Les distributions GNU/Linux sécurisées

Posté par (page perso) . Modéré par patrick_g.
Tags : aucun
33
2
avr.
2010
Sécurité
L'écosystème des distributions GNU/Linux est saturé. Le site Distrowatch en recense plus de 300 et ce chiffre est sans doute une sous-estimation.
On trouve bien entendu les "grandes" que tout le monde connaît (Red Hat/Fedora, Debian GNU/Linux, Ubuntu, Mandriva Linux, etc) mais il existe une multitude de petits projets spécialisés, de forks plus ou moins amicaux, d'expérimentations diverses et variées.
Certaines de ces distributions ont choisi de se spécialiser dans le secteur de la sécurité et il m'a semblé intéressant de regarder d'un peu plus près ce qu'elles avaient à proposer.

Il n'est pas question ici des live-CD spécialisés qui permettent de vérifier la sécurité d'un réseau ou d'un poste local (du type Network Security Toolkit ou bien HoneyWall). Ces distributions sont incontestablement intéressantes mais ce n'est pas le sujet de cette dépêche. Ce qui va être examiné ce sont les distributions installables qui veulent proposer une sécurité au dessus de la moyenne. Seront également examinés certains patchs ou paquets spéciaux pour des distributions préexistantes.
La niche écologique de ces distributions spéciales, ou de ces variantes, c'est la promesse d'une sécurité supérieure par le biais de diverses améliorations techniques.

Dans la suite de la dépêche nous examinerons donc :
  • OpenWall
  • EnGarde Secure Linux
  • Grsecurity/Pax
  • NetSecL
  • Bastille Unix
  • Hardened Gentoo/Hardened Debian
- OpenWall

OpenWall GNU/Linux (connu aussi sous le diminutif d'Owl – Chouette en anglais – ce qui explique le logo) est une distribution sécurisée dont le mainteneur principal est le hacker Solar Designer.
De son vrai nom Alexander Peslyak, il est très connu dans le petit milieu de la sécurité car c'est lui qui a évoqué pour la première fois, en 1997, l'attaque de type return-to-libc et il est également l'auteur du logiciel John The Ripper qui permet de tester/retrouver les mots de passe.
Solar Designer a écrit un patch pour le noyau Linux 2.0 nommé "StackPatch" qui permet de bloquer les attaques de type buffer overflow en rendant la pile non exécutable. Ce patch a été maintenu à jour au fur et à mesure de l'évolution du noyau et sa dernière version est présente dans la version Owl 2.0-stable.

Cette dernière se base, c'est un peu étonnant, sur un noyau Linux 2.4.37.9 et propose le support de quatre architectures (x86, x86-64, SPARC et Alpha). Les améliorations de sécurité listées sur le site d'OpenWall font mention de la relecture poussée du code (proactive source code review) pour tout ce qui est "sensible" (démons, programmes SUID/SGID, services réseaux, etc). La solidité des mots de passe est vérifiée à l'aide de l'outil pam_passwdqc, l'intégrité des répertoires à l'aide de mtree. Divers logiciels sont patchés afin d'appliquer le principe de séparation des privilèges.

Les paquets d'OpenWall vivent dans deux dépôts séparés. L'un contient les logiciels amont originaux et l'autre les instructions et patchs spécifiques d'Owl. On peut reconstruire tout le système avec un simple "make buildworld" comme sur les systèmes BSD et les paquets sont compatibles avec RHEL4. Une présentation générale d'OpenWall au format MagicPoint est disponible sur le site.
En ce qui concerne les évolutions, on attend bien entendu le passage au noyau Linux 2.6.x. Solar Designer a déjà annoncé qu'il n'avait pas l'intention de se baser sur un pur noyau officiel et qu'il allait plutôt utiliser un noyau de type OpenVZ (avec donc une fonction de virtualisation spécifique). Cette future version d'OpenWall sera, selon la FAQ, compatible avec RHEL5 et RHEL6.

Alors quelle conclusion très subjective peut-on tirer sur Owl ?
Certes le mainteneur principal est une pointure de la sécurité, les corrections de vulnérabilités sont disponibles rapidement et la distribution n'est pas à l'abandon. On ne peut toutefois s'empêcher de penser qu'OpenWall ne fait pas preuve d'un dynamisme débordant. La liste de diffusion est plus que calme (j'ai compté 69 messages pour toute l'année 2009) et la version stable actuelle (sortie en 2006) utilise encore un noyau de la série 2.4.x.

D'autre part, les fonctions de sécurisation présentes dans la distribution ne semblent plus aussi originales qu'au début du projet. Comme l'indique Solar Designer dans sa page biographique : "Beaucoup de patchs développés à l'origine pour Openwall GNU/Linux ont été intégrés dans les systèmes d'exploitations de type UNIX comme les distributions Linux, FreeBSD et OpenBSD".

- EnGarde Secure Linux

La distribution EnGarde Secure Linux est un produit de la firme Guardian Digital qui vend une version professionnelle (au support particulier) et propose également une version dite "Community edition" dans laquelle se font les développements devant arriver par la suite dans la version pro.
EnGarde est utilisable sur les architectures i686 et x86-64 et elle se concentre sur le créneau des serveurs puisqu'on ne trouve ni Xorg ni les habituels paquets de bureau.
La distribution est qualifiée de "sécurisée" car elle utilise par défaut le module SELinux en mode enforcing et que les serveurs installés sont configurés en mode très restrictif. Le filtrage de type TCP Wrapper est utilisé et plusieurs logiciels de détection d'intrusion sont actifs (Snort), etc.
Les mises à jour sont disponibles via le "Guardian Digital Secure Network" et toute l'administration se fait via un outil spécifique WebTool qui ressemble un peu à Webmin en plus joli. WebTool est le véritable cerveau de la distribution et tout se fait à travers lui. Gardian Digital insiste bien sur la facilité d'administration (voir les copies d'écran) et vend également des machines préconfigurées avec EnGarde.
La dernière version stable est la 3.0.22 sortie en décembre 2008 qui se base sur un noyau Linux 2.6.27.

Le site web de la distribution à un parfum désagréablement commercial avec son vocabulaire emphatique (EnGarde deliver unprecedented security and an feature-rich Internet application environment) mais, sur le plan des qualités, on peut citer l'outil WebTool qui semble bien conçu et le fait que tout le code est libre (la version pro n'incorpore pas d'outils propriétaires spécifiques et l'accès au Guardian Digital Secure Network est parfaitement possible depuis une Community edition).
Néanmoins, il faut bien reconnaître qu'Engarde n'a plus évolué depuis fin 2008, que peu de paquets sont disponibles (541 pour l'architecture x86_64 si j'ai bien compté), qu'aucune feuille de route n'est en vue et que SELinux n'est pas vraiment une exclusivité de la distribution. On peine un peu à voir la valeur ajoutée d'EnGarde Secure Linux à l'heure actuelle.

- Grsecurity/PaX

Grsecurity est un patch bien connu pour le noyau Linux qui vise a renforcer la sécurité par l'ajout de divers mécanismes.
En le combinant avec le patch complémentaire PaX, il est possible de rendre aléatoire les adresses mémoires et d'empêcher l'écriture sur les portions mémoires contenant du code exécutable. Grsecurity permet également de renforcer la résistance du mécanisme de Chroot (qui isole un programme dans un système de fichier afin de le sécuriser).
Des fonctions d'audit spécifiques sont ajoutées dans le noyau, afin de mieux surveiller le système et d'être averti plus vite en cas d'attaque. La fonction Trusted Path permet d'interdire l'exécution des binaires dont le propriétaire n'est pas administrateur.
Un modèle de sécurité à base de rôles (RBAC) est utilisé à la place de SELinux car les auteurs de Grsecurity n'aiment pas l'interface LSM (Linux Security Module). La liste de toutes les fonctions présente sur le site est vraiment impressionnante même si tout ça manque un peu de documentation.
Le patch Grsecurity est certainement un outil intéressant, mais Linus Torvalds a toujours indiqué qu'il n'accepterait dans le noyau que des patchs séparés, clairs et non redondants. Il a reconnu que certaines fonctions de Grsecurity étaient utiles, mais que d'autres ne l'étaient pas ("lots of totally insane and very annoying and invasive code") et n'avaient aucune chance de faire partie du noyau.
D'autre part, Brad Spengler, le leader de Grsecurity, a déclaré qu'il n'était pas intéressé par l'inclusion dans la branche principale et qu'une intégration partielle serait contre-productive (voir les questions 7 et 9 de son interview).

Les perspectives de réunification sont donc bouchées et il est probable que Grsecurity restera un patch externe à appliquer sur son noyau (il est important de se rendre compte que le projet ne concerne que le noyau et que l'espace utilisateur n'est pas patché ni passé en revue).
La dernière version de Grsecurity est sortie le 21 mars dernier et elle s'applique sur Linux 2.6.32 qui a été choisi comme un noyau à support de longue durée.
En conclusion, on peut dire que Grsecurity reste, en dépit des problèmes qu'il a traversé, un projet attractif et original. Il faudrait être un vrai expert en sécurité pour être capable d'évaluer la pertinence technique des solutions proposées, mais au moins ce patch propose autre chose.

- NetSecL

NetSecl est une distribution basée sur Slackware (d'ailleurs son ancien nom était ISlack) qui a été créée en mai 2005 par Yuriy Stanchev. L'équipe est plus que succincte puisque ne sont listées que deux personnes mais la distribution semble à priori intéressante car elle incorpore de base le patch Grsecurity qui a été évoqué plus haut.
C'est donc l'opportunité d'utiliser ces fonctions sans avoir à s'occuper soi-même de la modification de son noyau.
Netsecl incorpore également un script spécial qui paramètre le pare-feu en mode paranoïaque (blocage des balayages de ports, des balayages furtifs, de la prise d'empreinte du système d'exploitation) et couple le pare-feu avec Snort pour la détection des intrusions.
De nombreux outils de sécurité sont disponibles (Nessus, Nmap, Metasploit, etc) et la chaîne de compilation supporte l'option PT_PAX_FLAGS qui implémente des restrictions particulières.
Une introduction générale à la distribution est disponible sur cette page. L'accent est mis sur les fonctions de serveur mais il est à noter que NetSecl ne se limite pas à ce rôle et que, selon ses développeurs, on peut parfaitement l'utiliser sur une machine personnelle (le bureau par défaut est Xfce).
La dernière version est la 2.6 qui est apparue sur les serveurs du site le 27 février dernier.

Pourtant, malgré toutes ses qualités apparentes, il semble difficile d'envisager l'utilisation de cette distribution. La gestion des corrections de bugs est plus que spartiate puisque tout se fait à la main. La FAQ indiquée par le site pointe vers une page vide et les listes de diffusion sont désertes. La distribution NetSecl semble tout de même un peu trop confidentielle pour susciter plus qu'un intérêt de curiosité.

- Bastille Unix

Bastille Unix (anciennement Bastille Linux) n'est pas une distribution au sens propre mais plutôt un script interactif permettant de modifier les caractéristiques de sécurité d'une distribution préexistante.
On peut lancer Bastille en mode automatique (AutomatedBastille) mais il est conseillé de l'utiliser en mode interactif (InteractiveBastille) car les choix éclairés de l'utilisateur sont importants. Le site web insiste à plusieurs reprises sur le côté éducatif de ce script qui permet à l'utilisateur d'apprendre beaucoup de choses sur les options de sécurité de son système.
Avant de lancer le paramétrage, il est possible de faire un audit du système (assessment) avec la fonction bastille --assess. Un exemple de résultat est visible ici.
Une fois que l'audit est effectué, Bastille permet de paramétrer plusieurs choix concernant le boot (protection par mot de passe, désactivation du redémarrage local, etc), les comptes (restrictions diverses, test de mots de passe, etc), les programmes (désactivation de SUID root, etc). Une interface texte Curses est disponible mais il y a aussi une interface graphique Tk dont cette copie d'écran donne une idée.
En dehors de ces paramétrages effectuées par le script interactif, il n'y a pas de patchs spécifiques façon Grsecurity ou de revue de code particulière.
Le script Bastille est aussi disponible dans plusieurs distributions puisqu'on le retrouve chez Debian comme chez Gentoo.
Son utilisation réelle est difficile à évaluer mais on peut se pencher sur les résultats de popcon chez Debian pour se faire une idée. Le total n'est pas énorme avec 483 utilisateurs de popcon qui ont téléchargé le paquet.

Au final, le bilan n'est pas très favorable : le site de Bastille Unix ne semble plus maintenu, les listes de diffusion sont à l'abandon (j'ai compté 6 messages en 2009) et la nouvelle version annoncée pour janvier 2008 n'est toujours pas là. L'interface de paramétrage de Bastille apportait une réelle plus-value il y a quelques années mais son rôle semble bien plus réduit maintenant du fait de l'évolution des interfaces de paramétrage des distributions.
On peut donc considérer, même si des paquets existent toujours dans certaine distributions, que Bastille Unix est un projet en sommeil… voire en coma dépassé.

- Hardened Gentoo/Hardened Debian

À côté des distributions spécialisées, il existe également des paquets spéciaux qui permettent de sécuriser plus sérieusement une distribution existante. Les deux variantes les plus connues sont Hardened Gentoo et Hardened Debian.
Il est important de comprendre qu'ici le terme "variante" ne signifie pas une distribution séparée. En réalité, c'est la distribution d'origine qui est utilisée mais en activant juste des options spéciales de sécurisation.
L'avantage de cette solution c'est qu'elle préserve vos habitudes (pas besoin de changer de distribution) et qu'on profite toujours de l'équipe de maintenance de Gentoo/Debian sans avoir à faire confiance à l'équipe minuscule d'une distribution inconnue.

Côté Hardened Gentoo la documentation est toujours d'aussi bonne qualité et on peut opter pour Grsecurity/PaX, le contrôle d'accès par SELinux ou RSBAC. Une chaîne de compilation sécurisée est disponible qui offre des options de protection contre l'écrasement de la pile ou encore la génération de PIE (Position-independent executables), ce qui permet d'avoir des instructions dont l'emplacement mémoire est relatif et autorise donc le placement du programme à des localisations aléatoires, etc.

Pour Debian (et donc Ubuntu), il existe des paquets dans le dépôt qui permettent d'installer un noyau patché Grsecurity. En plus de ce patch le paquet virtuel Harden installe automatiquement des outils de sécurité, de détection d'intrusions, etc. Il entre également en conflit avec des paquets ayant une faible sécurité (au hasard telnetd), ce qui permet d'alerter l'administrateur de la machine.
Il existe aussi le paquet Hardening-wrapper qui installe une chaîne de compilation sécurisée en passant des options spéciales à GCC et ld. On peut ainsi compiler avec l'option de détection d'écrasement de la pile, le PIE, le blocage de attaques de type Format String, etc. Cela permet de se construire des programmes extrêmement sécurisés et de les placer sur un dépôt local (voir par exemple ce compte-rendu).
A noter que Debian et Gentoo, comme évoqué plus haut, proposent aussi le script interactif Bastille en tant que paquet installable ce qui permet de profiter de son mode interactif.

La solution consistant à "durcir" une distribution existante en installant des paquets spéciaux semble donc séduisante. Pourquoi n'est-elle pas plus répandue ? Si Gentoo Hardened semble vraiment difficile à utiliser (voir ce sévère retour d'expérience) on pourrait s'attendre à un meilleur score du paquet Harden sur la page du concours de popularité de Debian.
Peut-être est-ce simplement un manque de visibilité de ces projets ?

- De l'utilité des distributions GNU/Linux sécurisées

À la lumière de ce passage en revue une niche écologique particulière existe-elle encore vraiment dans le domaine de la sécurité ? Après tout, la sécurité ne devrait pas être une option mais une donnée de base de toute distribution GNU/Linux.
Il est frappant de voir que les distributions spécifiques citées dans cette dépêche sont loin d'être des succès éblouissants. Si on y ajoute la liste des distributions sécurisées aujourd'hui disparues (les Adamantix, Immunix, Hardened Linux, Annvix, etc.), alors on ne peut s'empêcher de penser que ces distributions n'ont plus vraiment de raison d'être.
Comme le dit Steffen Wendzel (créateur de Hardened Linux) dans son message annonçant l'arrêt de son projet en 2008 : "Il n'y a simplement plus de raison de travailler sur cette distribution car d'autres systèmes, comme OpenBSD ou Fedora, proposent des fonctions similaires".
Les plus grandes distributions intègrent maintenant toutes des mécanismes de sécurité comme le support du bit NX, la randomisation de la pile, des modules de sécurité comme SELinux, AppArmor, Smack ou TOMOYO, les options de compilation FORTIFY_SOURCE ou de détection d'écrasement de la pile, etc. La facilité d'utilisation s'améliore grâce à des interfaces graphiques de configurations (le travail de Red Hat/Fedora sur SELinux).

Peut-être que seul le patch Grsecurity/PAX garde une certaine légitimité car ses développeurs ont choisi des solutions techniques différentes des autres et ils refusent d'intégrer la branche principale du noyau. En outre, leur compétence est reconnue et ils peuvent se targuer d'avoir découvert et/ou exploité plusieurs failles dans les distributions existantes.
D'un autre côté, les auteurs de ce patch ne sont que deux (Brad Spengler et PaxTeam) et leur code est jugé dangereusement invasif par les développeurs du noyau ce qui peut réduire la confiance des utilisateurs.

- Conclusion : Que choisir ?

En essayant de réduire au maximum le potentiel trollifère de cette conclusion (et en gardant à l'esprit que je n'ai aucune connaissance technique spécifique et que l'avis qui va suivre est purement subjectif) nous pouvons esquisser une liste de trois choix possibles en fonction des utilisateurs et de leurs besoins.

- Option 1

S'en tenir à sa distribution et ne rien changer. Après tout Linux est un système relativement bien sécurisé et, en outre, le mode de distribution des logiciels par dépôt supprime la majorité des attaques. On peut éventuellement chercher à "durcir" sa distribution en activant des options de sécurité (SELinux ou son équivalent par exemple). Cela a l'avantage de la simplicité puisqu'on n'applique aucun patch externe.

- Option 2

Appliquer le patch Grsecurity/PaX que ce soit à la main ou par l'intermédiaire d'un paquet de sa distribution. Cela permet de profiter du riche bestiaire de fonctions qu'évoque Brad dans son interview (la défense en profondeur). C'est tout de même un choix assez exotique car on s'écarte du noyau classique et qu'il faut faire confiance aux auteurs de Grsecurity plus qu'aux développeurs de Linux. En outre, le patch ne concerne que les mécanismes du noyau et les logiciels utilisateurs ne sont pas concernés. Enfin, on ne trouve pas sur le web d'évaluation des performances et on ne sait donc pas estimer la perte qui résulte de l'activation de ces mécanismes.

- Option 3

Si l'utilisation du système ne réclame pas une gestion poussée des processeurs multi-cœurs, si on accepte d'avoir moins de fonctionnalités que sous Linux et un support qui ne s'étend pas sur une durée très longue, alors OpenBSD peut s'avérer un choix tout à fait respectable. Sa réputation en matière de sécurité n'est plus à faire, le projet avance comme un métronome avec des nouvelles versions tous les six mois et la documentation est d'excellente qualité. Si le besoin réel de sécurité est plus important que les contraintes induites, alors cette solution est à considérer sérieusement.
  • # Manque Fedora dans le lot

    Posté par . Évalué à 10.

    Fedora est la seule distribution généraliste à avoir une politique de sécurité proactive et ce par défaut (contrairement à Hardened Gentoo/Debian).
    http://fedoraproject.org/wiki/Security

    Fedora est un contributeur important à SELinux, projet qu'il a même démocratisé (activé par défaut depuis plus de 5 ans maintenant !).
    La politique de sécurité de Fedora ne se limite pas seulement à SELinux, mais également dans le renforcement de la GLibc et du format ELF (Ulrich Drepper), des patchs noyaux (Exec-shield: NX, PIE, etc ...) Les paquets sont sans exception compilés avec les flags de sécurité (ie: GCC_FORTIFY_SOURCE, fstack-protector), tout ça bien longtemps avant la plupart des autres distributions. Dans le domaine de la virtualisation, libvirt permet de sécuriser l'utilisation à distance de machines virtuelles (X.509, connexion chiffrée, etc ...)
    Des fonctionnalités que Fedora promeut et souvent développe.


    Au niveau du bureau, on peut rajouter PolicyKit qui offre une solution élégante à la gestion des droits utilisateurs.

    Si Fedora ne peut se comparer aux distributions dédiées à la sécurité, elle est tout aussi sécurisée qu'une hardened Gentoo/Debian voire plus, les problématiques liées à la sécurité étant traitées en amont.
    • [^] # Re: Manque Fedora dans le lot

      Posté par . Évalué à 4.

      mon témoignage concernant Fedora :

      j'ai utilisé Fedora 9 (sur un portable Pentium 3 à 650 Mhz / 380 Mo de RAM) entre sa sortie vers mai 2008 et le début de l'été 2009, c'est à dire une année, durée du support d'une version de Fedora.

      J'avais pris le parti de sécuriser par cryptage à la volée sur toutes les partitions ('/', '/home' et 'swap') sauf '/boot' (qu'il n'est pas possible de crypter). Pour information, je peux témoigner avoir observé une baisse de performance dans la lecture/écriture de 10% par rapport à une installation sans cryptage à la volée sur cette machine (différentes installations successives et usage d'un chronomètre sur des fichiers de 100 Mo et 200 Mo).

      Dans ce contexte, j'ai vécu quelque chose de très surprenant à plusieurs reprises :
      des mises à jour du système (notamment avec un nouveau noyau) sans que le mot de passe administrateur ne soit exigé (un simple clic pour valider, de mémoire) !!! Bien sûr, le mode de fonctionnement habituel exigeait la saisie du mot de passe d'administrateur, mais franchement, ce type d'expérience vécu plusieurs fois, dont au moins deux fois lors d'une mise à jour du noyau, ça m'a scotché !

      Je pourrais retrouver mes notes de l'époque, je tenais un journal très détaillé de ce que je découvrais.

      Par ailleurs, tout le long de l'année d'usage, j'avais de plus en plus d'erreurs liée à SELinux, que je corrigeais au fur et à mesure, en suivant les explications fournies en même temps que les erreurs (un copier/coller d'une ligne de commande depuis la fenêtre dédiée vers le terminal, pour exécution), jusqu'au jour où ça n'a plus marché... Là, j'ai laissé les erreurs s'accumuler, après de vaines recherches moyennement approfondies, jusque sur le cannal IRC Ferdora où un étudiant connaissant bien le système (et m'ayant dépanné lors d'un redémarrage impossible après une mise à jour foireuse (seule expérience pénible vécue)) manifestait :
      - sa grande surprise en lisant mon retour d'expérience sur les mises à jour (incluant un nouveau noyau qui plus est) sans exigence du mot de passe d'admin ;
      - son expérience similaire sur les erreurs SELinux, sauf qu'il n'avait pas connu ma situation bloquée.

      Voilà, c'est pas gentil pour Fedora et j'applaudis le travail réalisé, mais c'est du vécu.
      J'en suis encore tout scotché de ces noyaux mis à jour sans le sésame !
      J'ai juste un peu honte de n'avoir jamais fait la remontée de bug qui va bien.

      Rien à voir, mais ça va mieux en le disant : le "moniteur système" fourni dans Fedora 9 comme dans d'autres distributions intégrant Gnome est extrêmement consommateur de ressource CPU (très très lourd sur ce genre de machine) ! J'ai utilisé rapidement Gkrellm dont l'apprentissage n'est pas immédiat mais qui est très efficace, sacrément fonctionnel, et surtout qui passe comme une plume sur un monte-charge (même avec un taux de rafraichissement des "krells" (curseurs indiquant l'activité) à 20 Hz, le maximum) :-)

      Pour finir, merci à Patrick pour cette dépêche :-)
      • [^] # Re: Manque Fedora dans le lot

        Posté par . Évalué à 3.

        > Pour information, je peux témoigner avoir observé une baisse de performance dans la lecture/écriture de 10% par rapport à une installation sans cryptage à la volée sur cette machine

        C'est normal, faut chiffrer/déchiffrer ça avant tout opération. Pareil ailleurs.

        > j'avais de plus en plus d'erreurs liée à SELinux, que je corrigeais au fur et à mesure

        L'outil de diagnostic est un peu lourdingue, mais c'est souvent bénins (souvent une mauvaise labelisation des répertoires, et la commande pour corriger ça est dans le diagnostic).
        Les statistiques montent que 62% des utilisateurs de Fedora ont SELinux en mode enforcing, environ 8% en mode permissif donc faut relativiser sur une base d'utilisateur de plusieurs centaines de milliers d'utilisateurs.
        Ça fait un moment que Fedora propose une configuration de SELinux grand public compliant.

        > Voilà, c'est pas gentil pour Fedora et j'applaudis le travail réalisé, mais c'est du vécu.

        Gentil ou pas, faut faire les rapports de bogues sinon on n'avance pas. :)
        Un bogue, on se doit de le corriger et non pas le cacher sous le tapis. Après, si c'est pas un bogue, tu auras droit à une explication donc dans tout les cas, tu n'es pas perdant.

        > sa grande surprise en lisant mon retour d'expérience sur les mises à jour (incluant un nouveau noyau qui plus est) sans exigence du mot de passe d'admin

        Tu confondrais pas avec Fedora 12 ? C'était un changement de comportement dans PackageKit en upstream qui permettait d'installer les paquets (uniquement signés) sans mot de passe root, et limité aux sessions locales et pas de lancement de services.
        Pour l'anecdote, le mainteneur de PK avait mentionné ce changement sur la m-l PackageKit mais pas fedora-devel, et comme les paquets ne sont pas signés dans la version de développement, personne ne s'en est rendu compte avant la release (puisque PK exigeait dès lors le mot de passe root).
        • [^] # Re: Manque Fedora dans le lot

          Posté par . Évalué à 0.

          Non, je te garantis que je ne confonds pas avec Fedora 12. J'ai bien précisé la période pendant laquelle j'ai utilisé Fedora 9.

          Personnellement, il m'est impossible de faire confiance à nouveau à Fedora si je veux une sécurité minimale.

          En réalité, ce n'est d'ailleurs même plus une question de confiance que j'accorderais sur une base technique ou sur la base d'une assise communautaire.
          Un chapeau rouge, une origine américaine, une société commerciale derrière, ces trois éléments me suffisent désormais à fuir. Ceci dit, s'il était bleu, l'origine française et une société non commerciale derrière, je resterais très vigilant.

          En terme de sécurité, je n'ai plus aucune confiance illusoire à accorder à quiconque, dans ce monde largement dégénéré où la gouvernance mondiale se met en place, pour organiser l'esclavage des peuples.
          • [^] # Re: Manque Fedora dans le lot

            Posté par . Évalué à 5.

            > J'ai bien précisé la période pendant laquelle j'ai utilisé Fedora 9.

            Je demande à voir, j'utilise sans interruption Fedora depuis Core 2 et je n'ai jamais observé ce comportement. La seule fois où par défaut, le mot de passe administrateur n'était pas requis pour les mises à jours c'est au tout début de F-12 dans les conditions cités précédemment et ça a été très rapidement désactivé.

            > Personnellement, il m'est impossible de faire confiance à nouveau à Fedora si je veux une sécurité minimale.

            Tu as tort.

            > Un chapeau rouge, une origine américaine, une société commerciale derrière, ces trois éléments me suffisent désormais à fuir.

            Le chapeau en question est bleu, et Fedora est construit autour d'un pacte entre la communauté et Red Hat. Depuis Fedora 7, la gouvernance du projet est assumé par la communauté mis à part l'aspect financier. Red Hat ne fait pas ce qu'elle veut dans Fedora, sans cela, il aurait été impossible de construire une communauté aussi large de contributeurs tel que Fedora.
            T'as quoi, 80% des contributeurs qui bossent pas chez Red Hat et qui en ont rien foutre des chapeaux rouge et autres.
            • [^] # Re: Manque Fedora dans le lot

              Posté par . Évalué à 0.

              J'ai toujours cette machine en l'état. Je m'en sers hors connexion Internet.
              Si tu demandes vraiment à voir...
              Par ailleurs, je tiens mes notes à ta disposition.

              Je crois en savoir sur Fedora et sa gouvernance bien plus que l'utilisateur moyen. Tu sais comment je peux prétendre ça ? Je t'ai lu, depuis quelques années et j'ai pris le temps de vérifier (un peu) tes propos.
              Concernant le chapeau : << il ne représente pas Fedora, mais Redhat. Le chapeau bleu date de Fedora Core 4, du temps ou Fedora Core n'avait pas de logo >>, dixit "pingoomax" modérateur sur les forum de fedora-fr.org :
              http://forums.fedora-fr.org/viewtopic.php?id=14447&p=4
              "Pingoomax" déclare aussi : "Le logo de fedora, vous le connaissez (si vraiment vous ne voyez pas de quoi je parle, il est tout en haut à gauche de chacune des pages de ce site!!) alors utilisez celui-là!".

              Quant à savoir si j'ai tort, mets toi à ma place, envisage que tu ais expérimenté ce que je rapporte et tu comprendras. Fedora ayant une longue histoire, je ne peux pas me contenter de supputer que j'ai rencontré un bug impétueux.

              Si vraiment tu veux vérifier mes propos, je crois que c'est possible, mais ne viens pas avec un chapeau bleu, tu ne seras pas crédible.
              • [^] # Re: Manque Fedora dans le lot

                Posté par . Évalué à 1.

                > Je crois en savoir sur Fedora et sa gouvernance bien plus que l'utilisateur moyen.
                Je suis contributeur au projet à différents titres et ce depuis plus de 4 ans donc je connais assez bien l'évolution du projet. Et j'ai des sources de première main sur l'historique du projet Fedora pour me corriger donc bon.

                > mais ne viens pas avec un chapeau bleu, tu ne seras pas crédible
                Tu t'enfonces, parce que de un, c'est toi qui a parlé de chapeau rouge en premier et de deux, voilà ce que t'ai répondu: Le chapeau en question est bleu
                Ça contredit nullement les propos de pingoomax. Fedora n'a jamais utilisé de chapeau rouge dans sa communication, et le chapeau bleu n'est plus utilisé pour se différencier visuellement de RH (et je vois qu'il y a encore des gens pour confondre RH et Fedora).

                > envisage que tu ais expérimenté ce que je rapporte et tu comprendras
                Je comprends que ce problème n'a jamais été reporté et que tu ais le seul à l'avoir eu.
                * Yum n'a jamais permis ce comportement
                * Pirut le gestionnaire graphique par défaut dans F9 non plus
                * Yumex toujours pas
                Reste PK qui avait fait son introduction dans F9 mais le comportement en question n'était même pas implémenté et il n'a été activé par défaut dans F-12 que lors d'une courte période.

                La seule conclusion logique c'est soit les rayons cosmiques ont perturbés ta machine, soit plus probable, une erreur s'est glissée dans l'interface chaise-clavier.
                • [^] # Re: Manque Fedora dans le lot

                  Posté par . Évalué à 0.

                  Chapeau rouge : tu n'as jamais vu un salarié de Redhat en porter un ?
                  Tu développes pour Fedora ?
                  Toi aussi tu perds des points...

                  Ma machine attend ton expertise, mais je doute que tu oses venir faire le constat.
                  Je suppose que les fichiers de log pourraient révéler ce qui s'est passé, n'est-ce pas ?

                  Bon je te poses des questions, mais je n'attends plus de réponse. Je te félicite pour ta défense bien légitime. Pour ma part, je n'ai plus rien à ajouter.
                  • [^] # Re: Manque Fedora dans le lot

                    Posté par . Évalué à 0.

                    Ha, j'ai marché dedans...
                    le chapeau rouge, c'est Redhat, c'est entendu. Tu laisses entendre que je l'associe maladroitement à Fedora. Il est question de chapeau bleu pour Fedora Core 4, comme je l'ai écrit. Mais c'est vrai que cette histoire de chapeau est vraiment secondaire, c'est pour ça que je propose à tout le monde de compter les points sur l'essentiel.

                    L'essentiel c'est mon témoignage et ma proposition.
        • [^] # Re: Manque Fedora dans le lot

          Posté par . Évalué à 1.

          Les statistiques montent que 62% des utilisateurs de Fedora ont SELinux en mode enforcing, environ 8% en mode permissif donc faut relativiser sur une base d'utilisateur de plusieurs centaines de milliers d'utilisateurs.
          Enforcing peut être, mais en mode targeted sans doute, pas strict.
          Car en strict c'est quand même une autre pair de manche.
          (et fedora n'est pas en mls non plus, dommage).
          • [^] # Re: Manque Fedora dans le lot

            Posté par . Évalué à 2.

            Effectivement, très peu de personnes utilisent le mode strict.
            Fedora est une distribution généraliste, donc la politique SELinux par défaut doit convenir à un maximum de personne. Le mode targeted confine les services critiques (httpd, virtualisation, mail server, database etc ....) et offre une sécurité minimale pour le reste.
            Même si audit2allow facilite la tâche, le mode strict demanderait d'écrire des politiques selinux pour bon nombre de paquets (voire patcher certaines gruikeries), on peut décemment pas exiger de l'utilisateur moyen d'être un expert SELinux pour pouvoir utiliser Fedora sur un poste de travail.

            Tout n'est pas rose vu que la couverture des services critiques par le mode targeted n'est pas proche de 100%, par exemple, parmi les serveurs web, il n'y a guère qu'Apache qui possède une politique SELinux.
  • # Y a que sur TrollFR qu'on peut voir ça !

    Posté par (page perso) . Évalué à 0.

    Si l'utilisation du système ne réclame pas une gestion poussée des processeurs multi-cœurs, si on accepte d'avoir moins de fonctionnalités que sous Linux et un support qui ne s'étend pas sur une durée très longue, alors OpenBSD peut s'avérer un choix tout à fait respectable.

    Magnifique ! Tu aurais du ajouter que c'est aussi une communauté d'intégriste alcoolique et ça aurait été parfait.

    Bon sinon tu lui reproche quoi à sa gestion du SMP ? Il te manque quoi comme fonctionnalité ? Et le support c'est un peu comme linux si tu fou des trucs exotiques t'as moins de chance que ça marche mais bon si tu met des serveurs exotiques aussi ....
    • [^] # Re: Y a que sur TrollFR qu'on peut voir ça !

      Posté par (page perso) . Évalué à 10.

      >>> Magnifique ! Tu aurais du ajouter que c'est aussi une communauté d'intégriste alcoolique et ça aurait été parfait.

      Je suis resté parfaitement factuel et j'ai essayé de citer les avantages comme les inconvénients. Dans le domaine technique essayer d'avoir une démarche rationnelle plutôt qu'idéologique je crois que c'est mieux non ?

      >>> Bon sinon tu lui reproche quoi à sa gestion du SMP ?

      Je ne reproche rien. Je cite juste le fait que les devs d'OpenBSD ont choisi (pour des raisons de sécurité et de facilité d'audit) d'avoir un noyau plus simple que Linux. C'est un choix parfaitement défendable.
      Le SMP se base par exemple sur un big kernel lock car c'est une solution simple. La conséquence c'est que les perfs sur un multicore sont nécessairement inférieures.

      Va lire par exemple le post très intéressant d'Herodiade ici (à propos de l'interview de spender) : https://linuxfr.org//comments/1054622.html#1054622

      Extrait : "Je trouve enfin que ses remarques sur l'utilité, la complexité, et la taille du noyau d'OpenBSD sont assez justes : c'est un noyau très rudimentaire par rapport à Linux, évoluant lentement, et offrant bien moins de fonctionnalités et des performances assez limitées. Il est donc normal que ce noyau soit moins exposé aux problèmes de sécurité. Précisons tout de même que c'est un choix intentionnel de la part des développeur de cet OS.
    • [^] # Re: Y a que sur TrollFR qu'on peut voir ça !

      Posté par (page perso) . Évalué à 10.

      >>> Et le support c'est un peu comme linux si tu fou des trucs exotiques t'as moins de chance que ça marche

      Ah j'avais oublié cette question.
      Je me suis mal fait comprendre: Dans la dépêche je parle du support court d'OpenBSD au sens de "publication de corrections de bugs pendant une longue durée pour une version donnée". Rien à voir avec la compatibilité matérielle donc.
      C'est un fait que le team d'OpenBSD propose le support sur 2 versions maximum soit un an (voir http://www.openbsd.org/faq/fr/faq5.html#Flavors) ce qui peut paraître court pour certains utilisateurs.

      Encore une fois je ne crache pas dans la soupe. Tout est question de compromis et les devs d'OpenBSD on fait des choix qu'il faut respecter : "Le support d'anciennes versions nécessite des ressources et du temps, et alors que nous pourrions vouloir plutôt fournir un support continu pour les anciennes versions, nous préférerons nous concentrer sur les nouvelles fonctionnalités".
  • # et pendant ce temps

    Posté par . Évalué à -10.

    L'écosystème des news GNU/Linux sur dlfp est patrick_g-isé Le site LinuxFR en recense plus de 300 et ce chiffre est sans doute une sous-estimation.
    On trouve bien entendu les "grandes" que tout le monde connaît (Kernel, Cinéma, Bases de données) mais il existe une multitude de petites depêches, de commentaires plus ou moins pertinents, de journaux divers et variés.
    Pour certains de ses écrits, il a choisi de se spécialiser dans le secteur des changelog de Linux et il m'a semblé intéressant de regarder d'un peu plus près ce qu'ils avaient à proposer.

    Il n'est pas question ici de changelogs bruts de forme qui permettent de consulter l'historique des commits des développeurs du noyaux (du type Toolinux ou PCinpact). Ces textes sont incontestablement nuls mais ce n'est pas le sujet de ce commentaire. Ce qui va être examiné ce sont les depêches-changelog de patrick_g< qui veulent proposer une information au dessus de la moyenne. Seront également examinées certains commentaires moinssés pour casser un peu le mythe patrick_g.
    La niche trollifique de ces depêches spéciales, c'est la promesse d'une capacité supèrieure à déclencher le troll par le biais de diverses moyens de rhétorique.

    Dans la suite de la dépêche nous examinerons donc rien du tout parce que même Chuck Norris a trop de travail pour parodier une dépêche de patrick_g.
  • # sympa la dépêche

    Posté par . Évalué à 3.

    Sympa la dépêche. Le ton très journalistique la rends agréable à lire. Mais peut être un peu trop journalistique ? Ce n'est n'est nullement un reproche, juste que cela m'a fait bizarre ce ton très professionnel pour une dépêche qui passe à côté de quelques autres distributions "spécialisées sécurités" qui semblent tout aussi intéressantes, voir plus, que certaines citées ici. Par exemple :

    http://annvix.org
    Une distrbution à la longue histoire, éditée par deux frères, dont un ancien monsieur sécurité de chez Mandriva, aujourdhui employé Redhat? Distribution vivante, "sérée", avec un bon retour support.

    Un autre : http://connectiva.com qui a hébergé Harald Weld ... j'imagine qu'il reste de belles choses dans les distributions dérivées...

    Encore un exemple, comment passer à côté de celui-ci puisque citant une autre distro commerciale ?
    http://www.astaro.com

    Cdt
    • [^] # Re: sympa la dépêche

      Posté par (page perso) . Évalué à 5.

      Annvix est citée dans les distribs mortes. J'ai mis un hyperlien vers l'annonce d'abandon du dev principal que je recolle ici : http://blog.annvix.org/?/archives/93-Annvix-3.0-RELEASE-Frey(...)

      Je ne connais pas les 2 autres distribs (à part de nom pour Connectiva)....mais de toute façon c'était une tâche impossible que de tout évoquer. Je regrette quand même, à la lecture du commentaire de GeneralZod, de ne pas avoir fait un paragraphe sur Fedora.

      Quand au ton de la news...ben c'est un sujet que je ne maitrise pas vraiment et sur lequel j'ai encore moins de compétence que d'habitude alors je crois que j'ai un peu marché sur des oeufs.
      • [^] # Re: sympa la dépêche

        Posté par . Évalué à 3.

        arf désolé si mon commentaire a été brusque, je le suis parfois/souvent sans m'en rendre compte. Non c'était juste que cela m'a fait bizarre, en réalité, de voir une distribution commericale citée, quant Astaro ne l'est pas. En plus cela est un exercice d'autant plus difficile que la dépêche parle autant de solution pour sécuriser, renforcer, le système, que de disrtibutions plutot orienté sécurité serveurs et pare-feu. Le champ est vaste.

        Comme me disait le petit fils de Mme Michue l'autre jour au pmu :
        "la sécurité n'est pas un produit mais un process"
        Et l'écosystème libre (gnu/linux et bsd/bsd) met cette maxime particulièrement en valeur.
        • [^] # Re: sympa la dépêche

          Posté par (page perso) . Évalué à 2.

          >>> arf désolé si mon commentaire a été brusque

          Je ne l'ai pas du tout ressenti comme tel.
          • [^] # Re: sympa la dépêche

            Posté par . Évalué à 6.

            Moi je vais être brutal.
            Ce titre:
            "Les distributions GNU/Linux sécurisées"
            Ca veut dire que les autres ne le sont pas ?

            pBpG avait donc raison depuis le début, je le savais.
            • [^] # Re: sympa la dépêche

              Posté par (page perso) . Évalué à 4.

              Ben c'est à dire que "Les distributions installables (ou certains patchs ou paquets spéciaux pour des distributions préexistantes) qui ont l'ambition de proposer une sécurité au dessus de la moyenne si tant est que ce soit vrai" c'est pas super comme titre.
              • [^] # Re: sympa la dépêche

                Posté par . Évalué à 3.

                Et quid de "La sécurité sur Linux: Où en est-on ?"

                D'autant que tu conviens que les distribs orientées sécurité sont maintenant obsolètes.

                Mais c'est vrai que j'avais juste envie de libérer un petit troll en ce vendredi ensoleillé.
            • [^] # Re: sympa la dépêche

              Posté par . Évalué à 7.

              Cela veux dire que certaines le sont plus que d'autres, plutot, certainement, non ? ;)
              Et que parmis ces dernières, il y a celles qui remplissent des rôles particuliers au sein d'une infrastructure.

              Maintenant dans le genre distributions très spécialises, sécurisées et conçue comme brique d'un ensemble plus vaste, on pourrait regarder celle ci : Polyxène, qui remplie les critères EAL 5
              (...)
              http://www.ssi.gouv.fr/site_rubrique53_certificat_2009_18.ht(...)

              A titre de comparatif, Windows, dans son édition Très spéciale (!) "Internet Security and Acceleration" pour server 2000 et 2004 atteind respectivement EAL2 et EAL4. Par contre ils mettent une superbe tartine explicative sur ce que sont les critères, leur engagement, le travail commun (sic) pour atteindre un tel niveau. En ajoutant qu'aucun autre produit digne de ce nom n'a d'intérêt d'aller au delà (!!). Bon en même temps on ne peut leur reprocher de faire leur pub sur leur site lol (msdn en l'occurence)
              • [^] # Re: sympa la dépêche

                Posté par . Évalué à 2.

                • [^] # Re: sympa la dépêche

                  Posté par . Évalué à 2.

                  EAL5 pour du Xen... Franchement ça déchire les anus de maman ours, ça \o/
                  • [^] # Re: sympa la dépêche

                    Posté par . Évalué à 1.

                    Hum... faudrait ce qu'ils ont testé, car ...

                    http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=464969

                    Xen c'est pas non plus d'une legereté et d'un minimalisme à toute épreuve... surtout comparé à L4 par exemple.
                    • [^] # Re: sympa la dépêche

                      Posté par . Évalué à 1.

                      Non ils ont pas dû tester, ils ont dû trouver la certification EAL5 dans un kinder surprise ;)
                      • [^] # Re: sympa la dépêche

                        Posté par . Évalué à 1.

                        C'était pas ce que je voulais dire non plus, mais

                        1) Ces certifications sont très normalisées, elles testent des points précis. Mais ne peuvent pas tout couvrir, de la même manière qu'on a déjà vu des exploits dans des distributions certifiées...

                        2) Il faut quand même avouer que XEN... hum.

                        3) D'ailleurs on ne sait même pas si c'est vraiment du XEN, vu le nom des participants, vu le fait qu'ils marquent "une API XEN" etc, ça n'est pas tout à fait sûr.

                        4) Et comme visiblement on peut pas tester le code, vu qu'il n'est pas à disposition en téléchargement....
                • [^] # Re: sympa la dépêche

                  Posté par (page perso) . Évalué à 7.

                  Et, pour ne pas la citer, on la doit à Mandriva, qui soutenait aussi le développement de Bastille. C'était à l'époque de la version 8.2 qui a failli lui faire mettre la clé sous la porte, parce qu'elle avait trop investi en direction du grand public.

                  J'apprécie toujours Mandriva lorsque je dois installer un système bureautique un minimum sécurisé en quelques minutes. (pas un openbsd donc)

                  Alors bien-sûr s'il faut selinux pour sécuriser un poste, ce n'est pas automatisé.

                  J'avais fait rigolé 2 amis debianistes avec ma Mandriva que je configurait comme une freebsd, c'est à dire en choisissant un "niveau de sécurité" lors de l'installation, et c'est tout.

                  Ce gadget les a empêché pendant près d'une heure de lancer ne serait-ce que top, df ou cat /proc/ (mais c'est pas par là qu'on passe de toute façon...), jusqu'au moment où ils ont trouvé Xorg intentionnellement ouvert. C'était il y a quelques temps déjà, mais ça montre combien les préjugés font la part belle au ronflant.

                  Donc une distribution sécurisé, c'est quoi ?
                  Un selinux avec sudo et un compte admin de 3 chiffres ?
                  De faire mise à jour de versions après mise à jour de versiosn, sans formatter le système, ce que tout bon système bsd vous contraindra de faire, même si il n'y a pas vraiment le choix ? :-)
                  De bloquer /proc, d'interdire la lecture des répertoires, de mettre quelque chose dans /etc/hosts et /etc/security, de vérifier que /var n'est pas plein à craquer avec les droits d'écriture, de lancer des services à la chaîne avec une distribution étiquetée "sécurisé" (vous pouvez y aller !), ou encore de laisser des postes sans mot de passe en init 1 (openbsd le fait bien) ?
                  Sans parler du cryptage du système (de ce côté là, Fedora se défend bien :-) ) pour vos collaborateurs qui transportent 2 ans de recherche dans des aéroports à l'autre bout du monde, ou même pour la traversée de Paris... ;-)

                  Une slack ou une netbsd de base bien configurées, peuvent alors se révéler bien moins vulnérables qu'une Red Hat, par exemple puisqu'on en parle beaucoup ici, dans de mauvaises mains.
                  Car on l'oublie trop souvent mais sur une distribution ou une autre, on peut y mettre les mêmes logiciels. C'est ainsi que les utilisateurs d'ubuntu (il fallait que je la place quelque part) vous expliquent que tel ou tel logiciel, c'est sur ubuntu...

                  Je suis assez d'accord avec le message lu plus bas sur le manque de métriques.

                  La meilleure sécurité, c'est encore de pas l'allumer. (oups)
      • [^] # Re: sympa la dépêche

        Posté par . Évalué à 6.

        Les commentaires (pertinents) sont là pour combler les éventuels manques ...


        Pour ma part mon avis c'est que si il manque un truc à cette dépêche c'est quelque chose de vraiment objectif pour le coup, mais qui demanderait un boulot monstre et de vraies connaissances :
        pour comparer objectivement la sécurisation des distribution, des métriques un peu objectives seraient par exemple le nombre de failles auxquelles elles sont vulnérables, le temps de réponse à une faille, les procédures adoptées en cas de failles, les mettre devant des attaquants un peu costaux pour les laisser attaquer les distros et voir combien de temps elles tiennent, et présenter les résultats.
        • [^] # Re: sympa la dépêche

          Posté par (page perso) . Évalué à 3.

          Ah oui c'est sûr que ce serait génial d'avoir un truc comme ça.
          Mais c'est tellement de boulot et ça nécessite tellement de connaissances pointues que c'est plus la matière d'une publication type Usenix qu'une news LinuxFr.
          • [^] # Re: sympa la dépêche

            Posté par . Évalué à 2.

            Probablement, effectivement. Après si quelqu'un lit Usenix et est motivé pour faire un éventuel résumé des trucs intéressants qui sortent dessus, ça pourrait être intéressant ...
    • [^] # Re: sympa la dépêche

      Posté par . Évalué à 2.

      Correction : Annvix seems to be dead today. Depuis que Danen travaille chez Redhat? il n'a visiblement plus la possibilité de continuer ce projet. Arf les choses changent (...)
    • [^] # Re: sympa la dépêche

      Posté par . Évalué à 2.

      > Un autre : http://connectiva.com qui a hébergé Harald Weld
      Tu veux plutôt dire Conectiva et harald Welte. Conectiva avait une très belle expertise technique mais la distribution éponyme n'a jamais été une distribution spécialisé dans la sécurité à ma connaissance.
      • [^] # Re: sympa la dépêche

        Posté par . Évalué à 2.

        Effectivement, Connectiva n'a jamais de distribution spécialisée sécurité. Tout comme Fedora, cela se faisait dans la branche principale. J'imagine qu'avec quelqu'un Comme Welte, le support de netfilter ne devrait pas être dégeu, un peu comme SElinux pour Fedora.
    • [^] # Re: sympa la dépêche

      Posté par . Évalué à 3.

      Encore un exemple, comment passer à côté de celui-ci puisque citant une autre distro commerciale ?
      [http://www.astaro.com


      Astaro est à ma connaissance basée sur une SuSe. Le produit se décline sous différents types d'utilisation en terme de sécurité (réseau, mail, web). Le gros point fort est indéniablement leur interface de gestion qui est ce qui se fait à mon avis de mieux actuellement.
      En terme de fonctionnalités on retrouve tout ce dont a besoin pour mettre en place un réseau et le sécuriser. A tester (gratuitement) absolument.

      Sinon très bonne dépêche.
  • # Gentoo

    Posté par . Évalué à 10.

    Bonsoir,

    Je ne suis pas du tout d'accord avec ce retour d'expérience sous Gentoo : http://chdir.org/~nico/blog/posts/Gentoo_Hardened__44___parc(...)

    Le gars ne fait aucun effort pour comprendre le fonctionnement de la distribution et ses spécificités. Si cela le gonfle de choisir les options pour la compilation de ses paquets ou l'installation des programmes et compare en permanence a Debian qui a un autre fonctionnement, il s'est clairement trompé de distrib.

    Il n'y a pas de débat possible entre Debian s'est mieux que Gentoo (ou le contraire). Les deux distribs ont des modes de fonctionnement différents. Personnellement je suis complètement paumé sous Debian lorsque j'y suis et impossible de m'y retrouver dans les fichiers de conf a droite ou a gauche. C'est qu'une question d'habitude ! :)

    Le retour d'expérience sur Gentoo hardened (qui m'intéresse car je n'ai jamais franchi le pas) m'intéressait mais là ça vaut zéro car il ne dépasse pas le stade du fonctionnement basique de la distrib. Dommage.
    • [^] # Re: Gentoo

      Posté par . Évalué à 2.

      Hello,
      +1,
      Il a pas testé gentoo là, il a fait preuve de mauvaise fois.
      Le coup du iptable avec son "command not found", c'est plus que pitoyable.
      Il est incapable de lire une doc, après c'est tout, mais qu'il ne vient pas critiquer gentoo...
      (ce n'est quand même pas compliqué de se renseigner sur les paquets hard masked, les profiles et autres...)

      Alalala, il vaut mieux en rire finalement, heureusement que debian est ce qu'elle est, pour résister à ce genre de personnage ^^.
      Mais c'est dommage de mettre de genre de chose sur internet, comme quoi c'est la preuve que l'on trouve tout et n'importe quoi sur la toile :).
      • [^] # Re: Gentoo

        Posté par (page perso) . Évalué à 2.

        >>> Mais c'est dommage de mettre de genre de chose sur internet

        J'ai cherché des retours d'expérience sur le web à propos de Gentoo Hardened et je n'ai trouvé que celui-là. Maintenant je ne sais pas si effectivement l'auteur du texte raconte des bêtises ou pas (à voir son blog j'ai l'impression qu'il s'y connait pas mal dans le domaine de la sécurité).
        Il serait utile je pense que les utilisateurs satisfaits de Gentoo Hardened postent des retours d'expérience.
        • [^] # Re: Gentoo

          Posté par . Évalué à 1.

          Oui, je comprends ce que tu veux dire. Des que je récupère une machine x86(_64?) j'essaierai de mettre une gentoo hardened et je ne manquerai pas de te donner mon point de vue (Sachant que je n'y connais rien en sécurité...)

          En tout cas, merci pour ton article, c'est tres intéressant de faire des points comme tu l'as fait sur la sécurité.
    • [^] # Re: Gentoo

      Posté par . Évalué à 5.

      mais là ça vaut zéro

      Ah mais pas d'accord, ça atteint un très haut niveau de bêtise !

      J'espère juste que, contrairement à ce qu'il annonçait, il n'a pas essayé d'être objectif.
    • [^] # Re: Gentoo

      Posté par (page perso) . Évalué à 2.

      Salut c'est l'auteur de cette montagne de boue linkée,


      Ça fait plaisir de voir que ce post datant de l'année dernière fait toujours autant parlé de lui :)

      Je suis totalement d'accord que le ton de ce post est 100% trollesque. Néanmoins, lorsque j'avais testé Gentoo Hardened, c'était avec la meilleure volonté du monde et une relative neutralité initiale, sisi, juré.

      Tout le monde l'a remarqué : je n'ai aucune expérience dans Gentoo, je ne l'ai jamais nié : c'est bien pour ça que j'ai suivi à la lettre les instructions. Comment expliquez vous que je n'ai pas été capable d'avoir une installation fonctionnelle (alors qu'Owl et OpenBSD ne m'ont posé aucun soucis) : Soit je suis stupide, soit la documentation avait/a quelques lacunes, soit les paquets avaient un bug.

      Comme le soulignait un commentaire plus bas, mon post est dénué d'information technique : ben ouais, puisque j'étais incapable d'avoir un environnement accueillant, je n'ai même pas eu le temps de tester les fonctionnalités de sécurité (le but initial quand même).

      Promis, je referai le test dans quelques temps, d'ailleurs, si un Gentoo-er a envie de me filer un coup de main si j'ai besoin de support...
  • # owl et openvz

    Posté par . Évalué à 1.

    Openwall a toujours été considérée comme une bonne distro. Propre etc...

    Par contre le choix d'openvz me laisse dubitatif... dans le genre blob immonde mal supporté , mal maintenu... hum (oh ils viennent de faire une version 2.6.32 ... la dernière etait la 2.6.27...)

    A coté de ça il y a quand même les conteneurs, linux-vserver, et le fait que les deux se couplent très bien avec grsec/pax...
    • [^] # Re: owl et openvz

      Posté par (page perso) . Évalué à 1.

      Dis m'en plus, ça m'intéresse !

      Je commence à penser à isoler des services / sites / apps avec openvz. Ça me parait bien pratique niveau maintenance/conflits/ressources-allouées (pseudo-systèmes isolés avec leurs propres versions de logiciels et la conf qui en dépend...) et pour les migrations de serveurs...

      J'ai cherché un peu au niveau sécurité, mais j'ai rien eu à me mettre sous la dent...

      Tout retour d'expérience est bon à prendre.
      Je te suis tout ouï :-)
      • [^] # Re: owl et openvz

        Posté par . Évalué à 1.

        Bah, plusieurs choses

        Le code de vserver est super clean, les patchs sont d'une simplicité déconcertante, même en ayant jamais lu de code noyau il est aisé de comprendre ce que font la plupart des modifs. On ne peut pas en dire autant d'openvz.

        De même, vserver suit très bien le noyau, des patchs sont disponibles des les premieres RCs, à l'inverse pour openz, rien entre 2.6.27 et 2.6.32. Ils ont tendances à ne faire que des patchs pour les noyaux utilisés par RHEL.

        Enfin, il faut quand même se rappeller qu'openvz ,c'est un virtuozon--, et que le but est d'inciter les gens à l'acheter.

        Oui, j'ai un avis très partial sur la question :)
        • [^] # Re: owl et openvz

          Posté par . Évalué à 2.

          De même, vserver suit très bien le noyau, des patchs sont disponibles des les premieres RCs, à l'inverse pour openz, rien entre 2.6.27 et 2.6.32. Ils ont tendances à ne faire que des patchs pour les noyaux utilisés par RHEL.
          Des patchs pour les noyaux ayant un maintenance à long terme plutôt non?
          http://linuxfr.org//~patrick_g/29283.html
          • [^] # Re: owl et openvz

            Posté par . Évalué à 1.

            Oui,

            Mais cela montre quand même quelques trucs:

            Ils n'ont pas le temps/envie etc de faire des patch pour toutes les versions du noyau

            Il y a une forte volontée commercial derrière et une orientation vers le publique "entreprise". C'est pas forcément dérangeant en soit selon les besoins, en revanche, on peut trouver dommage que la communauté soit mise de coté.
    • [^] # Re: owl et openvz

      Posté par . Évalué à 1.

      A coté de ça il y a quand même les conteneurs, linux-vserver, et le fait que les deux se couplent très bien avec grsec/pax...
      Autant je vois pas trop à quoi correspond les conteneurs (c'était pas une appelation générique ca normalement?), autant je vois tout à fait vserver et openvz.
      Et donc je t'invite à faire une conf réseau poussé avec vserver, et a tester avec openvz la même conf.

      Openvz a certainement des défauts, mais ne pas oublier qu'il n'est pas impossibles que d'autres projets aussi.
      • [^] # Re: owl et openvz

        Posté par . Évalué à 1.

        Quand je disais conteneurs, je pensais à lxc.

        Chaque projet a ses défauts en effet.

        Au niveau isolation réseau, seul les jails et lxc le font bien.

        Vserver ne le fait pas du tout. Si on veut faire des choses bizarres il faut hacker avec les outils standards de linux (typiquement iptables pour isoler les vservers entre eux).

        En revanche openvz, le fait... à moitier, vu que tu sembles connaitre le sujet je t'invites à tester l'ipv6 ou le policy routing (tables de routage multiples), ou autre "conf réseau poussée" avec veth/venet tu comprendras que ceux ci sont très très limités.
  • # Distribution

    Posté par (page perso) . Évalué à 3.

    Je pense que comme certains l'ont dit un peu plus haut avec le débat gentoo/debian, la distribution sécurisée est celle que l'on connaît et maîtrise. Il est par exemple *facile* de rendre OpenBSD vulnérable et par opposition rendre windows solide comme un roc (si si c'est possible :) ).

    La sécurité de mon point vue est facilitée par des logiciels simples à configurer avec une bonne doc et un support.. (par exemple perso j'aime bien la configuration des logiciels de DJB).
    L'évaluation de la sécurité se fait aussi par d'autres critères tels que le temps de correction d'une faille de sécurité et de la QA pour tester le patch. On évitera des logiciels avec un historique répétitif de failles.

    On voit cependant une réelle évolution des distributions, tout d'abord avec une remonté des bugs, des personnes dédiées à la sécurité, et même si tout n'est pas parfait on en prend le bon chemin.

    http://www.theatre-eibel.fr http://www.isc2chapter-yorkshire.co.uk

  • # Tu ne me le demandes pas

    Posté par (page perso) . Évalué à 6.

    mais voila mon avis :

    >> S'en tenir à sa distribution et ne rien changer. Après tout Linux est un système relativement bien sécurisé

    Relativement.
    On pourrait croire que c'est bien, mais en fait, tout ce que je comprends, c'est « la porte d'entrée est bien fermée, mais j'ai laissé la véranda ouverte. »
    La sécurité d'un système n'est pas « relativement » quantifiable, dans la mesure où une attaque est *toujours* faite pour cibler les recoins mal protégés. Aucun intérêt à attaquer ce qui est protégé, donc le « relativement, » qui suggère une "randomisation" (en moyenne, tout ce qui est attaqué est sécurisé) me parait mal adapté et limite.


    >> et, en outre, le mode de distribution des logiciels par dépôt supprime la majorité des attaques.

    La majorité des attaques ne se passent pas par les dépôts, mais par les logiciels et l'OS lui même. On pourrait m'envoyer un CD par semaine ou me filer un accès git-hub sur chaque projet que ça ne changerait rien.
    En en plus, la centralisation fait que le risque (et la tentation !) est bien plus élevé en cas de compromission du dépôt. Et ça c'est déjà vu…


    >> qu'il faut faire confiance aux auteurs de Grsecurity plus qu'aux développeurs de Linux.

    Ce qui ne change *rien*, en dehors de l'opinion de Skippy le grand gourou.
    Si Grsecurity était dans le noyau, je ne lui ferais pas plus (ni moins) confiance. C'est l'avis de Torvald qui fait que le patch n'est pas intégré, et ses mots n'ont pas d'influence sur la qualité du travail de Brad. Voire, la job est mieux faite car il n'est pas nécessaire de se soumettre aux caprices des autres devs du noyau.
  • # Niche écologique... vraiment ?

    Posté par (page perso) . Évalué à 2.

    Une distribution n'est pas un être vivant. Mettre le terme "écologique" pour tout et rien parce que c'est à la mode, c'est n'importe quoi. :|

    (Et puis écosystème aussi, tant qu'on y est... )

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.