Linux : une sécurité toujours aussi contestable !
En 2010, je décidais de basculer ma station de travail sur Windows 7, faute de disposer d’un outil de filtrage par process au niveau du pare-feu Linux. Pour rappel, depuis le noyau 2.6.14 sorti en octobre 2005, Netfilter ne dispose plus de la possibilité de filtrer par commande et/ou pid. J’ai depuis, à de nombreuses reprises, demandé aux développeurs de Netfilter les raisons pour lesquelles ils avaient fait ce choix quelque peu curieux. Je n’ai jamais eu la moindre réponse de leur part.
J’ai ensuite utilisé, en solution de remplacement, l’excellent Fireflier qui, hélas, n’est aujourd’hui plus du tout maintenu. Il utilisait Nfqueue. Le paradoxe est donc aujourd’hui que nous ne pouvons pas contrôler les process associés aux applications Tcp/Ip définies dans notre pare-feu. Il est tout de même paradoxal que, sur ce point particulier, Windows assure un niveau de sécurisation bien plus élevé que Linux. Le problème vaut également pour les serveurs, au niveau desquels l’absence de filtrage par process ne répond pas aux exigences minimales en termes de sécurité de ce qu’on peut attendre d’un système d’exploitation. Je n’ai hélas pas d’autres choix que de m’en satisfaire !
Solutions possibles ?
Depuis 2010, je suis donc en quête d’une solution – simple – qui me permette de revenir à Linux, au niveau de ma station de travail et de sécuriser davantage les serveurs qui hébergent les sites de nos clients.
Il y aurait bien SELinux ou AppArmor. Leur problématique est toutefois très éloignée de celle du filtrage par process. Il y avait aussi NuFw. Cette autre usine à gaz a disparu des dépôts CentOS depuis que Edenwall a décidé de fermer le site nufw.org. NuFW reste disponible sur Ubuntu Server. J’avais entendu parler de Program Guard, de Tuxguardian. Ces programmes n’apparaissent dans aucun dépôt. Par ailleurs, leur rôle est d’autoriser ou d’interdire des applications.
Nous restons toujours sans solution sur cette problématique ! Le paradoxe, c’est que tout le monde s’en fout.