Hello la liste,

Alors personnellement, j'utilise exclusivement SELinux.

Il n'est pas si difficile d'écrire les règles surtout si on utilise le CIL au lieu du M4+compilation.

Pour ce qui de quelle application devrait être en enforced, je réponds simplement toutes.

C'est tout le système qui devrait l'être et pas de passe-droit.

Les containers sont strictement confinés à eux seul, idem pour les microservices ou app.

Pourquoi une webapp serait autorisée à sortir de son emplacement d'installation?

Identique pour les applications, si on veut autoriser l'application à accéder au dossier documents qu'on a fait pour elle, on set le context/group et comme quoi cette application a ce droit et uniquement celui-ci.

Cela force à savoir comment fonctionne les applications qu'on utilise mais est-ce un mal en soi ?

Dois-je rapeller qu'il y a encore des développeurs qui essaient d'accéder à la zone mémoire 0 ?

Comment empêchez vous cela sans utiliser un système comme SELinux ?

La vraie bonne question est: voulez-vous un contrôle et connaissance parfaite de votre parc?

Excellente journée

On Sun, Jan 19, 2020, 08:55 <contact@orditux.org> wrote:

On Sun, 19 Jan 2020 13:22:05 +0100
frsag@jack.fr.eu.org wrote:

> Je me permet juste de revenir sur ce point: l'activation d'apparmor
> reste conditionné par la présence du package adhoc, lequel n'est pas
> installé sur une netinstall par exemple
>
> /me flies away

"apt-cache policy <nom du paquet>" (sans les guillemets) le dira à tout sysadmin (qui
connaît *forcément* ses bases). Cela dit, tu aurais pu répondre au message initial (et en
dessous), et non à mon message, ta réponse n'ayant rien à voir avec ma question.

Cordialement,
Joyce MARKOLL

--
Orditux Informatique
https://orditux.org
https://orditux.org/aol
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/