Bonjour,
Le 14 janv. 2013 à 12:52, Xavier Beaudouin a écrit :
(...)
Je me posait la question de savoir si des systèmes MAC (Mandatory Access Control) comme SELinux/AppArmor ou les MAC de FreeBSD n'était pas prévu pour ça.
Avec un Framework MAC on traiterait du coup le pb du ssh user mais aussi d'autres points.....question ouverte.
Sur FreeBSD tu peux aussi ajouter un jail qui te permet d'avoir, en plus de MAC, des choses assez blindées.
Après pour garantir que ton OS n'est pas modifiable :
kern_securelevel="3" kern_securelevel_enable="YES"
Et un reboot, dans ce cas présent toute modification de fichiers système ne peux être obtenu que :
- en single user (donc accès console)
- en modifiant /etc/rc.conf et un reboot (donc en général un reboot ca se voit)
Intéressant.
Le répertoire /etc n'est pas considéré comme des fichiers systèmes ? Dans ce cas, qu'est ce qui est protégé par cette directive.
Cordialement Emmanuel Thierry