Product SiteDocumentation Site

4.14. Les utilitaires pour ajouter des correctifs au noyau

Debian GNU/Linux fournit quelques correctifs pour le noyau Linux qui améliorent sa sécurité du système. En voici quelques-uns.
  • LIDS — http://www.lids.org fourni dans le paquet kernel-patch-2.4-lids. Ce correctif du noyau rend le processus de renforcement d'un système Linux plus facile en vous permettant de restreindre, cacher et protéger des processus, même par rapport au superutilisateur. Elle implémente des fonctionnalités de contrôle d'accès obligatoire («Mandatory Access Control»).
  • http://trustees.sourceforge.net/ fourni dans le paquet trustees. Ce correctif ajoute un système avancé décent de gestion des permissions au noyau Linux. Des objets spéciaux (les « trustees ») sont associés à chaque fichier ou répertoire et ils sont stockés dans la mémoire noyau, ce qui permet un accès rapide pour toutes les permissions.
  • NSA Enhanced Linux (in package selinux). Backports of the SElinux-enabled packages are available at https://salsa.debian.org/selinux-team. More information available at SElinux in Debian Wiki page, at Manoj Srivastava's and Russell Cookers's SElinux websites.
  • Le http://people.redhat.com/mingo/exec-shield/ fourni dans le paquet kernel-patch-exec-shield. Ce correctif fournit une protection contre plusieurs dépassements de tampon (attaques par écrasement de pile).
  • The Grsecurity patch, provided by the kernel-patch-2.4-grsecurity and kernel-patch-grsecurity2 packages [36] implements Mandatory Access Control through RBAC, provides buffer overflow protection through PaX, ACLs, network randomness (to make OS fingerprinting more difficult) and many more features.
  • Le kernel-patch-adamantix fournit les correctifs développés pour http://www.adamantix.org/, une distribution basée sur Debian. Le correctif noyau pour les versions 2.4.x du noyau introduit des fonctionnalités de sécurité comme une pile non exécutable grâce à l'utilisation de http://pageexec.virtualave.net/ et du contrôle d'accès obligatoire basé sur http://www.rsbac.org/. Parmi les autres fonctionnalités, on trouve: http://www.vanheusden.com/Linux/sp/, le périphérique boucle chiffré AES, la gestion MPPE et un rétroportage de la version 2.6 d'IPsec.
  • cryptoloop-source. Ce correctif vous permet d'utiliser les fonctions de l'API de chiffrement du noyau pour créer des systèmes de fichiers chiffrés en utilisant le périphérique «loopback».
  • Prise en charge d'IPsec par le noyau (du paquet linux-patch-openswan). Si vous voulez utiliser le protocole IPsec avec Linux, vous avez besoin de ce correctif. Vous pouvez ainsi créer des VPN très facilement, même vers les machines Windows, puisque IPsec est une norme courante. Des fonctionnalités IPsec ont été ajoutées au noyau de développement 2.5, cette fonctionnalité sera donc présente par défaut dans le futur noyau Linux 2.6. Site Internet: http://www.openswan.org. FIXME: les derniers noyaux2.4 fournis dans Debian incluent un rétroportage du code IPsec du noyau2.5. Commentaire sur cela.
Les correctifs de sécurité du noyau suivants ne sont disponibles que pour d'anciennes versions du noyau dans Woody et ils sont obsolètes:
  • http://acl.bestbits.at/ (ACL) pour Linux fourni dans le paquet kernel-patch-acl. Ce correctif du noyau ajoute les listes de contrôle d'accès, une méthode avancée pour restreindre l'accès aux fichiers, par le noyau Linux. Cela vous permet de contrôler finement l'accès aux fichiers et répertoires.
  • http://www.openwall.com/linux/ par Solar Designer, fourni dans le paquet kernel-patch-2.2.18-openwall. C'est un ensemble utile de restrictions pour le noyau, comme la restriction de liens, FIFO dans /tmp, une restriction de /proc, une gestion de descripteur de fichiers spéciaux, une pile de l'utilisateur non exécutable et bien plus. Note: ce paquet s'applique à la version2.2, aucun paquet n'est disponible pour les correctifs de la version2.4 fournie par Solar.
  • kernel-patch-int. Ce correctif vous permet également d'ajouter des fonctionnalités de cryptographie au noyau Linux et était utile pour les versions de Debian jusqu'à Potato. Il ne fonctionne pas avec Woody et si vous utilisez Sarge ou une version plus récente, vous devriez utiliser un noyau plus récent qui inclut déjà ces fonctionnalités.
Cependant, certains correctifs ne sont pas encore fournis dans Debian. Si vous croyez que certains devraient être inclus, veuillez le demander sur la page des http://iwawocd.cewmufwd.tk/devel/wnpp.


[36] Notice that this patch conflicts with patches already included in Debian's 2.4 kernel source package. You will need to use the stock vanilla kernel. You can do this with the following steps:
# apt-get install kernel-source-2.4.22 kernel-patch-debian-2.4.22
# tar xjf /usr/src/kernel-source-2.4.22.tar.bz2
# cd kernel-source-2.4.22
# /usr/src/kernel-patches/all/2.4.22/unpatch/debian
For more information see http://bugs.debian.org/194225, http://bugs.debian.org/199519, http://bugs.debian.org/206458, http://bugs.debian.org/203759, http://bugs.debian.org/204424, http://bugs.debian.org/210762, http://bugs.debian.org/211213, and the http://lists.debian.org/debian-devel/2003/09/msg01133.html