Sécurité Linux : l’essentiel n’est toujours pas assuré !

Alors que la déclaration de confidentialité vient de nous révéler l’amplitude de la collecte des données réalisée par Microsoft, nous restons toujours orphelins sous Linux d’une solution de filtrage des paquets Tcp/Ip  par processus au niveau de Netfilter ! Il y aurait d’ailleurs beaucoup à s’amuser de voir le monde Linux s’attarder au très accessoire Firewalld ou au projet Nftables, là où nous aurions besoin de choses bien plus fondamentales. Je vous en avais déjà parlé en avril 2012 dans un article qui eut à l’époque du retentissement.

A quand wf.msc sur Linux ?

Sécurité Linux : l'essentiel n'est toujours pas assuré !Exemple. Si je veux sous Linux n’autoriser que Firefox à faire du Tcp/80 sortant, eh bien, ce n’est tout simplement pas possible ! Je passe sous silence le délire qui consisterait à vouloir utiliser SELinux, qui d’ailleurs n’est pas capable de le faire. Dans Iptables, je suis condamné à ouvrir le port Tcp/80 en sortie et c’est tout. C’est tout de même un comble qu’après le retrait de cette fonctionnalité datant de la sortie du noyau 2.6.14 en octobre 2005, nous ne disposons toujours pas d’une solution simple sur Linux, alors que Windows la propose sous Windows Vista au travers de la console wf.msc depuis avril 2007. Du côté des éditeurs commerciaux qui auraient pu palier le manque, il n’y a à ce jour aucune solution à l’horizon.

Moi, j’ai dit bizarre, comme c’est bizarre !

Le souci est que, tel qu’il nous est proposé à ce jour, Linux n’offre pas le niveau de sécurité de Windows. Ce n’est pas la peine de brailler contre Microsoft si on n’est même pas capable de proposer une fonctionnalité de base en matière de sécurité, accessible à tous. Pour le linuxien que je suis et que je resterai, le constat est forcément amer, à l’heure du pillage généralisé de nos données personnelles. Je ne peux pas rester insensible au fait que nous ne soyons pas en capacité de filtrer très précisément ce qui sort d’un ordinateur Linux. Mais, au fait, pourquoi diable, cette fonctionnalité a-t-elle été retirée de Netfilter ? Les développeurs n’ont jamais daigné répondre à mes questions. Trop occupés à faire compliqué quand on peut faire simple ?

Linux  / Fedora Firewall FirewallD Formateur Sécurité informatique Iptables Linux Netfilter Pare-feu Sécurité informatique Windows 

Commentaires

hmmm SELinux ne répondrait pas a la problématique ? Via le système de labellisé des domaines tu peux l’etendre et si je ne m’abuse flat guet les paquets puis les filtrer selon les types voulus non ?

Sinon un iptables avec le uid du processus en question ca passe, par pid c’est révoqué comme tu l’indiques mais pas par owner me semble-t-il :)

Flagguer (désolé pour l’autocorrection)

@Jérémy

Donne-moi un exemple qui fait ça. J’ai cherché comme tu peux t’en douter.

j’ai trouve ca
https://www.linux.com/learn/tutorials/421152-using-selinux-and-iptables-together

(Lu dans les très grandes diagonales je compte sur toi pour valider la pertinence :) )

@Jérémy

L’utilisation de l’option SECMARK dans Iptables semble limitée aux paquets. Je n’ai rien vu qui permette d’y associer le processus.

Je viens d’écrire ça pour vous répondre:

http://florent.daigniere.com/posts/2015/07/application-firewalling-with-netfilter/

Il est naif de penser que filtrer « par application » serve à quelque chose… que ce soit sous windows ou linux. A froid je peux penser à une demi-douzaine de façons de contourner le « filtrage ».

En matière de sécurité, la 1ère des choses est bien de contrôler la sortie de paquets au niveau d’un process d’une station de travail. Parle-t-on de la même chose, vraiment ?

Laisser un commentaire

(requis)

(requis)