Articles précédents : Sécurité
- [18] rapport sur la sécurité informatique
- [37] SmoothWall: un routeur? un firewall? une distribution?
- [4] Bill Gates achete du Viagra !
- [11] Alcatel: après les démentis les recommendations
- [4] Faille de sécurité dans Netfilter
- [8] la reponse d'Alcatel concernant le speedtouch adsl
- [26] "Microsoft: Closed source is more secure"
- [34] ADSL is NOT watching you (?)
- [26] Faille majeure dans Ipfilter
- [47] Faille de Sécurité Linux
Sécurité : "Why OpenBSD Will Never Be as Secure as Linux"
Posté par Alain Tésio (page perso, ). Modéré le 11 mai 2001.
Il ne compare pas les avantages intrinsèques des deux systèmes mais mentionne plusieurs moyens de sécuriser Linux non disponible sur OpenBSD, dont les arguments sont une configuration "secure by default" (bof ...) et un code mieux audité.
- WireX : Immunix, distribution Linux orientée sécurité : SubDomain pour restreindre les fichiers accessibles à un programme, StackGuard et FormatGuard pour les bugs dus à des dépassements de buffer et les chaînes de formatage.
- openwall : piles user non exécutable, plus de liens et pipes dans /tmp
- Argus PitBull LX : Discretionary Access Control, restrictions à l'accès aux devices et aux ports (flexible, moins lourd qu'un chroot). Attention, kernels binaires seulement !
- NSA SELinux : similaire à PitBull, mais PitBull ressemble un peu à l'inspecteur gadget de la sécurité tandis que les patches de la NSA ont apparemment un design plus cohérent, j'ai l'impression que les designers ont une "big picture" du noyau, mais c'est plus délicat à paramétrer.
- LIDS : bloque certains éléments de configuration qui ne sont plus modifiable sans un accès physique à la machine.
- Medusa DS9 : plus ou moins la même chose que les précédents ?
L'auteur annonce un article "Why Linux Will Never be as Secure as OpenBSD" pour la semaine prochaine, donc il ne faut prendre le titre provocateur au pied de la lettre.
Personnellement j'ai participé au crack contest openhack sur une machine avec PitBull LX et j'ai été impressionné par sa résistance, un hacker a pu avoir un shell root avec un exploit connu mais n'a pas pour autant pu créer le fichier demandé dans la racine à cause du Discretionary Access Control.
Apparemment la sécurisation globale d'un système passe par la mise en place de tels mécanismes qui n'ont pas les limites du "Mandatory Access Control", on ne peut pas tout faire à coups de chmod.
![[en]](../../../images/en.png)
L'article sur SecurityPortal (635 hits)
> Lire la dépêche (45 commentaires, moyenne: 0,6).
Troll ??
C'est peut-être pas un troll mais ça y ressemble un peu quand même.
Ceci dit, j'étais en train de lire l'article et j'ai été interrompu par le téléphone donc j'y retourne mais rien que le titre est fait pour troller à mort. Faites donc gaffe aux titres que vous donnez aux news (quoique des fois, il y a que comme ça qu'on attire les commentaires).
-
[^]Re: Troll ??
-
[^]Re: Troll ??
Posté par Blackknight (Jabber id, page perso, ) le 11/05/2001 à 09:04. (lien). Évalué à 1.Ouais, c'est vrai que l'article est quand même pas mal.
-
[^]Re: Troll ??
Posté par kadreg () le 11/05/2001 à 09:51. (lien). Évalué à 1.Un bon troll se doit d'avoir un minimum d'arguments (même faux, ça n'a pas d'importance), afin de bien allumer la mêche. Qui réagit encore à un "Linux prout, windows powah" ?
Finalement des arguments faux, c'est encore mieux pour allumer la mèche, y'en aura bien un pour répondre.-
[^]Re: Troll ??
-
-
-
[^]Re: Troll ??
Posté par Anonyme () le 11/05/2001 à 09:05. (lien). Évalué à 0.C'est normal, avec tous les sites d'info qui pillulent, si tu veux te faire lire, il faut être accrocheur. Donc avoir des titres exagérés. L'avantage ici c'est que même avec un titre pourri à la "Voici/Gala", le fond de l'article est très interessant. Et la suite sur les avantages de OpenBSD sera au moins aussi intéressante.
En résumé, un titre fait pour attirer les mouches passe mieux s'il y a un bon fond derrière. Et c'est le cas, même si il ne parle que d'une facette du sujet. (Ca sera ptet pas le même auteur pour la partie OpenBSD d'ailleurs)
A ce sujet
Chaque système a du bon et du moins bon en sécurité. Et puis si OpenBSD a moins d'outils de sécurité que Linux, c'est ptet parce qu'il en a moins besoin ;)
-
[^]Re: A ce sujet
Pour la semaine prochaine on a déjà le titre...
A la fin de l'article : Next week: "Why Linux Will Never be as Secure as OpenBSD".
-
[^]Re: Pour la semaine prochaine on a déjà le titre...
Posté par un nain_connu () le 11/05/2001 à 09:11. (lien). Évalué à 1.Ooops j'avais pas lu la news en entier. rm -rf ../
-
[^]Error ;-)
Posté par Anonyme () le 11/05/2001 à 09:14. (lien). Évalué à 0.# rm -rf ../
Can´t remove this folder because your are working in it :))-
[^]Re: Error ;-)
Posté par syntaxerror () le 11/05/2001 à 15:42. (lien). Évalué à 1.meuh non ;)
# rm -rf ../
rm: cannot remove `.' or `..'-
[^]Re: Error ;-)
-
-
-
Article à lire
Cet article a le mérite de présenter des outils Linux de sécurisation pas forcément connus mais intéressants. De là à faire cette présentation sur fond de lutte fratricide entre *BSD et Linux, fallait oser. Peut-être que cela tend à prouver qu'OpenBSD était une référence en matière de sécurité et que la comparaison était bonne.
J'attends en tous les cas l'article de la semaine prochaine Why Linux will never be as secure as OpenBSD pour voir ce qu'il va donner.
-
[^]Re: Article à lire
OpenBSD secure par défaut
Je crois que l'auteur de la news a pas trop compris la signification du 'Secure par défaut' de OpenBSD... Le fait est que OpenBSD est bien plus sécurisé après l'installation qu'une distribution de Linux moyenne.
Exemple : sur un campus où toutes les machines sont reliées au réseau et ont une ip fixe, tu n'as pas idée du nombre de boulets qui installent une Mandrake et qui laissent un nombre incalculable de ports ouverts, menaçant leur machine et tout le réseau par la même occasion. Quand tu n'y connais rien, tu ne choisis pas forcément le niveau 'Sécurité maximale' de Mandrake...
Donc
=> pour un utilisateur expérimenté, il y a moyen d'atteindre un niveau de sécurité comparable avec tous les OS (que ce soit avec Linux, OpenBSD ou FreeBSD)
=> pour un néophyte, OpenBSD est bien plus sécurisé par défaut.
Mais le problème est que les néophytes n'installent pas OpenBSD :o)
-
[^]Re: OpenBSD secure par défaut
Posté par Anonyme () le 11/05/2001 à 10:16. (lien). Évalué à 5.moi j'ai l'openbsd le plus secure du monde..tous les cables sont collés a la glue 3 (rj45, souris , clavier) au cas ou on ferait un hack externe av une gameboy (j'ai meme mis de la pate a modeler pr voir si qlq '1 y touchait)
.
apres j'ai mis un pti systeme a elastique ds le lecteur de d7, si tu mets une d7 ss connaitre le truc , tu prends la disquette ds ta grosse gueule!!
le lecteur de cd est camouflé sous le pc!!
j'ai inversé toutes les touches du clavier
qui est en "demrtoy"..
le pire, c si t'essayes de boire la guinness sous le bureau, tu es victime d'un puissant laxatif
qui me permettra de te suivre ds ta fuite!!
et de tte maniere la tv est branché en permanence sur loftstory ce qui permet une deconcentration max de tte les geeks frustrés du coin!!
see you soon
;)-
[^]Re: OpenBSD secure par défaut
-
[^]Re: OpenBSD secure par défaut
-
-
[^]Re: OpenBSD secure par défaut
Posté par Anonyme () le 11/05/2001 à 10:17. (lien). Évalué à 0.Pleures pas! Un jour viendra où vous serez reconnus à votre juste valeur et que ce genre de titre ne vous fera plus monter la tension en fléche.
Concernant ton campus où les admins laissent les utilisateurs installer leur distrib préférée, ça me laisse dubitatif...-
[^]Re: OpenBSD secure par défaut
-
-
[^]Re: OpenBSD secure par défaut
Posté par Anonyme () le 11/05/2001 à 10:18. (lien). Évalué à 0.En france, le neuneu install windows par defaut. Par contre cote securite heureusement qu'il y a le routeur, sinon, je te dit pas les degats.
Au fait, a l'install Mandrake te previent des serveur que tu installes donc tu peux tres bien les enlever apres, si tu n'en a pas besoin. Au moins tu sais ce qui sont installés.-
[^]Re: OpenBSD secure par défaut
Posté par Patrice Karatchentzeff (page perso, ) le 11/05/2001 à 10:58. (lien). Évalué à 1.En france, le neuneu install windows par defaut.
En France, et partout dans le monde, le neuneu n'installe rien du tout: il en est bien incapable.
PK-
[^]Re: OpenBSD secure par défaut
Posté par Anonyme () le 11/05/2001 à 17:03. (lien). Évalué à 0.Mais si, il y a bien sûr plusieurs "niveaux" de neuneu:
le pas neuneu: ma grand-mère qui touche pas un clavier hormis sa machine à tricoter.
le neuneu qui l'ignore et qui s'en fout: mon docteur qui croit qu'un pc s'allume et s'éteint comme une ampoule.
le neuneu qu'en a marre d'être pris pour un neuneu: celui qui sait pas vraiment se servir de zindozs.
le neuneu qui roule des mécaniques: celui qui croit savoir se servir de zindozs.
le neuneu humble: "je comprends à peu près zindozs, j'aimerais bien essayer Linux, parce que zindozs, ça macrosucks, hein, dis ?"
le neuneu orgueilleux: "j'ai installé debian, MOI. Et je l'ai faite tourner trois jours sans planter! Bon, j'ai dû redémarrer zindozs pour regarder Loftstory sur mon tuner tv..."
le neuneu trop rare: "mais c'est tout simple, linux. T'as un problème ? Tu veux que je t'aide ? Attends, voila la solution. Tout le monde peut comprendre ça, n'est-ce pas ?"-
[^]Re: OpenBSD secure par défaut
Posté par Anonyme () le 12/05/2001 à 09:31. (lien). Évalué à 0.Et bien sûr, il y a aussi plusieurs "niveaux" de linuxien :
le pas linuxien: 90% des gens sur Terre qui n'ont rien à faire de l'informatique
le linuxien qui l'ignore et qui s'en fout: un gars encore libre mentalement, en bonne santé psychique et qui a une petite amie.
le linuxien qui en marre d'être pris pour un linuxien: celui qui se rend compte qu'il passait pour un idiot quand il hurlait à longueur de journée : "Linux vaincra Microchiotte !!"
le linuxien qui roule des mécaniques : celui qui croit avoir le droit de traiter une partie de la population de sous-merde parce que l'informatique ne l'intéresse pas
le linuxien humble : hum, il existe ?
le linuxien orgueilleux : "Woarf, regardé moi se neuneu ... il bosse sur windaube. Héé tu reboote ta machine là ? té qu'un neuneu toute façon, tu comprendras pas, tu en es bien incapable."
le linuxien trop rare(*) : "Chacun est libre de faire ce qu'il souhaite. Si tu aimes Windows et tu veux l'utiliser, utilise le. Si un jour tu ne veux plus payer de licence, regarde du côté de Linux."
(*) et qui pense ne pas faire partie d'une élite intellectuelle et pseudo-morale, obsédée par l'idée qu'elle existe pour sauver le monde.
Signé : Un linuxien trop rare ...
-
-
-
-
[^]Re: OpenBSD secure par défaut
Posté par Alain Tésio (page perso, ) le 11/05/2001 à 11:32. (lien). Évalué à 1.Je pense que l'argument du "secure by default" n'est pas primordial, si la sécurité est un problème pour toi, il faut de toutes façons que tu connaisses le système et ce qui est installé, mais il faut le faire de toutes façons pour pouvoir maintenir et upgrader le système à plus long terme.
Bref tu perds un peu de temps au début pour corriger ce qui doit l'être (services dans inetd.conf, ne pas lancer bind sous root, ...),
soit tu sais comment ca marche et c'est rapide
soit tu sais pas et de toutes façons ca peut
pas faire de mal d'apprendre !
C'est vrai que je préfèrerais secure by default
mais bon c'est pas l'argument massue.
Mets tes boulets avec leur Mandrakes derrière
un firewall, si tu ne contrôle pas leur
configuration tu ne devrais pas laisser un
trou dans la sécurité de leurs machines impliquer
une menace pour le réseau complet.
Feebsd et autre c'est que pour debuter...
ces plateformes, proche d'unix, sont des vraies passoir a hacker.
L'objectif final c'est de connaitre BSD pour mieux comprendre Linux...
-
[^]Re: Feebsd et autre c'est que pour debuter...
Posté par Blackknight (Jabber id, page perso, ) le 11/05/2001 à 11:35. (lien). Évalué à 1.Très beau troll !!! Félicitations !
-
[^]Re: Feebsd et autre c'est que pour debuter...
Posté par Bureau Pierre () le 11/05/2001 à 11:39. (lien). Évalué à 1.Ben c'est sur que c'est plus facile de trouver des failles de securite quand on a les sources que quand on les a pas...
Mais bon c'est plus facile de les corriger aussi.
Et si y avait pas de legendes sur les hackers capables de faire plonger le reseau banquaire international... combien d'entre nous se serait mis a l'informatique??? le mythe du hero c'est vachement important. (ha non pardon faut aussi retirer Quake)
Appelons un chat, un chat
On peut résumer le propos de Kurt au point suivant :
- Linux, comme OpenBSD sont des systèmes de classe C, comme tous les Unix ;
- il existe des extensions sur Linux qui lui permettent d'atteindre la classe B, ce qu'on appelle en anglais non pas les «secure» operating systems mais les «trusted» operating systems.
Donc, effectivement, il est possible de rendre un système Linux plus «pointu» en terme d'authentification, droits des utilisateurs, etc.
D'un autre côté, s'il existe des problèmes sous-jacents (on peut par exemple penser au bug dans la gestion des capacités dans les noyaux Linux <= 2.2.18), la sécurité est toute relative, et c'est peut-être l'objet de la «revanche» dans son article de la semaine prochaine.
Que conclure de l'article ?
Que si vous avez des besoins en sécurité pour lesquels un système de classe C ne suffit pas, vous avez tout intérêt à préférer Linux à OpenBSD, car pour l'instant il n'existe pas de « chemin de migration» possible pour OpenBSD. Ceci pourrait changer si des projets comme TrustedBSD étaient menés à terme et portés sur OpenBSD, mais c'est loin d'être encore le cas.
Pas la peine de crier au troll pour cela...
-
[^]Re: Appelons un chat, un chat
Posté par Anonyme () le 11/05/2001 à 13:14. (lien). Évalué à 0.> - Linux, comme OpenBSD sont des systèmes de classe C, comme tous les Unix ;
C'est quoi la définition exacte d'un système de classe C/classe B, "trusted OS", "secure OS" ?
C'est quoi le projet TrustedBSD ?
Merci d'avance.-
[^]systeme de classes D, B, C, A
Posté par kadreg () le 11/05/2001 à 14:24. (lien). Évalué à 1.Ce sont des niveau de sécurité défini par l'orange book, du département américain de la défense.
http://www.totse.com/en/privacy/encryption/orange-b.html(...)
1.0 DIVISION D: MINIMAL PROTECTION
2.0 DIVISION C: DISCRETIONARY PROTECTION
2.1 Class (C1): Discretionary Security Protection
2.2 Class (C2): Controlled Access Protection
3.0 DIVISION B: MANDATORY PROTECTION
3.1 Class (B1): Labeled Security Protection
3.2 Class (B2): Structured Protection
3.3 Class (B3): Security Domains
4.0 DIVISION A: VERIFIED PROTECTION
4.1 Class (A1): Verified Design
4.2 Beyond Class (A1)-
[^]Re: systeme de classes D, B, C, A
-
-
[^]Re: Appelons un chat, un chat
Posté par miod () le 11/05/2001 à 16:17. (lien). Évalué à 1.TrustedBSD est un projet visant à développer, au dessus de FreeBSD, les éléments nécessaires afin de lui faire atteindre la classe B.
http://www.trustedbsd.org(...)-
[^]Re: Appelons un chat, un chat
-
-
-
[^]Re: Appelons un chat, un chat
Posté par Foxy (page perso, ) le 11/05/2001 à 14:24. (lien). Évalué à 1."- il existe des extensions sur Linux qui lui permettent d'atteindre la classe B, ce qu'on appelle en anglais non pas les «secure» operating systems mais les «trusted» operating systems. "
Tout à fait exact, c'est pour cela que la NSA développe ces extensions pour le kernel Linux. Linux leur plait au niveau ouverture des sources mais conformèment à leurs normes, ils préferent utiliser des OS de classe B.
Ils vont quand même pas déroger à l'Orange Book ou aux "Common criterias" auquels ils ont participé.-
[^]Re: Appelons un chat, un chat
-
[^]Re: Appelons un chat, un chat
Posté par miod () le 11/05/2001 à 16:21. (lien). Évalué à 1.Windows NT a été officiellement certifié C2 sur un certain nombre de machines (configurations matérielles) dont le point commun était de n'avoir ni lecteur de disquettes, ni carte réseau.
Si si, c'est pas une blague.-
[^]Re: Appelons un chat, un chat
Posté par Anonyme () le 11/05/2001 à 16:26. (lien). Évalué à 0.c'est ce que je voulais entendre pr dire q c ridicule!!
-
[^]Re: Appelons un chat, un chat
Posté par Anonyme () le 11/05/2001 à 16:40. (lien). Évalué à 0.Exactement, c'est ridicule et stupide.
Une certification concerne une machine, son os, son environnement matériel et réseau.
Le commentaire de Miod Vallat est:
- stupide, car il démontre qu'il ne comprend pas ce qu'est une certification
- ridicule, car il ne prouve que la nullité crasse de son auteur.
Je partage complétement ton avis: commentaire ridicule et stupide.-
[^]Re: Appelons un chat, un chat
Posté par Anonyme () le 11/05/2001 à 16:50. (lien). Évalué à 0.ah non c pas c que je voulais dire..
je voulais montré q les certifications etaient ridicules et finalement elles ne le sont pas ss dte.
j'aprecie mr miod valat qui essayes tjs d'etre tres xplicatifs sur plein de choses et n'est pas avare en details..
voila j'aprecie ce gars et je pense pas qu'il soit de mauvaise foi!
-
[^]Re: Appelons un chat, un chat
Posté par miod () le 12/05/2001 à 12:14. (lien). Évalué à 1.Une bonne url sur la question :
http://www.wired.com/news/news/technology/story/12121.html(...)
Morceaux choisis :
"the C2 rating only applies to a now-obsolete version of Windows NT, version 3.5, running on a machine that is unplugged from a network"
et l'arlesienne :
"A Wired News request to the NSA to determine the current status of Microsoft's C2 application for Windows NT 4.0 was denied at the request of Microsoft, according to NSA public affairs. But Murphy said that the company expects to have a networked version of Windows NT 4.0 approved as C2 by October."
-
-
-
-
[^]Re: Appelons un chat, un chat
Posté par Anonyme () le 11/05/2001 à 16:28. (lien). Évalué à 0.C2.
Attention, la classe C2 concerne moins la sécurité que la tracabilité, et la capacité de rendre des comptes en cas de menaces. D'où l'accent porté sur les journaux, sur les accès discrétionnaires et mandatés...
C'est de plus un niveau de sécurité très bas, minimal. Le but est d'ouvrir son parapluie en cas de problème: on a fait pris des démarches raisonnables.
Un système n'atteignant pas la classe C2 n'est pas ouvert à tout les vents, c'est plutôt qu'il ne permet pas autant de justifier et d'expliquer.
Enfin, attention à la confusion courante des débutants entre (to) secure (verrouiller) et security (sécurité). De plus, "sécuriser" est un barbarisme, on préfera "protéger, verrouiller, rendre sain", suivant le cas. Le franglais n'est souvent qu'un cache sexe devant le vide des propos et du raisonnement!
-
-
Cette page a été générée par Templeet en 0.1353s (dont 0.0111 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Cette discussion est archivée, il n'est plus possible de laisser des commentaires.
Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.