Controle parental
|
03-05-2013, 15h19
Message : #1
|
|
InstinctHack
Posting Freak Messages : 1,366 Sujets : 184 Points: 299 Inscription : Dec 2011 |
Controle parental
io,
(J'assume le titre du thread :>) Je me demande comment empecher l'éxécution d'un programme, et pourquoi pas avec des restrictions horaires. Pour bloquer l'accès à la programme, j'avais penser en premier à un cron qui kill le programme, mais c'est degeu, mais ça pourrais me permettre de tester si il tourne actuellement. Sinon pour le bloquer, vous feriez comment ? chmod 000 sur le binaire ? Citation :un jour en cours de java j'ai attrapé les seins d'une fille mais elle m'a frappé en disant "c'est privé !!" |
|
03-05-2013, 17h37
Message : #2
|
|
Creepy_p0ney
chef des poneys voodoo Messages : 146 Sujets : 9 Points: 24 Inscription : Dec 2011 |
RE: Controle parental
ah ouais :p interessante question, ça a suscité une autre question dans ma tête, la même chose mais ave cla connexion internet.
Penser que coder est coder explique-t-il la recursion ?
http://p0neyland.wordpress.com/ |
|
03-05-2013, 18h30
(Modification du message : 03-05-2013, 18h36 par Sh4dows.)
Message : #3
|
|
Sh4dows
Tweetos Messages : 293 Sujets : 5 Points: 49 Inscription : Dec 2012 |
RE: Controle parental
Le mieux je pense, serait de disass un contrôle parental
EDIT : Si on prend comme exemple ça http://www.profiltechnology.com/particul...al-filter2 On remarque le mot filtrage dans le titre.. Probablement car ils filtrent les packets et/ou les processus de la machine...
Faites ce que je dis et non ce que je fais !
|
|
03-05-2013, 18h44
Message : #4
|
|
b0fh
Membre actif Messages : 210 Sujets : 17 Points: 309 Inscription : Jul 2012 |
RE: Controle parental
Hello,
chmod 000 ne sert pas a grand chose; l'utilisateur n'a qu'a choper ailleurs une copie du binaire et lui donner les droits qu'il veut. Imaginons que tu bloques les binaires en les identifiant par hash. L'utilisateur peut toujours modifier le programme pour casser la signature. Imaginons que tu bloques les binaires par analyse statique. L'utilisateur peut packer son binaire. Imaginons que tu bloques les binaires par analyse dynamique, ou filtre les syscalls. L'utilisateur peut essayer d'installer qemu ou virtualbox, et de faire tourner son programme dedans. Donc il te faudra aussi bloquer tous les programmes de virtualisation et d'émulation. Au final, l'approche par blacklist est vouée a l'échec. Mais tu peux essayer de déterminer un ensemble fixe de programmes autorisés, et ensuite t'assurer que l'utilisateur n'a accès en écriture que sur des filesystems montés avec l'option noexec. De cette manière l'OS refusera d'exécuter ce qui aurait pu être importé de l'extérieur par l'utilisateur. Evidemment, le problème est que tout ne nécessite pas la permission d'exécution pour ça. Par exemple tous les langages utilisant un exécutable unique pour leur runtime (java, python, php...). Mais bonne chance pour monter une distro moderne sans python et perl. Conclusion, soit tu n'autorises l'utilisateur ni à avoir un shell ni à uploader aucune forme de code, soit tu admets qu'il va exécuter du code arbitraire et que le contrôle d'accès ne se fera que sur les ressources; tous les autres scénarios sont détournables. Pour le réseau, c'est encore plus dur; a partir du moment ou t'as du code hostile des deux côtés, le filtrage ne peut être que tout-ou-rien; un simple bit dans un protocole totalement anodin et sans rapport peut être transformé en canal caché. En gros, le contrôle parental, ça suxe. |
|
04-05-2013, 09h25
Message : #5
|
|
notfound
#!/usr/bin/env bash Messages : 687 Sujets : 47 Points: 271 Inscription : Sep 2012 |
RE: Controle parental
Pour la connexion Internet, sur les Livebox tu peux désactiver le WiFi de telle heure à telle heure, sur tel jour etc.
|
|
04-05-2013, 11h14
Message : #6
|
|
Creepy_p0ney
chef des poneys voodoo Messages : 146 Sujets : 9 Points: 24 Inscription : Dec 2011 |
RE: Controle parental
Notfound ouais mais à ce moment là ça desactive sur tout le reseau.
Penser que coder est coder explique-t-il la recursion ?
http://p0neyland.wordpress.com/ |
|
04-05-2013, 12h02
Message : #7
|
|
ThibauT
Keyboard not found, press F1 to resume. Messages : 348 Sujets : 6 Points: 69 Inscription : Jun 2012 |
RE: Controle parental
Citation :Notfound ouais mais à ce moment là ça desactive sur tout le reseau. Du tout, tu choisis sur quel(s) appareil(s) tu mets des restrictions horaires (parmis tous les appareils connectés à la Livebox). Martin Golding a écrit :"Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live." Gnomino a écrit :et quand je suis payé je fais ce qu'on me demande :B |
|
04-05-2013, 12h07
Message : #8
|
|
supersnail
Éleveur d'ornithorynques Messages : 1,609 Sujets : 71 Points: 465 Inscription : Jan 2012 |
RE: Controle parental
Imho ça doit se faire par un filtrage MAC ou IP...
Dans le pire des cas, tu peux try de spoof l'adresse mac de la carte réseau du PC de tes parents :] (en priant que leur PC balance pas des paquets TCP RST en voyant une connexion qui leur paraît pas clean, j'ai pas trop matté le comportement d'un OS face à des connexions TCP non désirées)
Mon blog
Code : push esp ; dec eax ; inc ebp ; and [edi+0x41],al ; dec ebp ; inc ebp "VIM est merveilleux" © supersnail |
|
04-05-2013, 12h09
Message : #9
|
|
InstinctHack
Posting Freak Messages : 1,366 Sujets : 184 Points: 299 Inscription : Dec 2011 |
RE: Controle parental
Citation :j'ai pas trop matté le comportement d'un OS face à des connexions TCP non désirées)Je coderais un os, je droperais :') Citation :un jour en cours de java j'ai attrapé les seins d'une fille mais elle m'a frappé en disant "c'est privé !!" |
|
04-05-2013, 14h58
Message : #10
|
|
gruik
gouteur de savon Messages : 757 Sujets : 44 Points: 482 Inscription : Oct 2012 |
RE: Controle parental
Creepy_p0ney a écrit :Notfound ouais mais à ce moment là ça desactive sur tout le reseau yep complètement, comme dit supersnail le filtrage peut se faire au niveau de la livebox que via un filtrage niveau reseau (MAC/IP) et donc applique une restriction globale à toute la machine supersnail a écrit :Dans le pire des cas, tu peux try de spoof l'adresse mac de la carte réseau du PC de tes parents en meme temps la question ici c'etait "comment faire pour mettre en place" pas pour contourner > 2013 > la "sécurité" perçue par les hackers InstinctHack a écrit :Je coderais un os, je droperais yep c'est le cas évidement, par défaut le firewall renvoit un RST (REJECT) sauf DROP explicite dans la conf InstinctHack a écrit :Je me demande comment empecher l'éxécution d'un programme, et pourquoi pas avec des restrictions horaires. je suis d'accord que c'est pas très jojo mais dans l'idée on pourrait effectivement envisager un programme appellé depuis cron avec une ligne de commandes par exemple, genre "restrict.sh --autorise-tout", "restrict.sh --active-le-filtrage-pour-les-gosses" etc. à partir de là le propos c'est d'une part killer les programmes qu'on veut restreindre et qui tournent déjà , avec éventuellement un popup pour dire "warning chérie ca va couper", et d'autre part - c'est le point principal de mon post - limiter/autoriser l'accès au réseau à l'aide des capabilities du noyau linux, on parle de setcap ou directement d'un SElinux par exemple, grsecurity sait aussi faire ce genre de choses il me semble dans tous les cas sur le fond je rejoins 100% ce que dit b0fh à savoir que ca sux, à plus forte raison parceque sous linux par défaut il n'existe pas justement de relation entre un paquet réseau et un process, on est obligé d'appliquer au minimum un patch kernel pour acceder a des ACL path based ou autre plus ou moins heureuses et qui souvent restent malgré tout contournable, au moins grâce au manque de maîtrise de l'admin local et une configuration approximative de sa part (tout le monde en www-data-nobody.nogroup et vive ptrace) néanmoins il existait jusqu'à il y a peu encore le projet NuFW qui était à ma connaissance le seul firewall authentifiant sous linux, la derniere fois que j'ai regardé le projet venait d'etre poubellisé apres plusieurs années de bons et loyaux services pour des raisons absurdes de je sais plus quel ordre (site officiel n'existe plus), ça vaut peut-être le coup de chercher malgré tout au besoin... |
|
04-05-2013, 17h16
Message : #11
|
|
Machin
Membre actif Messages : 60 Sujets : 1 Points: 16 Inscription : Apr 2013 |
RE: Controle parental
Le débat est très interessant techniquement parlant mais je suis ettoné que personne n'a commencé par demander le contexte qui à ammener à vouloir mettre ça en place. Perso je suis pragmatique et vous commencez à partir loin sans vraiment savoir quel etait le soucis qui devait etre réglé à la base.
Car je me dis, si je suis le theme des derniers echanges sur le filtrage du net, je regarde autour de moi. 95% des gens ont déjà du mal à faire la difference entre internet et le Web, alors un filtrage par adresse mac ou ip, un blocage au niveau DNS de certains sites va fonctionner souvent. La discussion est tres interessante mais evidement il est tres dur de se protéger de tout, n'empeche que des gens qui, pour contourner une protection vont aller faire tourner une machine virtuelle, mine de rien, ce n'est pas la majorité des gens. Donc sans le contexte (ie la population qu'il va souhaiter controler), j'ai un peu l'impression que vous sortez un buldozer pour ecraser une mouche. Apres niveau theorique, j'aime bien la discussion ^^ |
|
04-05-2013, 17h21
Message : #12
|
|
InstinctHack
Posting Freak Messages : 1,366 Sujets : 184 Points: 299 Inscription : Dec 2011 |
RE: Controle parental
Ah mais pas du tout machin, le post est technique, j'ai pas besoin d'un controle parental ^^" (quoique avec xchat... :p ), c'est une question que je me pose
Citation :un jour en cours de java j'ai attrapé les seins d'une fille mais elle m'a frappé en disant "c'est privé !!" |
|
04-05-2013, 17h43
Message : #13
|
|
Machin
Membre actif Messages : 60 Sujets : 1 Points: 16 Inscription : Apr 2013 |
RE: Controle parental
Ha ok, je pensais que c'etait pour répondre à un besoin precis. Autant/au temps pour moi alors !
|
|
Utilisateur(s) parcourant ce sujet : 1 visiteur(s)