Bonjour a tous,
je viens vers vous car je suis en train de sécuriser un serveur tournant sous Debian.
Il m’a été conseille de monter les systèmes de fichier inutiles au système (cramfs, freevxfs, jffs2, hfs et hfs+)sous /bin/true en rajoutant dans un fichier sous etc/modprobe.d/ une ligne pour chaque module install + nom du module + /bin/true.
est ce que quelqu’un peut m’expliquer le rôle de /bin/true et donc le pourquoi de faire cela ?
merci beaucoup.
Soit on t’a mal expliqué, soit tu as mal compris car ce que tu écris n’a aucun sens.
/bin/true est juste une commande qui renvoie un code d’erreur “reussite” ( = 0 ) dans un script (man true).
Aprés, ce qu’on t’a peut être dit, c’est de désactiver les modules qui gérent certains format de partition (pas les formats de fichier), et on peut utiliser la commande true pour ça, mais je ne vois pas trop l’objectif de sécurité de désactiver la gestion de ces formats, et ça veut dire que tu ne pourras plus monter certains disques mac (hfs et hfs+), et pour la désactivation du cramfs, je ne suis pas sur que ça ne plante pas le fonctionnement de l’initrd (et donc ça empêcherait ton systéme de booter).
Hey pascal, pourquoi tu édites mes posts ?
Erreur de manipulation de ma part à cause des privilèges de modérateur que je n’ai pas demandés. Un instant, je corrige.
Edit : fait.
Ni l’un ni l’autre ; hfs, jffs2, cramfs… sont des formats de système de fichiers.
Non car bien que le nom “initrd” soit resté, Debian et la plupart des distributions n’utilisent plus le format initrd depuis longtemps mais le format initramfs qui utilise un rootfs, qui est une instance spéciale de ramfs (variante simplifiée de tmpfs) montée en tant que racine initiale. D’ailleurs quand Debian utilisait un initrd en CRAMFS, le pilote cramfs devait être compilé en dur dans le noyau et non en module donc il n’était pas possible de le désactiver. De toute façon, la prise en compte de n’importe quel fichier dans /etc n’intervient qu’après le chargement de l’initrd ou initramfs.
Bref, au lieu de chipoter, est ce que toi le pro, tu vois un intérêt de sécurité à désactiver ces formats de système de fichiers ?
Parce que moi je ne vois pas quel objectif.
Sinon @Ben82 il y a un manuel de sécurisation debian.
Il est parfois un peu obsoléte, mais l’essentiel reste vrai, et c’est une bonne checklist pour sécuriser.
Je ne suis un pro qu’au travail (qui ne concerne pas GNU/Linux), pas ici.
Il y a bien sûr un intérêt de sécurité à désactiver toutes les fonctions qu’on n’utilise pas puisque cela empêche l’exploitation d’éventuelles failles dans ces fonctions. Mais pourquoi se limiter aux systèmes de fichiers et en particulier à ces systèmes de fichiers ?
Par exemple, un tas de failles ont été découvertes (et corrigées, mais il y a des chances qu’il en reste d’autres) dans des pilotes de périphériques USB du noyau. Ces failles pouvaient être exploitées avec un simple accès physique aux ports USB de la machine. Désactiver tous les pilotes de périphériques dont on n’a pas besoin est donc une mesure de sécurité au moins aussi utile.
Sur un serveur, je désactiverais surtout le montage automatique ou par un utilisateur normal des systèmes de fichiers sur des supports amovibles ou fixes. Parce que si on arrive à passer root, ce n’est pas la désactivation de quelques types de systèmes de fichiers qui empêchera de faire quoi que ce soit.
Durcir Debian n’est pas une chose aisée mais certains points peuvent apporter aussi plus de sureté, comme par exemple le montage en ‘noexec’ de certaines partitions, attention toute fois à ne pas se retrouver piégé.
Ces derniers temps j’ai vue multitude de binaire chargés en tmp et être exploités pour du minage ou de l’envoi de spam, installation de shell etc …
Passer tmp en noexec est un bon point dans ces cas précis.
Je renverrai vers aussi un peu de lecture publié par l’un de nos résidents : https://blog.stephane-huc.net/securite/systeme/index
Voir aussi les conseils de l’ANSSI à ce propos : https://www.ssi.gouv.fr/guide/recommandations-de-securite-relatives-a-un-systeme-gnulinux/
Attention, il semble que certains programmes et certaines opérations liées à l’installation de paquets ne fonctionnent pas correctement avec /tmp en noexec.
Cf. https://www.debian.org/doc/manuals/securing-debian-howto/ch4.en.html#s4.9