Reprise du message précédent :
Une question bête: le 2.6.7 est stable?

pourquoi il ne serait pas stable ?
tu as regardé www.kernel.org ?

The latest stable version of the Linux kernel is:  2.6.7
Faut croire

Je peux compiler le 2.6.7 avec le .config du 2.6.6?

make menuoldconfig

up mon beau topic

 
 
Ma participation, un excellent site qui rappelle les bases des protocoles, la sécurisation en générale, les outils de scan et le maniement d'iptable.
 
http://olivieraj.free.fr/fr/linux/ [...] /firewall/

ajouté

yes pas mal le topic^^
hum ca serait possible d'avoir des indications sur les modules.. j'ai lu que niveau securité en fait c'etait pas geniale , et, suivant les site, les avis diverge sur un support en dur ou en module.
Et si vous avez des bon liens ou des conseils, meme si ca sort un petit peu du cadre d'une passerelle, ca serait pour avoir une bonne politique de gestion des utilisateurs de confiance (autre que les services), et des autres.

Le problème des modules, si j'ai bien compris, c'est qu'un utilisateur "malveillant" peut créer un faux module, qui modifie le comportement du noyau, pour ouvrir une backdoor, ou autre, et qu'il peut ensuite le charger (si le support pour module est activé dans le noyau ...)

si un utilisateur malveillant peut lancer un module backdoor, c'est qu'il est en root, et ca déjà, c'est pas normal.

effectivement

ça vous intéresse ça? Même si c'est un risque local?
 
(je l'avais mis dans mon topic Sécurité Windows sans faire gaffe que c'était des drivers linux).
 
## Vulnérabilité locale dans driver modem SpeedTouch USB ## Speedtouch USB Driver Format String Flaw May Let Local Users Execute Arbitrary Code Alerte Security Tracker 20/10/2004 et Speedtouch USB Driver Privilege Escalation Vulnerability Secunia Advisories 21/10/2004
Versions touchées : tous les drivers versions 1.x (=<1.3)
Description :

Solution : passer à la version 1.3.1 juste sortie pour corriger ce défaut à l'adresse http://speedtouch.sourceforge.net/ [...] ad.fr.html

you're welcome

tout est bon à prendre
 
par contre vous pensez que je le mets en 1ère page ?

moi je ne sais pas je ne suis pas (encore) de là

et hop un problème de grammaire html concernant plusieurs navigateurs  
 
## Problèmes de grammaire HTML ## Web browsers - a mini-farce SecurityFocus Bugtraq 18/10/2004
Logiciels testés : Opera , Mozilla/Mozilla Firefox , Lynx (Linux Unix) et Links (Linux Unix)
Description : Michal Zalewski a testé différents navigateurs Web

Cela lui a permis de faire "crasher" certains navigateurs avec de simples commandes html. IE a résisté mais comme le dit l'auteur

on peut trouver les exemple pour ces navigateurs (et d'autres uniquement Linux et Unix) à l'adresse suivante  http://lcamtuf.coredump.cx/mangleme/gallery/
Solution : pas de solution malheureusement (j'ai testé un lien avec Firefox et boum un crash ) mais cela ne semble pas potentiellement dangereux, c'est pourquoi pour le moment Secunia n'en a pas parlé

ok c'est juste un bug mineur donc

oue pas bête je vais le mettre en 1ère page ça

1er post updaté pour php 4.3.4 avec une spéciale dédicasse pour notre jowile

utiliser le Trusted Path Execution

 
et des sondes

Perso sur ma passerelle :
 

• / en lecture seule, pour mettre rw faut reboot (nécessaire pour faire la moindre modif ou  mise à jour, mais je vois mal comment faire mieux niveau protection du fs), de plus je me connecte dessus par l'intermédiaire du port série, donc pas besoin de sshd.

• logs exportés sur une machine différente (syslog-ng)

• suppression de l'uid nul de root (bah oui, root n'est que le nom, ce qui est important c'est l'uid), sachant que pas mal de trucs brute-force vont d'abord essayer le compte root, et ne vont pas forcément chercher un compte avec uid=0

• chiffrement de tout ce qui passe par cette passerelle à destination d'une machine de mon wan ou vers une machine de ma dmz (ca serait con de se faire sniffer les pass pop/imap/protocole non chiffré) à l'aide de vpn

• snort qui tourne dessus pour le traffic

• check des md5 de tous les binaire chaque heure avec un outil de ma fabrication (pour éviter les gens qui pourraient profiter d'une faille non-patchée d'un IDS répandu).

• suppression de tous les binaires non-vitaux (bc, mt, less, cal, dos2unix, etc)

• pas de support modules évidemment

• multiples tests sur les logs pour déceler quelque chose de bizarre

• link des ~.bash_history vers /dev/null  

• tcp_wrappers pour tous les services réseau (au cas où)

• restreindre l'accès 'root' à mort avec /etc/securetty

• n'autoriser que certains user à passer 'root' avec su, par ex ceux du groupe wheel comme sur freebsd, évidemment ne pas prendre wheel comme groupe

• sûrement d'autres trucs par la suite...

Je sais que je devrais mettre un truc genre grsec, mais comme je suis dans ma phase découverte du noyau, j'aimerai bien faire des modifs personnelles...donc à l'abri d'une éventuelle faille connue de grsec ( ce dont je doute ), et je suis conscient que je peux même rajouter une faille sans faire gaffe, mais bon.
 

• modifs noyau perso dans les mois (années ?) à venir

Be a Man , use RBAC
(et fais donc un joli tutô en passant tiens )

oue clairement

 
ah ouais quand même

Pour les gentooistes (ou non d'ailleurs)
 
http://www.gentoo.org/doc/fr/gentoo-security.xml

 
plus tu fait de trucs plus tu découvre de nouvelles choses à faire

et en cas d'attaque nucléaire t'as prévu quelque chose ?

je sais pas si c'est déjà passé ici :
http://lwn.net/Articles/105570/
 
une revue de différente méthode pour limiter les attaques .
 
j'aime beaucoup le Stack Smash Protection. si j'avais une gentoo je crois que je recompilerais tout avec ça, et tant pis pour le réchauffement climatique

http://www.k-otik.com/news/2004102 [...] tPatch.php

voila le détail (si vous y comprenez qque chose car moi je suis lui largué )
 
http://www.k-otik.com/news/FakeRedhatPatchAnalysis.txt

bah c'est l'équivalent des mails a la con sous windows prétendant venir de chez Microsoft .

oui mais ce c'est ce que c'est censé faire à la Redhat niveau système que je pige pas c'est tout

j'aurais aimer avoir des infos sur Honeyd, est-ce vraiment utile de mettre ceci sur un server dns,web,ftp... ?
Je pause la question parce que les peu d article que j ai trouves sont mitigés alors je viens sonder par ici.
 
Si vous avez des tutos ou articles sur le sujet je suis prenneur.

je sais pas si ça a été dit mais voici quelques autres idées :
 
- utiliser cron.allow pour autoriser un nombre restreint de user à utiliser cron
- mettre une partie de son système de fichiers en read-only
- faire plusieurs partoches pour pas qu'on puisse bourrer le disque en faisant exploser les logs (ou autres...).
- utiliser le script Bastille Interactive pour renforcer les points qui auraient été oubliés (ne pas utiliser la fonction firewall iptables est mieux)
- faire un chkrootkit tout les jours
- faire des backups tous les jours (?)

Bonjour j aurais une question sur FTP.
J ai iptables v1.2.11 sur mon routeur et la v1.2.9 sur un poste. Quand je fais un ftp a partir du poste sur un serveur exterieur, la connection ftp-data (SYN) arrive a passer le routeur avec l'etat RELATED, ce qui est normal. Par contre elle est vue sur le poste comme etant NEW et non pas RELATED. J'ai regardé les changelogs d'iptables et je n'ai rien vu a ce sujet. Est ce que quelqu'un saurait a quoi est due cette difference.
 
[EDIT]
J ai rien dis, fallait charger le module ip_conntrack_ftp
[/EDIT]