Securelevel
Par défaut, actuellement le niveau de sécurité par défaut d’OpenBSD semble être déjà un acquis.
Le manpage securelevel nous restitue une information pertinente. Il est possible d’augmenter ce
niveau en utilisant la commande sysctl
, telle que :
# sysctl -w kern.securelevel=2
Mais soyez conscient des difficultés créées :
- Impossible de modifier l’horloge système - (pensez à la synchronisation NTP, par exemple…) -,
- ou vos règles PF si jamais vous les avez configurées,
- etc…
Système de fichiers en lecture seule
Un autre moyen est de rester en securelevel
par défaut à 1
, mais
d’utiliser les options de montage, tel que ro
principalement, mais
aussi nodev,noexec,nosuid
sur les différentes partitions du système de
fichier ffs.
Pour cela, il faut d’abord modifier le fichier /etc/fstab
, de manière
à ce que soit créé au démarrage un système de fichier mfs
(swap)
pour monter les périphériques /dev
dedans
Ne pas oublier cette écriture, sinon, vous aurez quelques difficultés pour "monter" dynamiquement certains périphériques spéciaux , parfois nécessaires, pour certains services, tel SSH !
Copiez votre fichier /etc/fstab
de manière à en faire une sauvegarde - cela pourrait être utile plus tard !
# cp /etc/fstab /root/fstab.origin ; chmod 0400 /root/fstab.origin
Modification du fichier /etc/fstab
Fichier : /etc/fstab
|
|
Création du fichier sysmount
Le script sysmount
nous facilitera la vie, pour autoriser l’écriture et verrouiller des différentes partitions le nécessitant :
Fichier : sysmount
|
|
L’usage en est très simple : avant l’installation d’un binaire, ou la modification d’un fichier de configuration, un coup de :
./sysmount rw
pour autoriser l’écriture sur le système de fichier,- puis ensuite de
./sysmount ro
pour l’empêcher à nouveau`
et, voilà !
Lorsqu’il faudra mettre à niveau le système d’exploitation, veuillez lire cet autre article : [Mini-Tuto] Upgrade Hardened OpenBSD
Documentations
Manpages
Remerciements
Un petit “gros” merci @Vincent pour ces tutoriels sur le durcissement du système de fichier OpenBSD : ici ou là.