[Portage] Quel profile pour un serveur domestique ?

gbetous · l33t Joined: 15 Jan 2004 Posts: 679 Location: Toulouse

Bonjour,

J'ai un serveur à la maison qui me sert de routeur/firewall/serveur de fichiers. Bref mon unique truc allumé 24h/24 (ou presque [*]) qui me sert un peu à tout.
Jusque là j'utilisais le profile "server", qui me permet d'avoir qques options par défaut plus adaptées, notamment l'absence de X.

Seulement depuis... heu... longtemps en fait, j'ai un avertissement comme quoi je devrais plutot passer à "hardened".

Sans trop savoir pourquoi, ce profile me fait un peu peur, et j'ai toujours hésité à l'utiliser.

D'où ma question : quel profile utilisez-vous dans des circonstances similaires ? Pourquoi ? Que me conseillez-vous ? Et sinon, ça boume ?

Merci :wink:

_________________
Core2Quad Q6600
ASUS P5B-V (i965 video intégrée)
~amd64 / KDE

guilc · Posted: Sat Feb 06, 2010 1:18 pm Post subject:

Serveur @home :

gbetous · l33t Joined: 15 Jan 2004 Posts: 679 Location: Toulouse

Bon, je vais donc aller sur dur "hardened" je pense

QUand tu dis "pour le passage d'un profil non-hardened à un profil hardened, il faut réinstaller à partir d'une toolchain hardened propre", je suppose qu'il va me falloir prévoir le coup à l'avance : est-ce que passer en hardened, puis emerger 2 fois "system" est suffisant ?
_________________
Core2Quad Q6600
ASUS P5B-V (i965 video intégrée)
~amd64 / KDE

d2_racing · Posted: Sun Feb 07, 2010 5:37 am Post subject:

gbetous · l33t Joined: 15 Jan 2004 Posts: 679 Location: Toulouse

Je m'auto-répond grâce à cette page :

guilc · Posted: Sun Feb 07, 2010 10:03 am Post subject:

Ouh là, le sujet est gros :lol:

Pour un peu de lecture de base concernant les patches inclus dans le noyau :
- http://grsecurity.net/features.php
- http://en.wikipedia.org/wiki/PaX
Cela met en œuvre différent mécanismes de protection du noyau (tout un jeu de limitations des accès au noyau pour rendre impossible l'injection de code dans le noyau, randomisation des adressages rendant impossible par exemple l'exploitation de faille de type stack/heap overflow, etc, la liste est longue)

J'ajoute une doc bien poilue sur PaX (attention, c'est pas digeste) : http://pax.grsecurity.net/docs/

Et concernant la toolchain, il s'agit de SSP, qui met en œuvre à la compilation des protections contre les buffer overflow (donc pour limiter les éventuels défauts des programmes que tu installes sur ton système).
La page est un peu vieille, mais c'est là : http://www.trl.ibm.com/projects/security/ssp/
Et bien sur toujours wikipedia : http://en.wikipedia.org/wiki/Stack-Smashing_Protector
_________________
Merci de respecter les règles du forum.

Mon site perso : https://www.xwing.info
Mon PORTDIR_OVERLAY : https://gentoo.xwing.info ou layman -a xwing

guilc · Posted: Sun Feb 07, 2010 10:05 am Post subject:

gbetous au fait :
Si tu veux un noyau patché récent (ainsi que quelques patches en test avant introduction dans portage) => layman -a hardened-development

_________________
Merci de respecter les règles du forum.

Mon site perso : https://www.xwing.info
Mon PORTDIR_OVERLAY : https://gentoo.xwing.info ou layman -a xwing

d2_racing · Posted: Sun Feb 07, 2010 3:49 pm Post subject:

merci guilc, je vais lire attentivement sur le sujet

jaypeche · Apprentice Joined: 13 Jun 2007 Posts: 176 Location: France

Salut,

Pour ton utilisation je confirme ton choix, qui me semble être un bon compromis ! Il faut savoir qu'au dessus d'hardened tu peux avoir du SeLinux, mais la ca devient vraiment trop "secure" et tu risques de rencontrer qq souçis...

Pour info, voiçi ma config pour un serveur réalisant les mêmes fonctions que le tien (Apache2, Squid, Samba, Vhosts, SSh, Netfilter, SQL...) :

Kernel :