Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
[Administration] Privilèges des processus
View unanswered posts
View posts from last 24 hours

 
Reply to topic    Gentoo Forums Forum Index French
View previous topic :: View next topic  
Author Message
Bio
Apprentice
Apprentice


Joined: 17 Mar 2003
Posts: 197
Location: Geneva which should be in Switzerland...

PostPosted: Fri Feb 22, 2008 10:55 am    Post subject: [Administration] Privilèges des processus Reply with quote

Bonjour,

J'espérais trouver mon bonheur sur le wiki mais celui est malheureusement encore HS :cry: Alors je me permet de faire appel à vous. Peut-être pourrez vous me rediriger vers un howto ou m'éclairer sur mon problème.

En fait j'ai un serveur et j'aimerai sécuriser ses différents services, en effet plusieurs d'entre eux sont lancés avec l'utilisateur root (je sais c'est mal). Voilà la liste des services proposés par mon serveur que j'aimerai changer et lancer via un utilisateur dédié :

- shoutcast
- shoutcast_trans
- pure-ftpd

Il y a aussi les services suivants mais je ne pense pas pouvoir les changer sans altérer le fonctionnement du système n'est ce pas?

- smbd
- nmbd
- vmware (vmnet et vmmon)
- upsd
- upsmon
- dhcpcd
- syslog-ng
- cupsd


D'après moi la procédure serait de :

1 - créer un utilisateur par service
2 - associer les fichiers (binaires + conf) du service à cet utilisateur
3 - modifier le script init.d du service


Quelles sont les "best practices" pour réaliser ces étapes?

1 - comment créer un user sans aucun droit autre que d'exécuter le service pour lequel il a été créé (comme par exemple l'utilisateur apache)
2 - s'agit-il uniquement de changer le propriétaire de tous les fichiers du service vers ce nouvel utilisateur
3 - utiliser l'option -c <user> de la commande start-stop-daemon?
_________________
I'm all in !
Back to top
View user's profile Send private message
kwenspc
Advocate
Advocate


Joined: 21 Sep 2003
Posts: 4954

PostPosted: Fri Feb 22, 2008 11:48 am    Post subject: Reply with quote

L'init script est un bon départ, mais renseigne toi aussi sur les fichiers de configuration des services eux-mêmes, il y en a pas mal qui permettent de spécifier un utilisateur particulier plutôt que root.

L'autre soucis vient, après, du port bindé: en dessous de 1024 (1025 je sais plus), il faut les droits root. Pour les services qui ne peuvent se passer d'un port bien particulier, le bit SUID root doit suffire pour le bind, mais j'en suis pas sûr (et puis ça nécessite certaines manips)
_________________
membre officieux du SAV Ati GEntoo
Back to top
View user's profile Send private message
Bio
Apprentice
Apprentice


Joined: 17 Mar 2003
Posts: 197
Location: Geneva which should be in Switzerland...

PostPosted: Fri Feb 22, 2008 12:09 pm    Post subject: Reply with quote

kwenspc wrote:
L'autre soucis vient, après, du port bindé: en dessous de 1024 (1025 je sais plus), il faut les droits root. Pour les services qui ne peuvent se passer d'un port bien particulier, le bit SUID root doit suffire pour le bind, mais j'en suis pas sûr (et puis ça nécessite certaines manips)


Effectivement j'avais omis ce détail, donc ça exclu de suite mon ftp qui est ouvert sur le port 21... A moins de le changer sur un port > 1024 et de modifier mon routeur pour écouter sur le 21 et rebalancer sur le port choisi.

Quand à la création des users dédiés est ce que leur affecter un home = /dev/null et un shell = /sbin/nologin paraît une bonne idée en terme de sécurité?
_________________
I'm all in !
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index French All times are GMT
Page 1 of 1

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum