Sortie du patch "Stephanie" pour sécuriser OpenBSD 3.1

Posté par  . Modéré par Amaury.
Étiquettes :
0
21
mai
2002
OpenBSD
Une nouvelle version du patch "Stephanie" de sécurisation du noyau OpenBSD est sortie, mise à jour pour OpenBSD 3.1

Cette version inclut entre autres les mécanismes suivants :

- Trusted Path Execution : limitation des interactions utilisateur-logiciel
- Access Control Lists : gestion fine des droits d'accès
- Binary Integrity Verification : vérification de checksums MD5 à la volée
- Privacy : limitation des informations qu'un utilisateur peut obtenir sur les processus ne lui appartenant pas
- Restricted Symbolic Links : comme dans Openwall
- Real-time logging of execve() calls : comme son nom l'indique, journalisation temps réel des appels à "execve"
- ld.so environment protection : nettoyage de certaines variables d'environnement pour les utilisateurs lambda

Bref pas mal de choses intéressantes et modulaires (vous pouvez vous y mettre petit à petit). Ce n'est pas parce qu'OpenBSD se prétend "Secure by default" qu'on ne peut pas rajouter une couche...

Aller plus loin

  • # Avec les yeux seulement...

    Posté par  . Évalué à 10.

    Je me permets de rappeller rapidement que le patch Stéphanie n'est pas exempt de bugs (en particulier, il y a quelques deadlocks amusants), et qu'il est toujours particulièrement agréable de chercher en vain un problème signalé par l'utilisateur pendant quelques heures avant que celui-ci ne glisse ingénuement «au fait, j'ai le patch Stéphanie installé, est-ce que ça influe ?». On a testé pour vous...

    Ce genre de patch a son utilité, mais ne l'appliquez pas sans réfléchir, en particulier sur un système en production ; et pensez qu'il n'a pas été vérifié et validé comme le reste du système, et que son utilisation n'est pas recommandée.

    • [^] # Avec le reste un de ces jours ?

      Posté par  . Évalué à 0.

      Est il envisagé qu'il soit vérifié, corrigé et validé pas obsd un de ces jours ou y a t'il un pb quelconque a cette integration ?

      • [^] # Re: Avec le reste un de ces jours ?

        Posté par  . Évalué à 1.

        Certaines des fonctionnalités sont prévues sur le long terme.

        TPE : pas spécialement envisagé
        acl : en cours (et des vrais acl, pas les pseudo-semblant-simili acl de Stephanie)
        Vérification md5 : non
        Restriction des affichages de ps etc : il faudrait qu'on commence par y trouver une utilité
        Restriction sur les liens symboliques : non
        Journal des appels execve() : on a mieux avec systrace en -current...
        paranoia ld.so : pas spécialement envisagé (cela a autant d'utilité que la restriction d'affichage de ps etc)

  • # Licence : lost in space ?

    Posté par  . Évalué à -3.

    Stephanie is distributed under the original two-clause BSD license, available here.

    Le here me donne un joli HTTP 403 - Refusé ... L'accès à la Licence est interdit ?

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.