Cette version inclut entre autres les mécanismes suivants :
- Trusted Path Execution : limitation des interactions utilisateur-logiciel
- Access Control Lists : gestion fine des droits d'accès
- Binary Integrity Verification : vérification de checksums MD5 à la volée
- Privacy : limitation des informations qu'un utilisateur peut obtenir sur les processus ne lui appartenant pas
- Restricted Symbolic Links : comme dans Openwall
- Real-time logging of execve() calls : comme son nom l'indique, journalisation temps réel des appels à "execve"
- ld.so environment protection : nettoyage de certaines variables d'environnement pour les utilisateurs lambda
Bref pas mal de choses intéressantes et modulaires (vous pouvez vous y mettre petit à petit). Ce n'est pas parce qu'OpenBSD se prétend "Secure by default" qu'on ne peut pas rajouter une couche...
Aller plus loin
- Stephanie (6 clics)
- OpenBSD (3 clics)
- Openwall (4 clics)
- La news originale sur OpenBSD Journal (3 clics)
# Avec les yeux seulement...
Posté par Miod in the middle . Évalué à 10.
Ce genre de patch a son utilité, mais ne l'appliquez pas sans réfléchir, en particulier sur un système en production ; et pensez qu'il n'a pas été vérifié et validé comme le reste du système, et que son utilisation n'est pas recommandée.
[^] # Avec le reste un de ces jours ?
Posté par Zeemax Zeemax . Évalué à 0.
[^] # Re: Avec le reste un de ces jours ?
Posté par Miod in the middle . Évalué à 1.
TPE : pas spécialement envisagé
acl : en cours (et des vrais acl, pas les pseudo-semblant-simili acl de Stephanie)
Vérification md5 : non
Restriction des affichages de ps etc : il faudrait qu'on commence par y trouver une utilité
Restriction sur les liens symboliques : non
Journal des appels execve() : on a mieux avec systrace en -current...
paranoia ld.so : pas spécialement envisagé (cela a autant d'utilité que la restriction d'affichage de ps etc)
# Licence : lost in space ?
Posté par Timbert Benoît . Évalué à -3.
Le here me donne un joli HTTP 403 - Refusé ... L'accès à la Licence est interdit ?
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.