Path: ...!weretis.net!feeder8.news.weretis.net!news.uzoreto.com!news.alphanet.ch!alphanet.ch!.POSTED.localhost!not-for-mail
From: Marc SCHAEFER <schaefer@alphanet.ch>
Newsgroups: fr.comp.os.linux.configuration
Subject: Re: =?ISO-8859-1?Q?Proc=E9dure?= d'installation d'un linux
 =?ISO-8859-1?Q?s=E9curis=E9?=
Date: Mon, 18 Apr 2022 16:59:23 -0000 (UTC)
Organization: Posted through ALPHANET
Message-ID: <t3k5db$iqg$3@shakotay.alphanet.ch>
References: <6259bbb3$0$25156$426a74cc@news.free.fr> <625d97cc$0$24818$426a34cc@news.free.fr>
Mime-Version: 1.0
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: 8bit
Injection-Date: Mon, 18 Apr 2022 16:59:23 -0000 (UTC)
Injection-Info: shakotay.alphanet.ch; posting-account="<LOCALHOST>"; posting-host="localhost:127.0.0.1";
	logging-data="19280"; mail-complaints-to="usenet@alphanet.ch"
User-Agent: tin/2.4.3-20181224 ("Glen Mhor") (UNIX) (Linux/4.19.0-18-amd64 (x86_64))
Cancel-Lock: sha256:HbKbx6NtYj2BbqW+35ikz6D1XW+6dXxu6ij4T84Bab8=
Bytes: 2172
Lines: 20

Sylvain <ssecherre@free.fr> wrote:
> - integrit : aide à déterminer si un intrus a modifié votre système.
> 
> Mais à la lecture de leurs fonctionnalités, je me demande s'il ne sont 
> pas redondants avec tripwire.

De mémoire, tripwrire fait ce qu'integrit fait, soit des signatures et
des comparaisons de signatures régulières. Un pirate peut, par défaut,
modifier bien sûr la base de signature, donc je fais ces vérifications
depuis le host et je vérifie les conteneurs. Je suppose que le host sera
plus difficile à pirater que les conteneurs, mais ce n'est pas forcément
une supposition correcte.

Un outil qui me manque c'est celui qui, grâce à un moteur d'inférence,
pouvait vous dire comment un pirate pourrait faire des `privilege
escalation', style s'il pirate lpd il piratera root car XXX. Ca
détectait de mauvais configurations.

Il existait il y a très longtemps et j'ai oublié son nom. Avec
app-armor, qui implémente des politiques générales MAC, on a moins
besoin de ce dernier type d'outil me semble-t-il.