Bonjour,
j'ajoute une question à la fin de ce mail, sans que cela soit forcément pour un usage prochain (pour ma culture générale).
On Fri, 17 Jan 2020 19:54:15 +0100 Vincent Tondellier via FRsAG frsag@frsag.org wrote:
Le vendredi 17 janvier 2020, 03:08:05 CET Jonathan Leroy - Inikup via FRsAG a écrit :
AppArmor est désormais activé par défaut depuis Debian Buster.
(…)
C'est activé sur tous les serveurs que j'administre (taille PME dont le coeur de métier est dans l'informatique mais pas le web), et quasiment tous les services qui communiquent avec l'extérieur ont un profil en mode "enforce", y compris le php du wordpress.
J'ai beaucoup utilisé grsecurity par le passé et ai fini par faire machine arrière(…)
Je n'ai jamais utilisé grsec, mais ce retour d'expérience ressemble beaucoup a selinux ...
(…)
Ce n'est pas mon expérience avec apparmor. Les adaptations de profils sont simples
(…) (…)
mais je suis preneur de retours d'expérience réels
(…)
- il faut la plupart du temps soit écrire le profil soit même, soit aller le
chercher dans les paquets ubuntu ou suse
(………)
- la doc décrit assez bien la syntaxe (en EBNF et texte), mais reste assez
théorique, manque d'exemples concrets
(…)
- ca m'a déjà évité l'exploitation d'une faille joomla il y a quelques années.
J'ai eu l'alerte (accès interdit), mais l'exploit n'a pas fonctionné
Comme souvent dans les documentations les cas d'exemple manquent effectivement. Depuis que je suis ce fil, j'ai fait quelques recherches pour en savoir un peu plus sur le sujet, en me demandant tout du long à quels cas d'exemples concrets des restrictions peuvent être mises sur des applications, disons, dans des systèmes *nix ?
Aussi, ici : https://gitlab.com/apparmor/apparmor/-/wikis/GettingStarted
comme dans de nombreuses docs en ligne…
Alors en plus des CMS, quelles applications valent, selon vous, d'être l'objet de limites ? Avez-vous quelques autres exemples concrets ?
Merci par avance, Joyce MARKOLL