Plopinou …
Suite à mon précédent article sur la mise en place de mon serveur Tor, je suis tombé sur cette page concernant les améliorations de la sécurité concernant la bestiole et notamment les ACL (Access Control List) que propose GRSec2 en plus du W^X et des autres sécurités embarquées dans ce patch, pour ceux qui ont installés ce superbe patch ou qui cherchent à l’installer, il suffit d’installer le paquet gradm2, suivre les instructions d’installation et modifier le fichier /etc/grsec/acl
Les gros intérêts :
On peut :
- restreindre les accès aux dossiers/fichiers (execution, lecture, ecriture)
- restreindre les accès au réseau (bind, connect, …).
- logger les accès aux fichiers
- restreindre les actions de certain logiciels sur des protocoles en particulier
- restreindre la consommation CPU, de mémoire, de données, …
Comme une configuration en dit plus qu’un long discours :
La config fournit par le projet Tor pour … tor 
-
/ h
-
/var/lib/tor rwcdl
-
/lib rx
-
/usr/lib rx
-
/dev/urandom r
-
/dev/null rw
-
/etc/tor r
-
/var/log/tor rw
-
/var/run/tor rwcdl
-
-
-CAP_ALL
-
-
connect 127.0.0.1:9050 stream tcp
-
# Not very good, but since servers listen on different ports…
-
connect 0.0.0.0/0:9001-9100 stream tcp
-
connect 0.0.0.0/0:443 stream tcp
-
bind 127.0.0.1:9050 stream tcp
-
}
Un tuto en français pas mal complet pour GrSec et GrSec2
La documentation complète pour les ACLs : http://www.grsecurity.net/gracldoc.htm
Voilà, sécurisez-vous bien
Rétroliens /
Pingbacks