[+] Re: Debian en progression pour les serveurs web

• [^]Re: Debian en progression pour les serveurs web

  Posté par Code34 (page perso, ) le 06/02/2004 à 18:53. (lien). Évalué à 14.

  Non, le problême pour débian, c'est de savoir s'ils vont mettre le rootkit dans la section free ou non free.

  • [+] [^]Re: Debian en progression pour les serveurs web

    Posté par LastMan / Lastrainson (page perso, ) le 06/02/2004 à 20:26. (lien). Évalué à -2.

    rootkit ?? Dekoiparletu mon ami ?

    • [^]Re: Debian en progression pour les serveurs web

      Posté par Dalton joe (page perso, ) le 07/02/2004 à 00:00. (lien). Évalué à 0.

      Parcequ'il y a des rootkit payant? chez MS je dit pas il font aussi mais chez pinguoinland?

Re: Debian en progression pour les serveurs web

[+] Re: Debian en progression pour les serveurs web

Ah les chiffres...

• [^]Re: Ah les chiffres...

  Posté par Karles Nine (page perso, ) le 06/02/2004 à 21:41. (lien). Évalué à 0.

  la distribution Debian serait celle qui a eut la plus grosse progression du nombre d'installation (+24,6%) en 6 mois pour les serveurs web.
  C'est toujours les distributions RedHat qui tiennent la tête en nombre de serveur total,
  
  Y'a pas de manipulation de l'information, tout est dans la new.
  Bon ok on peux enlever "nombre d'installation".
  
  Reste que la plus forte progression ...c'est debian ;-)
  
  
  Enjoy
  Karles
  
  Ps: Debian; When the code matters more than commercials.

  • [^]Re: Ah les chiffres...

    Posté par Philippe SOHM (page perso, ) le 07/02/2004 à 09:19. (lien). Évalué à 7.

    statistiquement, c'est pas top de faire un pourcentage sur un autre pourcentage sur un sous ensemble (le pourcentage a augmenté de x% sur le nombre d'installations)
    ca ne veut pas dire grand chose.
    
    il vaut mieux préférer des formations du type "xxx a augmenté de x points" ou partir en valeur absolue.

    • [^]Re: Ah les chiffres...

      Posté par indigo (page perso, ) le 07/02/2004 à 11:51. (lien). Évalué à 1.

      Tout ce que je lis personnellement c'est que debian a la plus forte progression des serveurs qui n'ont pas passé leur directive ServerToken en Prod.

      • [^]Re: Ah les chiffres...

        Posté par nooky59 () le 07/02/2004 à 16:45. (lien). Évalué à 9.

        Oui, mais sans vouloir faire une réponse sous forme de troll (quoique ?), il est plus facile d'avoir une forte progression sur un parc peu répendu plutôt que sur quelque chose d'extrêmement répendu :
        
        Exemple :
        
        Si j'ai une seule Debian en prod dans le monde (bon c'est pas un troll c'est pour la simplicité et montrer que les chiffres ne veulent rien dire ;o)), si quelqu'un décide dans mettre une 2ème en prod, paf la progression est de 100%.
        
        Maintenant imaginons que une 101ème RedHat (pour citer une distrib fortement répandue mais bien sûr à l'échelle de notre exemple), pour une RedHat en plus, la progression est de 1%, une paille par rapport à nos 100% de croissance de Debian.
        
        Alors effectivement Debian à la plus grosse progression mais on se rend compte que la progression ne se fait que sur une unité dans les 2 cas, et que le parc RedHat est 100 fois plus important que celui de Debian.
        
        Donc, voilà, c'était pas un troll mais une leçon de chiffres ;o) Les chiffres tels quels ne veulent rien dire.
        
        Sur ce, à chacun sa distrib et les distribs majeures sont toutes une bonne solution en terme de serveur web.

en terme de charge?

• [^]Re: en terme de charge?

  Posté par Da Scritch (page perso, ) le 07/02/2004 à 16:13. (lien). Évalué à 1.

  Regarde Google : linux, apache
  sans commentaires.

[+] Re: Debian en progression pour les serveurs web

• [+] [^]Re: Debian en progression pour les serveurs web

  Posté par cykl (Jabber id, ) le 06/02/2004 à 23:01. (lien). Évalué à -1.

  Ba ca prouve simplement que les admins debian sont plus incompetants que les autres, par ce qu'ils savent pas mettre "ServerTokens Prod" dans leur httpd.conf.
  
  Ou alors qu'ils sont plus fier d'eux que les autres, mais ca c'est pas une nouvelle :-)
  
  Bon je sors avant la volée de moins.

  • [^]Re: Debian en progression pour les serveurs web

    Posté par gnujsa () le 06/02/2004 à 23:29. (lien). Évalué à 6.

    Es-ce que l'on doit comprendre de ton commentaire, que les admins des autres distrib' sont obligés de cacher les bannières de leurs serveurs, car les patches de sécu tardent plus à sortir ?
    
    ;-)

    • [^]Re: Debian en progression pour les serveurs web

      Posté par cykl (Jabber id, ) le 07/02/2004 à 00:27. (lien). Évalué à 9.

      Excuse moi de te dire ca mais ta remarque fait un peu pitié.
      Debian est systematiquement a la bourre sur la publication des advisos (pour le patchage je sais pas j'ai pas (plus) de Debian). Debian arrive fréquement avec 1 semaine de retard et j'ai deja eu des ovnis du genre un mois après.
      
      Aller on va le faire sur le "dernier" problème qui a fait un peu de bruit en date, j'ai nommé GAIM :
      
      26 01 : premier adviso
      26 01 : RHSA
      27 01 : MDKSA
      27 01 : slackware security
      27 01 : GLSA
      29 01 : SuSE security announcement
      05 02 : DSA ! (dans leur moyenne de temps de réponse)
      [note que l'adviso n'est toujours pas sur bugtraq, d'ailleurs on s'en fou un peu, mais ma mailbox me dit
      Date: Thu, 5 Feb 2004 15:06:18 +0100 (CET)
      ]
      
      Ca ne fait que DIX jours de retard ca !
      
      Gaim n'est pas un incident de parcours et généralement l'ordre est a peu près toujours le même sur bugtraq. Je pense que ta remarque valait le coup pour souligner la promptitude des réponses de Debian :-)
      
      Faudrait peut-etre un moins borné sur sa distrib et allez voir ailleur de temps en temps. Ca fait du bien des fois et ca permet de relativiser la genialissimité des choses que l'on utilise. De plus c'est pas security.debian.org qui était encore dans les choux la semaine passée ?
      
      
      
      Bon tu veux aussi troller sur les délais de réponse au rootkitage ou on peut allez se coucher ?

      • [^]Re: Debian en progression pour les serveurs web

        Posté par gnujsa () le 07/02/2004 à 01:01. (lien). Évalué à 2.

        Hum...
        
        Tu fais un gros commentaire sur *UNE* faille, dans laquelle debian a eu du retard.
        J'avoue que la sécu, ce n'est pas ma spécialité, et je n'ai jamais fais de "bench" des différentes distros sur ce point (pour ça qu'il y avait un smiley dans mon commentaire)
        
        Mais montrer un seul exemple et de dire "c'est toujours comme ça chez Debian", ça ma parait un peu douteux...
        
        Si ça ce trouve tu a raison, je n'en sais rien, mais pour être un minimum objectif et crédible, il faudrait étendre la comparaison sur une période un poil plus grande.

        • [^]DSA publiés après mises à jour par apt

          Posté par free2.org (page perso, ) le 07/02/2004 à 01:44. (lien). Évalué à 7.

          de + les failles ne sont annoncées en DSA (debian security advisory) que quand les paquets de mise à jour ont été testés et sont disponibles en téléchargement sur security.debian.org pour toutes les architectures (y compris les archis supportées seulement par Debian)
          
          dans la pratique, les mises à jour pour des archis comme x86 sont souvent téléchargées par apt sur security.debian.org bien avant que le DSA ne soit publié !
          
          http://www.debian.org/security/faq.en.html#handling(...)
          If our system is vulnerable, we work on a fix for the problem. The package maintainer is contacted as well, if he didn't contact the security team already. Finally, the fix is tested and new packages are prepared, which are then compiled on all stable architectures and uploaded afterwards. After all of that is done, an advisory is published.

        • [^]Re: Debian en progression pour les serveurs web

          Posté par cykl (Jabber id, ) le 07/02/2004 à 02:29. (lien). Évalué à 5.

          Bin si tu lis bugtraq tout les jours je peux t'assurer que c'est comme ca dans 90% des cas.
          
          De plus, amha, l'excuse des 70 plateformes ne tiens pas ici. Si c'est problematique alors on creer des listes de sécu x86/ppc/amd64/alpha etc. Et on envoit sur la liste des que le paquet est près. Ca coute vraiment pas cher a mettre en oeuvre. C'est avoir l'information qui est important, a la limite il va mieux couper les services pendant quelques heures le temps que le patch soit dispo que de devoir couper pendant une semaine pour cause de rootkitage.
          
          J'ai pris l'exemple de Gaim par ce que c'etait le dernier dont tout le monde a entendu parler et me semblait etre un choix impartial (j'aurais pu choisir de retrouver un adviso qui est arrivé plus d'un mois après en cherchant un petit peu !).
          
          La c'est Gaim c'est pas très grave. 10 jours pour une faille OpenSSH tu te rends compte ! ca laisse le temps a ton reseau se faire scanner par les scripts kiddies quelques millions de fois :-)
          Le vrai compte a rebour commence lorsque l'exploit devient publique si l'upgrade arrive apres alors ca devient tendu du slip. Je connais plein de gens pas assez fou pour mettre un apt upgrade dans le crontab et qui suivent pas la sécu plus que ca (ie au mieux c'est abonné a la liste de secu de debian et on passe les advisos au procmail pour ne garder que les pkg installés...). Mais au moins eux ils patchent :-)
          
          Mes statistiques de têtes dans l'ordre de bugtraquage c'est RH/Gentoo/Slackware, Mdk entre 12h et 1 jours après. FreeBSD, Debian entre 2 et 4 jours mais ca, ca n'a rien de scientifique :-)

          • [^]Re: Debian en progression pour les serveurs web

            Posté par Yannick Roehlly () le 07/02/2004 à 06:55. (lien). Évalué à 4.

            > La c'est Gaim c'est pas très grave. 10 jours pour une faille OpenSSH tu te
            > rends compte ! ca laisse le temps a ton reseau se faire scanner par les
            > scripts kiddies quelques millions de fois :-)
            
            Regardons CAN-2003-0693 :
            
            REDHAT:RHSA-2003:279 : 16 septembre
            Debian DSA 382 : 16 septembre
            Mandrake MDKSA-2003:090 : 16 septembre
            Debian DSA 382 : 17 septembre
            Mandrake MDKSA-2003:090-1 : 17 septembre
            
            Donc ne t'inquiètes pas, pour OpenSSH c'est plus rapide.
            
            Yannick

            • [^]Re: Debian en progression pour les serveurs web

              Posté par cykl (Jabber id, ) le 07/02/2004 à 10:04. (lien). Évalué à 0.

              Preuve que je n'ai pas choisi les advisos qui m'arrangaient :-)))

      • [^]Re: Debian en progression pour les serveurs web

        Posté par gnujsa () le 07/02/2004 à 01:27. (lien). Évalué à 5.

        Ah oui, aussi:
        "Faudrait peut-etre un moins borné sur sa distrib et allez voir ailleur de temps en temps. Ca fait du bien des fois et ca permet de relativiser la genialissimité des choses que l'on utilise."
        
        Mais je n'utilise pas Debian parce qu'elle est plus sécur, plus stable ou même plus rapide (http://web.linuxfr.org/2003/08/13/13629.html(...) ).
        Mais parce qu'elle est 100% libre. Et qu'elle ne dépend pas d'une entreprise, et n'est rattaché à aucun pays, contrairement à RedHat, Mandrake, Gentoo, Suse, etc...
        
        ça la rend encore "plus libre" à mes yeux ;-) On peut trouver ça idiot, mais pour moi, ça compte.
        
        P.S.
        Cerise sur le gateau et troll mise à part, Debian est une distribution EXTRAORDINAIREMENT bien foutue

      • [^]Re: Debian en progression pour les serveurs web

        Posté par Olivier Macchioni () le 07/02/2004 à 01:36. (lien). Évalué à 4.

        Y a pas beaucoup de mes serveurs qui ont Gaim...
        
        Je sors ? :)

      • [^]Re: Debian en progression pour les serveurs web

        Posté par Sébastien Bacher () le 07/02/2004 à 14:03. (lien). Évalué à 0.

        > Ca ne fait que DIX jours de retard ca !
        
        Date: Tue, 27 Jan 2004 16:06:39 +0000
        
        gaim (1:0.75-2) unstable; urgency=medium
        .
        * Security update to fix 12 possible buffer overflow attacks. Details are
        at http://security.e-matters.de/advisories/012004.html.(...)
        .
        * debian/patches/buffer-overflows.patch:
        - patch from RedHat's RHSA-2004:032-04 advisory to fix CAN-2004-0006/7/8,
        thanks to RedHat for this patch, Jacques A. Vidrine for the initial
        patch, and Stefan Esser for finding the original problems
        (closes: #229843)
        
        ----------
        
        Je ne sais pour les annonces, mais le paquet était corrigé dans la journée ... donc la faille réglée aussi ...alors bon, pour tes remarques sur la promptitude c'est un peu mal placé je trouve.
        
        mes 2c

        • [^]Re: Debian en progression pour les serveurs web

          Posté par Stone Tramo () le 07/02/2004 à 14:40. (lien). Évalué à 2.

          Faut quand meme etre en unstable pour avoir ce paquet immédiatement

          • [^]Re: Debian en progression pour les serveurs web

            Posté par Sébastien Bacher () le 07/02/2004 à 21:41. (lien). Évalué à 1.

            Les updates de sécurité de la stable sont rapides également, et pas forcement concernées par les mêmes problèmes que les derniers paquets.

        • [^]Re: Debian en progression pour les serveurs web

          Posté par cykl (Jabber id, ) le 07/02/2004 à 14:55. (lien). Évalué à 2.

          Super Gnome 7.93.2 est sorti hier mais comme personne ne l'annoncera avant 10 ans personne ne l'aura testé !
          
          Moi je te dis quand ca arrive dans ma mailbox, ce qui correspond à la date a partir de laquelle tu es supposé être au courant et donc pouvoir chercher/appliquer un remède au problème. Si le patch a attendu tout seul sur les mirroirs pendant 10 jours il n'a pas été très utile.
          
          Bon sur ce j'arrete la :-)

          • [^]Re: Debian en progression pour les serveurs web

            Posté par Sébastien Bacher () le 07/02/2004 à 21:42. (lien). Évalué à 0.

            Tu tournes en instable et t'attends les annonces de sécurités pour mettre à jour ? Faudra que tu m'expliques pourquoi tu tournes en unstable alors ...

            • [^]Re: Debian en progression pour les serveurs web

              Posté par cykl (Jabber id, ) le 07/02/2004 à 23:17. (lien). Évalué à 1.

              Je tourne en unstable ? Tu as lu le premier message ?
              J'utilise plus Debian depuis un an et demi....

              • [+] [^]Re: Debian en progression pour les serveurs web

                Posté par Sébastien Bacher () le 08/02/2004 à 10:54. (lien). Évalué à -2.

                > Moi je te dis quand ca arrive dans ma mailbox, ce qui correspond à la date a partir de laquelle tu es supposé être au courant et donc pouvoir chercher/appliquer un remède au problème. Si le patch a attendu tout seul sur les mirroirs pendant 10 jours il n'a pas été très utile.
                
                
                T'es en unstable, et t'updates tous les combien de temps alors ? Parce que si t'updates tous les jours tu peux pas dire que le patch a attendu 10j sur les mirroirs ... il était dans la mise à jour du paquet le lendemain et donc le problème était réglé sur ta machine (peut être sans que tu le saches, mais il était réglé). Donc dire qu'il n'a pas été très utile est complétement faux ...

                • [^]Re: Debian en progression pour les serveurs web

                  Posté par cykl (Jabber id, ) le 08/02/2004 à 13:03. (lien). Évalué à 0.

                  putain tu sais lire ? JE N'UTILISE PLUS DEBIAN. Ca fait juste trois fois que je l'écris mais bon...

                  • [^]Re: Debian en progression pour les serveurs web

                    Posté par Sébastien Bacher () le 08/02/2004 à 14:34. (lien). Évalué à 0.

                    Bon visiblement l'utilisation du "tu" dans une phrase générale (ie: en se plaçant dans la situation de l'utilisateur) ca passe pas avec toi, donc on va la refaire.
                    
                    Tu penses vraiment que le gars en unstable il met à jour seulement quand il recoit une alerte de sécurité ? Tu m'expliqueras l'intérêt qu'il a à tourner en unstable alors ....

        • [^]Re: Debian en progression pour les serveurs web

          Posté par PasChauve PasOunet () le 08/02/2004 à 17:12. (lien). Évalué à 4.

          en _stable_ il a mis 10 jours http://www.debian.org/security/2004/dsa-434(...) , les version de dev on s en fout , c est a tes risques et perils.

          • [^]Re: Debian en progression pour les serveurs web

            Posté par Vincent Danjean () le 09/02/2004 à 08:28. (lien). Évalué à 2.

            D'après le serveur ftp (http://security.debian.org/pool/updates/main/g/gaim/(...)), le packet a été installé le 28 janvier pour l'archi i386 (5 février pour mipsel).
            
            A mon avis, ce qu'on peut reprocher à Debian, c'est de ne pas publier de DSA avant que les packets ne soient disponibles pour toutes les architectures. Mais que faire alors : un DSA pour la découverte du problème, puis un DSA pour chacun des nouveaux packets par architecture qui essayent de corriger le problème, puis un DSA pour le packet bien testé par architecture qui corrige le problème, puis un DSA quand tout est prêt (le seul actuel) ?
            Pour ma part, bof, il suffit vérifier chaque jour qu'aucune mise à jour de sécurité n'est disponible. Et ça, ça se fait très bien avec une crontab pour la distrib stable.
            Associé à apt-listchanges, ça permet de choisir si on veut la mise à jour où si on attend la version certifiée/testée.

            • [^]Re: Debian en progression pour les serveurs web

              Posté par lamar () le 09/02/2004 à 12:07. (lien). Évalué à 1.

              Pour chaque porblème décrit dans le DSA il y a :
              
              "These problems only affect the version in the unstable distribution"
              
              et pour le porblème qui affecte la version de la stable et qui concerne Yahoo :
              
              "However, the connection to Yahoo doesn't work in the version in Debian stable."
              
              Peut etre que je me trompe mais j'ai l'impression que ces failles n'étaient pas urgentes pour la woody.

  • [^]Re: Debian en progression pour les serveurs web

    Posté par Annah C. Hue (page perso, ) le 09/02/2004 à 08:15. (lien). Évalué à 1.

    Ba ca prouve simplement que les admins debian sont plus incompetants que les autres, par ce qu'ils savent pas mettre "ServerTokens Prod" dans leur httpd.conf.
    
    Mais bien sûr ! Comment n'y avais-je pas pensé ? Cacher le nom du serveur va permettre d'éviter que les attaques automatisées viennent tout péter ! En effet ces outils de script-kiddies vérifient bien les bannières avant de lancer une attaque, car ce sont des outils très polis.
    
    Et si jamais c'est quelqu'un qui veut particulièrement du mal, sûr que ça va l'empêcher de tester différentes attaques, comme il a pas la version il saura pas quel défaillance exploiter.
    
    Security through obscurity...

    • [^]Re: Debian en progression pour les serveurs web

      Posté par indigo (page perso, ) le 09/02/2004 à 09:34. (lien). Évalué à 2.

      Il s'agit simplement de limiter la divulgation d'information qui permettrait à un utilisateur malveillant de bénificier d'informations lui rendant plus facile la tâche.
      
      De la vrai "security through obscurity" serait de changer complètement la bannière de façon à renvoyer une version IIS au lieu d'apache par exemple.
      
      Le fait de ne pas donner la distribution ni le numéro de version du serveur apache, permet par exemple dans le cas d'openfuck (exploit permettant de profiter d'une faille openSSL) d'augmenter la difficulté pour un débile mental (script kiddy en anglais) car l'exploit demande en parametre le numéro de version d'apache et le nom de la distrib sur laquelle il doit se lancer.
      
      Cela n'empechera pas une attaque bien évidement mais en ne livrant pas ces informations, l'attaquant devra essayer plusieurs combinaisons en aveugle ce qui augmentera le bruit généré et donc les chances de remarquer ce traffic dans les logs.
      
      Tout ceci n'est qu'un exemple bien entendu et ne peut être interprété comme ma vision de la sécurité informatique.
      
      La sécurité c'est un peu comme les oignons, ca pu^H^H possède différentes couches :p

  • [^]Re: Debian en progression pour les serveurs web

    Posté par gnujsa () le 13/02/2004 à 01:47. (lien). Évalué à 1.

    Je reviens la dessus, mais j'ai oublié un truc:
    
    http://uptime.netcraft.com/up/graph?site=linuxfr.org(...)
    
    «The site linuxfr.org is running Apache/1.3.26 (Unix) Debian GNU/Linux mod_gzip/1.3.19.1a PHP/4.1.2 mod_ssl/2.8.9 OpenSSL/0.9.6g on Linux. »
    
    
    Vraiment ces admins Debian...
    
    ;-)

[+] Re: Debian en progression pour les serveurs web