ACL avec GRSecurity2

Plopinou …

Suite à mon précédent article sur la mise en place de mon serveur Tor, je suis tombé sur cette page concernant les améliorations de la sécurité concernant la bestiole et notamment les ACL (Access Control List) que propose GRSec2 en plus du W^X et des autres sécurités embarquées dans ce patch, pour ceux qui ont installés ce superbe patch ou qui cherchent à l’installer, il suffit d’installer le paquet gradm2, suivre les instructions d’installation et modifier le fichier /etc/grsec/acl

Les gros intérêts :

On peut :

  • restreindre les accès aux dossiers/fichiers (execution, lecture, ecriture)
  • restreindre les accès au réseau (bind, connect, …).
  • logger les accès aux fichiers
  • restreindre les actions de certain logiciels sur des protocoles en particulier
  • restreindre la consommation CPU, de mémoire, de données, …

Comme une configuration en dit plus qu’un long discours :
La config fournit par le projet Tor pour … tor 😉

subject /usr/sbin/tor o {
        /                               h
        /var/lib/tor                    rwcdl
        /lib                            rx
        /usr/lib                        rx
        /dev/urandom                    r
        /dev/null                       rw
        /etc/tor                        r
        /var/log/tor                    rw
        /var/run/tor                    rwcdl

        -CAP_ALL

        connect 127.0.0.1:9050 stream tcp
        # Not very good, but since servers listen on different ports...
        connect 0.0.0.0/0:9001-9100 stream tcp
        connect 0.0.0.0/0:443 stream tcp
        bind    127.0.0.1:9050 stream tcp
}

Un tuto en français pas mal complet pour GrSec et GrSec2
La documentation complète pour les ACLs : http://www.grsecurity.net/gracldoc.htm

Voilà, sécurisez-vous bien 😉