Forum Linux.debian/ubuntu Sécurisation de ssh : activation de seccomp

Posté par  . Licence CC By‑SA.
4
1
août
2020

Bonjour,

J'essaye de me faire un serveur VPN. Avant, ça je souhaite configurer correctement la sécurité de son hôte. Je suis donc la note technique de configuration de OpenSSH de l'Anssi. Il est indiqué que l'activation de Seccomp est vivement recommandé.
À la vérification, aucun des trois processus sshd n'a Seccomp d'activé avec Seccomp à 0 dans /proc/*/status (voir ici).
L'activation explicite de Seccomp par l'ajout de UsePrivilegeSeparation sandbox dans /etc/ssh/sshd_config (voir le guide OpenSSH de l'Anssi) ne change rien si ce n'est qu'un message dans les logs de sshd apparaît indiquant que l'option UsePrivilegeSeparation est dépréciée.
En effet, la séparation des privilèges est activé par défaut depuis 2002 et la séparation des privilèges par bac à sable depuis 2012 (changelog de openssh 7.5). La version de OpenSSH qui tourne est la 7.9 mais ce comportement n'a pas dû changer depuis.
Vérifions alors que OpenSSH a été compilé avec Seccomp. C'est le paquet de apt dans sa dernière version : 1:7.9p1-10+deb10u2 amd64.
Pour connaître les options de compilation, une fois les sources du paquet téléchargés, il faut regarder dans debian/rules.
Il n'y a rien d'explicite concernant Seccomp mais il est marqué :
export DEB_BUILD_MAINT_OPTIONS := hardening=+all
ce qui laisse à penser que Seccomp est compilé avec OpenSSH.
Une recherche pour en savoir plus sur DEB_BUILD_MAINT_OPTIONS indique qu'une série de patches concernant Seccomp ont bien fait leur chemin vers le paquet openssh de Debian : https://sources.debian.org/patches/openssh/1:7.9p1-10+deb10u2/
Seccomp devrait donc bien être activé et ce, par défaut. Pourquoi Seccomp est donc à 0 ?
Dois-je penser à faire un rapport de bug à Debian ?

L'OS est Debian 10 à jour.

  • # Noyau

    Posté par  (site web personnel) . Évalué à 2.

    D’après le premier lien que vous donnez, ne faudrait-il pas vérifier du côté du noyau l’activation de seccomp ?

    « IRAFURORBREVISESTANIMUMREGEQUINISIPARETIMPERAT » — Odes — Horace

    • [^] # Re: Noyau

      Posté par  (site web personnel) . Évalué à 2.

      C'est activé :

      $ grep SECCOMP /boot/config-4.19.0-10-amd64 
      CONFIG_SECCOMP=y
      CONFIG_HAVE_ARCH_SECCOMP_FILTER=y
      CONFIG_SECCOMP_FILTER=y
      

      Debian Consultant @ DEBAMAX

      • [^] # Re: Noyau

        Posté par  . Évalué à 3. Dernière modification le 02 août 2020 à 22:38.

        Et l'activation pour un programme donné se fait par un … appel système depuis 2014.
        De ce que je comprends de l'outil, il donne la possibilité aux dev de faire de la sûreté. L'activation uniquement par appel système dans le code source et l'absence d'activation par administration système se comprennent ainsi, je pense.
        Il y a un paquet seccomp qui permet uniquement de répertorier les appels système disponible.
        Je crois que je vais m'adresser au mainteneur du paquet et aux dev.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.