Aller à la recherche

FreeBSD drapeaux de fichier

Afin d'améliorer la sécurité de votre système FreeBSD met à disposition des drapeaux de fichier, nous allons ici en voir quelqu'un.

Freebsd la sécurité grâce au drapeau de fichier

Drapeau schg

Le premier est schg qui peut être positionné que par root et permet de rendre le fichier non modifiable de quelques manières que ça soit (ne pas être édité, déplacé, remplacé ou réécrit. Le drapeau ne peut être supprimé, si le système tourne en niveau de sécurité 1 ou plus.

Drapeau sappnd

Le drapeau "system append" ne peut être positionné que par root, une fois positionné, il est possible que de faire des ajouts au fichier, il ne peut plus être supprimé, ni modifié . C'est utile pour les fichiers de log car si un pirate réussit à apporter des modifications. Il lui est impossible de faire disparaître des logs ces modifications. Le drapeau ne peut être supprimé si le niveau de sécurité est 1 ou plus.

Drapeau sunlk

Seul root positionne ce drapeau, qui interdit la suppression du fichier. Par contre le fichier peut être modifié. Beaucoup moins intéressant que le précédent pour la sécurité (si on peut modifier cela veut dire qu'on peut vider). Ce drapeau ne peut être enlevé si le niveau de sécurité est 1 ou plus.

Drapeau uappnd

Il s'agit du drapeau sappnd appliqué au niveau utilisateur, car il peut être positionné par root et l'utilisateur qui détient les droits sur le fichier. Il évite la suppression accidentelle de fichier, ce drapeau peut être supprimé par root.

Drapeau uchg

Là, aussi il s'agit du pendant de schg au niveau de l'utilisateur, il empêche le fichier d’être modifié. Il peut être enlevé par root ou par l'utilisateur lui-même, ce qui n'en fait pas un drapeau utile pour la sécurité, mais plus pour l'effacement ou modification accidentelle d'un fichier. Parfois à 7h du matin un rm -rf * peut être mortel.

Drapeau uunlk

Vous l'aurez compris cette fois-ci c'est la version sunlk appliqué au niveau utilisateur, qui interdit la suppression sans en interdire la modification. Root peut supprimer ce drapeau, l'utilisateur lui-même peut désactiver ce drapeau.

Appliquer un drapeau sur un fichier

Empêcher toute modification des fichiers log d'apache (sauf ajout) chflags uappnd /var/log/httpd/access.log

Pour supprimer un drapeau sur un fichier

chflags nounappnd /var/log/httpd/access.log

Voilà

La discussion continue ailleurs

URL de rétrolien : https://www.binsp.net/?trackback/30

Fil des commentaires de ce billet

Page top