CONNEXION
  • RetourJeux
    • Sorties
    • Hit Parade
    • Les + populaires
    • Les + attendus
    • Soluces
    • Tous les Jeux
    • Gaming
  • RetourActu Gaming
    • News
    • Astuces
    • Tests
    • Previews
    • Toute l'actu gaming
  • RetourBons plans
    • Bons plans
    • Bons plans Smartphone
    • Bons plans Hardware
    • Bons plans Image et Son
    • Bons plans Amazon
    • Bons plans Cdiscount
    • Bons plans Decathlon
    • Bons plans Fnac
    • Tous les Bons plans
  • RetourJVTech
    • Actus High-Tech
    • Intelligence Artificielle
    • Smartphones
    • Mobilité urbaine
    • Hardware
    • Image et son
    • Tutoriels
    • Tests produits High-Tech
    • Guides d'achat High-Tech
    • JVTech
  • RetourCulture
    • Actus Culture
    • Culture
  • RetourVidéos
    • A la une
    • Gaming Live
    • Vidéos Tests
    • Vidéos Previews
    • Gameplay
    • Trailers
    • Chroniques
    • Replay Web TV
    • Toutes les vidéos
  • RetourForums
    • Hardware PC
    • PS5
    • Switch 2
    • Xbox Series
    • Switch
    • Pokemon pocket
    • FC 25 Ultimate Team
    • League of Legends
    • Tous les Forums
  • PC
  • PS5
  • Xbox Series
  • Switch 2
  • PS4
  • One
  • Switch
  • iOS
  • Android
  • MMO
  • RPG
  • FPS
En ce moment Genshin Impact Valhalla Breath of the wild Animal Crossing GTA 5 Red dead 2
Liste des sujets

[vsFTPD et grsecurity]

nuitn0ire
nuitn0ire
Niveau 6
26 mai 2005 à 17:08:53

bonjour

récemment j´ai installé et configuré vsftpd ( qui fonctionne sans problème) , et dans un soucis de vouloir vraiment sécuriser mon serveur , j´ai appliqué le patch grsecurity . Celui-ci dispose d´une option intéressante qui permet de ne pas sortir si facilement du chroot ( vi le double chroot etc..) et donc va en adéquation avec mon vsftpd dont le principal intéret ( dans mon cas) est sa sécurité et sa rebustesse .

bref, j´ai donc configuré grsec manuellement , activé certaines options ( dont celle du chroot) , mais à présent , plus moyen de me connecter sur mon ftp . tout le reste fonctionne ( serveur apache , mysql etc..) mais je me fait jeter systématiquement avec une erreur 501 .

Quelqu´un sait si une option de grsec serait susceptible d´être à l´origine de ce problème , si oui , laquelle ?

merci

ci joint ma config grsec :

#

  1. Security options

#

#

  1. Grsecurity

#

CONFIG_GRKERNSEC=y

  1. CONFIG_GRKERNSEC_LOW is not set
  2. CONFIG_GRKERNSEC_MEDIUM is not set
  3. CONFIG_GRKERNSEC_HIGH is not set

CONFIG_GRKERNSEC_CUSTOM=y

#

  1. Address Space Protection

#

CONFIG_GRKERNSEC_KMEM=y
CONFIG_GRKERNSEC_IO=y

  1. CONFIG_GRKERNSEC_PROC_MEMMAP is not set

CONFIG_GRKERNSEC_BRUTE=y
CONFIG_GRKERNSEC_HIDESYM=y

#

  1. Role Based Access Control Options

#

CONFIG_GRKERNSEC_ACL_HIDEKERN=y
CONFIG_GRKERNSEC_ACL_MAXTRIES=3
CONFIG_GRKERNSEC_ACL_TIMEOUT=30

#

  1. Filesystem Protections

#

CONFIG_GRKERNSEC_PROC=y
CONFIG_GRKERNSEC_PROC_USER=y
CONFIG_GRKERNSEC_PROC_ADD=y
CONFIG_GRKERNSEC_LINK=y
CONFIG_GRKERNSEC_FIFO=y
CONFIG_GRKERNSEC_CHROOT=y

  1. CONFIG_GRKERNSEC_CHROOT_MOUNT is not set

CONFIG_GRKERNSEC_CHROOT_DOUBLE=y
CONFIG_GRKERNSEC_CHROOT_PIVOT=y
CONFIG_GRKERNSEC_CHROOT_CHDIR=y
CONFIG_GRKERNSEC_CHROOT_CHMOD=y
CONFIG_GRKERNSEC_CHROOT_FCHDIR=y
CONFIG_GRKERNSEC_CHROOT_MKNOD=y
CONFIG_GRKERNSEC_CHROOT_SHMAT=y
CONFIG_GRKERNSEC_CHROOT_UNIX=y
CONFIG_GRKERNSEC_CHROOT_FINDTASK=y
CONFIG_GRKERNSEC_CHROOT_NICE=y
CONFIG_GRKERNSEC_CHROOT_SYSCTL=y
CONFIG_GRKERNSEC_CHROOT_CAPS=y

#

  1. Kernel Auditing

#

  1. CONFIG_GRKERNSEC_AUDIT_GROUP is not set
  2. CONFIG_GRKERNSEC_EXECLOG is not set

CONFIG_GRKERNSEC_RESLOG=y
CONFIG_GRKERNSEC_CHROOT_EXECLOG=y

  1. CONFIG_GRKERNSEC_AUDIT_CHDIR is not set
  2. CONFIG_GRKERNSEC_AUDIT_MOUNT is not set
  3. CONFIG_GRKERNSEC_AUDIT_IPC is not set

CONFIG_GRKERNSEC_SIGNAL=y
CONFIG_GRKERNSEC_FORKFAIL=y

  1. CONFIG_GRKERNSEC_TIME is not set

CONFIG_GRKERNSEC_PROC_IPADDR=y

  1. CONFIG_GRKERNSEC_AUDIT_TEXTREL is not set

#

  1. Executable Protections

#

CONFIG_GRKERNSEC_EXECVE=y
CONFIG_GRKERNSEC_SHM=y
CONFIG_GRKERNSEC_DMESG=y

  1. CONFIG_GRKERNSEC_RANDPID is not set

CONFIG_GRKERNSEC_TPE=y

  1. CONFIG_GRKERNSEC_TPE_ALL is not set
  2. CONFIG_GRKERNSEC_TPE_INVERT is not set

CONFIG_GRKERNSEC_TPE_GID=1005

#

  1. Network Protections

#

CONFIG_GRKERNSEC_RANDNET=y

  1. CONFIG_GRKERNSEC_RANDSRC is not set
  2. CONFIG_GRKERNSEC_SOCKET is not set

#

  1. Sysctl support

#

CONFIG_GRKERNSEC_SYSCTL=y
CONFIG_GRKERNSEC_SYSCTL_ON=y

#

  1. Logging Options

#

CONFIG_GRKERNSEC_FLOODTIME=10
CONFIG_GRKERNSEC_FLOODBURST=4

#

  1. PaX

#

CONFIG_PAX=y

#

  1. PaX Control

#

  1. CONFIG_PAX_SOFTMODE is not set
  2. CONFIG_PAX_EI_PAX is not set
  3. CONFIG_PAX_PT_PAX_FLAGS is not set
  4. CONFIG_PAX_NO_ACL_FLAGS is not set

CONFIG_PAX_HAVE_ACL_FLAGS=y

  1. CONFIG_PAX_HOOK_ACL_FLAGS is not set

#

  1. Non-executable pages

#

CONFIG_PAX_NOEXEC=y
CONFIG_PAX_PAGEEXEC=y
CONFIG_PAX_SEGMEXEC=y

  1. CONFIG_PAX_DEFAULT_PAGEEXEC is not set

CONFIG_PAX_DEFAULT_SEGMEXEC=y
CONFIG_PAX_EMUTRAMP=y
CONFIG_PAX_MPROTECT=y
CONFIG_PAX_NOELFRELOCS=y

#

  1. Address Space Layout Randomization

#

CONFIG_PAX_ASLR=y
CONFIG_PAX_RANDKSTACK=y
CONFIG_PAX_RANDUSTACK=y
CONFIG_PAX_RANDMMAP=y
CONFIG_PAX_NOVSYSCALL=y

  1. CONFIG_KEYS is not set

CONFIG_SECURITY=y

  1. CONFIG_SECURITY_NETWORK is not set

CONFIG_SECURITY_CAPABILITIES=m

  1. CONFIG_SECURITY_SECLVL is not set
  2. CONFIG_SECURITY_SELINUX is not set
Briaeros007
Briaeros007
Niveau 10
26 mai 2005 à 17:26:01

on peux me dire l´intert fondamentale de chrooter completement un vsftp?
Les sources sont sans doute suffisent petite pour pouvoir les verifier; limite pour faire une preuve formelle .

Enfin si tu veux tant que ca la securite prend plutot une open bsd non?

pour la question jamais entendu parler de code d´erreur pour le ftp.
Regarde tes logs , ca sera sans doute plus utile pour savoir pourquoi tu peux pas te connecter.

nuitn0ire
nuitn0ire
Niveau 6
27 mai 2005 à 05:25:39

dans mon cas , le truc intéressant est surtout de chrooter les utilisateurs . SEulement il est facilement possible de sortir de prison de différentes méthoses ( double chroot entre autre) , chose que le patch grsec empeche .

voilà le pourquoi de mon choix .

western
western
Niveau 9
27 mai 2005 à 10:38:23

faire un double chroot via FTP... qui peut me l´expliquer?
d´après mes souvenirs les erreurs de la famille 5xx sont " internes" au serveur ( le logiciel) et le 502 est lié ( toujours d´après mes souvenirs) à une commande reçue par le serveur qu´il n´a pas compris...

Briaeros007
Briaeros007
Niveau 10
27 mai 2005 à 16:30:15

la c´est pour une serveur http ( voir les rfc) pas pour un ftp

" le truc intéressant est surtout de chrooter les utilisateurs . "
Oui ben vsftp le permet.

" SEulement il est facilement possible de sortir de prison de différentes méthoses ( double chroot entre autre) "
perso je ne pense pas qu´ils soit si simple que ca de sortir d´un chroot.
d´auatnt plus si c´est le serveur ftp qui le fait en hard.
L´interet de chroot un serveur est que si il est compromis; alors l´attaquant ne peux toucher qu´au serveur, et pas a tout le systeme.

Le chrootage au niveau de vsftp se situe au niveau de la lecture du reprtoire : il lis seulement dans le repertoire home; et ne suis pas les liens symboliques qui pourrait donc le faire sortir.

Ensuite si ton serveur est naze et que l´attaquant a un shell, la effectivement il peux sortir.
Mais si ton attaquant a reussis a avoir un shell; amha tu as deja perdu donc le problème ne se pose pas en ces termes.

Briaeros007
Briaeros007
Niveau 10
27 mai 2005 à 16:35:24

effectivement :
http://www.bpfh.net/simeses/computing/chroot-break.html
" For a user to do this, they would need access to:

* C compiler or a Perl interpreter
* Security holes to gain root access
"
Si tu as une console root ; effectivement tu es mort .
maintenant si tu a mounter ta partition de donnes en " noexec" ils vont deja avoir beaucoup plus de mal...

nuitn0ire
nuitn0ire
Niveau 6
27 mai 2005 à 17:47:52

bon , ils n´ont qu´accès à ftp , même s´ils peuvent avoir accès à une console ( bash , et là ils ne sont pas rooté) , j´ai fermé par sécurité tous mes ports en sortie et ouvert que le strict minimum ( donc pas de shell distant pour eux) .

celà dit , je voulais installer grsec pour avoir un peu de sécurité sur mon serveur .

d´où mon problème plus haut .

sachant que j´ai apache , php , mysql , vsftpd qui tournent , je me dis que grsec ne serait pas de trop quant à la sécurité de mon noyau . mais si vous me dites que c´est inutile je m´en tiens à ça .

toute fois j´aurais quand même bien aimé comprendre d´ou mon problème venait dans ma config de grsec :\

Briaeros007
Briaeros007
Niveau 10
28 mai 2005 à 10:21:49

c´est pas forcement inutile; c´est juste un canon pour tuer une mouche ; )

Ce qu´il faut savoir avec le ftp c´est que c´est un protocole hyper chiant ; et pas du tout securise . ..
En gros tu veux securiser ton serveur mais tu demande que les mdp transite en clair sur le reseau !
De plus c´est pe ton fw qui fait ***
effectivement avec le ftp tu as une allocation de ports de facon dynamique sur le serveur ! et donc si ton fw le prevois pas ; ben tu te fais avoir.

sinon je conseille plutot sftp ; un ftp qui fonctionne avec ssh.
Il dois y avoir une methode pour empecher aux utilisateurs de loggere n ssh ( /bin/false ? ) tout en leurs permettant de dl les fichiers par sftp ; mais j´en suis pas sur.
Toujours est il que ssh , de tete permet aussi de chrooter les utilisateurs.

Si tu veux simplement que les utilisateurs puisse rajouter des fichiers a leurs compte web ( par exemple) regared plutot de webdav ; ca permettra de n´utiliser qu´apache de tete

Sous forums
  • Aide à l'achat Mac
  • Steam Deck
  • Création de sites web
  • Création de Jeux
  • Linux
  • Programmation
  • Internet
  • Macintosh
  • Hardware
La vidéo du moment