Le Mon, 14 Jan 2013 12:52:18 +0100, Xavier Beaudouin kiwi@oav.net a écrit :
Sur FreeBSD tu peux aussi ajouter un jail qui te permet d'avoir, en plus de MAC, des choses assez blindées.
Après pour garantir que ton OS n'est pas modifiable :
kern_securelevel="3" kern_securelevel_enable="YES"
Et un reboot, dans ce cas présent toute modification de fichiers système ne peux être obtenu que :
- en single user (donc accès console)
- en modifiant /etc/rc.conf et un reboot (donc en général un reboot
ca se voit)
C'est effectivement une approche de j'aime beaucoup et que j'utilise très souvent.
en couplant cela avec IPFW qui permet d'adapter les règles de filtrage IP en fonction de l'uid/guid, on obtient une granulatité très fine.
Juste pour re-situer le contexte, il s'agit d'ouvrir un accès ssh restreint sur un serveur mutualisé avec une centaine de vhosts.
Donc le jail est un peut trop lourd dans ce cas.