Digression sur la sécurité et l'utilisation de selinux vs apparmor vs grsecurity


#1

Depuis quelque temps j’utilise dès que je peux systemd afin de controler mes services et daemon, OpenVPN n’y fait pas exceptions.
c’est sur la documentation d’Archlinux que j’ai trouvé le support pour la gestion de ce que doit faire le système pour remonter le tunnel lorsqu’il tombe, ainsi quel e comportement dropant tous tant que le tunnel n’est pas up.

La mise ne place des scripts est aisée et la mise en place des unité systemd simple.

La seule chose qui pour l’instant bloque ce sont les DNS, resolveD est buggé et est plus limité que ce que propose le bon vieux fichier resolvconf.

C’est dernier temps je bosse sur nftables, le top si un courageux se sent l’âme serait de porter tous le bouzin au dessus sur systemd avec nftables et networkd, je pense que dans pas longtemps ce sera un standard.


Install openvpn en mode bridge
#2

Ah non.
Soit l’un soit l’autre.
Resolvconf, c’est dynamique.
“Le bon vieux” c’est le resolv point conf statique.
C’est balisto: c’est différent, c’est pas pareil.


#3

C’est vrai que t’es plus tout jeune :smirk: je n’utilise plus depuis éjà pas mal de temps le fichier resolv.conf.
D’ailleurs en parlant de ça tu utilise encore les patch grsecurity ?

Il me semblé que grsecurity tombé en désuétude face à l’armada selinux et apparmor dans une moindre mesure.

Niveau sécurité d’ailleurs j’attaquerai selinux l’année prochaine je commence à m’y intéresser pour des configurations plus pointu avec les cgroups et les namespaces.


#4

Salut
En quoi VPN et sécurité sont-ils liés?
VPN c’est pour l’anonymisation, la dissimulation, c’est pas de le sécurisation.
Ou bien?


#5

Comme je disais dans le tuto :

Pas “intrinsèquement”: si tu n’ajoute aucun encryptage, tu peux utiliser un tuyau VPN pour juste faire du routage point à point au travers de l’internet.
Mais utiliser un VPN encrypté pour être sur que rien n’est interceptable, quand tu te connectes au travers de réseaux peu fiable, ou que tu ne veux pas qu’on surveilles ce que tu fais, c’est quand même l’utilité principale d’un VPN, et ça relève de la sécurité.


#6

En rien si tu excepte ce que dit mattotop précédemment, c’est surtout que je dérive plus sur l’utilisation des cgroups, namespaces et l’utilisation de selinux vs apparmor vs grsecurity qui ne me semble plus trop utilisé :wink:

Titre changé :wink:

Pour en revenir au sujet, partant du principe que selinux est tout de même porté par le monde Redhat et satellites, l’utilisation du VPN en mode non root avec quelques sécurité initié par selinux et les scripts adéquat on devrais pouvoir bloqué facilement l’utilisation du dit VPN si le tunnel n’est pas monté et sécurisé les impact éventuel lié à OpenVPN.

Pour rappel plus un software est utilisé plus il y a de chances que des gens découvre des failles exploitables, intrinsèquement au nombre d’utilisateur il est toujours plus tentant pour un gars motivé de trouvé de façon rentable une faille exploitable sur un software largement utilisé.

Selinux à tout de même Redhat derrière ce qui est tout de même gage de sérieux et de suivi avec l’écosystème systemd qui tend à se développer sur toutes les distributions par contre ce n’est pas une sinécure de s’y mettre sérieusement pour des besoins complexes .

Apparmor à un spectre plus réduit de distribution exploitable out of the box mais peu se targuer d’être moins complexe par contre plus chiant avec le relabelling.
quant à grsecurity je ne connais guère de monde dans mon entourage qui utilise … mais il a l’avantage d’être simple en s’appuyant sur des acls et il me semble qu’il ne propose plus la version stable gratuitement :confused:


#7

que penser de cet outil d’audit?
https://packages.debian.org/stretch/lynis
https://cisofy.com/documentation/lynis/get-started/


#8

C’est un sujet à double face:
plus un soft est grand public, plus il y a de chances que les failles soient recherchées et trouvées pour une exploit 0day, mais aussi plus il y a de chances qu’elles soient corrigées rapidement pour peu que le soft soit opensource. A contrario, l’exotique va rendre les failles moins attirantes pour les malveillants, mais quand elles sont trouvées, ça peut prendre plus de temps pour que les usagers s’en aperçoivent et que le problème soit corrigé.

Je ne connaissais pas, j’en suis resté à ce bon vieux rkhunter, pour les audits.
Je viens d’installer, je te dirais en voyant les premiers rapports par mail.


#9

Apparemment rkhunter est bien endormi, cela fait des mois qu’il n’y a plus de mise à jour et que la version reste la même :
`# rkhunter --update
[ Rootkit Hunter version 1.4.6 ]

Checking rkhunter data files…
Checking file mirrors.dat [ No update ]
Checking file programs_bad.dat [ No update ]
Checking file backdoorports.dat [ No update ]
Checking file suspscan.dat [ No update ]
Checking file i18n/cn [ Skipped ]
Checking file i18n/de [ Skipped ]
Checking file i18n/en [ No update ]
Checking file i18n/tr [ Skipped ]
Checking file i18n/tr.utf8 [ Skipped ]
Checking file i18n/zh [ Skipped ]
Checking file i18n/zh.utf8 [ Skipped ]
Checking file i18n/ja [ Skipped ]
`

J’utilise lynis, mais bon comme c’est pour une utilisation bureautique je reste modeste et je n’applique pas certaines des solutions qui de toutes façons ne me serviraient à rien dans ma configuration ! Un extrait :

`Lynis security scan details:

Hardening index : 73 [############## ]
Tests performed : 229
Plugins enabled : 1

Components:

  • Firewall [V]
  • Malware scanner [V]

Lynis Modules:

  • Compliance Status [?]
  • Security Audit [V]
  • Vulnerability Scan [V]

Files:

  • Test and debug information : /var/log/lynis.log
  • Report data : /var/log/lynis-report.dat

`


#10

Lynis est pas mal, il fait bien le taff, même sur de large infrastructure.

Lynis est un concurrent de ossec pour ce qui connaisse Ossec.


#11

Pour moi:

grep warning lynis-report.dat

warning[]=AUTH-9216|grpck binary found errors in one or more group files|-|-|
- ok Ca m’a détecté une incohérence https://cisofy.com/lynis/controls/AUTH-9216/
ce qui m’a permis d’en apprendre sur grpck et grpconv et de réparer

warning[]=AUTH-9308|No password set for single mode|-|-|
je m’en fous :joy:

warning[]=PKGS-7388|Can’t find any security repository in /etc/apt/sources.list or sources.list.d directory|-|-|
complètement bidon , j’ai ceux de jessie, stretch et buster c’est peut être ça qui le perturbe :grin:

grep suggestion lynis-report.dat
  • j’ai suivi 1 seule recommandation: installer libpam-tmpdir

Bilan sur une installation standard de Debian, comme disait William " Too much ado about nothing"


#12

vu ça:


#13

Oui déjà regardé de près c’est édifiant tous à été prévu dedans …


#14

on y trouve des explications sur les paramètres noyau qui peuvent servir quand on compile son noyau
https://docs.clip-os.org/clipos/kernel.html#