ANNEXE 17 - Configuration Sysctl GrSecurity 2.0 pour Linux-Vserver
==================================================================

/etc/sysctl.conf.grsecurity :
-----------------------------

### Restrictions Grsecurity
# Mettez a jour ce script selon vos besoins (au moins pour les gids) puis testez
# le avec sysctl -p /etc/sysctl.conf.grsecurity

# Protection du systeme de fichiers

kernel/grsecurity/chroot_caps=0
kernel/grsecurity/chroot_deny_chmod=0
kernel/grsecurity/chroot_deny_chroot=0
kernel/grsecurity/chroot_deny_fchdir=1
kernel/grsecurity/chroot_deny_mknod=1
kernel/grsecurity/chroot_deny_mount=0
kernel/grsecurity/chroot_deny_pivot=1
kernel/grsecurity/chroot_deny_shmat=1
kernel/grsecurity/chroot_deny_sysctl=1
kernel/grsecurity/chroot_deny_unix=1
kernel/grsecurity/chroot_enforce_chdir=1
kernel/grsecurity/chroot_findtask=1
kernel/grsecurity/chroot_restrict_nice=1

kernel/grsecurity/fifo_restrictions=1
kernel/grsecurity/linking_restrictions=1

# Protection des executables

kernel/grsecurity/dmesg=1

kernel/grsecurity/execve_limiting=1

# Execution dans des repertoires WR_ONLY_FOR_ROOT ?
kernel/grsecurity/tpe=1
# Pour ce groupe
kernel/grsecurity/tpe_gid=1006
# Pour tous les autres : non WR groupe/tlm et WR_ONLY_FOR_ROOT ?
kernel/grsecurity/tpe_restrict_all=0

kernel/grsecurity/rand_pids=1

# Protection reseau

kernel/grsecurity/rand_ip_ids=1
kernel/grsecurity/rand_isns=1
kernel/grsecurity/rand_rpc=1
kernel/grsecurity/rand_tcp_src_ports=1

kernel/grsecurity/socket_all=1        # Pas de serveur / Pas de connect ?
kernel/grsecurity/socket_all_gid=1007 # Pour ce groupe

kernel/grsecurity/socket_client=1        # Pas de connect ?
kernel/grsecurity/socket_client_gid=1008 # Pour ce groupe

kernel/grsecurity/socket_server=1        # Pas de serveur ?
kernel/grsecurity/socket_server_gid=1009 # Pour ce groupe

# Remontee d'informations via les logs du kernel

kernel/grsecurity/audit_group=1  # Activation ?
kernel/grsecurity/audit_gid=1010 # Pour ce groupe
kernel/grsecurity/exec_logging=1
kernel/grsecurity/audit_chdir=1
kernel/grsecurity/audit_mount=1
kernel/grsecurity/audit_ipc=1

kernel/grsecurity/signal_logging=0
kernel/grsecurity/forkfail_logging=1
kernel/grsecurity/timechange_logging=1
# Activee dans le noyau, mais l'activer avec lvserver est ...
kernel/grsecurity/chroot_execlog=0

# Activations des listes de controle d'acces

#kernel/grsecurity/acl=1

# Activation de la securite (Attention a ce que vous faites !!!)

kernel/grsecurity/grsec_lock=0