Isolez vos processus grâce à AppArmor

Magazine
Marque
Linux Pratique
Numéro
113
Mois de parution
mai 2019
Domaines


Résumé
AppArmor est un projet qui permet d’augmenter la sécurité d’un système GNU/Linux grâce à des mécanismes de restriction de droits que l’on applique directement aux programmes. Qu’il s’agisse de protéger un service réseau ou un simple client de messagerie, AppArmor est une solution simple et accessible. Cet article est une introduction à la mise en œuvre de cet outil.

Introduction

La sécurité de base d’un système GNU/Linux repose sur de nombreux mécanismes historiques, notamment sur ce que l’on nomme le contrôle d’accès discrétionnaire, ou DAC (pour Discretionary Access Control). C’est ce modèle qui est utilisé pour contrôler l’accès aux fichiers (et rappelez-vous, sous Unix tout est fichier, il s’agit donc d’un mécanisme important), avec comme concept central que les permissions seront définies par rapport au propriétaire d’un fichier, ou au groupe auquel il appartient. Pour rappel :

$ ls -l /etc/shadow /home/gapz/.bashrc

-rw-r----- 1 root shadow 1220 Jan 15 14:00 /etc/shadow

-rw-r--r-- 1 gapz gapz   3526 Dec 29 21:47 /home/gapz/.bashrc

L’avantage de ce modèle est qu’il est très facile à configurer ; il suffit en effet de définir des accès en lecture/écriture/exécution (le fameux « rwx »), pour le propriétaire, le groupe et pour les autres utilisateurs qui ne rentrent pas dans les deux premières...

Cet article est réservé aux abonnés. Il vous reste 95% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite


Articles qui pourraient vous intéresser...

Garder ses secrets avec Tomb

Magazine
Marque
Linux Pratique
HS n°
Numéro
48
Mois de parution
septembre 2020
Domaines
Résumé

Pour conserver des documents privés sur un disque dur ou un support amovible, il est nécessaire d'avoir recours au chiffrement. L'outil Tomb permet de manipuler simplement des répertoires chiffrés par le standard LUKS, pensé dans un d'esprit de confort et de mobilité.

Aller plus loin avec coreboot

Magazine
Marque
GNU/Linux Magazine
HS n°
Numéro
110
Mois de parution
septembre 2020
Domaines
Résumé

Rappelez-vous dans le numéro 220 de GNU/Linux Magazine, j’avais écrit un petit article sur coreboot, le BIOS libre. Je vous propose cette fois d’aller plus loin, en explorant quelques façons de sécuriser un peu le processus de boot, et plus encore.

Surveillance des accès de production en télétravail

Magazine
Marque
MISC
Numéro
111
Mois de parution
septembre 2020
Domaines
Résumé

Il est courant de protéger l'accès aux infrastructures de production au travers de VPN ou de bastions SSH, et beaucoup d’organisations limitent encore ces points d'entrée à leur infrastructure interne. Lorsque l'organisation passe en mode télétravail à 100%, il faut forcément permettre l'accès depuis des adresses IP arbitraires, et se pose alors la question de surveiller ces accès pour détecter et bloquer rapidement une tentative d'accès malveillante.