[Renforcement des fonctions de sécurité du noyau Linux – Partie 1] Présentation

Par Rédaction, secuobs.com
Le 14/11/2007

---

Résumé : Ce dossier vous propose de faire un tour d'horizon des différents mécanismes de sécurité liés aux noyaux des systèmes d'exploitation de type GNU/LINUX afin de garantir la sauvegarde de l'intégrité de votre environnement. Dans cette première partie vous trouverez une introduction à ces mécanismes ainsi qu'aux noyaux des systèmes GNU/LINUX en général. - Lire l'article



L'engouement croissant des utilisateurs pour le système d'exploitation Linux, et plus particulièrement de la part des experts en sécurité ou des administrateurs système, est dû en grande partie à la robustesse et aux fonctionnalités avancées que propose ce système d'exploitation. Le noyau, plus souvent cité sous son appellation de forme anglaise kernel ( lien ) , coeur du système, gère la majeure partie des fonctions relatives à la sécurité de l'environnement.

Le processus et la qualité de développement de Linux sont désormais reconnus. Il se base sur une très large communauté d'experts et de passionnés qui contribue à l'évolution du projet et à ses perpétuelles corrections. Il s'agit en effet ici d'une propriété particulièrement déterminante dans le choix des équipements présents au sein d'une infrastructure sécurisée.

Les correctifs de sécurité pour les systèmes Linux sont publiés très rapidement et il n'est pas rare de les avoir à disposition dans les vingt quatre heures qui suivent la publication d'une faille de sécurité sur une liste type full-disclosure (bugtraq lien , etc.).

Plusieurs fonctionnalités relatives à la sécurité sont intégrées nativement dans le noyau Linux. Citons celles pour la gestion des syncookies, permettant notamment de faire face aux attaques du type SYN flood par exemple, celles pour les fonctionnalités de filtrage assurées par Netfilter ou encore d'autres moins explicites mais permettant de renforcer globalement la sécurité du système.

Une distinction importante doit être faite entre la sécurité du réseau gérée au niveau du système d'exploitation (gestion de l'aléa des IP ID, restrictions sur les sockets, filtrage de niveau 3, etc.) et la sécurité applicative permettant de se prémunir, ou de limiter l'exploitation possible, des failles logicielles de plus haut niveau. Elles font généralement partie du user land.

Le noyau Linux retenu dans cet article est le 2.6.16.9, dernière version stable à la date de Rédaction. Les versions supérieures seront dotées des mêmes fonctionnalités et en proposeront bien sûr de nouvelles. Les différents patches présentés dans les chapitres suivants devront être récupérés en fonction de la version utilisée bien sûr, mais la démarche reste globalement identique.

GrSecurity est sans doute le projet de ce type le plus connu bien qu'il soit l'un des moins supportés financièrement. SELinux (Security Enhanced Linux), au contraire, dispose d'importantes ressources, étant développé par la NSA (National Security Agency – organisation américaine de renseignement spécialisée dans les nouvelles technologies).

Les approches de GrSecurity et de SELinux sont diamétralement opposées : GrSecurity renforce la sécurité du système en amont, ajoutant de nombreuses fonctionnalités applicatives permettant de rendre très complexe l'exploitation des failles logicielles (buffer overflows dans la pile, le tas, bugs de format, race conditions, etc.).

SELinux, quant à lui, opte pour la restriction de l'environnement offert à un attaquant suite à la compromission du système. L'attaquant est alors restreint avec des privilèges peu élevés et est cantonné au strict minimum. Il s'agit d'une approche par MAC (Mandatory Access Control).

Les différentes approches, qu'elles soient placées en amont ou en aval de la compromission, seront présentées dans cet article. Elles ont toutes de multiples avantages et inconvénients, notamment en termes de performances. L'emploi simultané des deux solutions, bien envisageable dans la théorie, se révèle bien trop lourd en pratique. En sécurité, tout est affaire de compromis...

Des prérequis techniques sont nécessaires à la bonne compréhension de cette article, notamment ceux concernant les exploitations de failles sous Linux (buffer/heap overflows principalement). Le lecteur pourra se référer à l'abondante littérature disponible sur Internet à ce sujet.


Autres ressources dans ce dossier :

[Renforcement des fonctions de sécurité du noyau Linux – Partie 2] Address Space Layout Randomization – lien

[Renforcement des fonctions de sécurité du noyau Linux – Partie 3] GrSecurity et PaX – lien

[Renforcement des fonctions de sécurité du noyau Linux – Partie 4] SELinux (1) – lien

[Renforcement des fonctions de sécurité du noyau Linux – Partie 5] SELinux (2) – lien

[Renforcement des fonctions de sécurité du noyau Linux – Partie 6] Netfilter, conclusions & webographie – lien