(...)
Je me posait la question de savoir si des systèmes MAC (Mandatory Access Control) comme SELinux/AppArmor ou les MAC de FreeBSD n'était pas prévu pour ça.
Avec un Framework MAC on traiterait du coup le pb du ssh user mais aussi d'autres points.....question ouverte.
Sur FreeBSD tu peux aussi ajouter un jail qui te permet d'avoir, en plus de MAC, des choses assez blindées.
Après pour garantir que ton OS n'est pas modifiable :
kern_securelevel="3" kern_securelevel_enable="YES"
Et un reboot, dans ce cas présent toute modification de fichiers système ne peux être obtenu que :
- en single user (donc accès console) - en modifiant /etc/rc.conf et un reboot (donc en général un reboot ca se voit)
/Xavier