Salut à tous,
Je travaille sur un équipement positionné comme frontière de sécurité, et je souhaite appliquer au maximum le principê du moindre privilège; à savoir ne fournir aux services que les droits dont ils ont besoin, et uniquement ceux-là.
Le daemon syslogd tourne en compte root. Existe-t-il une version plus sécurisé de syslogd tournant avec un compte spécial et non en root ?
Merci
Je viens de trouver un élépment de réponse.
Syslog-ng, le remplaçant de syslogd peut être chrooté.
gentoo-wiki.com/MAN_syslog-ng nous donne l’option -C pour préciser la prison chroot.
Il y a plus sécurisé que root ?
Faire tourner un process avec des droits root c’est potentiellement très dangereux: si tu parviens à conpromettre le processus, tu deviens ROOT à ton tour, donc Dieu sur le système !
C’est pour ça qu’il faut au maximum évtier de faire tourner des processus en compte root, ou les chrooter; comme postfix bien souvent.