Hello la liste,
Alors personnellement, j'utilise exclusivement SELinux.
Il n'est pas si difficile d'écrire les règles surtout si on utilise le CIL au lieu du M4+compilation.
Pour ce qui de quelle application devrait être en enforced, je réponds simplement toutes.
C'est tout le système qui devrait l'être et pas de passe-droit.
Les containers sont strictement confinés à eux seul, idem pour les microservices ou app. Pourquoi une webapp serait autorisée à sortir de son emplacement d'installation?
Identique pour les applications, si on veut autoriser l'application à accéder au dossier documents qu'on a fait pour elle, on set le context/group et comme quoi cette application a ce droit et uniquement celui-ci.
Cela force à savoir comment fonctionne les applications qu'on utilise mais est-ce un mal en soi ?
Dois-je rapeller qu'il y a encore des développeurs qui essaient d'accéder à la zone mémoire 0 ? Comment empêchez vous cela sans utiliser un système comme SELinux ?
La vraie bonne question est: voulez-vous un contrôle et connaissance parfaite de votre parc?
Excellente journée
On Sun, Jan 19, 2020, 08:55 contact@orditux.org wrote:
On Sun, 19 Jan 2020 13:22:05 +0100 frsag@jack.fr.eu.org wrote:
Je me permet juste de revenir sur ce point: l'activation d'apparmor reste conditionné par la présence du package adhoc, lequel n'est pas installé sur une netinstall par exemple
/me flies away
"apt-cache policy <nom du paquet>" (sans les guillemets) le dira à tout sysadmin (qui connaît *forcément* ses bases). Cela dit, tu aurais pu répondre au message initial (et en dessous), et non à mon message, ta réponse n'ayant rien à voir avec ma question.
Cordialement, Joyce MARKOLL
-- Orditux Informatique https://orditux.org https://orditux.org/aol _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/