[ La principale raison de ce développement était d'améliorer la sécurité. Il semblerait que le niveau de sécurité d'une Debian stable est désormais comparable à OpenBSD et que le non-support du format ELF rend le port difficile. ]
Qui plus est, les logiciels de base du système n'ont pas prouvé qu'ils étaient plus sûrs que ceux d'un système GNU/Linux classique.
En revanche, les ports NetBSD et FreeBSD semblent en assez bonne voie. En effet, la glibc a été portée sur FreeBSD, ce qui permettra d'y porter l'ensemble des outils GNU. Le port NetBSD est bien entendu très prometteur pour obtenir une distribution de Debian sur certaines architectures non supportées par Linux.
Note du modérateur : la partie entre crochets a été réécrite (voir commentaires)
Aller plus loin
- L'annonce (11 clics)
- Statut de Debian/FreeBSD (8 clics)
# Sécurité...
Posté par Jar Jar Binks (site web personnel) . Évalué à 1.
La raison pour laquelle ce port est arrêté n'est pas que « le niveau de sécurité d'une Debian stable est désormais comparable à OpenBSD », mais que le noyau OpenBSD est une usine à trous de sécurité.
L'addendum est un peu plus éloquent :
When i read this paragraph right after the first i laught loud.
Fact is i am not aware of any races in the linux kernel. My point
was that there was not so much to win securitywise with this port.
À méditer avant d'installer OpenBSD sur un serveur critique...
[^] # Re: Sécurité...
Posté par Benoît Sibaud (site web personnel) . Évalué à 1.
« La principale raison de ce développement était d'améliorer la sécurité, et il semblerait qu'en plus d'être *plein de* race conditions et donc d'être une *passoire* en local, le noyau d'OpenBSD soit *complètement dépassé*, en particulier par le non-support du format ELF, ce qui rend le port très difficile. » (mise en valeur par moi)
par :
« La principale raison de ce développement était d'améliorer la sécurité. Il semblerait que le niveau de sécurité d'une debian stable est désormais comparable à OpenBSD et que le no-support du format ELF rend le port difficile. »
plus proche de
« There are several indications that openbsd's security is more or
less up to the level what can be achived with todays debian
gnu/linux.
The kernel code seems to have severe race conditions and the
userspace seems to be bitten by a compareable number of security
incidents as e.g. a stabel debian with a correspondig software
base. »
[^] # Re: Sécurité...
Posté par Jar Jar Binks (site web personnel) . Évalué à 1.
Oui, j'ai bien compris, et il est clair que c'est un sujet à troll.
Il n'empêche que si tu lis l'addendum d'Andreas, tu comprends qu'il s'est lui aussi volontairement modéré.
Pour finir, ce petit log IRC :
<X> Y: i think the point would be to get openbsd people to use debian :)
<Y> X: yes. but theo is working on that allready full force.
<Y> X: much better then you ever could
[^] # Re: Sécurité...
Posté par Benoît Sibaud (site web personnel) . Évalué à 1.
<mode>Théo, si tu nous lis, c'est pour de rire, enfin presque...</mode>
[^] # Re: Sécurité...
Posté par Jar Jar Binks (site web personnel) . Évalué à 1.
[^] # Re: Sécurité...
Posté par Benjamin François (site web personnel) . Évalué à 1.
# Re: Debian/OpenBSD s'arrête, les autres ports BSD continuent
Posté par phneutre . Évalué à 1.
pas mal, vraiment.
# Ben çà alors !
Posté par matiasf . Évalué à 1.
Je croyais qu'OpenBSD c'était pour les grosses élites paranoïaques.
</troll>
# Re: Debian/OpenBSD s'arrête, les autres ports BSD continuent
Posté par ouah (site web personnel) . Évalué à 1.
Bon soit il s'agit d'un troll, soit de la mauvaise foi crasse d'un debianiste ou c'est de l'incompétence pure.
De qui se moque-t'on??
[^] # Re: Debian/OpenBSD s'arrête, les autres ports BSD continuent
Posté par Jar Jar Binks (site web personnel) . Évalué à 1.
1) Le noyau OpenBSD comporte des races conditions.
2) Les logiciels de base et la libc d'OpenBSD ne sont pas plus sécurisés que les outils GNU.
3) OpenBSD ne supporte pas le format ELF.
Tout ça, ce sont des arguments fondés. Donc si tu veux prouver que c'est de la mauvaise foi crasse ou de l'incompétence pure, il va falloir y répondre plus sérieusement.
[^] # Re: Debian/OpenBSD s'arrête, les autres ports BSD continuent
Posté par Misc (site web personnel) . Évalué à 1.
Enfin, je veut de dire, des autres, car j'en ai trouvé une pour OpenBSD 3.1, une dans le 3.0, et 2 pour le 2.9 sur la page d' opensd.org ( http://www.openbsd.org/security.html(...) , section advisories )
Effectivement, c'est beaucoup 4 race conditions en 1 an et demi...
Je sais pas combien il y en a eu pour le noyau linux durant cette période, et j'ai pas le temps de faire les recherches pour ca.
Mais, a vu de nez, surement plus que 4....
Secundo, si les logiciels de bases ne sont pas plus sécurisés que les logiciels gnu, pourquoi a t'on trouvé une faille dans GNU tar et pas dans le tar d'OpenBSD ?
http://online.securityfocus.com/archive/1/196445(...)
Tertio, OpenBSD ne supporte aps le format Elf et alors ?
C'est si compliqué de rajouter une option a cc pour compiler en a.out ?
Peut etre meme que l'option par defaut du compilo d'openbsd ?
Peut etre meme que le ./configure le detecte ?
Je ne connait pas les subtiles differences entre les deux, mais, sauf erreur de ma part, OpenBsd peut lancer les binaires Linux ( et autres ), des binaires au format.... ELF.
Et il supporte les bibliothéques au format .so , qui est basés sur ELF si je ne m'abuse.
Et dire que le format a.out est dépassé, je te ferais remarqué que FreeBSD est passé au format elf uniquement car l'équipe de gcc a arreté de supporté a.out....
http://www.freebsd.org/doc/en_US.ISO8859-1/books/faq/misc.html#AOUT(...)
D'aprés leur FAQ, ils n'avait pas de probléme au point de devoir changer, contrairement a Linux.
http://people.freebsd.org/~nik/advocacy/myths.html#aout(...)
Ca c'est des arguments fondés.
C'est pas des affirmations gratuites non étayés....
[^] # Re: Debian/OpenBSD s'arrête, les autres ports BSD continuent
Posté par Anonyme . Évalué à 1.
Concernant tar, en effet, une faille à été trouvée dans GNU tar. Ca prouve quoi ? Qu'il est possible qu'il y'ait des failles dans un logiciel comme tar ? Oui, c'est possible. Ceci étant dit, avec Debian, on peut avoir le correctif sans effort avec un simple apt-get update.
La sécurité, n'est-ce pas finalement la mise-à-jour... ?
Concernant les liens que tu donnes, en termes d'arguments étayés, ils sont un peu maigres.
Exemple
« FreeBSD: Until recently (September 1998) FreeBSD used the a.out format by default. There were no pressing reasons to switch earlier. In particular, FreeBSD did not (and does not) have the problems building shared libraries that spurred the Linux conversion from a.out to ELF. As of FreeBSD version 3.0, FreeBSD uses the ELF executable format. »
Je ne vois pas ici d'argument. C'est facile et de gratuit de dire « ouah cette technologie est sans problèmes, nous n'en avons pas »... (bien que cela puisse etre vrai, ce que je ne nie pas).
Et finalement, septembre 1998, on ne peut pas dire que ça reste récent... (noyau linux combien en 1998 ? 2.0.36 ?)
[^] # Re: Debian/OpenBSD s'arrête, les autres ports BSD continuent
Posté par Jar Jar Binks (site web personnel) . Évalué à 1.
Oui, c'est beaucoup.
http://www.fr.debian.org/security/2001/dsa-047(...)
http://www.fr.debian.org/security/2000/20000612(...)
Ça fait 2 vulnérabilités locales en 5 ans pour le noyau Linux.
Et ça, c'est sans compter ce qui n'a pas été découvert. La structure bien compartimentée du noyau Linux et la paranoïa des développeurs en font un modèle en termes de sécurité. Aucune vulnérabilité locale majeure n'a été découverte sur les noyaux 2.4, ce qui est assez éloquent au vu de la quantité de code impliquée.
http://online.securityfocus.com/archive/1/19644(...)
HA, HA, HA.
Pardon.
Tertio, OpenBSD ne supporte aps le format Elf et alors ?
Si tu n'es pas capable de comprendre les intérêts, particulièrement en termes de sécurité, d'avoir une gestion convenable des bibliothèques partagées, je pense que tu devrais arrêter de débattre de sécurité.
[^] # Re: Debian/OpenBSD s'arrête, les autres ports BSD continuent
Posté par Misc (site web personnel) . Évalué à 1.
Si il n'y avait que 2 races conditions dans tout le noyau Linux en 5 ans, je dit bravo.
Il a jamais du avoir de crash sur les machines SMP....
Regarde le premier lien, il y a marqué "multiple security problems".
C'est sur, si tu compte en terme de mise à jour, alors, oui, il y a eu deux mises à jours dans la debian ( qui , c'est connu, a utilisée tout les noyaux Linux sortis depuis 5 ans ).
Si tu compte en termes de vulnérabilités, je pense que 2 "write into kernel memory" et un "give a local user extra privileges" , ca fait 3.
Plus un, si on compte l'autre advisorie, ben voila, le compte est bon.
3 + 1 = 4.
J'ai pas de changelog sous la main, mais, en guise d'exercice, je te laisse regarder le nombre d'occurence du mot 'Race' dans les changelog du noyau depuis 2 ans.
J'ai compté 7 dans le changelog du 2.4.19.
Bien sur, ca ne veut pas dire que c'est exploitable, loin de la.
Mais bon, considérer que une personne , en regardant le noyau, fasse mieux que 5 ans d'audit continue , par toute une equipe, c'est un peu utopique...
Et ca ne change rien au fait que personne ( meme pas Andreas Schuldei ) n'a montré la liste exacte de ses si nombreuses races conditions dans le noyau OpenBSD.
Enfin, hier, en regardant sur les archives, il n'a rien montré.
Peut etre qu'elles sont si nombreuses qu'il n'a pas assez de bande passante pour nous en donner une liste ?
HA, HA, HA.
Pardon.
Y a pas de quoi, je comprends que ce soit dur de continuer a dire les utilitaires GNU sont tous completement securisés, alors que je sort le contraire.
Mais, je tiens a préciser que je pense que cette faille est ridicule, et que ca change rien au fait que Gnu Tar a plus de fonctionnalités que celui d'openbsd.
Enfin, c'est dur de de rebondir face un argument aussi construit et étayé...
Si tu n'es pas capable de comprendre les intérêts, particulièrement en termes de sécurité, d'avoir une gestion convenable des bibliothèques partagées, je pense que tu devrais arrêter de débattre de sécurité.
Personnellement, je pense que tu devrait arreter de debattre tout court tant que tu ne pensera pas a lire ce que l'autre t'a écrit.
OpenBSD supporte les bibliothéques, au format ELF.
Récupere la libvorbis, et regarde le fichier .so.
De plus, si tu estime que la gestion des bibliothéques a.out sous OpenBSD est nulle en matiére de sécurité, va leur expliquer.
Je suis sur qu'ils ont completement oubliés ce point si élementaire.
Faut dire qu'ils se concentrent surtout sur le multimédia....
[^] # Re: Debian/OpenBSD s'arrête, les autres ports BSD continuent
Posté par Jar Jar Binks (site web personnel) . Évalué à 1.
Mais bien sûr, le noyau d'OpenBSD est le seul à être audité en continu...
Le fait est qu'on y a trouvé à peu près autant de failles que dans le noyau Linux. On doit donc se passer de tout ce qu'il apporte, pour un gain en sécurité nul.
Y a pas de quoi, je comprends que ce soit dur de continuer a dire les utilitaires GNU sont tous completement securisés, alors que je sort le contraire.
L'exemple que tu as pris est complètement ridicule. Cela dit, GNU n'a jamais prétendu comme certains que ses outils sont parfaitement sûrs. Ils sont raisonnablement sécurisés grâce à l'tilisation de règles de programmation strictes, mais surtout ils sont très rapidement corrigés en cas de problèmes.
[^] # Re: Debian/OpenBSD s'arrête, les autres ports BSD continuent
Posté par Misc (site web personnel) . Évalué à 1.
J'ai jamais dit ca.
Mais bon c 'est pas grave, c'est la maniére habituel de discrediter quelqu'un, non ?
Cela dit, GNU n'a jamais prétendu comme certains que ses outils sont parfaitement sûrs.
En effet, c'est toi qui l'a dit :
Les logiciels de base et la libc d'OpenBSD ne sont pas plus sécurisés que les outils GNU.
ce qui dit autrement, les logiciels d'openbsd sont aussi securisés, ou moins sécurisés que ceux de gnu.
, ou encore, les outils GNU sont aussi securisés ou plus que ceux d'OPenBSD.
En equation :
soit S_o la securite des outils openbsd.
Soit S_g celle des outils GNU.
tu dit :
! ( S_o > S_g )
<=> ( S_o <= S_g )
<=> ( S_g >= S_o )
Si on part du principe que la communauté de la sécurité reconnait openbsd comme etant un des systems les plus secure du monde ( car c'est aps le plus sur, il y en a qui ont un niveau superieur ( Trusted XENIX, niveau B2, le plus haut actuellement ) ), alors, tu affirme que GNU a les outils parmi les plus secure.
Je ne nie pas que les outils GNU sont bons., comme je l'ai dit, et effectivement, il n'y pas de trous de securités majeurs intrinseque.
Mais de la a dire que les outils GNU et toutes leurs options sont les plus surs du monde, il y a un pas que je te laisse franchir seul....
pour te donner un exemple, tiré d'un poly de Mr Probst, mon prof de sécurite :
--------
The ftp/GNU tar hole
____________________
In fancy systems, 'ftpd' will allow a client to run 'tar' on the 'ftp'
server (the remote host). Ah, but people started using feature-rich GNU tar.
This allows:
quote site exec tar -c -v --rsh-command=<arbitrarycommand> -f <host>:
<filename> <filename>
Moral: new features mean new interactions.
------
conclusion, parfois le systeme devient si complexe qu on ne peut pas le maitriser de bout en bout.
quand OpenBSD parle d'audit continu, ca comprends ca.
Mais bon, pour ma part, je prefere linux qu'un os comme openbsd ou on peut en faire un peu moins en echange d'une securité plus poussé.
ils sont très rapidement corrigés en cas de problèmes
a parce que openbsd, ils laisse trainer ?
toutes les bons os sortent des correctifs rapidement.
et openbsd fait pas exception.
mais j'imagine que tu as un exemple precis a donner....
pour un gain en sécurité nul.
Va demander a hebergement-gratuit.com ce qu'il pense d'openbsd...
enfin, je pense qu'on peut faire confiance a un type comme toi, qui a un boulot tellement important que tu passes ton temps a poster sur linuxfr, sans donner ton vrai nom, tellement tu as un boulot important que tu doit proteger.
J'imagine de plus que tu as du deja essayer openbsd pour donner un avis si net et si parfait.
[^] # Re: Debian/OpenBSD s'arrête, les autres ports BSD continuent
Posté par Benjamin François (site web personnel) . Évalué à 1.
> utilitaires GNU sont tous completement securisés, alors que je sort le
> contraire.
Loin de moi l'idée de troller Linux/OpenBSD (surtout que je ne vois pas l'intérêt), mais quand je veux aller voir ton lien, là, j'ai droit à :
Sorry, the message you are trying to view does not exist.
Ça doit être une conspiration internationale menée par SecurityFocus visant à démontrer la supériorité de Debian GNU/Linux sur OpenBSD.
[^] # Re: Debian/OpenBSD s'arrête, les autres ports BSD continuent
Posté par Misc (site web personnel) . Évalué à 1.
C 'est juste que laisser passer des conneries, je ne pleut plus.
Le lien marche ( dans mon commentaire, car il manque un chiffre a la fin de l'URL a l'ecran , mais pas au click ), mais si tu veut le contenu, cherche 'tar directory traversal' sur BugTraq. Pour memoire c 'est :
online.securityfocus.com/archive/1/196445
Ha, et au fait, fais gaffe, ils sont partout ( les conspirateurs )
[^] # Re: Debian/OpenBSD s'arrête, les autres ports BSD continuent
Posté par Gael . Évalué à 1.
OpenBSD est en ELF sur plusieurs plateformes (notamment sparc pour la 3.2) et il est prévu de passer d'autres architectures en ELF, dont i386. (d'ailleurs ça apporte pas grand chose par-rapport au a.out, c'est juste que les outils gnu ont décidé d'abandonner a.out)
# Re: Debian/OpenBSD s'arrête, les autres ports BSD continuent
Posté par Misc (site web personnel) . Évalué à 1.
que le noyau d'OPenBSD propose des fonctionnalités assez interessantes :
- privilege elevation ( http://deadly.org/article.php3?sid=20021017153959&mode=flat(...) )
plus besoin de programmes suid. C'est en cours de portage sur linux, mais c'est deja dasn openbsd 3.2, qui va sortir bientot.
- cryptage du swap ( http://www.openbsd.org/papers/swapencrypt.ps(...) )
-pile non executable ( http://www.deadly.org/article.php3?sid=20020724131711(...) )
il est probable que la plupart des ces fonctionnalités ( notamment la derniére ) existent sous linux.
mais, est ce qu'une distribution les propose par defaut ?
je ne parle pas d'une distrib confidentiel ( engarde linux, etc etc), mais d'une des 5 distribs les plus utilisés.
Pas a ma connaissance.
[^] # Re: Debian/OpenBSD s'arrête, les autres ports BSD continuent
Posté par Moby-Dik . Évalué à 1.
-pile non executable ( http://www.deadly.org/article.php3?sid=20020724(...) )
pas sur x86, qui ne permet pas de rendre une page non-exécutable (à moins d'en empêcher la lecture ;-))
[^] # Re: Debian/OpenBSD s'arrête, les autres ports BSD continuent
Posté par matiasf . Évalué à 1.
Le free software prouve que la sécurité passe par une bonne conception (évitons les chois du type : faire tourner activeX dans les pages web), de l'audit, une bonne réactivité au bug de sécurité.
[^] # Re: Debian/OpenBSD s'arrête, les autres ports BSD continuent
Posté par Misc (site web personnel) . Évalué à 1.
Par exemple, par défaut, apache tourne en chroot.
De meme, comme toute les distribs modernes, il lance le moins de services par defaut, et réalise des audits de securité régulierement.
Bien sur, c'est rien de spécial, vu que ce ne sont pas les seuls a le faire.
Concernant la réactivité aux bugs, d'aprés le site web d'OpenBSD, ils font des recherches actives pour trouver les problémes avant qu'ils ne deviennent exploitables.
Et ne cache pas d'infos.
Ca aussi, c'est rien, car tout le monde fait ca maintenant.
Mais ils clament qu'ils font ca depuis toujours.
Concernant des trucs comme palladium, je suis désolé de dire ca, mais du point de vue sécurité, ca ne serait pas mal SI ( et j'insiste sur le si ), et seulement SI on nous laisse le choix.
L'exemple de la classification des documents pour l'armée ( http://www.cl.cam.ac.uk/~rja14/tcpa-faq.html(...) ) n'est pas a priori liberticide.
Mais celui de Disney et des musiques écoutables trois fois, c'est bien plus génant.
Le probléme, c'est qu'effectivment, ca a plus de chance de tuer nos libertés que de nous servir....
Sincérement, si on nous laisse le choix de prendre un processeur avec des fonctionnalités de sécurités, correctement implementés, et documentés, avec en parraléle, un proc normal, ca ne me pose pas de problémes.
Imaginez un proc qui empeche le buffer overflow. Et qui verifie la provenance du code, ou, comme sur NetBsd, le hachage d'un executable.
Ou bien qui blinde le noyau de maniére hard ( comme un des patch du noyau, dont j'ai oublié le nom , lids, je croit ).
Tu prendrais un proc secure pour les ordis de ton boulot de chef de sécurité à la banque et un proc normal pour ta bécane et voila.
sauf que, effectivement, on veut nous forcer a prendre Palladium...
[^] # Re: Debian/OpenBSD s'arrête, les autres ports BSD continuent
Posté par djrom . Évalué à 1.
L'exemple de la pile non-exécutable est parfait: on l'a souvent présenté comme *la* solution miracle aux trous de sécurité, jusqu'à ce qu'un article dans Phrack prouve qu'on pouvait la contourner en passant par d'autres moyens. Et, à ce moment-là, ceux qui avaient réfusé d'y voir *la* technique indispensable en terme de sécurité (Linus, par exemple, qui n'avait pas voulu l'intégrer à sa version du noyau) ont vu leur choix validé, parce que les fonctionnalités enlevées par cette pile non-exécutable étaient toujours disponibles chez eux.
Je pense qu'il faut combattre la tendance actuelle en informatique qui consiste à croire que l'être humain est le maillon faible de la chaîne, et à empiler tout un tas de couches de technicité pour éviter d'avoir à admettre que si on ne s'attarde pas sur la formation et sur la production de code de qualité (mais aussi sur la production de solutions *cohérentes*), on n'arrivera jamais à rien. Le même problème se retrouve sur le concept de la gestion mémoire entre les "dinos" du C et les "modernes" de Java et consorts. Evidemment que la gestion automatique de la mémoire par le système est intéressante et augmente la productivité du programmeur (et donc que c'est Bien (tm)), mais les meilleurs programmeurs que j'ai vu jusqu'ici sont ceux qui ont commencé en C et qui ont évolué dans des langages de plus haut niveau facilitant le boulot, mais qui ont conservé la rigueur acquise. Parce que les jeunes connards trop sûrs d'eux qui n'ont touché qu'à Java et qui produisent des horreurs, je crois que tout le monde connait.
Alors, amha, on devrait arrêter de reposer sur des solutions miracles et juste retrousser nos manches. La course à l'armement ne mène à rien, surtout en terme de sécurité. Arrêtons d'empiler les fonctionnalités "garantissant" la sécurité, et produisons plutôt des choses sécurisées dès le départ. Pour moi, la solution aux problèmes de sécurité n'est pas dans la technique, mais dans le facteur humain.
[^] # Re: Debian/OpenBSD s'arrête, les autres ports BSD continuent
Posté par matiasf . Évalué à 1.
Vrai.
Même si il y a des tonnes de fonctionnalités dédiées sécurité, elles ne pourront palier à un bug dans le programme login par exemple.
Si tu crées un module "sécurité" qui permet de pallier a tout bug dans le programme login, ben t'as déplacé le problème et c'est tout. S'il y a un bug dans ce module t'es dans la même merde que si le bug était dans le programme login.
Ces questions de sécurité doivent être maniées avec beaucoup de finesse. J'ai l'impression que certain trucs sont fait car c'est "hyper class" lors de l'annonce ou pour la frime ("Trop pourrie ta bécane elle a pas le bidule 'truc' qui evite...").
[^] # Re: Debian/OpenBSD s'arrête, les autres ports BSD continuent
Posté par Misc (site web personnel) . Évalué à 1.
Mais, c'est de la défense en profondeur.
Si tu mets un firewall, et qu 'il tombe, et que derriére, tes bécanes sont sécurisées et incrackables ou du moins, difficilement crackables , ben voila, tu es quand meme moins dans la merde.
De la même facon, mettre des fonctionnalités de sécurités dans le noyau, comme cette histoire de pile non executable, c'est pas une excuse pour ne pas programmer proprement, c 'est juste un truc en plus pour le cas ou.
Bien sur c'est pas infaillible, mais c'est toujours mieux que si il n'y avait rien, non ?
On a jamais demandé de faire un choix entre des bons programmes, ou un bon OS, ou un processeur securisé.
Si on veut la sécurité total, il faut les trois.
Des programmes sur, tournant par dessus un OS sur, avec, quand ca existera , un processeur securisé.
Bien sur, dans la réalité,il faut faire des choix.
et c'est la que le facteur humain intervient.
Il faut des personnes compétentes, pluto que des programmes de sécurité qui font le café.
Mais meme avec le plus competent des administrateurs, si il n'a pas de ssh pour eviter de sniffer les mots de passes, ca sert a rien.
Le facteur humain, bien sur, mais avec des moyens corrects.
Meme si les services marketing enjolivent trop les produits, il ne faut pas oublier que c'est pas eux qui ont eu l'idée ( j'espere ). Et donc, qu'au départ, toute fonctionnalité est sensée repondre a un besoin.
[^] # Re: Debian/OpenBSD s'arrête, les autres ports BSD continuent
Posté par matiasf . Évalué à 1.
Dans "défense en profondeur", je comprend "intégré au noyau". Si tu parles de login, tu n'as que déplacé le problème.
S'il y a un problème avec login, il est plus facile de changer/inhiber le programme que d'installer un nouveau noyau. Ce n'est pas parce qu'une fonctionnalité liée à la sécurité est dans le noyau qu'elle est plus sûre. Tout ce qui peut-être mis en userland (sans perte significative de perfo) doit être mis en userland. Linux applique parfaitement ce principe (aussi pour des raisons évidentes de maintenances).
Si PAM était intégré au noyau il n'y aurait aucun gain en terme de sécurité.
> Si on veut la sécurité total,
Désolé mais sa n'existe pas. A moins d'éteindre toutes les bécanes, de les mettre dans un coffre fort et de jeter la clée dans un puit. Et c'est peut-être pas sufisant. Si tu veux sécuriser au maximum, tu empêches les gens d'échanger des infos, d'utiliser des services etc... Bref tu peux aller jusqu'à les empêches de bosser.
Certe on peut multiplier les barrières. Mais on augmente la complexité en même temps.
Et plus c'est compliqué et plus il y a de risque d'erreurs (humaines ou bugs) et plus l'audit est difficile, long et la réativité plus faible.
Attention, je ne suis pas contre un firewall ou autre à la base. Un firewall peut-être très utile pour limité les traffics inutile ou lorsqu'il y a des bécanes windows derrières :-) . Je dis qu'il faut resté simple car la complexité en informatique (ou autre) est très dure à gérer.
[^] # Re: Debian/OpenBSD s'arrête, les autres ports BSD continuent
Posté par Jar Jar Binks (site web personnel) . Évalué à 1.
Oui, certainement.
Linux applique parfaitement ce principe.
Clairement pas.
[^] # Re: Debian/OpenBSD s'arrête, les autres ports BSD continuent
Posté par matiasf . Évalué à 1.
Suite à des insultes massives, tu fais parti de ma liste des personnes a éviter sur linux :
http://feliciano.matias.free.fr/personnes_evitees_sur_linuxfr.html(...)
[^] # Re: Debian/OpenBSD s'arrête, les autres ports BSD continuent
Posté par Jar Jar Binks (site web personnel) . Évalué à 1.
Tous les matins en me levant, à partir de demain, je regretterai d'avoir été méchant avec toi, car comme pétinence je devrai me passer de ton extraordinaire conversation.
[^] # Re: Debian/OpenBSD s'arrête, les autres ports BSD continuent
Posté par matiasf . Évalué à 1.
[^] # Re: Debian/OpenBSD s'arrête, les autres ports BSD continuent
Posté par matiasf . Évalué à 1.
[^] # Re: Debian/OpenBSD s'arrête, les autres ports BSD continuent
Posté par Misc (site web personnel) . Évalué à 1.
J'imagine par exemple, que le hashage des executables sur netbsd ( voir http://www.netbsd.org/Changes/#veriexec_021029(...) ), peut sans aucun probleme etre fait dans la glibc. La, c'est fait dans le noyau, bon, ben c'est leur droit.
Je sais que je n'ai pas donné de bons exemples, mais pour moi, la defense en profondeur, ca recouvre aussi l'utilisation de biblis spéciales, comme libsafe ( si je dit pas de conneries ).
C'est, par exemple, Minas-Tirith et ses 7 murailles ( Le seigneurs des anneaux ).
C'est un coffre fort ET un systéme d'alarme.
Pour rentrer faut couper l'alarme et forcer le coffre.
Et ca semble complexe, mais si on fait les choses correctement ( du point de vue du design ) , c'est fait de maniére transparente. Pe pas sans recompilation, mais, au moins de maniere transparente
Ton login, qu'il utilise libsafe, ou qu'il utilise pas libsafe, ca devrait changer globalement rien pour lui.
Tout juste une option de compilation.
C'est comme le fait de lancer un programme avec valgrind, le programme ne le voit pas, sauf peut etre si il le fait exprés, ce qui est rarement le cas.
En plus, ca permet de subdiviser le boulot correctement.
C'est sur, c'est plus dur de securiser un reseau et des machines mais , c'est parce qu'il y a plus de boulot. Je suis d'accord, la complexité n'est pas inhérente a la sécurité, c'est inhérent a la taille du systéme.
Si une personne se charge du reseau et que du reseau, et une autre des machines et que des machines, c'est tout de meme plus secure, que si il n'y avait que de la securite sur le reseau, ou que sur les machines, non ?
Je suis d'accord qu'au bout d'un moment, tu ne peut plus avoir de vue global. Et je suis aussi d'accord que la securite total, ca n'existe pas. Je ne voulait pas dire ca dans le sens d'absolu, mais dans le sens, le mieux que tu puisse obtenir, une securite maximum. Mais cette securite maximum, on ne peut pas , a mon avis, l'obtenir avec une seule couche de securite.
Pe pas dans le noyau, c'est sur.
Mais, ca c'est une question d'implementation.
Un truc pourri, dans le noyau ou a coté, ca reste un truc pourri....
Des choses comme crypter la partition de swap, je voit mal ou le placer hors du noyau... ( OK, ca sert un peu a rien, c'est joli, mais ca ne va pas changer nos vies. Désolé, c'est le seul exemple que je voit a la fois simple et dans le noyau ).
L'endoit ou se trouve la couche de sécurité, c'est peu important. L'important c'est que ce soit la, et que ca marche.
J'espere etre pas trop obscur sur ce coup ci.
[^] # Re: Debian/OpenBSD s'arrête, les autres ports BSD continuent
Posté par matiasf . Évalué à 1.
désolé pour l'interprétation.
Je ne suis pas un spécialiste sécurité (mais un bon admin GNU/Linux :-| ). C'était un "billet" d'humeur. Actuellement il est dans l'air que d'avoir plein de trucs pour la sécurité est indispensable (entre autre avec le martelage de MS et palladium). Je voulais indiquer que je suis méfiant, perplexe quant aux réels avantages, aux avantages concrets de cette débauche de "technologie".
Une système basé sur Linux 1.2, bien configuré avec des services bien audité est très sûre.
Avec l'état actuel des esprits on donne l'impression de tendre les bras a des conneries comme palladium. Un mot d'ordre : "sécurité à tout les étages". Encapsulation a tout va pour ne pas voir ce qui se passe. Méfiance à tout les niveaux : Es-tu un OS de confiance ? etc...
Y a plein de truc de ce type et certains par leur propos de mettre de la sécurité partout y participe (malgrés eux).
Je pense qu'au niveau du discourt, il faut calmer le jeu. Des systèmes sûre çà existe depuis un moment. Pour moi les grosses inovations en terme de sécurité ces dernières années sont :
- ssh/ssl (cryptage sur le réseau)
- pgp/gpg (authentification)
Le reste n'est pas très intéressant (je vais me faire linché mais tant pis).
Alors bien sûr que j'apprécie des trucs comme PAM qui évite d'être root pour lire un DVD. J'aime aussi les programmes limitant le nombre de programme avec les privilège root etc... Mais je trouve qu'actuellement en terme de discourt on en fait trôp.
Un exemple concrêt : J'ai un PC GNU/Linux sur ADSL, pas de firewall pas de partition crypté etc... Car çà me sert à rien dans mon cas (et je sais configurer un firewall, utiliser l'interface loopback etc...). Si on écoute le "bruit" ambiant, je prends des risques ENORMES. Ben non. Je connais les services qui tournent. J'ai vérifié qu'ils étaient bien configuré (hyper important çà). Et ma bécane est à jour. J'ai une bécane sûre sans débauche de technologie.
[^] # Re: Debian/OpenBSD s'arrête, les autres ports BSD continuent
Posté par Anonyme . Évalué à 1.
[^] # Re: Debian/OpenBSD s'arrête, les autres ports BSD continuent
Posté par Jar Jar Binks (site web personnel) . Évalué à 1.
Russel Coker a mis en place une machine avec SELinux il y a quelques mois, en donnant le mot de passe root à tout le monde. On attend toujours de voir cette machine se faire h4><or.
Donc oui, on peut avoir des fonctionnalités de sécurité avancées sur GNU/Linux. Qui, comme il n'est pas basé sur un noyau foireux, est beaucoup moins sensible à d'autres types d'attaque.
[^] # Re: Debian/OpenBSD s'arrête, les autres ports BSD continuent
Posté par matiasf . Évalué à 1.
Quel intérêt ?
Si tu peux lire le swap, c'est que tu es root.
[^] # Re: Debian/OpenBSD s'arrête, les autres ports BSD continuent
Posté par Jar Jar Binks (site web personnel) . Évalué à 1.
Notons qu'une implémentation correcte de mlock(2) et son utilisation appropriée permettent de s'en passer sans le moindre scrupule (et c'est ce qui se fait depuis longtemps), mais une couche de sécurité supplémentaire ne fait pas de mal dns l'absolu.
[^] # Re: Debian/OpenBSD s'arrête, les autres ports BSD continuent
Posté par falbala . Évalué à 1.
Et puis sur un S/390, tu fais comment ?
[^] # Re: Debian/OpenBSD s'arrête, les autres ports BSD continuent
Posté par Francois B . Évalué à 1.
Je ne suis pas un BSDiste de sang, mes je trouve que la communautée debian sérieusement aime bien critiquée les autres o.s mes aime pas du tout ce faire critiquer...
En clair ce que vous dites est ceci :
Vive Debian,
Le reste c'est de la merde,
Le reste c'est pas sécu,
Le reste c'est encore une fois de la merde..
Vous n'avez rien d'autre a dire ?
[^] # Re: Debian/OpenBSD s'arrête, les autres ports BSD continuent
Posté par Jar Jar Binks (site web personnel) . Évalué à 1.
Tu crois vraiment que ce genre de choses est bon pour la communauté du logiciel libre ? Se réfugier dans un confort illusoire apporté par une réputation surfaite, ça ne peut que faire mal à tout le monde le jour où on se rendra compte que ça ne l'est pas.
Une bonne sécurité ne consiste pas à croire ses logiciels invulnérables. Les UNIX commerciaux ont longtemps fait cette erreur. Une bonne sécurité passe par des mises à jour de sécurité, et quand on voit comment l'équipe d'OpenBSD a réagi face à la faille d'OpenSSH, je me permets de douter de leurs capacités à faire de bonnes mises à jour.
Bref, à quelqu'un qui veut de la sécurité, je conseillerai FreeBSD ou GNU/Linux, mais sûrement pas OpenBSD. Pas par aversion personnelle, mais parce qu'au vu de la situation, je pense que ce n'est pas une bonne solution.
[^] # Re: Debian/OpenBSD s'arrête, les autres ports BSD continuent
Posté par Francois B . Évalué à 1.
1. J'ai jamais dit que OpenBSD étais le plus sur des os.
2. J'utilise aussi FreeBSD pour 2 de mes servers,j'en ai un sous OpenBSD mes en test..
3. Pour avoir un truc bien sécuritaire ca prend pas juste un os , car un programme troué et c'est parti... Si je fait jamais d'update je touche à rien c'est clair que ça ira pas loin. (mes bon sa tout le monde le sais..)
Mon message avais ce sence : il n'y as pas que Debian dans la vie.
[^] # Re: Debian/OpenBSD s'arrête, les autres ports BSD continuent
Posté par Francois B . Évalué à 1.
1. J'ai jamais dit que OpenBSD étais le plus sur des os.
2. J'utilise aussi FreeBSD pour 2 de mes servers,j'en ai un sous OpenBSD mes en test..
3. Pour avoir un truc bien sécuritaire ca prend pas juste un os , car un programme troué et c'est parti... Si je fait jamais d'update je touche à rien c'est clair que ça ira pas loin. (mes bon sa tout le monde le sais..)
Mon message avais ce sence : il n'y as pas que Debian dans la vie.
[^] # Re: Debian/OpenBSD s'arrête, les autres ports BSD continuent
Posté par Misc (site web personnel) . Évalué à 1.
si tu veut des exemples, cherches les news sur debian.
si il y a plus de 15 commentaires, tu sais d'ou ils viennent....
[^] # Re: Debian/OpenBSD s'arrête, les autres ports BSD continuent
Posté par Jar Jar Binks (site web personnel) . Évalué à 1.
[^] # Re: Debian/OpenBSD s'arrête, les autres ports BSD continuent
Posté par Misc (site web personnel) . Évalué à 1.
Je n'affirme pas des trucs que j'ai pas pu un minimum vérifer.
Je ne sais pas si tu est un adolescent gourou integriste de secte de barbu pépubére qui se masturbe devant leur kernel.
Et je m'en fout.
Je me contente d'enoncer des faits.
Et je rappelle que certains t'ont mis dans une liste de personnes a eviter, c'est pas pour rien.
Meme si c'est un acte purement symbolique...
Peut etre que ton comportement fait partie d'un plan pour faire revenir les votes ?
Extremement subtil, je le reconnait.
[^] # Re: Debian/OpenBSD s'arrête, les autres ports BSD continuent
Posté par Jar Jar Binks (site web personnel) . Évalué à 1.
Meme si c'est un acte purement symbolique...
Vu la personne qui a fait ça, je le prends comme un compliment.
Donc, merci du compliment.
Et puisque tu penses que je suis un vilain trolleur (qui se cache !!!), un fanatique, va voir qui a posté 200 messages inintéressants dans la dernière news Debian. Est-ce moi ? Non, c'est la personne qui m'évite.
J'ai donc du troller comme un fou plus tôt, alors tant qu'on est dans les attaques personnelles, revenons aux news Debian à troll précédentes.
http://linuxfr.org/2002/10/24/10085.html(...) => 11 commentaires sont de moi, pour la plupart des réponses aux questions techniques.
http://linuxfr.org/2002/10/23/10074.html(...) => une engueulade personnelle avec... maismais, toujours cette même personne ! Certes, elle n'a rien à faire ici, mais si tu relis les commentaires de cette personne les dernières semaines, tu pourras trouver des raisons à mon énervement.
http://linuxfr.org/2002/10/18/10019.html(...) => nada.
Et je n'ai même pas été troller dans http://linuxfr.org/2002/07/20/9033.html(...) !
Allons, un peu de sérieux. J'ai peut-être exagéré certains propos plus haut, mais je ne pense pas être le seul, et ça ne change rien au fond du problème : je pense qu'OpenBSD n'est pas assez sûr. C'est mon avis et je le partage.
[^] # Re: Debian/OpenBSD s'arrête, les autres ports BSD continuent
Posté par Misc (site web personnel) . Évalué à 1.
Dans la mesure ou tu as ete mis la pour des insultes, je ne voit pas en quoi c est un compliment.
Je pense que tu est en vilain trolleur pour la bonne et simple raison que la depeche a ete retouche car trop trollifere.
Et, deja, celle la, http://linuxfr.org/2002/10/24/10085.html(...) avait un petit cote revanchard en fin de depeche.
Je tient a preciser aussi que je n ai pas un temps illimite, et que je n ai pas vraiment envie de recuperer tout linuxfr pour avoir une vue exhaustive sur tes commentaires.
J aurais pu preparer un dossier beton, en allant surfer sur ton site web, en interrogant tout l'ENS de lyon etc etc.
Mais j'ai prefere me contenter d'attendre une paire de depeches.
Celle cite plus haut, et celle ci, ou il m'a semble assez important de rectifier les erreurs que j ai pu lire.
Je m'en souviendrai avant de poster, je vais de ce pas preparer un dossier sur chaque utilisateur de linuxfr. Et tant pis si je passe pour un gros nevropathe asocial.
Tu as le droit de partager ton avis, et meme de propager des betises pour le soutenir, mais ne t etonne pas si j use de mon droit pour te contredire.
[^] # Re: Debian/OpenBSD s'arrête, les autres ports BSD continuent
Posté par Jar Jar Binks (site web personnel) . Évalué à 1.
[^] # Re: Debian/OpenBSD s'arrête, les autres ports BSD continuent
Posté par Misc (site web personnel) . Évalué à 1.
Mais tu as sans doute une raison de penser ca ?
[^] # Re: Debian/OpenBSD s'arrête, les autres ports BSD continuent
Posté par Jar Jar Binks (site web personnel) . Évalué à 1.
Mais non voyons, c'était juste une idée en l'air.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.