | ?
Configurer les ACL pour que grsec ne tue pas proftpd.
| May 25 11:11:05 192.168.0.104 proftpd: Démarrage de proftpd succeeded | May 25 11:11:05 192.168.0.104 kernel: grsec: From 192.168.0.20: signal 11 | sent to (proftpd:18566) UID(0) EUID(65534), parent (init:1) UID(0) EUID(0)
Tu vois ici, dans ce message, que grsec (le module de sécurité du noyau) envoie le signal 11 (segmentation fault) à proftpd. Ceci est certainement dû au fait que dans ton mode de sécurité élevée, un serveur ftp est considéré comme non sûr (ce qui est normal). Afin de remédier à cela, il te faut trouver où se trouve la config de grsec dans ta mandrake, puis modifier la configuration pour proftpd ou autre serveur ftp accédant aux ports 20/21.
Thomas -- BOFH excuse #384: T's an ID-10-T error.
Batman
Fallait mettre KawasakiGPZ.local ;)
Tssssss ;-) J'préfère 'roadster style' :-DDDD
Tu vois ici, dans ce message, que grsec (le module de sécurité du noyau) envoie le signal 11 (segmentation fault) à proftpd. Ceci est certainement dû au fait que dans ton mode de sécurité élevée, un serveur ftp est considéré comme non sûr (ce qui est normal). Afin de remédier à cela, il te faut trouver où se trouve la config de grsec dans ta mandrake, puis modifier la configuration pour proftpd ou autre serveur ftp accédant aux ports 20/21.
Je sentaits bien un truc de ce genre, j'ai fait (au cas ou) un slocate grsec, la réponse : /usr/include/linux/grsecurity.h
dans ce fichier, j'ai pas vu 'en dur' en lien vers un fichier de config. Cela semble (du peu que je comprenne) être une fonctionnalité du noyau ?
Cela complique la recherche du fichier config
Thomas
-- Les fautes d'orthographes sont ma signature :-) pour me répondre en BAL (mode antispam) http://batman.dyndns.org/V2/Mail/?src=news.free
Fallait mettre KawasakiGPZ.local ;)
Tssssss ;-)
J'préfère 'roadster style' :-DDDD
Tu vois ici, dans ce message, que grsec (le module de sécurité du
noyau) envoie le signal 11 (segmentation fault) à proftpd. Ceci est
certainement dû au fait que dans ton mode de sécurité élevée, un
serveur ftp est considéré comme non sûr (ce qui est normal). Afin de
remédier à cela, il te faut trouver où se trouve la config de grsec
dans ta mandrake, puis modifier la configuration pour proftpd ou
autre serveur ftp accédant aux ports 20/21.
Je sentaits bien un truc de ce genre, j'ai fait (au cas ou) un slocate
grsec, la réponse :
/usr/include/linux/grsecurity.h
dans ce fichier, j'ai pas vu 'en dur' en lien vers un fichier de config.
Cela semble (du peu que je comprenne) être une fonctionnalité du noyau ?
Cela complique la recherche du fichier config
Thomas
--
Les fautes d'orthographes sont ma signature :-)
pour me répondre en BAL (mode antispam)
http://batman.dyndns.org/V2/Mail/?src=news.free
Tu vois ici, dans ce message, que grsec (le module de sécurité du noyau) envoie le signal 11 (segmentation fault) à proftpd. Ceci est certainement dû au fait que dans ton mode de sécurité élevée, un serveur ftp est considéré comme non sûr (ce qui est normal). Afin de remédier à cela, il te faut trouver où se trouve la config de grsec dans ta mandrake, puis modifier la configuration pour proftpd ou autre serveur ftp accédant aux ports 20/21.
Je sentaits bien un truc de ce genre, j'ai fait (au cas ou) un slocate grsec, la réponse : /usr/include/linux/grsecurity.h
dans ce fichier, j'ai pas vu 'en dur' en lien vers un fichier de config. Cela semble (du peu que je comprenne) être une fonctionnalité du noyau ?
Cela complique la recherche du fichier config
Thomas
-- Les fautes d'orthographes sont ma signature :-) pour me répondre en BAL (mode antispam) http://batman.dyndns.org/V2/Mail/?src=news.free
Thomas Nemeth
Le mar 25 mai 2004 à 11:54, Batman a tapoté : | | | > Fallait mettre KawasakiGPZ.local ;) | | Tssssss ;-) | J'préfère 'roadster style' :-DDDD
Boah... On peut à peine dépasser le 130 ;) Un bon GPZ avec une bulle et c'est le pied !
| > Tu vois ici, dans ce message, que grsec (le module de sécurité du | > noyau) envoie le signal 11 (segmentation fault) à proftpd. Ceci est | > certainement dû au fait que dans ton mode de sécurité élevée, un | > serveur ftp est considéré comme non sûr (ce qui est normal). Afin de | > remédier à cela, il te faut trouver où se trouve la config de grsec | > dans ta mandrake, puis modifier la configuration pour proftpd ou | > autre serveur ftp accédant aux ports 20/21. | | Je sentaits bien un truc de ce genre, j'ai fait (au cas ou) un slocate | grsec, la réponse : | /usr/include/linux/grsecurity.h
Ah oui, mais non : ça c'est un header C pour le noyau...
| dans ce fichier, j'ai pas vu 'en dur' en lien vers un fichier de config. | Cela semble (du peu que je comprenne) être une fonctionnalité du noyau ?
C'est une fonctionnalité du noyau effectivement, mais c'est géré par gradm (de mémoire). Le fichier de config doit se trouver dans /etc/grsec/acl (toujours de mémoire)
Thomas -- BOFH excuse #401: Sales staff sold a product we don't offer.
Le mar 25 mai 2004 à 11:54, Batman a tapoté :
|
|
| > Fallait mettre KawasakiGPZ.local ;)
|
| Tssssss ;-)
| J'préfère 'roadster style' :-DDDD
Boah... On peut à peine dépasser le 130 ;) Un bon GPZ avec une bulle
et c'est le pied !
| > Tu vois ici, dans ce message, que grsec (le module de sécurité du
| > noyau) envoie le signal 11 (segmentation fault) à proftpd. Ceci est
| > certainement dû au fait que dans ton mode de sécurité élevée, un
| > serveur ftp est considéré comme non sûr (ce qui est normal). Afin de
| > remédier à cela, il te faut trouver où se trouve la config de grsec
| > dans ta mandrake, puis modifier la configuration pour proftpd ou
| > autre serveur ftp accédant aux ports 20/21.
|
| Je sentaits bien un truc de ce genre, j'ai fait (au cas ou) un slocate
| grsec, la réponse :
| /usr/include/linux/grsecurity.h
Ah oui, mais non : ça c'est un header C pour le noyau...
| dans ce fichier, j'ai pas vu 'en dur' en lien vers un fichier de config.
| Cela semble (du peu que je comprenne) être une fonctionnalité du noyau ?
C'est une fonctionnalité du noyau effectivement, mais c'est géré par
gradm (de mémoire). Le fichier de config doit se trouver dans
/etc/grsec/acl (toujours de mémoire)
Thomas
--
BOFH excuse #401:
Sales staff sold a product we don't offer.
Le mar 25 mai 2004 à 11:54, Batman a tapoté : | | | > Fallait mettre KawasakiGPZ.local ;) | | Tssssss ;-) | J'préfère 'roadster style' :-DDDD
Boah... On peut à peine dépasser le 130 ;) Un bon GPZ avec une bulle et c'est le pied !
| > Tu vois ici, dans ce message, que grsec (le module de sécurité du | > noyau) envoie le signal 11 (segmentation fault) à proftpd. Ceci est | > certainement dû au fait que dans ton mode de sécurité élevée, un | > serveur ftp est considéré comme non sûr (ce qui est normal). Afin de | > remédier à cela, il te faut trouver où se trouve la config de grsec | > dans ta mandrake, puis modifier la configuration pour proftpd ou | > autre serveur ftp accédant aux ports 20/21. | | Je sentaits bien un truc de ce genre, j'ai fait (au cas ou) un slocate | grsec, la réponse : | /usr/include/linux/grsecurity.h
Ah oui, mais non : ça c'est un header C pour le noyau...
| dans ce fichier, j'ai pas vu 'en dur' en lien vers un fichier de config. | Cela semble (du peu que je comprenne) être une fonctionnalité du noyau ?
C'est une fonctionnalité du noyau effectivement, mais c'est géré par gradm (de mémoire). Le fichier de config doit se trouver dans /etc/grsec/acl (toujours de mémoire)
Thomas -- BOFH excuse #401: Sales staff sold a product we don't offer.
Batman
Boah... On peut à peine dépasser le 130 ;) Un bon GPZ avec une bulle et c'est le pied !
Quoi un pied dans la bulle, pas facile ça ! mdrr
C'est une fonctionnalité du noyau effectivement, mais c'est géré par gradm (de mémoire). Le fichier de config doit se trouver dans /etc/grsec/acl (toujours de mémoire)
Je suis tombé sur un site 'debian' à ce sujet , j'ai pas gradm, je tente 1 urpmi kernel-source pour tenter de comprendre (c'est pas gagné, vu que j'ai pas de bulle à mon er5, le cerveau à du mal !
Thomas
Greg
-- Les fautes d'orthographes sont ma signature :-) pour me répondre en BAL (mode antispam) http://batman.dyndns.org/V2/Mail/?src=news.free
Boah... On peut à peine dépasser le 130 ;) Un bon GPZ avec une bulle
et c'est le pied !
Quoi un pied dans la bulle, pas facile ça ! mdrr
C'est une fonctionnalité du noyau effectivement, mais c'est géré par
gradm (de mémoire). Le fichier de config doit se trouver dans
/etc/grsec/acl (toujours de mémoire)
Je suis tombé sur un site 'debian' à ce sujet , j'ai pas gradm,
je tente 1 urpmi kernel-source pour tenter de comprendre (c'est pas gagné,
vu que j'ai pas de bulle à mon er5, le cerveau à du mal !
Thomas
Greg
--
Les fautes d'orthographes sont ma signature :-)
pour me répondre en BAL (mode antispam)
http://batman.dyndns.org/V2/Mail/?src=news.free
Boah... On peut à peine dépasser le 130 ;) Un bon GPZ avec une bulle et c'est le pied !
Quoi un pied dans la bulle, pas facile ça ! mdrr
C'est une fonctionnalité du noyau effectivement, mais c'est géré par gradm (de mémoire). Le fichier de config doit se trouver dans /etc/grsec/acl (toujours de mémoire)
Je suis tombé sur un site 'debian' à ce sujet , j'ai pas gradm, je tente 1 urpmi kernel-source pour tenter de comprendre (c'est pas gagné, vu que j'ai pas de bulle à mon er5, le cerveau à du mal !
Thomas
Greg
-- Les fautes d'orthographes sont ma signature :-) pour me répondre en BAL (mode antispam) http://batman.dyndns.org/V2/Mail/?src=news.free
Thomas Nemeth
Le mar 25 mai 2004 à 13:52, Batman a tapoté : | | > Boah... On peut à peine dépasser le 130 ;) Un bon GPZ avec une bulle | > et c'est le pied ! | | Quoi un pied dans la bulle, pas facile ça ! mdrr
:)
| > C'est une fonctionnalité du noyau effectivement, mais c'est géré par | > gradm (de mémoire). Le fichier de config doit se trouver dans | > /etc/grsec/acl (toujours de mémoire) | | Je suis tombé sur un site 'debian' à ce sujet , j'ai pas gradm, | je tente 1 urpmi kernel-source pour tenter de comprendre (c'est pas gagné, | vu que j'ai pas de bulle à mon er5, le cerveau à du mal !
Regarde à l'URL http://grsec.linux-kernel.at/gracldoc.htm Plus exactement : http://grsec.linux-kernel.at/gracldoc.htm#Configuration_and_Specification
Effectivement, avec une mandrake, il doit certainement falloir installer gradm avec les outils adéquats. Mais je trouve étrange qu'ils ne soient pas installés alors que grsec l'est !
Enfin, bon, j'dis ça, je ne connais pas beaucoup mandrake : Debian roulaize.
Thomas -- printk(KERN_ERR "msp3400: chip reset failed, penguin on i2c bus?n"); 2.2.16 /usr/src/linux/drivers/char/msp3400.c
Le mar 25 mai 2004 à 13:52, Batman a tapoté :
|
| > Boah... On peut à peine dépasser le 130 ;) Un bon GPZ avec une bulle
| > et c'est le pied !
|
| Quoi un pied dans la bulle, pas facile ça ! mdrr
:)
| > C'est une fonctionnalité du noyau effectivement, mais c'est géré par
| > gradm (de mémoire). Le fichier de config doit se trouver dans
| > /etc/grsec/acl (toujours de mémoire)
|
| Je suis tombé sur un site 'debian' à ce sujet , j'ai pas gradm,
| je tente 1 urpmi kernel-source pour tenter de comprendre (c'est pas gagné,
| vu que j'ai pas de bulle à mon er5, le cerveau à du mal !
Regarde à l'URL http://grsec.linux-kernel.at/gracldoc.htm
Plus exactement :
http://grsec.linux-kernel.at/gracldoc.htm#Configuration_and_Specification
Effectivement, avec une mandrake, il doit certainement falloir
installer gradm avec les outils adéquats. Mais je trouve étrange
qu'ils ne soient pas installés alors que grsec l'est !
Enfin, bon, j'dis ça, je ne connais pas beaucoup mandrake : Debian
roulaize.
Thomas
--
printk(KERN_ERR "msp3400: chip reset failed, penguin on i2c bus?n");
2.2.16 /usr/src/linux/drivers/char/msp3400.c
Le mar 25 mai 2004 à 13:52, Batman a tapoté : | | > Boah... On peut à peine dépasser le 130 ;) Un bon GPZ avec une bulle | > et c'est le pied ! | | Quoi un pied dans la bulle, pas facile ça ! mdrr
:)
| > C'est une fonctionnalité du noyau effectivement, mais c'est géré par | > gradm (de mémoire). Le fichier de config doit se trouver dans | > /etc/grsec/acl (toujours de mémoire) | | Je suis tombé sur un site 'debian' à ce sujet , j'ai pas gradm, | je tente 1 urpmi kernel-source pour tenter de comprendre (c'est pas gagné, | vu que j'ai pas de bulle à mon er5, le cerveau à du mal !
Regarde à l'URL http://grsec.linux-kernel.at/gracldoc.htm Plus exactement : http://grsec.linux-kernel.at/gracldoc.htm#Configuration_and_Specification
Effectivement, avec une mandrake, il doit certainement falloir installer gradm avec les outils adéquats. Mais je trouve étrange qu'ils ne soient pas installés alors que grsec l'est !
Enfin, bon, j'dis ça, je ne connais pas beaucoup mandrake : Debian roulaize.
Thomas -- printk(KERN_ERR "msp3400: chip reset failed, penguin on i2c bus?n"); 2.2.16 /usr/src/linux/drivers/char/msp3400.c
Batman
Le mar 25 mai 2004 à 13:52, Batman a tapoté : Regarde à l'URL http://grsec.linux-kernel.at/gracldoc.htm Plus exactement : http://grsec.linux-kernel.at/gracldoc.htm#Configuration_and_Specification
Effectivement, avec une mandrake, il doit certainement falloir installer gradm avec les outils adéquats. Mais je trouve étrange qu'ils ne soient pas installés alors que grsec l'est !
Enfin, bon, j'dis ça, je ne connais pas beaucoup mandrake : Debian roulaize.
Thomas
Euh, ça me rassure pas tous ça : http://forums.grsecurity.net/viewtopic.php?tD3 Ce qui expliquerait l'absence d'outils, j'ai installé le rpm ftp://rpmfind.net/linux/Mandrake/9.2/contrib/i586/gradm-2.0-0.2mdk.i586.rpm J'ai bien gradm, mais # gradm -D Could not open /dev/grsec open: No such device or address
Par contre pour info, j'ai aucun soucis avec apache ! et je n'ai pas /etc/grsec/acl (comme me confirmait mon slocate )
si je trouve pas de réponses, tant pis j'espère qu'un "echo 0 > /proc/sys/kernel/grsecurity/*" ira !?
-- Les fautes d'orthographes sont ma signature :-) pour me répondre en BAL (mode antispam) http://batman.dyndns.org/V2/Mail/?src=news.free
Le mar 25 mai 2004 à 13:52, Batman a tapoté :
Regarde à l'URL http://grsec.linux-kernel.at/gracldoc.htm
Plus exactement :
http://grsec.linux-kernel.at/gracldoc.htm#Configuration_and_Specification
Effectivement, avec une mandrake, il doit certainement falloir
installer gradm avec les outils adéquats. Mais je trouve étrange
qu'ils ne soient pas installés alors que grsec l'est !
Enfin, bon, j'dis ça, je ne connais pas beaucoup mandrake : Debian
roulaize.
Thomas
Euh, ça me rassure pas tous ça :
http://forums.grsecurity.net/viewtopic.php?tD3
Ce qui expliquerait l'absence d'outils, j'ai installé le rpm
ftp://rpmfind.net/linux/Mandrake/9.2/contrib/i586/gradm-2.0-0.2mdk.i586.rpm
J'ai bien gradm, mais
# gradm -D
Could not open /dev/grsec
open: No such device or address
Le mar 25 mai 2004 à 13:52, Batman a tapoté : Regarde à l'URL http://grsec.linux-kernel.at/gracldoc.htm Plus exactement : http://grsec.linux-kernel.at/gracldoc.htm#Configuration_and_Specification
Effectivement, avec une mandrake, il doit certainement falloir installer gradm avec les outils adéquats. Mais je trouve étrange qu'ils ne soient pas installés alors que grsec l'est !
Enfin, bon, j'dis ça, je ne connais pas beaucoup mandrake : Debian roulaize.
Thomas
Euh, ça me rassure pas tous ça : http://forums.grsecurity.net/viewtopic.php?tD3 Ce qui expliquerait l'absence d'outils, j'ai installé le rpm ftp://rpmfind.net/linux/Mandrake/9.2/contrib/i586/gradm-2.0-0.2mdk.i586.rpm J'ai bien gradm, mais # gradm -D Could not open /dev/grsec open: No such device or address
Par contre pour info, j'ai aucun soucis avec apache ! et je n'ai pas /etc/grsec/acl (comme me confirmait mon slocate )
si je trouve pas de réponses, tant pis j'espère qu'un "echo 0 > /proc/sys/kernel/grsecurity/*" ira !?
-- Les fautes d'orthographes sont ma signature :-) pour me répondre en BAL (mode antispam) http://batman.dyndns.org/V2/Mail/?src=news.free
TiChou
Dans le message <news:40b3130c$0$21572$, *Thomas Nemeth* tapota sur f.c.o.l.configuration :
Batman a tapoté : |> Je viens de me reinstaller une mdk91, j'ai choisis le mode de sécurité
|> 'élevé' |> |> lorsque je fais un 'service proftpd start', j'ai pas de messages |> d'erreur, mais les log affirme le contraire
|> Comment puis-je faire en sorte que proftp démarre avec ce niveau de |> sécurité ?
Configurer les ACL pour que grsec ne tue pas proftpd.
|> May 25 11:11:05 192.168.0.104 proftpd: Démarrage de proftpd succeeded |> May 25 11:11:05 192.168.0.104 kernel: grsec: From 192.168.0.20: signal 11 |> sent to (proftpd:18566) UID(0) EUID(65534), parent (init:1) UID(0) |> EUID(0)
Tu vois ici, dans ce message, que grsec (le module de sécurité du noyau) envoie le signal 11 (segmentation fault) à proftpd. Ceci est certainement dû au fait que dans ton mode de sécurité élevée, un serveur ftp est considéré comme non sûr (ce qui est normal). Afin de remédier à cela, il te faut trouver où se trouve la config de grsec dans ta mandrake,
Certainement dans /etc/grsec/acl.
puis modifier la configuration pour proftpd ou autre serveur ftp accédant aux ports 20/21.
Et là bon courage. ;-)) Donc en gros, on prépare la mixture avec un 'gradm -L', on laisse mijoter en faisant de l'activité sur le système, une fois à ébullition on essore avec un 'gradm -L -O acl.learn', on respire bien fort en espérant avoir réussi son coup et enfin on repasse en mettant en forme correctement le fichier acl.learn obtenu. Bon, c'était en gros. Mais concrètement, oublié tout ça, et placez votre Mandrake dans un niveau de sécurité plus adapté, sinon je sens bien qu'on va passer un temps fou pour pas grand chose. Ah sinon, la Mandrake ne fournit pas déjà des ACL pour grsec ? Je ne me souviens plus.
Moralité, quand on ne connait pas à l'avance les conséquences et répercussions de ce qu'on va faire, on ne le fait pas. Ou alors on prend sur sois et on assume. ;-)
-- TiChou dans une de ses plus majestueuses contributions ;-(
Dans le message <news:40b3130c$0$21572$626a14ce@news.free.fr>,
*Thomas Nemeth* tapota sur f.c.o.l.configuration :
Batman a tapoté :
|> Je viens de me reinstaller une mdk91, j'ai choisis le mode de sécurité
|> 'élevé'
|>
|> lorsque je fais un 'service proftpd start', j'ai pas de messages
|> d'erreur, mais les log affirme le contraire
|> Comment puis-je faire en sorte que proftp démarre avec ce niveau de
|> sécurité ?
Configurer les ACL pour que grsec ne tue pas proftpd.
|> May 25 11:11:05 192.168.0.104 proftpd: Démarrage de proftpd succeeded
|> May 25 11:11:05 192.168.0.104 kernel: grsec: From 192.168.0.20: signal
11
|> sent to (proftpd:18566) UID(0) EUID(65534), parent (init:1) UID(0)
|> EUID(0)
Tu vois ici, dans ce message, que grsec (le module de sécurité du
noyau) envoie le signal 11 (segmentation fault) à proftpd. Ceci est
certainement dû au fait que dans ton mode de sécurité élevée, un
serveur ftp est considéré comme non sûr (ce qui est normal). Afin de
remédier à cela, il te faut trouver où se trouve la config de grsec
dans ta mandrake,
Certainement dans /etc/grsec/acl.
puis modifier la configuration pour proftpd ou
autre serveur ftp accédant aux ports 20/21.
Et là bon courage. ;-))
Donc en gros, on prépare la mixture avec un 'gradm -L', on laisse mijoter en
faisant de l'activité sur le système, une fois à ébullition on essore avec
un 'gradm -L -O acl.learn', on respire bien fort en espérant avoir réussi
son coup et enfin on repasse en mettant en forme correctement le fichier
acl.learn obtenu.
Bon, c'était en gros. Mais concrètement, oublié tout ça, et placez votre
Mandrake dans un niveau de sécurité plus adapté, sinon je sens bien qu'on va
passer un temps fou pour pas grand chose. Ah sinon, la Mandrake ne fournit
pas déjà des ACL pour grsec ? Je ne me souviens plus.
Moralité, quand on ne connait pas à l'avance les conséquences et
répercussions de ce qu'on va faire, on ne le fait pas. Ou alors on prend sur
sois et on assume. ;-)
--
TiChou dans une de ses plus majestueuses contributions ;-(
Dans le message <news:40b3130c$0$21572$, *Thomas Nemeth* tapota sur f.c.o.l.configuration :
Batman a tapoté : |> Je viens de me reinstaller une mdk91, j'ai choisis le mode de sécurité
|> 'élevé' |> |> lorsque je fais un 'service proftpd start', j'ai pas de messages |> d'erreur, mais les log affirme le contraire
|> Comment puis-je faire en sorte que proftp démarre avec ce niveau de |> sécurité ?
Configurer les ACL pour que grsec ne tue pas proftpd.
|> May 25 11:11:05 192.168.0.104 proftpd: Démarrage de proftpd succeeded |> May 25 11:11:05 192.168.0.104 kernel: grsec: From 192.168.0.20: signal 11 |> sent to (proftpd:18566) UID(0) EUID(65534), parent (init:1) UID(0) |> EUID(0)
Tu vois ici, dans ce message, que grsec (le module de sécurité du noyau) envoie le signal 11 (segmentation fault) à proftpd. Ceci est certainement dû au fait que dans ton mode de sécurité élevée, un serveur ftp est considéré comme non sûr (ce qui est normal). Afin de remédier à cela, il te faut trouver où se trouve la config de grsec dans ta mandrake,
Certainement dans /etc/grsec/acl.
puis modifier la configuration pour proftpd ou autre serveur ftp accédant aux ports 20/21.
Et là bon courage. ;-)) Donc en gros, on prépare la mixture avec un 'gradm -L', on laisse mijoter en faisant de l'activité sur le système, une fois à ébullition on essore avec un 'gradm -L -O acl.learn', on respire bien fort en espérant avoir réussi son coup et enfin on repasse en mettant en forme correctement le fichier acl.learn obtenu. Bon, c'était en gros. Mais concrètement, oublié tout ça, et placez votre Mandrake dans un niveau de sécurité plus adapté, sinon je sens bien qu'on va passer un temps fou pour pas grand chose. Ah sinon, la Mandrake ne fournit pas déjà des ACL pour grsec ? Je ne me souviens plus.
Moralité, quand on ne connait pas à l'avance les conséquences et répercussions de ce qu'on va faire, on ne le fait pas. Ou alors on prend sur sois et on assume. ;-)
-- TiChou dans une de ses plus majestueuses contributions ;-(
Thomas Nemeth
Le mar 25 mai 2004 à 15:04, Batman a tapoté : | | Ce qui expliquerait l'absence d'outils, j'ai installé le rpm | ftp://rpmfind.net/linux/Mandrake/9.2/contrib/i586/gradm-2.0-0.2mdk.i586.rpm | J'ai bien gradm, mais | # gradm -D | Could not open /dev/grsec | open: No such device or address
Donc le fichier existe. Vérifie à tout hasard que grsec est bien compilé dans ton noyau (/boot/config.qquechose)
| Par contre pour info, j'ai aucun soucis avec apache ! | et je n'ai pas /etc/grsec/acl (comme me confirmait mon slocate )
Bizarre.
| si je trouve pas de réponses, tant pis j'espère qu'un | "echo 0 > /proc/sys/kernel/grsecurity/*" ira !?
ÀMHA c'est une mauvaise idée.
Thomas -- "L'autoroute, l'autoroute, c'est vite dit. Moi franchement, le préfet qui te dit que c'est l'autoroute de l'information, je lui dit que le chemin viscinal de Cébazan au Brico il est moins traître que son autoroute." -+- Brèves de comptoir -+-
Le mar 25 mai 2004 à 15:04, Batman a tapoté :
|
| Ce qui expliquerait l'absence d'outils, j'ai installé le rpm
| ftp://rpmfind.net/linux/Mandrake/9.2/contrib/i586/gradm-2.0-0.2mdk.i586.rpm
| J'ai bien gradm, mais
| # gradm -D
| Could not open /dev/grsec
| open: No such device or address
Donc le fichier existe. Vérifie à tout hasard que grsec est bien
compilé dans ton noyau (/boot/config.qquechose)
| Par contre pour info, j'ai aucun soucis avec apache !
| et je n'ai pas /etc/grsec/acl (comme me confirmait mon slocate )
Bizarre.
| si je trouve pas de réponses, tant pis j'espère qu'un
| "echo 0 > /proc/sys/kernel/grsecurity/*" ira !?
ÀMHA c'est une mauvaise idée.
Thomas
--
"L'autoroute, l'autoroute, c'est vite dit. Moi franchement, le préfet qui te
dit que c'est l'autoroute de l'information, je lui dit que le chemin viscinal
de Cébazan au Brico il est moins traître que son autoroute."
-+- Brèves de comptoir -+-
Le mar 25 mai 2004 à 15:04, Batman a tapoté : | | Ce qui expliquerait l'absence d'outils, j'ai installé le rpm | ftp://rpmfind.net/linux/Mandrake/9.2/contrib/i586/gradm-2.0-0.2mdk.i586.rpm | J'ai bien gradm, mais | # gradm -D | Could not open /dev/grsec | open: No such device or address
Donc le fichier existe. Vérifie à tout hasard que grsec est bien compilé dans ton noyau (/boot/config.qquechose)
| Par contre pour info, j'ai aucun soucis avec apache ! | et je n'ai pas /etc/grsec/acl (comme me confirmait mon slocate )
Bizarre.
| si je trouve pas de réponses, tant pis j'espère qu'un | "echo 0 > /proc/sys/kernel/grsecurity/*" ira !?
ÀMHA c'est une mauvaise idée.
Thomas -- "L'autoroute, l'autoroute, c'est vite dit. Moi franchement, le préfet qui te dit que c'est l'autoroute de l'information, je lui dit que le chemin viscinal de Cébazan au Brico il est moins traître que son autoroute." -+- Brèves de comptoir -+-
TiChou
Dans le message <news:, *TiChou* tapota sur f.c.o.l.configuration :
[...]
Et en plus je n'ai qu'à répondre après que tout le monde l'ai déjà fait... Problème de feed ou quoi ?
-- TiChou
Dans le message <news:pwet.20040525163318@florizarre.tichou.org>,
*TiChou* tapota sur f.c.o.l.configuration :
[...]
Et en plus je n'ai qu'à répondre après que tout le monde l'ai déjà fait...
Problème de feed ou quoi ?
Dans le message <news:, *TiChou* tapota sur f.c.o.l.configuration :
[...]
Et en plus je n'ai qu'à répondre après que tout le monde l'ai déjà fait... Problème de feed ou quoi ?
-- TiChou
Batman
| # gradm -D | Could not open /dev/grsec | open: No such device or address | un 'stat /dev/grsec' retourne
Donc le fichier existe. Vérifie à tout hasard que grsec est bien compilé dans ton noyau (/boot/config.qquechose)
dans /boot/config -> config-2.x.xxxx.xxmdksecure
# # Grsecurity # CONFIG_GRKERNSEC=y # CONFIG_GRKERNSEC_LOW is not set # CONFIG_GRKERNSEC_MID is not set # CONFIG_GRKERNSEC_HI is not set CONFIG_GRKERNSEC_CUSTOM=y
ÀMHA c'est une mauvaise idée.
Je suis d'accord, mais si j'ai pas de solution, je ne vois pas d'autres solutions, au vu de mes faibles compétances en la matière
-- Les fautes d'orthographes sont ma signature :-) pour me répondre en BAL (mode antispam) http://batman.dyndns.org/V2/Mail/?src=news.free
| # gradm -D
| Could not open /dev/grsec
| open: No such device or address
| un 'stat /dev/grsec' retourne
Donc le fichier existe. Vérifie à tout hasard que grsec est bien
compilé dans ton noyau (/boot/config.qquechose)
dans /boot/config -> config-2.x.xxxx.xxmdksecure
#
# Grsecurity
#
CONFIG_GRKERNSEC=y
# CONFIG_GRKERNSEC_LOW is not set
# CONFIG_GRKERNSEC_MID is not set
# CONFIG_GRKERNSEC_HI is not set
CONFIG_GRKERNSEC_CUSTOM=y
ÀMHA c'est une mauvaise idée.
Je suis d'accord, mais si j'ai pas de solution, je ne vois pas d'autres
solutions, au vu de mes faibles compétances en la matière
--
Les fautes d'orthographes sont ma signature :-)
pour me répondre en BAL (mode antispam)
http://batman.dyndns.org/V2/Mail/?src=news.free
| # gradm -D | Could not open /dev/grsec | open: No such device or address | un 'stat /dev/grsec' retourne
Donc le fichier existe. Vérifie à tout hasard que grsec est bien compilé dans ton noyau (/boot/config.qquechose)
dans /boot/config -> config-2.x.xxxx.xxmdksecure
# # Grsecurity # CONFIG_GRKERNSEC=y # CONFIG_GRKERNSEC_LOW is not set # CONFIG_GRKERNSEC_MID is not set # CONFIG_GRKERNSEC_HI is not set CONFIG_GRKERNSEC_CUSTOM=y
ÀMHA c'est une mauvaise idée.
Je suis d'accord, mais si j'ai pas de solution, je ne vois pas d'autres solutions, au vu de mes faibles compétances en la matière
-- Les fautes d'orthographes sont ma signature :-) pour me répondre en BAL (mode antispam) http://batman.dyndns.org/V2/Mail/?src=news.free
