savory Posté(e) le 23 novembre 2004 Partager Posté(e) le 23 novembre 2004 Noexec sous linux ca se casse facilement ( merci ld ) le chrootage de service ne sert a rien si le kernel est < a 2.4.24 :/ Sinon pour un systeme hardened utilise plutot rsbac ultra restrictif qui a l'aide d'un module verifie tout les droits pour un user un process ou un fs donné avec une grande finesse, par ailleur un ami est en charge du projet sur kernel hardened gentoo a base rsbac (alias kang) je pourrai te mettre en contact avec lui. Sinon netfilter est a la fois un bon choix et en meme temps un gros risque je pense notament aux dernieres failles de dos local touchant iptables donc l'utiliser avec precaution. Supprimer tout les services inutiles et les lancer separement donc adieu inetd. Pour reprendre les grandes idées citées au dessus utiliser un compilo pour "randomiser" les eip histoire d'etre tranquille vis a vis des bof ou des heap quand je dis cela je pense a l'excellent : http://www.trl.ibm.com/projects/security/ssp/ Ensuite essayer de crypter tout tes services un service en plain text ( notament ftp ) peut etre fatal (si ton adversaire te sniffe via arp cache poisoning par exemple ) preferer le systeme kerberos pour une authentification globale ou un stunnel pour certains services specifiques, apres cela depends des contraintes. Regarder aussi un service souvent utilisé pour compromettre une box le httpd, en particulier configurer au mieux ses modules de page dynamique, a la sauce sand box pour un tomcat/j2ee (via mod_proxy) ou configuration ultra restrictive de php notament le safe mode gid. Encore beaucoup d'autres choses a verifier notament quant à la place de ta machine dans le lan et les acces reseaux mais il manque trop d'elements pour faire un topo complet Lien vers le commentaire Partager sur d’autres sites More sharing options...
Arofarn Posté(e) le 23 novembre 2004 Partager Posté(e) le 23 novembre 2004 moi je vais reourner voir "Nos plus Beaux Desktop" parce que je n'ai compris qu'un mot sur deux chuis un noob en sécurité mais Lien vers le commentaire Partager sur d’autres sites More sharing options...
lorinc Posté(e) le 23 novembre 2004 Partager Posté(e) le 23 novembre 2004 et ebn comme ça on sera 2 sur nos plus beaux desktops... Lien vers le commentaire Partager sur d’autres sites More sharing options...
Soulfly_tribe90 Posté(e) le 23 novembre 2004 Auteur Partager Posté(e) le 23 novembre 2004 Merci bien savory Ben dis donc ca m'en fait des choses a voir lol Bon je mis met violemment surement dans deux semaines... Lien vers le commentaire Partager sur d’autres sites More sharing options...
Sandeman Posté(e) le 24 novembre 2004 Partager Posté(e) le 24 novembre 2004 tiens, au passage j'ai testé l'excellent "tiger" pour vérifier la santé de sa machine - niveau sécurité - c'est pas mal :) Lien vers le commentaire Partager sur d’autres sites More sharing options...
Soulfly_tribe90 Posté(e) le 27 janvier 2005 Auteur Partager Posté(e) le 27 janvier 2005 Slt!!! J'ai une question relatif a mon projet En effet j'aimerais supprimer ou meme modifier (pour donner de fausse indications) les signatures (ou bannieres) des logiciels (et de mon OS) utiles au serveur comme par exemple quand on se connecte a ftp ca marque le nom du logiciel, la version et aussi l'os --> donc je voudrais eviter le fingerprinting. Je voudrais essayer que le pirate potentiel ne sache pas mon os, ma version de php, apache, mysql, proftpd etc... Si quelqu'un a un lien ou une idée moi j'ai cherché mais pas trouvé grand chose a vrai dire... Lien vers le commentaire Partager sur d’autres sites More sharing options...
lorinc Posté(e) le 27 janvier 2005 Partager Posté(e) le 27 janvier 2005 je pense que c'est tres spécifique aux services, et qu'il faut te renseigner sur chaque logiciel... par exemple, j'avais écrit un petit serveur ftp simpliste (à l'école), et on avait codé en dur ce qu'il devait répondre à chaque commande, donc notement le message de bienvenue... tout ça doit être configurable, je pense Lien vers le commentaire Partager sur d’autres sites More sharing options...
Soulfly_tribe90 Posté(e) le 27 janvier 2005 Auteur Partager Posté(e) le 27 janvier 2005 Ok!! donc faudrais que je regarde du coté des fichiers de config et autres de chaques logiciels... Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Archivé
Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.