Sécuriser un système linux

07 oct. 2016, 13:15

Le sujet de la sécurisation d'un système GNU/linux revient régulièrement.
et chacun y va de sa recette de cuisine.
Je vous propose la documentation de l'ANSI sur ce sujet.
http://www.ssi.gouv.fr/uploads/2015/10/ ... ration.pdf
http://www.ssi.gouv.fr/uploads/IMG/pdf/ ... ch_1_1.pdf

07 oct. 2016, 15:15

Sachant que le grand patron de ce service a dit clairement que amoindrir la chiffrage au non de la sécurité était une connerie j'ai une assez bonne image de l'ANSI. Ils ont aussi dernièrement créé un point de contact unique pour déclarer anonymement les failles rencontré, ça évitera peut être d'autre BlueTouf et simplifiera le travail de Zataz.

09 oct. 2016, 21:16

De l'usage de l'IOMMU !
De l'IO ... quoi ?!!!

L'IOMMU - Input/Output Memory Management Unit - en francais, Unité de Gestion des Entrées/Sorties en Mémoire - est, je cite :

Il s'agit d'un composant matériel qui agit comme un pare-feu et filtre les accès en provenance des périphériques vers la mémoire principale.
(...) est un composant matériel permettant à un système d'exploitation de contrôler l'accès des périphériques à la mémoire principale

Un très bon document décrit comment cela interagit avec notre système Linux, de comprendre comment cela peut être "dérouté" par déclencher des attaques, et pose à réfléchir sur son usage correcte !

Il faut à minima un noyau 2.6 !
- Cela fonctionne sur les architectures Intel dont l'option VT-d - Virtualization Technology for Directed Input/Output - doit être activée dans le BIOS, ainsi que sa prise-en-charge dans le kernel.
- AMD a aussi son propre mode, avec GART - Graphical Aperture Remapping Table pour gérer les cartes AGP, et fonctionnels avec les CPU AMD Opteron, AMD Athlon 64, AMD Turion 64, I/O Virtualization Technology ...
- IBM a la sienne : Calgary PCI-X
Et, d'autres fabriquants, aussi ;)

Sinon, la prise en charge se fait par le grub, en modifiant le fichier /etc/default/grub, et en ajoutant l'option 'iommu=force' dans la commande 'GRUB_CMDLINE_LINUX' ;)

10 oct. 2016, 17:11

GrSecurity et Debian !

Plus d'un d'entre nous avons certainement entendu du patch noyau Linux qu'est GrSecurity ... afin de durcir le noyau Linux, et ainsi de mieux le protéger d'un nombre certains d'attaques.

Depuis peu, cette année 2016, une initiative est menée pour faire en sorte qu'il soit plus ou moins intégré au noyau, voire à la distribution.
En effet, pour la Sid, il est possible de l'installer : apt install linux-image-grsec-amd64
C'est en prévision pour Stretch, et il serait même disponible dans les backports de Jessie.

Dans ces derniers cas, le fait que le noyau 4.7 ne soit pas disponible lui-même, ne rend pas son usage possible, sans parler :

L’inclusion dans la prochaine version stable (stretch) est rendue délicate par le fait qu’il n’est plus possible d’accéder librement au patch
grsecurity pour les version stables du noyau Linux

!!!

De par l'installation, un fichier /etc/sysctl.d/grsec.conf est créé et permet de paramétrer finement certaines options kernel nécessaires, gérées par le sous-système sysctl.
Celles qui sont recommandées à veiller sont :

Code : Tout sélectionner

#  Disable  logging  of  all  execve ()  and  chdir ()
kernel.grsecurity.exec_logging = 0
kernel.grsecurity.audit_chdir = 0
# Lock  dynamic  configuration
kernel.grsecurity.grsec_lock = 1

Pour info, Debian serait la troisième distribution à faire cette effort, après ArchLinux, et Gentoo ...

Pour les autres distributions, un outil a été créé pour faciliter son installation, c-à-d les phases de récupération du patch, la configuration et compilation en rapport avec le kernel en cours, et sa distribution ...
Cet outil spécifique Debian se trouve sur le dépôt Git en question. Ne pas hésiter à lire le fichier README ;-)

Source

10 oct. 2016, 17:23

PenguinPdt, tu pourrais compléter en précisant le principe de grSecurity, et le comparer par exemple à SElinux.
J'ai cru comprendre qu'il était moins ambitieux, et plus simple de mise en oeuvre.

10 oct. 2016, 18:02

Beh, le principe, il me semble que je l'ai mis :

PengouinPdt a écrit :afin de durcir le noyau Linux, et ainsi de mieux le protéger d'un nombre certains d'attaques.

Quant à le comparer à un LSM ou l'autre, étant donné que je ne maîtrise pas du tout le sujet, je suis désolé, mais c'est non !

marcastro · 10 oct. 2016, 18:32

vos explications doivent êtres développées pour que les non initiés comme moi puissent comprendre de quoi il retourne et comment ils doivent paramétrer le fichier /etc/sysctl.d/grsec.conf une fois le kernel linux-image-grsec-amd64 installé.Nous ne sommes pas tous des pros de la chose informatique.

marcastro · 10 oct. 2016, 18:35

et quelles peuvent être les conséquences de grsec sur une utilisation normale d'une machine; je veux dire par là qu'il ne s'agirait pas non plus de se retrouver avec une machine devenue quasi inutilisable pour cause de sécurisation maximum.

10 oct. 2016, 19:02

Alors, déjà, tu restes "cool" ... ce n'est pas parce que je suis un techo info, que je maîtrise tous les domaines de l'informatique !
Et, j’apprécierais très fortement qu'on ne me la sorte pas à chaque fois ... ça devient lourd à force. Je suis avant tout AUTODIDACTE en informatique, ne l'ai JAMAIS étudié à l'école, ou ailleurs ... juste par mes soins, ensuite, oui, j'ai travaillé dans ce domaine, y travaille encore ... un peu ... mais je fais des choses, actuellement, extrêmement basique ...

Deuxièmement, si tu lis bien le post que j'ai créé - il y a entres autres la source, qui pour une fois est en français, et qui explique mieux que je ne le ferais les tenant et les aboutissants.
Perso, je donne les infos pertinentes à relever ... et LA source est, en soit, une information pertinente !

Par contre, ne t'attends pas à ce que je te prenne la main ... on n'est pas sur DF, non plus ;-) ...
et je n'ai, du moins pas dans l'immédiat, ni l'envie, ni le temps de le faire ainsi. Cela ne peut être entrevu de ma part que dans un tierce temps, que je ne maîtrise même pas !
Et, je n'ai rien contre DF - étant contributeur, participant, etc ...

Par contre, mon but est d'ouvrir les portes ensembles, dans discuter, de tester, et à minima d'émettre un effet d'annonce - si ce n'est pas pertinent pour toi, cela pourra l'être pour d'autres ... et, cela ne me pose aucun soucis.
Dans le cas précis de grsec, je ne peux même pas le mettre en oeuvre, mon pc sous Sid est down pour défaillance matérielle ... et, je ne peux le résoudre qu'au mieux, vers la mi-octobre, au pire dans plus d'un mois ... en attente de la pièce qui vient de chine ! ;-)
Concernant Jessie, j'ai dans l'idée d'utiliser l'outil du git ... histoire de tester, analyser, etc ... et, là, je ferais un effort transcription ...
Et, de ce côté-là, je pense que mes différents "tutoriels", entres autres sur le wiki, permettent d'apprécier la qualité de mes efforts, et la transmission de l'info. Quand je fais un tutoriel, je n'oublies jamais à qui je m'adresse, et aux contextes de mes lecteurs, quitte dans certains cas, à préciser ce qui doit l'être !

Ce que je restitue, ICI, est le fruit de mes lectures, et de mes partages d'informations - ce serait sympa de ne pas l'oublier ... parce qu'avant tout, l'informatique est comme une passion ...
Mon but "ultime" est de nous faire progresser tous ... enfin, du moins, tous ceux qui voudront bien saisir la main au vol

Pour finir, il ne faudrait pas oublier qu'on est dans le forum T&A ; il serait peut-être plus adéquat d'avoir ce genre de discussion dans PC ou Support si besoin ;-)
Et, de lier vers le T&A, en question ...

12 oct. 2016, 16:09

Le patch grsecurity apporte des améliorations de sécurité dans le noyau Linux. Cela permet de durcir le noyau, contre des attaques différentes.

Concernant Yves-Alexis Perez :

Hormis le fait de proposer une "preuve de concept" grâce à son outil 'grsec-config', il maintient l'intégration de grsecurity par la proposition des kernels "patchés" dans les dépôts Sid et Jessie Backports.

Il est possible de suivre son actualité Debian ...

----

Pour Sid :

- pour pc 64 bits : apt install linux-image-grsec-amd64
- pour pc 32 bits : apt install linux-image-grsec-686-pae

----------

Pour Jessie, il faut activer les dépôts backports :

- pour pc 64 bits : apt install -t jessie-backports linux-headers-grsec-amd64 linux-image-grsec-amd64
- pour pc 32 bits : apt install -t jessie-backports linux-headers-grsec-686-pae linux-image-grsec-686-pae

En effet, pour Jessie, il est nécessaire, à ce jour, de mettre-à-jour le paquet linux-base en version 3.5 pour Jessie, et en version 4.3 dans les backports ... autrement les paquets linux-*-grsec* ne peuvent s'installer

----------
Pensez à redémarrer ...

Il est possible de modifier certains paramètres au-travers du fichier /etc/sysctl.d/grsec.conf - mais renseignez-vous avant !

----

Des erreurs possibles :

Si lors de l'installation, vous avez ces messages :

Code : Tout sélectionner

/etc/kernel/postinst.d/dkms:
Error! Error! Your kernel headers for kernel 4.7.0-1-grsec-amd64 cannot be found.
Please install the linux-headers-4.7.0-1-grsec-amd64 package,
or use the --kernelsourcedir option to tell DKMS where it's located
Your kernel headers for kernel 4.7.0-1-grsec-amd64 cannot be found.
Please install the linux-headers-4.7.0-1-grsec-amd64 package,
or use the --kernelsourcedir option to tell DKMS where it's located

Comme il est annoncé, pensez à installer le paquet "linux-headers-grsec" correspondant à votre architecture !

12 oct. 2016, 17:53

grsecurity à l'air d'étre un projet assez polémique (pas sur son contenu technique, mais sur sa gestion)
https://linuxfr.org/users/patrick_g/jou ... x-sponsors

12 oct. 2016, 18:06

OUi, je suis au courant ... de toute façon, pour les dépôts Debian, - à moins que je ne me trompe - c'est la version "Communauty", donc de test, qui est utilisé, disponible gratuitement et sous GPL ;-)
----
LE reste ne m'appartient pas ; je n'en discuterais pas ; c'est leur droit.