Bonsoir,
On Sunday 19 January 2020 13:16:21 contact@orditux.org wrote:
j'ajoute une question à la fin de ce mail, sans que cela soit forcément pour un usage prochain (pour ma culture générale).
...
- ca m'a déjà évité l'exploitation d'une faille joomla il y a quelques
années. J'ai eu l'alerte (accès interdit), mais l'exploit n'a pas fonctionné
Comme souvent dans les documentations les cas d'exemple manquent effectivement. Depuis que je suis ce fil, j'ai fait quelques recherches pour en savoir un peu plus sur le sujet, en me demandant tout du long à quels cas d'exemples concrets des restrictions peuvent être mises sur des applications, disons, dans des systèmes *nix ?
Avec apparmor, principalement les droits sur les fichiers (rwx), en complément des droits unix. On peut également gérer les capabilities (man 7 capabilities), quels signaux peuvent être envoyés et a qui, et quelques autres droits plus obscurs (droits mount, ptrace, ...). Les droits d'accès au réseau ne sont pas dispo sous debian (pas dans le noyau vanilla).
Avec selinux, c'est beaucoup plus bas niveau et aussi plus précis. On peut gérer les syscalls un par un.
Aussi, ici : https://gitlab.com/apparmor/apparmor/-/wikis/GettingStarted
comme dans de nombreuses docs en ligne…
Alors en plus des CMS, quelles applications valent, selon vous, d'être l'objet de limites ? Avez-vous quelques autres exemples concrets ?
Je dirais toutes. Sur un serveur, c'est faisable. Cependant, pour un poste de travail, vu la complexité pour les applications de bureau, partir sur les applications exposées au réseau me parait plus raisonnable.
Je n'ai personnellement pas d'autres exemples d'attaques évitées, mais je pense que les dernières failles exim auraient pu être atténuées grâce a une solution de MAC. Et bien sur c'est aussi utile pour les webapp mal codées