bonsoir à tous,
voila ce que j'ai trouvé dans mon livre, mais je trouve pas d'explication à ca:
"n’installez pas X ou GCC s’ils ne sont pas nécessaires."
alors quelqu'un sait pourquoi?
merci d'avance
bonsoir à tous,
voila ce que j'ai trouvé dans mon livre, mais je trouve pas d'explication à ca:
"n’installez pas X ou GCC s’ils ne sont pas nécessaires."
alors quelqu'un sait pourquoi?
merci d'avance
Pour le cas d'un serveur web effectivement X et gcc ne sont pas utiles. Mais pour un poste de développement C++, je vois pas comment se passer de X et gcc.
L'auteur devrait préciser que l'une des consignes de sécurité a appliquer est de n'installer que le nécessaire pour faire ce qu'on a à faire.
oui justement ca a été précisé qu'ils sont "dangeureux" pour un serveur, mais j'aimerais savoir pourquoi.
merci en tt cas pour ta reponse Vespasien
C'est clairement indiqué que c'est dangereux ou juste que ça ne sert à rien de l'installer si pas nécessaire ?
Je ne répondrai à aucune question technique en privé
"les outils de developpement sont un mauvais choix. a moins que vous ne projetiez de faire de la conception de logiciels sur votre systeme, n'istallez que peu, ou pas, d'outils de développement. l'installation de compilateur C et C++ , et d'outils relatifs, sur les systémes qui ne sont pas des postes de travail est la plupart de temps risquée. Si vous devez compiler un logiciel avant de mettre le systeme en service,compilez d'abord le logiciel sur un poste de tarvail séparé , puis copiez les fichiers sur le serveur en passant par le réseau."
voila voilou
1)Avant de poster, merci de lire les règles. 2)Utiliser [code] [/code] pour quoter le code ! 3)Conseils pour le forum C [a lire en entier!]
Et aussi que installer un nouveau programme == faille en plus
Dans le cadre d'une utillisation bureau n'est pas très génant
Alors que un serveur est une cible . Et en plus, quelle est l'utilité d'un serveur graphique et compilateur... -_-
Avoir un regard neutre sur notre vie dénuée de sens, c'est la voir tel un ignorant
------------------------------------------------------------------------------------------------------
De ce que j'ai vu, plusieurs rootkits utilisent gcc + make pour s'installer sur les machines, et pourraient ainsi facilement, si les headers du kernel sont installés, s'installer en module noyau...
Pour X, entre les accès privilégiés, et le serveur réseau, il a tout d'une faille si il accepte les connexions de l'extérieur. Donc la meilleure manière de s'en prémunir est de ne pas l'installer.
donc en gros GCC est "contre indiqué" car un fichier produit avec gcc prend directement les droits d'éxécutions...
reste pour X, j'ai cherché sur le net a quoi ca pouvais servir ce fameux X, parfois je vois le mot "serveur" et parfois " interface graphique" , j'avoue que je ne comprends pas trop comment il peut être impliqué a la securisation de linux
voila merci encore pour vos réponses ^^
Oui, tu as bien lu.
X est la base de la majorité des interfaces "graphiques" sous Unix/Linux.
Unix/Linux utilisant beaucoup de communication inter processus par le biais de sockets (sockets Unix comme TCP/IP et autres), l'architecture de X est basée sur les mêmes mécanismes. Ces mécanismes permettent entre autres (lorsqu'ils sont utilisés correctement) d'effectuer du "déport d'affichage" à l'aide de terminaux X (ou de serveurs X installés sur une machine classique) à travers le réseau.
Le serveur X ouvre donc des ports UDP pour recevoir les informations graphiques qui doivent être normalement affichées, mais qui dit port UDP ouvert, dit possibilité d'exploiter les failles du serveur. Si ce serveur dispose de privilèges particulier auprès du noyau, alors, il en sera de même pour l'attaquant une fois le serveur corrompu.
C'est pour cela qu'un serveur n'a que très rarement besoin d'avoir X installé et en cas d'éventuel besoin, il est toujours possible d'afficher les applications sur une autre machine, soit par tunneling SSH, soit par exportation de l'affichage, et le tout sans qu'un serveur X tourne sur ton serveur.
null besoin de tout ca pour empoisonner un serveur une petite insertion dans dev/(k)mem peut suffirDe ce que j'ai vu, plusieurs rootkits utilisent gcc + make pour s'installer sur les machines, et pourraient ainsi facilement, si les headers du kernel sont installés, s'installer en module noyau...
Resumer: pourquoi pas de gcc pour eviter les compilations d'exploit si l'attaquant a acces a ton serveur mais c'est vrai uniquement dans le cadre d'une distribution/architecture "vaguement" exotique (noter bien les guillemets), si ta machine c'est du x86 tu te fera n*qu*r quand meme .
pourquoi pas de X : tout simplement pour reduire la surface d'infection si attaque de ton serveur il y a mais ca veut pas dire qu'il y aura pas de place pour infecter (vive l'infection reparti )
Il faut aussi rappeller que le serveur est relier directement au noyau à cause des drivers. Si il est atteit... Même si la situation évolue
Avoir un regard neutre sur notre vie dénuée de sens, c'est la voir tel un ignorant
------------------------------------------------------------------------------------------------------
merci bcp à vous tous
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Partager