Discussion :

[ranell]

bonsoir à tous,
voila ce que j'ai trouvé dans mon livre, mais je trouve pas d'explication à ca:
"n’installez pas X ou GCC s’ils ne sont pas nécessaires."
alors quelqu'un sait pourquoi?
merci d'avance

[Vespasien]

Pour le cas d'un serveur web effectivement X et gcc ne sont pas utiles. Mais pour un poste de développement C++, je vois pas comment se passer de X et gcc.
L'auteur devrait préciser que l'une des consignes de sécurité a appliquer est de n'installer que le nécessaire pour faire ce qu'on a à faire.

[ranell]

oui justement ca a été précisé qu'ils sont "dangeureux" pour un serveur, mais j'aimerais savoir pourquoi.
merci en tt cas pour ta reponse Vespasien

[millie]

C'est clairement indiqué que c'est dangereux ou juste que ça ne sert à rien de l'installer si pas nécessaire ?

[ranell]

"les outils de developpement sont un mauvais choix. a moins que vous ne projetiez de faire de la conception de logiciels sur votre systeme, n'istallez que peu, ou pas, d'outils de développement. l'installation de compilateur C et C++ , et d'outils relatifs, sur les systémes qui ne sont pas des postes de travail est la plupart de temps risquée. Si vous devez compiler un logiciel avant de mettre le systeme en service,compilez d'abord le logiciel sur un poste de tarvail séparé , puis copiez les fichiers sur le serveur en passant par le réseau."
voila voilou

[D[r]eadLock]

oui justement ca a été précisé qu'ils sont "dangeureux" pour un serveur, mais j'aimerais savoir pourquoi.
merci en tt cas pour ta reponse Vespasien

Pour gcc, on peut imaginer (ça doit exister) des virus qui se compilent eux-même (avec gcc) ;D
Quant à X, il m'a semblé avoir vu que ça pouvait être un "trou" de sécurité (du au fait qu'il doit y avoir un mode "privilégié" avec le kernel/driver)

[Senaku-seishin]

Et aussi que installer un nouveau programme == faille en plus
Dans le cadre d'une utillisation bureau n'est pas très génant

Alors que un serveur est une cible . Et en plus, quelle est l'utilité d'un serveur graphique et compilateur... -_-

[yjuliet]

Pour gcc, on peut imaginer (ça doit exister) des virus qui se compilent eux-même (avec gcc) ;D
Quant à X, il m'a semblé avoir vu que ça pouvait être un "trou" de sécurité (du au fait qu'il doit y avoir un mode "privilégié" avec le kernel/driver)

De ce que j'ai vu, plusieurs rootkits utilisent gcc + make pour s'installer sur les machines, et pourraient ainsi facilement, si les headers du kernel sont installés, s'installer en module noyau...

Pour X, entre les accès privilégiés, et le serveur réseau, il a tout d'une faille si il accepte les connexions de l'extérieur. Donc la meilleure manière de s'en prémunir est de ne pas l'installer.

[ranell]

donc en gros GCC est "contre indiqué" car un fichier produit avec gcc prend directement les droits d'éxécutions...
reste pour X, j'ai cherché sur le net a quoi ca pouvais servir ce fameux X, parfois je vois le mot "serveur" et parfois " interface graphique" , j'avoue que je ne comprends pas trop comment il peut être impliqué a la securisation de linux
voila merci encore pour vos réponses ^^

[yjuliet]

Oui, tu as bien lu.

X est la base de la majorité des interfaces "graphiques" sous Unix/Linux.
Unix/Linux utilisant beaucoup de communication inter processus par le biais de sockets (sockets Unix comme TCP/IP et autres), l'architecture de X est basée sur les mêmes mécanismes. Ces mécanismes permettent entre autres (lorsqu'ils sont utilisés correctement) d'effectuer du "déport d'affichage" à l'aide de terminaux X (ou de serveurs X installés sur une machine classique) à travers le réseau.

Le serveur X ouvre donc des ports UDP pour recevoir les informations graphiques qui doivent être normalement affichées, mais qui dit port UDP ouvert, dit possibilité d'exploiter les failles du serveur. Si ce serveur dispose de privilèges particulier auprès du noyau, alors, il en sera de même pour l'attaquant une fois le serveur corrompu.

C'est pour cela qu'un serveur n'a que très rarement besoin d'avoir X installé et en cas d'éventuel besoin, il est toujours possible d'afficher les applications sur une autre machine, soit par tunneling SSH, soit par exportation de l'affichage, et le tout sans qu'un serveur X tourne sur ton serveur.

[yjuliet]

donc en gros GCC est "contre indiqué" car un fichier produit avec gcc prend directement les droits d'éxécutions...

Ce n'est pas qu'une question d'exécution, mais aussi une question de facilité à détecter. Le polymorphisme d'un code source est plus difficile à détecter que celui des binaires, à fonction égale.

[_solo]

De ce que j'ai vu, plusieurs rootkits utilisent gcc + make pour s'installer sur les machines, et pourraient ainsi facilement, si les headers du kernel sont installés, s'installer en module noyau...

null besoin de tout ca pour empoisonner un serveur une petite insertion dans dev/(k)mem peut suffir

Resumer: pourquoi pas de gcc pour eviter les compilations d'exploit si l'attaquant a acces a ton serveur mais c'est vrai uniquement dans le cadre d'une distribution/architecture "vaguement" exotique (noter bien les guillemets), si ta machine c'est du x86 tu te fera n*qu*r quand meme .

pourquoi pas de X : tout simplement pour reduire la surface d'infection si attaque de ton serveur il y a mais ca veut pas dire qu'il y aura pas de place pour infecter (vive l'infection reparti )

[Senaku-seishin]

Il faut aussi rappeller que le serveur est relier directement au noyau à cause des drivers. Si il est atteit... Même si la situation évolue

[ranell]

merci bcp à vous tous