V. Sécurisation approfondie▲
NDR : Vous devez savoir ce que vous faites dans les parties présentées ici.
V-A. Installation du patch OpenWall▲
Le patch est téléchargeable sur http://www.openwall.com/linux/
mount -o remount,rw /usr
cd /usr/src
cp -r kernel-2.2.20-fw kernel-2.2.20-fwow
ln -s kernel-2.2.20-fwow linux-ow
md5sum /home/system/download/linux-2_2_23-ow1_tar.gz
cb51cfdd978eba987ca39d09960e17c3\
/home/system/download/linux-2_2_23-ow1_tar.gz
cp /home/system/download/linux-2_2_23-ow1_tar.gz .
tar zxvf linux-2_2_23-ow1_tar.gz
cd linux-ow
patch -p1 < ../linux-2.2.23-ow1/linux-2.2.23-ow1.diff
Deux fichiers ne passent pas avec notre noyau 2.2.20 :
find . -name *.rej
./fs/fat/inode.c.rej
./fs/select.c.rej
=> Mais les modifications manuelles sont triviales.
On prépare la compilation du nouveau noyau :
sed 's/^EXTRAVERSION\ =\ -fw$/EXTRAVERSION\ =\ -fw-ow/' Makefile > .fwow
cat .fwow > Makefile && rm -f .fwow
Si vous lancez make menuconfig à ce moment, vous trouverez un nouveau menu nomme 'Security options'. Deux options demeurent non-activées après le passage du patch : 'Restricted /proc' 'Destroy shared memory segments not in use' => Vous pouvez activer 'Restricted /proc' mais il vous faudra une configuration supplémentaire des comptes administrateurs avec un outil comme sudo pour éviter que les admins ne passent root à tout bout de champ:
On compile :
make dev && make modules && make bzImage
On installe :
mount -o remount,rw /boot
cp arch/i386/boot/bzImage /boot/vmlinuz-2.2.20-fw-ow
cp System.map /boot/System.map-2.2.20-fw-ow
cd /boot/
ln -s vmlinuz-2.2.20-fw-ow linux-ow
Installez les modules :
cd - && make modules_install
On modifie /etc/lilo.conf pour ajouter :
image=/boot/linux-ow
label=linux22ow
read-only
restricted
Et on lance 'lilo'.
On reboote et on passe sur le noyau avec OpenWall. Si tout s'est bien passe, vous pouvez changer le noyau charge par défaut par lilo en supprimant restricted de l'ancien noyau.
V-B. Installation du wrapper libsafe▲
L'archive est disponible sur :
http://www.research.avayalabs.com/project/libsafe/
cd /home/system/applis
md5sum ../download/libsafe-2_0-16.tgz
6b7b6e6df84d4afb469ccc66d04fc24d ../download/libsafe-2_0-16.tgz
tar zxvf ../download/libsafe-2_0-16.tgz
find ./libsafe-2.0-16/ -type f \( -perm -004000 -o -perm -002000 \) -exec ls\
-la {} \
chown -R root:root libsafe-2.0-16/
chmod 750 libsafe-2.0-16/
cd libsafe-2.0-16/
make
mount -o remount,rw /usr
make install => Entrer Yes au prompt.
mount -o remount,ro /usr
Testez la librairie :
export LD_PRELOAD=/home/system/applis/libsafe-2.0-16/src/libsafe.so
Lancez les exploits dans /home/system/applis/libsafe-2.0-16/exploits.
Installez la libsafe dans /etc/ld.so.preload si le fichier n'existe pas :
ll /etc/ld.so.preload || echo /lib/libsafe.so.2 > /etc/ld.so.preload
chmod 644 /etc/ld.so.preload
Rebootez le système (?!).
V-C. Conserver une empreinte de vérification d'intégrité du système▲
Installez le package Debian :
mount -o remount,rw /usr
dselect => installation de 'aide'
=> La préconfiguration ne fonctionne pas, car elle tente d'exécuter un script dans /tmp
=> 'Initalize aide database ?' -> No
mount -o remount,ro /usr
Préparez le terrain :
chmod 750 /etc/aide
cp /etc/aide/aide.conf /etc/aide/aide.conf.orig
chmod 640 /etc/aide/*
mkdir /home/system/aide
Editez /etc/aide/aide.conf et modifiez le de telle sorte que :
[...]
database=file:/home/system/aide/aide.db
database_out=file:/home/system/aide/aide.db.new
[...]
# MD5 sum files - especially useful with debsums -g
/var/lib/dpkg/info/([^\.]+).md5sums Databases
[...] et a la fin du fichier [...]
/etc ConfFiles
/home/system Binlib
!/home/system/aide
[...]
Initialisez la base de données : aide --init -V200
NDR : Est-il trivial de vous reccomander de ne pas faire de modifications pendant l'initialisation ?
Première sauvegarde de la base de données (la suite est donnée à titre d'exemple) :
Insérez une disquette puis 'mke2fs /dev/fd0'
mount /dev/fd0 /mnt
cp /home/system/aide/aide.db.new /home/system/aide/aide.db
/usr/bin/md5sum /home/system/aide/aide.db.new > /mnt/aide.db.md5
mv /home/system/aide/aide.db.new /mnt/aide.db
cp /usr/bin/aide /mnt/
/usr/bin/md5sum /usr/bin/aide > /mnt/aide.md5
sed 's/file:\/home\/system\/aide\//file:.\//' /etc/aide/aide.conf >\
/mnt/aide.conf
sync
cd /mnt
grep `/usr/bin/md5sum aide | cut -d ' ' -f 1` aide.md5
=> Doit vous renvoyer le contenu du fichier aide.md5
grep `/usr/bin/md5sum aide.db | cut -d ' ' -f 1` aide.db.md5
=> Doit vous renvoyer le contenu du fichier aide.db.md5
diff /etc/aide/aide.conf ./aide.conf
3,4c3,4
< database=file:/home/system/aide/aide.db
< database_out=file:/home/system/aide/aide.db.new
---
> database=file:./aide.db
> database_out=file:./aide.db.new
cd && umount /mnt
Sortez la disquette et protégez-la en écriture.
Vérifier le système avec le support de sauvegarde :
Insérez la disquette
mount -o ro /dev/fd0 /mnt && cd /mnt
./aide -c ./aide.conf --check -V200
cd && umount /mnt
Mise à jour de la base de données sauvegardée :
aide --update -V200
cd /home/system/aide
mv aide.db.new aide.db
puis sauvegardez cette nouvelle base comme pour la création.
NDR : Ce qui précède est donné à titre d'exemple, Il serait plus approprié en cas de doute de booter le système sur un support amovible sur protégé en écriture et d'effectuer la vérification d'intégrité à partir de ce support.
MAN : aide, aide.conf
V-D. Gestion des quotas▲
NDR : Vous devez commencer a connaitre le système donc je n'explique plus les détails déjà présentés plusieurs fois…
Recompilation du noyau et installation du package :
Compilez un nouveau noyau en activant 'Filesystems -> Quota support'.
Rebootez, sauvez la configuration etc…
Installez le package 'quota'.
=> 'Send daily reminders' -> No
Configuration des partitions :
Modifiez le fichier /etc/fstab pour ajouter les flags relatifs aux quotas :
/dev/sda6 /var ext2 nodev,usrquota,grpquota 0 2
/dev/sda7 /var/log ext2 noexec,nosuid,nodev,sync,usrquota,grpquota 0 2
/dev/sda8 /tmp ext2 noexec,nosuid,nodev,usrquota,grpquota 0 2
[...]
/dev/sda10 /home ext2 nodev,usrquota,grpquota 0 2
Ajoutez les fichiers de quotas :
for
i in
`echo /var /var/log /tmp /home`
; do
\
touch $i
/quota.user &&
touch $i
/quota.group ; done
for
i in
`echo /var /var/log /tmp /home`
; do
\
chmod 600
$i
/quota.user &&
chmod 600
$i
/quota.group ; done
for
i in
`echo /var /var/log /tmp /home`
; do
\
chown root:root $i
/quota.user &&
chown root:root $i
/quota.group ; done
Remontez les partitions :
for
i in
`echo /var /var/log /tmp /home`
; do
\
mount -v -o remount $i
; done
Suppression d'un service inutile pour nous :
update-rc.d -f quotarpc remove
Une première verification :
/sbin/quotacheck -am
Edition des quotas pour les groupes :
Lancez 'edquota -g users' et editez les quotas pour le groupe users :
/dev/sda8 0 20000 20000 0 5000 5000
/dev/sda10 17 100000 100000 9 10000 10000
Lancez edquota -g adm et editez les quotas pour le groupe adm :
/dev/sda8 0 5000 10000 0 10000 10000
/dev/sda10 17 200000 250000 9 50000 50000
NDR : Utilisez df -[h|i] de facon à obtenir les informations sur l'ensemble du disque pour le choix des quotas précédents.
Créez un utilisateur fictif qui servira de modèle de mise en place de quotas :
adduser --no-create-home --disabled-password --quiet --ingroup users quotauser
Changing the user information for quotauser
Enter the new value, or press return for the default
Full Name []: Quota template user
Room Number []:
Work Phone []:
Home Phone []:
Other []: Disabled
Is the information correct? [y/n] y
passwd -l quotauser
chsh -s /bin/false quotauser
Mettez en place les quotas pour le modèle d'utilisateur :
Lancez 'edquota -u quotauser' et éditez les quotas :
/dev/sda8 0 2000 2000 0 500 500
/dev/sda10 0 10000 10000 0 1000 1000
Vous pouvez vérifier les quotas mis en place avec : 'quota -vu quotauser'
Pour un nouvel utilisateur {username}, vous pouvez associer ce modèle de quotas avec 'edquota -p quotauser {username}'.
Modifiez '/etc/adduser.conf' pour inclure ce modàle dans la définition des quotas :
QUOTAUSER="quotauser"
Activation - Désactivation - Etat des quotas (quelques exemples) :
Activation : /etc/init.d/quota start
Désactivation : /etc/init.d/quota stop
Etat (Active ou Desactive ? ) : quotaon -pa
Statistiques : repquotas -ugva
NDR : Le fichier d'initialisation des quotas au boot est placé dans /etc/rcS.d et sera donc active à chaque redémarrage de la station.
MAN : quotacheck, quotaon, quotaoff, quotastats, repquota, edquota, quota
V-E. Sécurisation PAM : Gestion des limites▲
Limites aux sessions :
Vérifiez avec 'grep pam_limits.so /etc/pam.d/ssh' que la librairie est activee (c'est le cas par défaut).
Constatez avec 'grep pam_limits.so /etc/pam.d/login' que la librairie n'est pas activée par défaut : => Activez la en décommentant la ligne. => Faites de même pour /etc/pam.d/su
Editez /etc/security/limits.conf en ajoutant les parametres suivants (exemple pour le groupe administrateurs) :
* hard core 0
* hard memlock 4096
* hard fsize 10000
* hard maxlogins 3
* hard cpu 10
@adm hard nofile 1024
@adm hard nproc 256
@adm hard maxlogins 5
@users hard nofile 256
@users hard nproc 32
NDR : Pour afficher les limites d'un utilisateur, entrez 'ulimit -a'
MAN : bash, ulimit
V-F. Disquette de secours avec Tomsrtbt▲
La distribution tomsrtbt est téléchargeable sur http://www.toms.net/rb/
cd /home/system/applis
/usr/bin/md5sum /home/system/download/tomsrtbt-2.0.103.tar.gz
d5ee50efb28986d564547d5da5de2483 \
/home/system/download/tomsrtbt-2.0.103.tar.gz
tar zxvf /home/system/download/tomsrtbt-2.0.103.tar.gz
cd tomsrtbt-2.0.103/
Insérez une disquette vierge.
./install.s
Vous avez désormais une disquette de secours.
En rebootant sur la disquette, deux choix vous sont proposés :
* Resolution de l'ecran.
* map du clavier.
Et puis en fait, le mieux est que vous lisiez la FAQ…
V-G. Installation de Prelude-Lml pour une remontee de log securisée vers un serveur centralisé ▲
L'installation de Prelude-Lml est désormais présentée dans une autre documentation. Ne figurent ici que les aspects de configuration du moniteur Prelude qui sont spécifique à l'installation de notre station sécurisée.
La nouvelle documentation est intitulée « Centralized and secured remote logging solution with Prelude-Lml on Debian : How to securely install and set up the Prelude-Lml engine ».
Elle est disponible sur http://www.entreelibre.com/scastro/prelude/ .
V-G-1. Configuration initiale▲
Nous abordons ici la remontée de certains des logs 'sécurité' générés par la configuration présentée dans cette documentation.
NDR : Par la suite, nous emploierons le terme 'sonde' à la place de 'sensor'.
NDR : Cette configuration est minimale, je vous conseille, de lire les documentations disponibles sur prelude et de procéder à votre propre paramétrage. Il est par exemple possible, entre autres, de recompiler la libsafe pour qu'elle puisse se comporter en sonde prelude.
Modifiez '/home/prelude/etc/prelude-sensors/sensors-default.conf' :
> node-name = Test Secured Debian;
> node-location = Salle serveur;
Modifiez '/home/prelude/etc/prelude-lml/plugins.rules' :
< Paxmod - .* PAX: .*
> #Paxmod - .* PAX: .*
Modifiez '/home/prelude/etc/prelude-lml/prelude-lml.conf' :
Nos fichier à surveiller sont (voir Installation et premiers pas avec Modular-Syslog) : /var/log/fw_deny.log, /var/log/fw_accept.log et /var/log/sécurité.log :
< file = /var/log/auth.log
< file = /var/log/messages
> file = /var/log/sécurité.log
> file = /var/log/fw_accept.log
> file = /var/log/fw_deny.log
Nous allons charger notre propre série de règles :
< ruleset=/home/prelude/etc/prelude-lml/ruleset/simple.rules;
> #ruleset=/home/prelude/etc/prelude-lml/ruleset/simple.rules;
> ruleset=/home/prelude/etc/prelude-lml/ruleset/debian-secinst.rules
Créez '/home/prelude/etc/prelude-lml/ruleset/debian-secinst.rules' :
# Customized prelude-lml rules file from debian-secinst v0.1.7 doc
# Simon Castro <scastro [at] entreelibre.com>
# These one are from the simple.rules standard file.
regex
=
PAM_unix\[(
[0
-9
]+)\][^(
]+\(
uid
=(
[0
-9
]+)\) ->
(
[^ ]+);\
class.name
=
Authentication Failure; impact.completion =
failed;\
impact.type =
other; impact.severity =
high;\
impact.description
=
Process $1
attempted to change UID from $2
to $3;
regex
=
entered promiscuous mode; class.name
=
Promiscuous mode detected;\
impact.completion =
succeeded; impact.type =
other;\
impact.severity =
medium; impact.description
=
A sniffer is probably\
running on this machine;
# A few of rules only of this file will be used as we don't configure\
prelude-lml to look into auth.log
include =
ssh.rules;
# These are personal rules...
regex
=
left promiscuous mode; class.name
=
Promiscuous mode end detected;\
impact.completion =
succeeded; impact.type =
other;\
impact.severity =
medium; impact.description
=
A sniffer is probably\
running on this machine;
# Uncomment one of the two ruleset below
#include = ipchains.rules;
#include = netfilter.rules;
Créez '/home/prelude/etc/prelude-lml/ruleset/ipchains.rules' a partir de 'Annexe 5 - Fichier de règles pour un support Ipchains avec Prelude-lml' si vous utilisez un firewall IpChains.
Attribuez les permissions correctes aux fichiers crées :
cd /home/prelude/etc/prelude-lml/ruleset/
chown prelude:prelude debian-secinst.rules ipchains.rules
chmod 640 debian-secinst.rules ipchains.rules
Notez qu'avec cette version de Prelude, il n'est apparemment plus possible de donner des droits restreints aux fichiers de logs que vous monitorez. Par défaut, vos fichiers de logs (dans /var/log) sécurité.log et fw_[deny| accept].log doivent être en 640 et appartenir a root:adm (si vous avez suivi cette procédure). Il se trouve que si vous ne configurez pas ces fichiers en 644 au minimum avec cette installation, le moniteur prelude ne sera pas capable de les consulter après avoir perdu ses privilèges super-utilisateur.
Et redémarrez la sonde prelude-lml :
/etc/init.d/preludelogmonitor.sh restart
V-H. Sécurisation approfondie avec GrSecurity▲
GrSecurity est constitue d'un patch pour le noyau Linux et d'un utilitaire destine à être utilisé en espace utilisateur. Le patch accroît la sécurité du système en apportant des restrictions aux systèmes de fichiers /proc et /tmp, aux actions réalisables par des processus 'chrootes', en créant un espace de stockage d'ACLs (Access Control Lists) permettant d'implémenter un système base sur le modèle MAC (Mandatory Access Control) pour tous les utilisateurs et y compris pour le super-utilisateur (la liste n'est pas exhaustive :) ). La suite GrSecurity inclut également Pax : une protection du noyau permettant l'implémentation de pages mémoire non exécutables et un espace d'adressage aléatoire.
Nous allons tout d'abord commencer par patcher le noyau du système puis nous aborderons l'intégration des listes de contrôle d'accès. Notez que vous devez choisir entre cette procédure et celle présentée en '5.1. Installation du patch OpenWall'.
Le patch noyau GrSecurity et l'outil d'administration GrAdm sont tous deux disponibles sur www.grsecurity.net et l'utilitaire chpax est disponible sur pageexec.virtualave.net
.
Je ne peux que vous indiquer de lire consciencieusement la documentation présente sur le site avant de procéder aux manipulations décrites ci-après…
Avant de commencer, sachez enfin que cette documentation s'applique pour un noyay 2.4.22 (noyau non disponible dans la branche stable des packages Debian) donc à vous de choisir…
V-H-1. Patch du noyau : Compilation et installation▲
Récupérez le patch du noyau ainsi que chpax, vérifiez les MD5 et stockez les dans /home/system/download/.
Récupérez les sources du noyau 2.4.22, vérifiez le md5 puis :
mount -o remount,rw /usr
mount -o remount,exec /tmp
cd /usr/src
mv /home/system/download/linux-2.4.22.tar.bz2 .
tar jxvf linux-2.4.22.tar.bz2
chown -R root:root linux-2.4.22
chmod 750 linux-2.4.22
mv linux-2.4.22 kernel-source-2.4.22
ln -s kernel-source-2.4.22 linux-2.4.22
Patchez les sources du noyau :
cd /usr/src
patch -p0 < /home/system/download/grsecurity-1.9.12-2.4.22.patch
Editez le flag EXTRAVERSION du fichier linux-2.4.22/Makefile pour ajouter un commentaire du type '-grsec'.
Si vous utilisiez le noyau 2.4.18 de Debian, récuperez le fichier de config que vous avez du sauvegarder dans /boot et placez le dans /usr/src/linux-2.4 .22/.config puis 'make oldconfig' - sinon 'make menuconfig' et configurez votre nouveau noyau.
Choisissez les options GrSecurity que vous voulez activer - celles qui ont été utilisees lors de la rédaction de cette documentation sont présentées dans 'Annexe 11 - Parametres de configuration d'un noyau GrSecurity' - puis compilez et installez votre nouveau noyau en suivant la procédure présentée dans 'II. COMPILATION DU NOYAU'.
Notes sur le choix des options : Si vous activez l'option 'Deny writing to /dev/kmem, /dev/mem, and /dev/port' dans le menu 'Address Space Protection' et que votre système est un guest VmWare (tm), il ne bootera plus… J'utilise le gid 4 pour l'option 'CONFIG_GRKERNSEC_PROC_GID', ce qui permet aux membres du groupe 'adm' d'obtenir des permissions que je juge appropriées pour les administrateurs non-root du serveur. J'active l'option 'CONFIG_GRKERNSEC_CHROOT_SYSCTL' car je préfère créer un script d'initialisation chargé de positionner les bonnes valeurs lors du boot. Si vous préférez sécuriser « encore plus » votre installation, désactivez cette option, mais faites attention que les gids que vous utiliserez dans les options 'CONFIG_GRKERNSEC_AUDIT_GID' , 'CONFIG_ GRKERNSEC_TPE_GID', 'CONFIG_GRKERNSEC_SOCKET_ALL_GID', 'CONFIG_GRKERNSEC _SOCKET_CLIENT_GID' et 'CONFIG_GRKERNSEC_SOCKET_SERVER_GID' ne soient pas déjà utilisés sur votre système. Une fois votre nouveau noyau installe, rebootez le système.
V-H-2. Configuration du système▲
Créez les groupes suivants :
for
i in
`echo grsec_tpe grsec_sockall grsec_sock_cl grsec_sock_srv grsec\
_audit`
; do
groupadd $i;
done
Créez le fichier /etc/sysctl.conf.grsecurity à partir du fichier présent en 'Annexe 12 - Configuration Sysctl de GrSecurity' et parametrez ce fichier selon vos besoins en mettant à jour les gid avec les groupes que vous venez de créer.
!!! Attention !!! La suite peut rendre votre système instable.
Testez cette configuration avec la commande :
/sbin/sysctl -p /etc/sysctl.conf.grsecurity
Si tout se passe bien et que le comportement du serveur répond à vos attentes, positionnez la variable 'grsec_lock' de sysctl.conf.grsecurity à '1' puis créez le fichier '/home/system/security/apply_grsec.sh' :
#!/bin/sh
/sbin/sysctl -p /etc/sysctl.conf.grsecurity
Configurez le système pour que ce script soit appellé au boot :
cd /etc/rc2.d
ln -s /home/system/security/apply_grsec.sh S{XX}apply_grsec
où {XX} correspond à votre priorité de lancement par rapport aux autres scripts exécutés lors du boot du système.
Modifiez votre fichier de configuration syslog pour stocker les alertes dans le fichier de log sécurité grâce aux entrées suivantes :
kern.* %regex -m "PAX" %classic /var/log/sécurité.log
kern.* %regex -m "grsec" %classic /var/log/sécurité.log
La configuration initiale est terminée… Voici la politique que j'applique personnellement (elle est fonction de l'usage final du serveur) : Tous les operateurs du système sont dans grsec_sock_srv; Les serveurs Apache et Websphere sont dans grsec_audit et dans grsec_tpe; Si Apache n'a pas besoin d'établir de connexions distantes (Attention, c'est le cas pour le module WAS), je place Apache dans grsec_sock_cl; Les éventuels utilisateurs guests sont placés dans grsec_sockall et dans grsec_tpe. Une dernière note relative à l'interaction de notre noyau avec une installation Websphere telle que présentée dans Installation et sécurisation d'un serveur d'application Websphere : Si vous avez suivi la procédure d'installation de ce document le serveur d'application ne pourra plus démarrer et vous obtiendrez un message d'erreur du type :
[...] kernel: grsec: From a.b.c.d: Proc handler: being fed garbage 2 bytes\
sent 208 require
[...] kernel: PAX: From a.b.c.d: terminating task: /usr/local/websphere500/\
appserver/java/jre/bin/exe/java(java):4773, uid/euid: [...]
[...] kernel:grsec: From a.b.c.d: attempted resource overstep by requesting\
4096 for RLIMIT_CORE against limit 0 by (java:4773) [...], parent (start\
Server.sh:19644) [...]
Vous pouvez corriger ce probleme via :
cd /home/system/applis/chpax-0.5/
./chpax -s /usr/local/websphere500/appserver/java/jre/bin/exe/java
Et vérifiez que vous obtenez ceci avec chpax -v :
* Paging based PAGE_EXEC : enabled
* Trampolines : not emulated
* mprotect() : restricted
* mmap() base : randomized
* ET_EXEC base : not randomized
* Segmentation based PAGE_EXEC : disabled
Pour finir, le positionnement de l'utilisateur WAS dans le groupe d'audit génère une quantité quelque peu importante de logs lors des stop/start du serveur d'applications, ceux-ci sont cependant facilement traçables par le critère « parent (stopServer.sh:17515)" par exemple.
V-H-3. Installation et configuration de Gradm et des ACLs▲
Avant de commencer, sachez que cette installation va fortement diminuer les droits de l'utilisateur root. Pour effectuer des tâches d'administration telles que la mise à jour des packages ou un reboot du serveur, vous devrez utiliser la commande 'gradm -a' de facon à passer en mode administration.
Lors de l'installation de Gradm, vous aurez à saisir un mot de passe pour la commande Gradm (passage en mode administration ou désactivation des ACLs), il paraît donc judicieux de saisir un mot de passe complexe ?!
Récupérez l'archive gradm-1.9.12.tar.gz sur le site de GrSecurity et stockez la dans /home/system/download puis vérifiez le MD5.
On installe :
cd /home/system/applis/
tar zxvf ../download/gradm-1.9.12.tar.gz
chown -R root:root gradm/
find . -type f -exec chmod 640 {} \;
find . -type d -exec chmod 750 {} \;
make && make install
=> Le mot de passe vous est demande et est stocke dans /etc/grsec/pw.
Une configuration initiale est désormais positionnée dans /etc/grsec/acl et sera utilisée si vous activez la sécurité - ce que vous ne faites pas bien évidemment !
Nous récupérons les acls fournies pour debian et les utilisons :
cd /etc/grsec/
cp -r /home/system/applis/gradm/debian_secure_acls .
chmod 700 debian_secure_acls/
chmod 600 debian_secure_acls/*
mv acl acl.orig
mv debian_secure_acls/default acl
Conformement à cette documentation, nous n'avons pas besoin des acls suivantes (certaines sont disponibles en annexe) donc :
cd debian_secure_acls/
rm -f apache cron inetd ipop3d klogd mysqld postfix syslogd tcpd xfree86
Créez un répertoire /etc/grsec/debian-secinst, ajoutez y les fichiers présentés en 'Annexe 13 - ACLs GrSecurity pour Debian-secinst' puis :
cd /etc/grsec
chmod 700 debian-secinst
chmod 600 debian-secinst/*
Note : Ne prenez que les fichiers d'ACL dont vous avez besoin pour votre propre système et configurez les selon vos besoins !
Modifiez le fichier /etc/grsec/acl avec le patch présent en 'Annexe 13' :
cd /etc/grsec
patch < patch
=> File to patch ? entrez acl puis supprimez le patch
Si vous avez installé un serveur Web, n'oubliez pas d'éditer le fichier /etc/grsec/debian_secinst/Dmn_apache pour définir les ports sur lesquels le serveur Apache est autorisé à se positionner en écoute.
Si vous avez modifie les ports d'écoute du démon SSH, faites de même avec le fichier /etc/grsec/debian_secure_acls/sshd.
Si vous avez configuré d'autre device de logging pour le syslogd (comme par exemple en suivant les explications de '5.7. Installation de Prelude-Lml.'), editez /etc/grsec/debian_secure_acls/syslogd pour les configurer.
Vous pouvez maintenant croiser les doigts et activer les acls avec la commande 'gradm -E'.
Si tout se passe bien, vous pouvez maintenant modifier le script /home/system/security/apply_grsec.sh pour ajouter la commande 'gradm -E' de facon à ce que les ACLs soient mises en place au boot du système.