Bonjours à tous
Voilà quelques mois que je tourne sous kernel 4.9 + GRsecurity et chercher a pousser un peu plus l hardening, l’audit et la compréhension de ces méchanisme complexe .
J’arrive au moment le plus crucial: bien scinder les groups et users
et là j’avous que je séches un peu malgrès de très très nombreuses lectures.
le patch Grsecurity est gérer par paxctl , l’utilitaire RBCA gradm et bien entendu PAM.
afin de maximiser un peu plus la sécurité oui oui viciiieux
je m’imaginer le shéma utilisateur suivant:
sudo su
USER1 --------------> USER-AUDIT ----------> ROOT
privilèges minimum | chrooté avec
utilisateur x11 | très peu de droit
chroot $home | -------> USER-Gardien
{droit sudo}
USER1 est donc mon user courant dont jaimerai reduire les commandes au max mais comment chrooter un utilisateur graphique simplement? (sans faire un chroot debootstrap debian sinon je virtualize en kvm a ce train là)
jaimerai également que pour se connecter en root il faille passé obligatoirement par l’USER-AUDIT qui lui n’aura aucun droit sauf lire les log (ici chroot et /bin/ls + sudo et point barre)
Et enfin passé a l’user suivant qui sera soit ROOT soir USER-GARDIEN qui lui aura les droit sudo!! (le but étant ici de se connecter le plus rarement a root quand le pc est installer)
là ou j’ai le plus de mal acomprendre c’est le debat sur le fait que chroot ne soit pas très fiables.
(en temps normal puisque sous grsec chroot est renforcé mais bref)
ma question est comment peut on sortir d’un chroot par exemple USER-AUDIT où seul les binaires ls cat serait ajouter (aucun outils de modif en somme !!) ???
pour les services là aussi j’hésites lxc ou chroot lequel des deux serait le plus judicieux pour mes services;
chrooter chacun et gérer les droits au petit oignons
ou bien rassembler les services par “types” dans des containers lxc
exemple: |unbound+dnscrypt| |fail2ban portsenty| |snort-prelude-audit|
voilà j’avous que je sèches un peu sur la démarche la plus efficiente pour isoler processus et users
je précise tout de meme mon utilisation: bureautique, internet mail. unbound et dnscrypt en résolver dns et j’utilise pour le moment firejails et firetools en sandbox pour les applications.
quelqu’un connait il se soft et en saurait un peu plus quand a sa fiabilité??
Voilà c’est avant tous un retour d’expériences sur l’isolation et leur efficacités ainsi qu’un regards aguérie de votre part queje viens chercher ici du coup je poste dans “Pause Café”