Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Apprendre avec votre expérience à manipuler le fichier "sysctl.conf"?

robindesbois

J'avais fait une recherche avec mot clé "grub" du coup je suis passé à côté, merci de l'info. Pour Apparmor, je ne n'ai pas modifié le grub, cela s'est-il fait automatiquement ? Ou est-ce que j'aurai du le faire je ne sais pas. Je sais que dans les processus actifs visibles avec la commande chkconfig --list, il apparaît comme actif, mais que à la fin (sur sa ligne), chkconfig donne un S:on, mais les numéros avant (1 2 3 4 5 0 6 sont tous en off), donc peut-être que j'interprète mal ces résultats aussi.

Pour revenir à Grub, l'ajout de security=yama serait à placer dans le fichier /boot/grub/grub.cfg svp ? Désolé mais ça non plus je ne le connais pas. (ça ne fera qu'un inculte de plus qui utilise Ubuntu cela dit).

PengouinPdt

non, fichier /etc/default/grub, ce sont les options GRUB_CMDLINE_LINUX ... cf : https://doc.ubuntu-fr.org/grub-pc#configuration_manuelle

robindesbois

Encore merci...

robindesbois

Petit passage pour dire qu'au lien donné du Konstruktoid : http://konstruktoid.net/2014/06/28/ubuntu-14-04-sysctl-conf-with-security-recommendations/

Ils auraient pu au moins annoter d'un astérix* la ligne sur Yama ( kernel.yama.ptrace_scope = 1 ), c'est le seul réglage qui a besoin d'une manipulation spéciale supplémentaire (manipulation du fichier Grub). Pas grave, et Bonnes Fêtes...

tiramiseb

robindesbois: "astérisque", pas "astérix" :lol:

robindesbois

HaouiOlalalahonte !!!

robindesbois

Donc Astérix vous souhaite la bonne année !!!!

robindesbois

PengouinPdt a écrit Par contre, comme le dit la documentation kernel, utiliser Yama, signifie rajouter cette commande "security=yama" à la ligne de commande de Grub, et désactive les autres modules de sécurité LSM, telle qu'AppArmor ... ce que je n'arrive pas à savoir, c'est si cela désactive l'ensemble des autres outils, ou juste la/les fonctionnalités adhocs. Puisqu'il est parlé de modularité ... et d'empilages de modules - ce qui signifie un fonctionnement concomitant, si je ne me trompe pas !

Hello PenguoinPdt et b.a. ..

Ben, j'ai testé le paramètre security=yama (comme j'ai eu une mise à jour deffectueuse sur Grub hier, et que je n'ai pas réussi à la réparer pour l'instant), je me suis dit que je n'étais plus à ça près et j'ai ajouté security=yama à ma ligne de lancement de Grub (voir mon topic ici : http://forum.ubuntu-fr.org/viewtopic.php?id=1756831 ) ce qui fait que pour voir si Yama se lançait bien, j'ai testé avec ces lignes au démarrage de Grub :

grub> linux (hd0,msdos1)/vmlinuz-3.13.0-43-generic root=/dev/mapper/monpc--vg-root ro security=yama quiet splash $vt_handoff
grub> initrd (hd0,msdos1)/initrd.img-3.13.0-43-generic
grub> boot

J'ai laissé la machine démarrer, et dans un terminal admin j'ai lancé ça :

# apparmor_status

Le terminal me retourne que le module apparmor est chargé, mais que son système de fichier n'est pas monté. Et je n'ai aucune liste des Profils mis en complain mode ou enforced mode, car Yama, a bien pris le relais. Si je démarre mon PC sans le paramètre security=yama, la commande apparmor_status me redonne tous les profils en enforced mode et en complain mode, comme d'habitude, (mais il est fort possible que en disant cela je ne te transmette pas grand chose de plus que tu ne savais déjà, désolé).

Voilou, j'ai encore peut-être des questions par rapport à ton fichier sysctl transmis dans ton message du début, je repasse après, merci...

PengouinPdt

En passant, c'est quoi le module '$vt_handoff' ajouté à la fin de ta ligne de commande Grub ?

robindesbois

Je ne sais pas du tout (à part ma faible connaissance de l'anglais, ce serait comparable à "poignée de main finie"), comme j'ai des soucis avec Grub (mais donc avant mes modifs), j'ai téléchargé et gravé la distrib Boot-Repair-Disk, c'est grâce à elle que j'ai pu voir le contenu de mon fichier Grub, à l'intérieur de celui-ci, figuraient ces deux lignes :

linux (hd0,msdos1)/vmlinuz-3.13.0-43-generic root=/dev/mapper/monpc--vg-root ro quiet splash $vt_handoff
initrd (hd0,msdos1)/initrd.img-3.13.0-43-generic

Et je les utilise tel quel (parce qu'elles sont inscrites dans mon Grub perso c tout) afin de démarrer à la main ma machine depuis hier car c'étaient les conseils trouvés sur d'autres sites internet en cas de problème avec Grub au démarrage. Par contre ces autres sites ne possédaient pas dans leurs lignes ce $vt_handoff, ils ne possédaient pas non plus le root=/dev/mapper/monpc--vg-root, non ils indiquaient seulement root=/dev/sda (jai donc suivi l'intérieur du Grub de mon pc tout bêtement, désolé de ne pas en savoir plus.

Sur ton fichier sysctl je ne sais pas ce que font ces commandes stp :

# If you have more than 512MB RAM, use this setting
fs.file-max = 262140

# Core dump suidsafe
fs.suid_dumpable = 2

Merci bcp.

robindesbois

PengouinPdt a écrit Par contre, comme le dit la documentation kernel, utiliser Yama, signifie rajouter cette commande "security=yama" à la ligne de commande de Grub, et désactive les autres modules de sécurité LSM, telle qu'AppArmor ... ce que je n'arrive pas à savoir, c'est si cela désactive l'ensemble des autres outils, ou juste la/les fonctionnalités adhocs. Puisqu'il est parlé de modularité ... et d'empilages de modules.

PengouinPdt, j'ai peut-être un début de réponse pour ce que j'ai mis en gras.

Selon ce que j'ai lu sur le sujet, le LSM Stacking (qui permet donc d'utiliser en même temps Apparmor et Yama ou autrement dit d'empiler les modules de sécurité, bref de faire du LSM Stacking, Apparmor + Yama + SELinux combiné) n'est pas encore une fonction activée dans les noyaux de nos distrib.

Au lien d'hier, relire la partie suivante :

Le problème c'est que tout le monde ne veut pas utiliser SELinux. Les réfractaires sont nombreux et ils sont d'avis que SELinux est trop compliqué à utiliser. Même un hacker aussi réputé que Ted Ts'o avoue être découragé :

Il y a un bon nombre de gens qui n'utiliseront jamais SELinux. Tous les deux ou trois ans, je jette un nouveau coup d'œil sur SELinux, ma tête explose devant la complexité (non nécessaire ÀMHA) et je prends une nouvelle fois le large.

La situation paraît donc complètement bloquée entre les zélotes d'un module SELinux ultra-puissant mais complexe et les partisans d'une solution plus simple, même si elle est moins complète.
La solution régulièrement évoquée pour faire face à ce problème est « l'empilage des modules de sécurité » (LSM stacking). Avec cette solution, il devient possible d'avoir un « gros » module qui couvre le cas général (comme SELinux) et un ou plusieurs autres modules qui ne s'occupent que de fonctions bien précises sur lesquelles l'utilisateur veut avoir le contrôle.
Actuellement, le code LSM du noyau ne permet le chargement que d'un seul module de sécurité, à l'exclusion de tous les autres. Avec le LSM stacking cette limitation disparaîtrait et le noyau Linux offrirait plus de souplesse à ses utilisateurs.

Et dans la conclusion : Nous verrons dans les prochains noyaux si la solution idéale que constituerait le « stacking LSM » parviendra à s'imposer.

Enfin sur la page anglaise actuelle de Wikipedia on peut lire ça à la fin de la section "Criticism" :

Other developers would like to have LSM modules stacked, e.g. the developer of the Yama LSM.

Et donc tu peux voir de chez toi que dès que tu vas activer via grub le paramètre security=yama, Apparmor sera désactivé, un "sudo apparmor_status" dans un terminal ne te retournera pas tes profils (ni "enforced", ni "complain"). Ce qui pour moi a été hier la démonstration incontestable que le LSM Stacking n'est pas encore admis dans le noyau Linux.

Là où Yama peut-être utile pour moi, c'est que comme je n'ai pas pu créer un Profil correct pour mon Firefox de mon Tor-Browser-Bundle, la fonctionnalité "générale" de Yama (modélisée par le ptrace_scope) prend le relais par rapport au profil Apparmor, et applique dans le noyau un confinement pour ce Firefox en roue libre sur mon Système. Yama va plus loin, il s'occupe de faire pareil sur chaque appli (le PTRACE_SCOPE veut dire Processus Traced en gros, et comme on sait que en informatique un processus est un programme qui s'execute dans l'environnement, on comprend mieux ce que fait Yama en mode restricted pour chaque processus donc pour chaque appli, ou chaque logiciel tournant sous Linux, appelons-les comme on veut).

Ce qu'il y a de bien avec Yama, c'est qu'il évite des tâches fastidieuses et complexes de créations de profils parfaits pour Apparmor, ou pire, le paramétrage trop complexe "offert" par SELinux, il fait tout pour toi, et si tu n'es pas convaincu, tu n'as qu'à enlever le "security=yama" dans le Grub pour retrouver illico tes profils Apparmor au démarrage, Yama n'est donc pas destructeur, et permet aux néophites d'avoir une sécurité étendue à toutes ces applis, sans aucun paramétrage complexe.

Je vais l'utiliser et le lancer tout le temps maintenant, j'ai toujours été limité par Apparmor. Et pour revenir à SELinux, je n'y pense même pas, pas équipé pour ce type de soft. @ pluche

PengouinPdt

Je te remercie des précisions. J'avais compris le principe de fonctionnement. Pour le serveur Apache, y'a une fonctionnalité similaire - dans l'immédiat j'ai oublié le nom - et qui a pour propos d'empêcher un utilisateur du service de remonter, hors de son contexte, au-delà de la racine du répertoire qui lui est attribué.
Pour en revenir aux LSM, apparmor n'est pas actif par défaut, car même pas installé, sur la Mint !
Cela me surprend ; tu es sûr de ne pas l'avoir installé toi-même ? par défaut sous Ubuntu, et pas Mint ?!

$ apt-cache policy apparmor
apparmor:
  Installé : (aucun)
  Candidat : 2.8.95~2430-0ubuntu5.1
 Table de version :
     2.8.95~2430-0ubuntu5.1 0
        500 http://archive.ubuntu.com/ubuntu/ trusty-updates/main amd64 Packages
        500 http://security.ubuntu.com/ubuntu/ trusty-security/main amd64 Packages
     2.8.95~2430-0ubuntu5 0
        500 http://archive.ubuntu.com/ubuntu/ trusty/main amd64 Packages

LeoMajor

Apprendre avec votre expérience à manipuler le fichier "sysctl.conf"?

Si toutes tes règles du serveur sont en aval du routeur, l'expérience montre que cela ne sert à rien. Le modem-routeur va tilter en premier, face à une attaque ddos par exemple, et advitam eternam, si elle perdure ( le modem-routeur ne fait que rebooter toutes les minutes à peu près, et ne se synchronise plus)

Si tu veux avoir une chance d'améliorer la sécurité, tu dois flasher le firmware du routeur, et faire le nécessaire à ce niveau. voir solution opensource firmware (kernel nunux, iptables, sysctl et bien d'autres choses ...)

PengouinPdt

Euh, oui, Tewis ... merci des précisions.
Mais, tu es sérieusement hors contexte. ;-)

Ce post est là, pour aider à comprendre le propos du fichier sysctl ... voire rectifier une compréhension si nécessaire.
Il aide à assimiler les différentes règles kernel, système, réseau (etc...) qu'on peut lui appliquer - que tu sois sur une station, ou un serveur, cela ne change pas le fond du problème ; même si sur un serveur, tu utiliseras certaines règles non utilisées sur une station ...

robindesbois

PengouinPdt a écritJe te remercie des précisions.

Si encore j'avais trouvé les bonnes. Je susi tombé sur ça cette nuit :

Leurs échanges.

La page du WikiUbuntu qui date un peu, mais qui est assez explicite aussi.

De mon côté je récupère ma machine (d'un update du Grub complètement catastrophique), depuis une sauvegarde d'il y a quelques jours, je n'avais pas encore créé ce topic sur le sysctl. Donc je n'avais pas encore inséré cette ligne dans le sysctl : kernel.yama.ptrace_scope = 1

Donc la première chose que j'ai faite c'est d'aller voir ce réglage une fois mon image disque réinstallée. J'ai vérifié mon Apparmor aussi, il est bien activé, ses profils aussi (normal cette machine date d'il ya quelques jours), et le ptrace_scope était déjà sur 1.

Ce qui tenderai à valider ce que l'on comprend des deux liens au dessus, le LSM Stacking est autorisé depuis quelques bonnes semaines, et Apparmor et Yama sont effectivement devenus copains, et d'office sur mon 3.13.0-43-generic (Trisquel 6).

@+ et désolé de la perte de temps.

PengouinPdt

Ahahhh, on progresse, on progresse :p

Tu as lu mon commentaire ici : http://forum.ubuntu-fr.org/viewtopic.php?pid=18896451#p18896451

J'installe le paquet linux-source, histoire de lire la config kernel ;-)

----

D'ailleurs à-propos des deux autres protections de Yama, concernant les symlinks et les hardlinks, non actives pour l'instant, elles sont gérées par les options suivantes :
- fs.protected_symlinks = 1
- fs.protected_hardlinks =1
Je suppute que les deux protections Yama en ce sens remplaceront ces sécurités du noyau.

robindesbois

Oui je les active toutes les deux aussi ces commandes, et c'est une bonne idée le paquet source, je ne connaissais pas pour cet aspect, mais je ne saurais pas vraiment l'interpréter, je veux bien de tes retours stp, et désolé j'ai lu le commentaire mais je suis en mode dodo presque, je n'ai plus compris quelle était la question stp ?? (j'ai perdu le fil de la conversation je m'excuse).

PengouinPdt

En fait, je suis rouillé, moi ... grave ... pas besoin du paquet linux-source.

~$ egrep -i "apparmor|selinux|smack|tomoyo|yama" /boot/config-3.13.0-24-generic 
CONFIG_SECURITY_SELINUX=y
CONFIG_SECURITY_SELINUX_BOOTPARAM=y
CONFIG_SECURITY_SELINUX_BOOTPARAM_VALUE=0
CONFIG_SECURITY_SELINUX_DISABLE=y
CONFIG_SECURITY_SELINUX_DEVELOP=y
CONFIG_SECURITY_SELINUX_AVC_STATS=y
CONFIG_SECURITY_SELINUX_CHECKREQPROT_VALUE=1
# CONFIG_SECURITY_SELINUX_POLICYDB_VERSION_MAX is not set
CONFIG_SECURITY_SMACK=y
CONFIG_SECURITY_TOMOYO=y
CONFIG_SECURITY_TOMOYO_MAX_ACCEPT_ENTRY=2048
CONFIG_SECURITY_TOMOYO_MAX_AUDIT_LOG=1024
# CONFIG_SECURITY_TOMOYO_OMIT_USERSPACE_LOADER is not set
CONFIG_SECURITY_TOMOYO_POLICY_LOADER="/sbin/tomoyo-init"
CONFIG_SECURITY_TOMOYO_ACTIVATION_TRIGGER="/sbin/init"
CONFIG_SECURITY_APPARMOR=y
CONFIG_SECURITY_APPARMOR_BOOTPARAM_VALUE=1
# CONFIG_SECURITY_APPARMOR_STATS is not set
CONFIG_SECURITY_APPARMOR_UNCONFINED_INIT=y
CONFIG_SECURITY_APPARMOR_HASH=y
CONFIG_SECURITY_YAMA=y
CONFIG_SECURITY_YAMA_STACKED=y
# CONFIG_DEFAULT_SECURITY_SELINUX is not set
# CONFIG_DEFAULT_SECURITY_SMACK is not set
# CONFIG_DEFAULT_SECURITY_TOMOYO is not set
CONFIG_DEFAULT_SECURITY_APPARMOR=y
# CONFIG_DEFAULT_SECURITY_YAMA is not set
CONFIG_DEFAULT_SECURITY="apparmor"

ou mieux :

:~$ egrep -i "security" /boot/config-3.13.0-24-generic 
CONFIG_IP_NF_SECURITY=m
CONFIG_IP6_NF_SECURITY=m
CONFIG_EXT4_FS_SECURITY=y
CONFIG_REISERFS_FS_SECURITY=y
CONFIG_JFS_SECURITY=y
CONFIG_F2FS_FS_SECURITY=y
CONFIG_NFS_V4_SECURITY_LABEL=y
CONFIG_NFSD_V4_SECURITY_LABEL=y
CONFIG_9P_FS_SECURITY=y
# Security options
# CONFIG_SECURITY_DMESG_RESTRICT is not set
CONFIG_SECURITY=y
CONFIG_SECURITYFS=y
CONFIG_SECURITY_NETWORK=y
# CONFIG_SECURITY_NETWORK_XFRM is not set
CONFIG_SECURITY_PATH=y
CONFIG_SECURITY_SELINUX=y
CONFIG_SECURITY_SELINUX_BOOTPARAM=y
CONFIG_SECURITY_SELINUX_BOOTPARAM_VALUE=0
CONFIG_SECURITY_SELINUX_DISABLE=y
CONFIG_SECURITY_SELINUX_DEVELOP=y
CONFIG_SECURITY_SELINUX_AVC_STATS=y
CONFIG_SECURITY_SELINUX_CHECKREQPROT_VALUE=1
# CONFIG_SECURITY_SELINUX_POLICYDB_VERSION_MAX is not set
CONFIG_SECURITY_SMACK=y
CONFIG_SECURITY_TOMOYO=y
CONFIG_SECURITY_TOMOYO_MAX_ACCEPT_ENTRY=2048
CONFIG_SECURITY_TOMOYO_MAX_AUDIT_LOG=1024
# CONFIG_SECURITY_TOMOYO_OMIT_USERSPACE_LOADER is not set
CONFIG_SECURITY_TOMOYO_POLICY_LOADER="/sbin/tomoyo-init"
CONFIG_SECURITY_TOMOYO_ACTIVATION_TRIGGER="/sbin/init"
CONFIG_SECURITY_APPARMOR=y
CONFIG_SECURITY_APPARMOR_BOOTPARAM_VALUE=1
# CONFIG_SECURITY_APPARMOR_STATS is not set
CONFIG_SECURITY_APPARMOR_UNCONFINED_INIT=y
CONFIG_SECURITY_APPARMOR_HASH=y
CONFIG_SECURITY_YAMA=y
CONFIG_SECURITY_YAMA_STACKED=y
# CONFIG_DEFAULT_SECURITY_SELINUX is not set
# CONFIG_DEFAULT_SECURITY_SMACK is not set
# CONFIG_DEFAULT_SECURITY_TOMOYO is not set
CONFIG_DEFAULT_SECURITY_APPARMOR=y
# CONFIG_DEFAULT_SECURITY_YAMA is not set
# CONFIG_DEFAULT_SECURITY_DAC is not set
CONFIG_DEFAULT_SECURITY="apparmor"

Donc, ce que je comprends que c'est le module AppArmor qui est activé par défaut ... et seul "Yama" est empilable.

----

Je te demandais si c'est toi qui avait installé les paquets relatifs à AppArmor ? ... car sous Mint, ce n'est pas le cas par défaut.

robindesbois

Oki Voilà le mien :

monpc@monpc:~$ egrep -i "security" /boot/config-3.13.0-43-generic
CONFIG_IP_NF_SECURITY=m
CONFIG_IP6_NF_SECURITY=m
CONFIG_EXT4_FS_SECURITY=y
CONFIG_REISERFS_FS_SECURITY=y
CONFIG_JFS_SECURITY=y
CONFIG_F2FS_FS_SECURITY=y
CONFIG_NFS_V4_SECURITY_LABEL=y
CONFIG_NFSD_V4_SECURITY_LABEL=y
CONFIG_9P_FS_SECURITY=y
# Security options
# CONFIG_SECURITY_DMESG_RESTRICT is not set
CONFIG_SECURITY=y
CONFIG_SECURITYFS=y
CONFIG_SECURITY_NETWORK=y
# CONFIG_SECURITY_NETWORK_XFRM is not set
CONFIG_SECURITY_PATH=y
CONFIG_SECURITY_SELINUX=y
CONFIG_SECURITY_SELINUX_BOOTPARAM=y
CONFIG_SECURITY_SELINUX_BOOTPARAM_VALUE=0
CONFIG_SECURITY_SELINUX_DISABLE=y
CONFIG_SECURITY_SELINUX_DEVELOP=y
CONFIG_SECURITY_SELINUX_AVC_STATS=y
CONFIG_SECURITY_SELINUX_CHECKREQPROT_VALUE=1
# CONFIG_SECURITY_SELINUX_POLICYDB_VERSION_MAX is not set
CONFIG_SECURITY_SMACK=y
CONFIG_SECURITY_TOMOYO=y
CONFIG_SECURITY_TOMOYO_MAX_ACCEPT_ENTRY=2048
CONFIG_SECURITY_TOMOYO_MAX_AUDIT_LOG=1024
# CONFIG_SECURITY_TOMOYO_OMIT_USERSPACE_LOADER is not set
CONFIG_SECURITY_TOMOYO_POLICY_LOADER="/sbin/tomoyo-init"
CONFIG_SECURITY_TOMOYO_ACTIVATION_TRIGGER="/sbin/init"
CONFIG_SECURITY_APPARMOR=y
CONFIG_SECURITY_APPARMOR_BOOTPARAM_VALUE=1
# CONFIG_SECURITY_APPARMOR_STATS is not set
CONFIG_SECURITY_APPARMOR_UNCONFINED_INIT=y
CONFIG_SECURITY_APPARMOR_HASH=y
CONFIG_SECURITY_YAMA=y
CONFIG_SECURITY_YAMA_STACKED=y
# CONFIG_DEFAULT_SECURITY_SELINUX is not set
# CONFIG_DEFAULT_SECURITY_SMACK is not set
# CONFIG_DEFAULT_SECURITY_TOMOYO is not set
CONFIG_DEFAULT_SECURITY_APPARMOR=y
# CONFIG_DEFAULT_SECURITY_YAMA is not set
# CONFIG_DEFAULT_SECURITY_DAC is not set
CONFIG_DEFAULT_SECURITY="apparmor"
monpc@monpc:~$

Merci ça dérouille du coup ! Oui pour apparmor j'ai installé apparmor-utils et apparmor-profils (avec ensuite la procédure pour mettre les profils en enforced).

A part la mort, Yama security qu'est pas DAC et y'a Tom au Yoyo dans les escaliers !

Ok, là je coupe, nuit blanche c'est pas glope ! Bonne soirée ! (Ne dîtes pas "On n'est pas couché!" !!!)

robindesbois

Petit coucou chez toi PengouinPdt, j'ai encore besoin de ton aide stp (en rapport avec ton fichier sysctl.conf), j'aimerai comprendre quelques-uns des réglages que tu y as effectué, et présenté ici, si tu es toujours dispo je suis preneur, merci.

« Page précédente Page suivante »