Product SiteDocumentation Site

4.14. Les utilitaires pour ajouter des correctifs au noyau

Debian GNU/Linux fournit quelques correctifs pour le noyau Linux qui améliorent sa sécurité du système. En voici quelques-uns.
  • LIDS — http://www.lids.org fourni dans le paquet kernel-patch-2.4-lids. Ce correctif du noyau rend le processus de renforcement d'un système Linux plus facile en vous permettant de restreindre, cacher et protéger des processus, même par rapport au superutilisateur. Elle implémente des fonctionnalités de contrôle d'accès obligatoire («Mandatory Access Control»).
  • http://trustees.sourceforge.net/ fourni dans le paquet trustees. Ce correctif ajoute un système avancé décent de gestion des permissions au noyau Linux. Des objets spéciaux (les « trustees ») sont associés à chaque fichier ou répertoire et ils sont stockés dans la mémoire noyau, ce qui permet un accès rapide pour toutes les permissions.
  • NSA Enhanced Linux (du paquet selinux). Des rétroportages des paquets avec SElinux activé sont disponibles en http://selinux.alioth.debian.org/. Plus de renseignements sont disponibles sur la http://wiki.debian.org/SELinux, et sur les sites web de http://www.golden-gryphon.com/software/security/selinux.xhtml et http://www.coker.com.au/selinux/.
  • Le http://people.redhat.com/mingo/exec-shield/ fourni dans le paquet kernel-patch-exec-shield. Ce correctif fournit une protection contre plusieurs dépassements de tampon (attaques par écrasement de pile).
  • Le http://www.grsecurity.net/ fourni par les paquets kernel-patch-2.4-grsecurity et kernel-patch-grsecurity2 [36] implémente le contrôle d'accès obligatoire (Mandatory Access Control) grâce à RBAC, fournit une protection de dépassement de tampon grâce à PaX, des ACL, un caractère aléatoire du réseau (pour rendre la reconnaissance de système d'exploitation plus difficile) et http://www.grsecurity.net/features.php.
  • Le kernel-patch-adamantix fournit les correctifs développés pour http://www.adamantix.org/, une distribution basée sur Debian. Le correctif noyau pour les versions 2.4.x du noyau introduit des fonctionnalités de sécurité comme une pile non exécutable grâce à l'utilisation de http://pageexec.virtualave.net/ et du contrôle d'accès obligatoire basé sur http://www.rsbac.org/. Parmi les autres fonctionnalités, on trouve: http://www.vanheusden.com/Linux/sp/, le périphérique boucle chiffré AES, la gestion MPPE et un rétroportage de la version 2.6 d'IPsec.
  • cryptoloop-source. Ce correctif vous permet d'utiliser les fonctions de l'API de chiffrement du noyau pour créer des systèmes de fichiers chiffrés en utilisant le périphérique «loopback».
  • Prise en charge d'IPsec par le noyau (du paquet linux-patch-openswan). Si vous voulez utiliser le protocole IPsec avec Linux, vous avez besoin de ce correctif. Vous pouvez ainsi créer des VPN très facilement, même vers les machines Windows, puisque IPsec est une norme courante. Des fonctionnalités IPsec ont été ajoutées au noyau de développement 2.5, cette fonctionnalité sera donc présente par défaut dans le futur noyau Linux 2.6. Site Internet: http://www.openswan.org. FIXME: les derniers noyaux2.4 fournis dans Debian incluent un rétroportage du code IPsec du noyau2.5. Commentaire sur cela.
Les correctifs de sécurité du noyau suivants ne sont disponibles que pour d'anciennes versions du noyau dans Woody et ils sont obsolètes:
  • http://acl.bestbits.at/ (ACL) pour Linux fourni dans le paquet kernel-patch-acl. Ce correctif du noyau ajoute les listes de contrôle d'accès, une méthode avancée pour restreindre l'accès aux fichiers, par le noyau Linux. Cela vous permet de contrôler finement l'accès aux fichiers et répertoires.
  • http://www.openwall.com/linux/ par Solar Designer, fourni dans le paquet kernel-patch-2.2.18-openwall. C'est un ensemble utile de restrictions pour le noyau, comme la restriction de liens, FIFO dans /tmp, une restriction de /proc, une gestion de descripteur de fichiers spéciaux, une pile de l'utilisateur non exécutable et bien plus. Note: ce paquet s'applique à la version2.2, aucun paquet n'est disponible pour les correctifs de la version2.4 fournie par Solar.
  • kernel-patch-int. Ce correctif vous permet également d'ajouter des fonctionnalités de cryptographie au noyau Linux et était utile pour les versions de Debian jusqu'à Potato. Il ne fonctionne pas avec Woody et si vous utilisez Sarge ou une version plus récente, vous devriez utiliser un noyau plus récent qui inclut déjà ces fonctionnalités.
Cependant, certains correctifs ne sont pas encore fournis dans Debian. Si vous croyez que certains devraient être inclus, veuillez le demander sur la page des http://www.debian.org/devel/wnpp.


[36] Notez que ce correctif entre en conflit avec des correctifs déjà inclus dans le paquet de source du noyau Debian. Vous devrez utiliser le noyau d'origine (sans correctifs Debian). Vous pouvez faire cela en suivant les étapes suivantes:
# apt-get install kernel-source-2.4.22 kernel-patch-debian-2.4.22 # tar xjf /usr/src/kernel-source-2.4.22.tar.bz2 # cd kernel-source-2.4.22 # /usr/src/kernel-patches/all/2.4.22/unpatch/debian
Pour plus d'informations, consultez les bogues http://bugs.debian.org/194225, http://bugs.debian.org/199519, http://bugs.debian.org/206458, http://bugs.debian.org/203759, http://bugs.debian.org/204424, http://bugs.debian.org/210762, http://bugs.debian.org/211213 et la http://lists.debian.org/debian-devel/2003/debian-devel-200309/msg01133.html.