Security Xmas gift : privsep pour tout le monde

December 25th, 2002 par Anonyme

Vous avez certainement entendu parler de la meeeeeeeeeeeerveilleuse fonctionnalité introduite par Niels Provos pour OpenSSH qu’est la Privilege Separation (aka PrivSep). Elle permet de séparer dans 2 processus distincts les tâches nécessistant un accès privilégié aux ressources (comme binder un port ou délivrer des pty) des autres. Le but est bien sûr d’augmenter la sécurité puisqu’un attaquant retombera forcément sur un processus non privilégié.
Bref, NAI Labs via l’initiative CBOSS (à qui l’on doit déjà le financement de TrustedBSD et OpenPAM mais aussi GEOM et UFS2) nous propose Privman, une librairie destinée à faciliter l’utilisation du concept privsep dans les applications.

Noyeux Joel !

PrivSep
Source: Privman

Posté dans Security | 3 Comments »

3 Reponses pour “Xmas gift : privsep pour tout le monde”

  1. Anonyme Says:

    Librairie?!
    Privman n’est pas une librairie. C’est une bibliotheque. Grmbl.

    http://www.42-networks.com/faq/library.html

  2. Anonyme Says:

    lol ;-)
    C’est bien vrai ;-)

  3. Anonyme Says:

    franglais
    ma langue (enfin mes doigts, me signale-t-on dans mon oreillette) a fourché, milles pardons.

    –eberkut (de l’Académie Quebecoise)

Répondre

Vous devez être identifié pour poster un commentaire.

Identification

Enregistrez-vous

SQUAD!

GCU live

[01:00:55] prototux (j'ai du mal a voir la difference entre "accept (...) for domain <domains> virtual <users>" et "accept (...) for domain <domains> userbase <users>", d'apres la doc userbase change le comportement au moment de voir les users du systeme, mais ca a l'air de se comporter exactement comme des virtual users en pratique
[01:02:44] prototux (dans le cas ou c'est accept (...) deliver to maildir "/path/to/dir", si jamais on relay ca change pt'et qqchose... mais dans ce cas je vois pas de l'utilite de userbase?)
<-- reber left irc: Remote host closed the connection
--> bsdsx joined #gcu.
[01:39:44] prototux hum, en fait, j'ai l'impression que ma config initial a base de "accept (...) for domain <domains> alias <aliases> userbase <users> deliver to maildir "..." c'est un gros hack invonlontaire qui est tombe en marche depuis 3ans O_O
--> ced117 joined #gcu.
[02:14:16] prototux __gilles: (au cas ou tu lis ca t'alleur, j'ai fini par comprendre je crois, mais y'a 2-3 points dans la docs qui peuvent preter a confusion :) )
<-- lynxt left irc: Ping timeout: 260 seconds
<-- tillo left irc: Ping timeout: 240 seconds
--> lynxt joined #gcu.
--> tillo joined #gcu.

Miiissioudaaam'

Archives:

Meta:

Hosted by:

NBS-System