Isolez vos processus grâce à AppArmor

Magazine
Marque
Linux Pratique
Numéro
113
Mois de parution
mai 2019
Domaines


Résumé
AppArmor est un projet qui permet d’augmenter la sécurité d’un système GNU/Linux grâce à des mécanismes de restriction de droits que l’on applique directement aux programmes. Qu’il s’agisse de protéger un service réseau ou un simple client de messagerie, AppArmor est une solution simple et accessible. Cet article est une introduction à la mise en œuvre de cet outil.

Introduction

La sécurité de base d’un système GNU/Linux repose sur de nombreux mécanismes historiques, notamment sur ce que l’on nomme le contrôle d’accès discrétionnaire, ou DAC (pour Discretionary Access Control). C’est ce modèle qui est utilisé pour contrôler l’accès aux fichiers (et rappelez-vous, sous Unix tout est fichier, il s’agit donc d’un mécanisme important), avec comme concept central que les permissions seront définies par rapport au propriétaire d’un fichier, ou au groupe auquel il appartient. Pour rappel :

$ ls -l /etc/shadow /home/gapz/.bashrc

-rw-r----- 1 root shadow 1220 Jan 15 14:00 /etc/shadow

-rw-r--r-- 1 gapz gapz   3526 Dec 29 21:47 /home/gapz/.bashrc

L’avantage de ce modèle est qu’il est très facile à configurer ; il suffit en effet de définir des accès en lecture/écriture/exécution (le fameux « rwx »), pour le propriétaire, le groupe et pour les autres utilisateurs qui ne rentrent pas dans les deux premières...

Cet article est réservé aux abonnés. Il vous reste 95% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite


Articles qui pourraient vous intéresser...

À la découverte du gestionnaire de système et de services System Daemon

Magazine
Marque
Linux Pratique
Numéro
125
Mois de parution
mai 2021
Domaines
Résumé

Historiquement, les services du système GNU/Linux étaient pris en charge par ce qu’on appelait System V. Cela permettait de lancer des programmes au démarrage de l’ordinateur, mais également de gérer les niveaux d’exécution de différentes parties du système, grâce à des scripts shell placés dans le répertoire /etc/init.d. Après une courte transition par le projet upstart, une grande majorité des systèmes GNU/Linux a basculé sous Systemd (pour System Daemon), plus souple et efficace pour gérer les différents services, mais pas seulement.

Gérez vos gros volumes de données avec Elasticsearch

Magazine
Marque
Linux Pratique
Numéro
125
Mois de parution
mai 2021
Domaines
Résumé

Elasticsearch est un SGBD NoSQL qui gagne en popularité ces dernières années de par sa flexibilité et sa gestion facile. Il intègre la notion de cluster qui permet de décentraliser une base de données afin de rendre les requêtes à celle-ci plus rapides, tout en assurant une sécurité plus qu’acceptable. Dans cet article, nous allons gérer une base de données Elasticsearch en nous focalisant principalement sur la manipulation des données. Nous supposerons que vous disposez déjà d’un cluster installé disposant bien évidemment d’un nœud master, comme vu précédemment [1].

Retour sur une stratégie de migration à grande échelle : l’exemple de la Gendarmerie Nationale

Magazine
Marque
Linux Pratique
Numéro
125
Mois de parution
mai 2021
Domaines
Résumé

Le lieutenant-colonel Stéphane Dumond, chef de bureau IT au sein du Service des Technologies et des Systèmes d’Information de la Sécurité Intérieure a accepté de revenir avec nous sur les enjeux de la migration à grande échelle réalisée par la Gendarmerie Nationale. Vous découvrirez dans ces lignes son retour d’expérience sur le sujet, de la stratégie suivie, aux objectifs visés en passant par les difficultés rencontrées et les bénéfices constatés à court et long terme.

À la découverte des namespaces mount et uts

Magazine
Marque
GNU/Linux Magazine
Numéro
247
Mois de parution
avril 2021
Domaines
Résumé

Le namespace mount, premier d'une longue série de namespaces a été ajouté à Linux quelques années après chroot() pour offrir plus de possibilités et de sécurité dans l'isolation des systèmes de fichiers. Introduit peu après et indéniablement plus simple, le namespace uts permet d'instancier les noms de machine. Les conteneurs sont bien entendu les premiers clients de ces fonctionnalités.

Générer et manipuler des images ISO

Magazine
Marque
Linux Pratique
Numéro
124
Mois de parution
mars 2021
Domaines
Résumé

Quand bien même leur usage s’est quelque peu atténué au profit d’autres supports de stockage de masse depuis plusieurs années, les CD-ROM et autres DVD-ROM ont toujours une utilité en 2020 : stockage de données, création de disques bootables (pour distributions GNU/Linux entre autres), disques multimédias... S’il est vrai que sa durée de vie a été surestimée à une époque (peut-être pour favoriser son utilisation), la bonne vieille galette n’est pas encore morte, et il lui reste encore de beaux jours à vivre.