Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
securite [2009/09/11 09:27] root mise a jour des liens |
securite [2009/09/18 10:25] 127.0.0.1 édition externe |
||
---|---|---|---|
Ligne 8: | Ligne 8: | ||
* [[http://www.linuxsecurity.com/docs/LDP/Security-Quickstart-Redhat-HOWTO/|Security-Quickstart-Redhat-HOWTO]] | * [[http://www.linuxsecurity.com/docs/LDP/Security-Quickstart-Redhat-HOWTO/|Security-Quickstart-Redhat-HOWTO]] | ||
* [[http://www.seifried.org/security/|linux administration security guide]] | * [[http://www.seifried.org/security/|linux administration security guide]] | ||
- | * [[http://www.linuxsecurity.com/|linux security]] | + | * [[http://www.linuxsecurity.com/|linux sécurity]] |
- | * le [[news://fr.comp.security|forum securite]] | + | * le [[news://fr.comp.security|forum]] sécurite (fr.comp.security) |
* la [[http://michel.arboi.free.fr/secu/FAQNOPI/index.html|faq]] du forum sécurité | * la [[http://michel.arboi.free.fr/secu/FAQNOPI/index.html|faq]] du forum sécurité | ||
* [[http://all.net/|Strategic Security Intelligence]]: site de Fred Cohen | * [[http://all.net/|Strategic Security Intelligence]]: site de Fred Cohen | ||
Ligne 116: | Ligne 116: | ||
===== controle d'intégrité ===== | ===== controle d'intégrité ===== | ||
- | Pour vérifier que son systèmes n'a pas été modifie a son insu, il faut comparer à intervalles réguliers les signatures des fichiers "sensibles" avec une base. Un [[controleinetgrite|article]] plus complet est consacré à ce sujet. | + | Pour vérifier que son systèmes n'a pas été modifie a son insu, il faut comparer à intervalles réguliers les signatures des fichiers "sensibles" avec une base. Un [[controleintegrite|article]] plus complet est consacré à ce sujet. |
Ligne 160: | Ligne 160: | ||
===== installer un logiciel de controle d'acces ===== | ===== installer un logiciel de controle d'acces ===== | ||
- | ==== principe ==== | + | le principe est d'avoir des droits d'acces aux fichiers plus fins que les droits unix. par exemple, un serveur apache doit pouvoir accéder a certains fichiers de configuration sous /etc, mais pas à /etc/shadow |
- | le principe est d'avoir des droits d'acces aux fichiers plus fins que les droits unix. par exemple, un serveur apache doit pouvoir acceder a certains fichiers de configuration sous /etc, mais pas à /etc/shadow | + | une [[mac|page]] plus complète lui est consacrée |
- | ==== les solutions existantes ==== | ||
- | |||
- | === apparmor === | ||
- | |||
- | Initialement developpé par Suse, et adopté par Mandriva. En 2008, le projet semble quasi arrété, mais semble repris par Ubuntu en 2009 : sa pérennité est incertaine.\\ concretement, il est assez facile a utiliser (test en mandriva 2008.1) | ||
- | |||
- | === selinux === | ||
- | |||
- | Initialement developpé par le NSA et adopté par RedHat/Fedora, il est intégré au noyau linux.\\ cette solution s'appuie sur l'utilisation d'acl dans les inodes. Elle me semble assez complexe a administrer, et semble lourde pour le systeme. | ||
- | |||
- | === tomoyo === | ||
- | |||
- | Initialement developpé par une société japonaise, le code vient d'être intégré au noyau linux, ce qui est un gage de stabilité et de pérennité.\\ cette solution est un peu comparable a apparmor, avec en plus des niveaux de fonctionnement (disabled, learning, enforcement ...), associ� un environnement (la hierarchie des process appelants) C'est pour moi la meilleure solution actuelle, j'ai commencé de faire une [[wiki2/doku.php?id=tomoyo|doc]] d'utilisation | ||
- | |||
- | === smack === | ||
- | |||
- | intégré dans le noyau linux, basé sur des acl, un peu comme selinux. pas testé | ||
---- | ---- | ||
Ligne 220: | Ligne 203: | ||
* [[http://www.kerneli.org/|kerneli]] | * [[http://www.kerneli.org/|kerneli]] | ||
- | --- //[[eric.gerbier@free.fr|eric gerbier]] 2009/09/11 09:13// | + | --- //[[eric.gerbier@free.fr|eric gerbier]] 2009/09/14 09:13// |
+ | {{tag>securite}} |