Journal (Enfin) les détails sur l'intrusion des serveurs Fedora

Posté par .
Tags : aucun
6
31
mar.
2009
Rappel de l'intrusion des serveurs Fedora et Red Hat :
http://linuxfr.org/~patrick_g/27082.html

Les détails de l'intrusion sur les serveurs Fedora :
http://www.redhat.com/archives/fedora-announce-list/2009-Mar(...)

"Bonne nouvelle", ce n'était pas l'exploitation d'une faille de sécurité :
The compromise was not the result of a software vulnerability, and as we have previously stated, our investigation has revealed no such vulnerabilities. Instead, the intruder took a copy of a SSH private key which was not secured with a passphrase from a system outside the Fedora infrastructure.

Ce message de Paul Frields ne concerne que l'intrusion des serveurs Fedora :
This report concludes the matter from the Fedora Project's perspective, and provides a final accounting of the intrusion event and response by the Fedora infrastructure and management teams.

Aucun information sur l'intrusion des serveurs Red Hat (Red Hat n'a pas promis en fournir). Mais pour le projet Fedora, et au-delà, il y a enfin les informations attendues.
  • # (Enfin) les détails sur l'intrusion des serveurs Fedora

    Posté par . Évalué à 10.

    Ok, l'incompétence viens de la part d'un administrateur/développeur de Fedora, donc ? Ça promet, une clé SSH non sécurisée par une passphrase ...

    « Je vous présente les moines Shaolin : ils recherchent la Tranquillité de l'Esprit et la Paix de l'Âme à travers le Meurtre à Main Nue »

  • # [Des informations,] Red Hat n'a pas promis en fournir...

    Posté par . Évalué à 9.

    C'est marrant, ce n'est pas toi qui nous parle tout le temps de la transparence de Red Hat ?

    Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

    • [^] # Re: [Des informations,] Red Hat n'a pas promis en fournir...

      Posté par . Évalué à 5.

      Bah ils ont pris le temps de l' enquête, et ils livrent l' essentiel des informations aux yeux de tous.
      Ensuite pour les intrusions sur les serveurs Redhat, il est pas bien difficile de deviner...

      Il y a une diff entre une certaine arrogance, parfois, de la part d' IsNotGood, et les infos données par Redhat et relayées par IsnotGood ici ;)


      IsNotGood pour l' arrogance, si tu as un doute, encore dans ton dernier message tu fustiges Mandriva (du genre "c' est pas avec les contributions noyaux de mandriva que ça avance") alors que tu sais, et de nombreuses personnes l' ont répétées, que mandriva n' a pas les moyens de redhat. Et d' ailleurs si certains se prennaient la peine... il y a fort à parier qu' en terme de poucentage "nombre de dev noyau+Xorg+bureaux / contributions noyau+Xorg+bureaux" mandriva obtiens un meilleur % que Redhat ;)) Amicalement quant même. Et merci pour avoir relayer l' information, de cette dépêche, de manière objective.
      • [^] # Re: [Des informations,] Red Hat n'a pas promis en fournir...

        Posté par . Évalué à 5.

        Tous ces procès contre moi, c'est flatteur...
        Mais fatiguant.

        > encore dans ton dernier message tu fustiges Mandriva (du genre "c' est pas avec les contributions noyaux de mandriva que ça avance")

        Et ?
        C'est vrai, je n'y suis pour rien.
        Il y a bien des gens qui "fustigent" Red Hat de ne pas aller dans le marché du Desktop.
        Ben ils ont raisons.
        D'autres qui disent que Red Hat pour la virtualisation a du soucis à se faire face aux gros Vmware et Hyper-v.
        Ben ils ont raisons (disont que ce n'est pas encore joué).
        D'autres disent que Red Hat manque de couille dans le marché du Desktop (voir le quasi abandon de Red Hat Linux Global). Ben oui, dans ce demaine Red Hat n'est pas très courageux.
        D'autres fustigent Red Hat en disant que sans la communauté du libre Red Hat ne serait pas là où il est. Ben ils ont 100 % raisons (et Red Hat n'a jamais dit le contraire).

        Ce n'est pas car quelque chose n'est pas agréable qu'il est orragant.

        A propos d'arrogance, n'est-ce pas Mandrake qui a dit plus d'une fois concurrencer Windows et que MS avait du soucis à se faire ?
        N'est-ce pas de l'arrogance ?
        Évidemment que oui. Mais les gens aiment ça...
        Red Hat n'a jamais eu cette arrogance (du moins dans le desktop et dans le serveur Red Hat dit jusqu'à maintenant concurrencer principalement Unix).
        N'est-ce pas Ubuntu qui a l'arrogance de vouloir synchroniser toutes les distributions et les versions majeurs des logiciels libres ?
        Si ce n'est pas de l'arrogance, je suis le pape.

        > alors que tu sais, et de nombreuses personnes l' ont répétées, que mandriva n' a pas les moyens de redhat.

        Il n'a jamais été reproché à Mandriva de faire selon ses moyens. Évidemment. Je n'ai pas dit qu'avec les moyens qu'a Mandriva, Mandriva pourrait en faire plus. Tu ne trouveras pas le moindre commentaire de ma part qui dit ça. Par contre, tu trouveras des commentaires qui ne sont pas convaincus, pour le moins, par les choix de Mandriva.
        Si tu retournes dans le thread où je dis que les contributions de Mandriva sont faibles, c'est probablement un thread qui refuse de reconnaitre l'importance de Red Hat (ou Novell ; globalement des acteurs commerciaux importants), qui refuse d'admettre que Linux a besoin d'un éco-système solide avec des entreprises qui investissent en développement et pas seulement qui packagent des logiciels.
        C'est ça le fond du propos. L'éco-système (qui investit en développement) est principalement autour de Red Hat et Novell. Mais ça serait Canonical et Mandriva que j'en aurais rien à foutre.
        Certains voudraient qu'on ne parle jamais de Red Hat et Novell. Certes entendre parler d'Intel est "supportable". Intel donne l'illusion de faire du gratuit. Mais Intel vend du matos qui permet de financer des développements. Meilleurs sont les drivers, meilleurs seront ses ventes. C'est intéressé, je n'ai aucun problème avec ça. Au final c'est du code libre, ça ne fait que renforcer le libre.
        Mais il faut reconnaitre qui fait le boulot, ne serait-ce que par respect. Certes, il y a des simplifications qui exagèrent. Par exemple dire que Red Hat est le plus gros contributeur au noyau Linux, peut laisser penser que Red Hat fait 60 % ou plus du noyau alors que c'est grosso-modo autour de 20 %. On oublie aussi les petits mais dont la somme n'est pas petites. Etc.
        Problème classique.

        Ce qui énerve avec Red Hat, c'est que Red Hat réussit mais pas de la façon dont les "zealot" veulent ni dans le domaine qu'ils veulent. Le logiciel libre charrie la gratuité, le don, le "tout le monde le peut", l'indépendance presque absolue, etc. A ceci Red Hat oppose, tout le monde ne peut pas il faut des moyens et des compétences, lorsque vous déployez du libre vous êtes dépendants de ceux qui ont l'expertise, la copie du code est gratuite sa création non, notre code est libre (donc gratuit) mais notre service ne l'est pas, on n'est pas une oeuvre de charité, on est un business qui veut réussir, notre business est de répondre à des besoins d'entreprise qu'elle sont prêtes à payer, pas de faire le bonheur des utilisateurs du desktop, etc. Quand on ajoute que le PDG de Red Hat a dit en gros "je ne sais pas faire de l'argent avec le desktop (de masse) dont je ne le cible pas", ça déclenche la furie des "zealot".
        La réussite de Red Hat ne plait pas car elle confirme le "pragmatisme", la réalité de Red Hat. Réalité qui n'est pas seulement celle de Red Hat (voire Canonical ou Mandriva qui n'arrive pas à faire du pognon). Que Red Hat soit solidement ancré dans le libre ni change pratiquement rien. Donc on veut rejeter cette réussité car elle n'est pas en accord avec l'"utopie" du libre. Je dois reconnaitre qu'aujourd'hui c'est moins vrai. L'actualité de Red Hat (mais aussi Novell, dommage qu'ils copinent avec MS) est important avec des répercutions sur le libre énorme. Mais on en parle très peu ici !
        Si je fais un journal, je me fais explosé et traité d'idôlatrie. Quasi systématiquement le messager est attaqué pour cacher le contenu.

        Cette attitude est stupide. Elle montre en fait que certains ne croient pas au logiciel libre. Un code libre, qu'il soit développé par le vilain Red Hat qui s'en fout plein les poches, est avant tout un code libre ! Et notons que Red Hat n'est pas un pro-BSD (ce qui lui permettrait de faire du proprio), mais un pro-GPL.
        Ce code sera dans Mandriva, Ubuntu, etc.
        Au-lieu de diabolisé Red Hat, voyez votre intérêt. Ce n'est pas définitivement pas une menace pour le libre, c'est tout le contraire et vous profitez, comme il se doit, du libre.
        Au-lieu d'être dans le "je ne veux pas savoir ce que fait Red Hat", soyez dans le "que fait Red Hat qui pourrait m'être profitable".
        Si tu as des informations de Mandriva qui sont profitables au libre (et donc aussi à Red Hat), n'hésitez surtout pas à les données.

        Le "je veux le code libre de Red Hat mais je ne veux pas entendre parler de Red Hat", revient à "je veux du code libre, mais je ne veux pas savoir comme, ou par quoi, il se fait". Ce n'est pas forcément stupide, mais ce n'est pas très respectueux.
        • [^] # Re: [Des informations,] Red Hat n'a pas promis en fournir...

          Posté par (page perso) . Évalué à 3.

          C'est fou ce que ca fait du bien d'entendre quelqu'un qui est pragmatique concret, clair. "IsNotGood, dans mes bras!" (bien que ça fasse plutôt référence à une autre BD).

          Et oui, faire du libre, c'est sympa, gagner de l'argent avec, c'est très difficile et ca demande d'être autrement plus pragmatique que la majorité des défenseurs du logiciel libre.
    • [^] # Re: [Des informations,] Red Hat n'a pas promis en fournir...

      Posté par . Évalué à 0.

      Comment un commentaire aussi débile peut avoir un score de 10 ?


      > ce n'est pas toi qui nous parle tout le temps de la transparence de Red Hat ?

      Non. Ou alors donne un pointeur.

      Je parle de la transparence de Fedora, mais pas de Red Hat. Pour Red Hat je parle d'honnèteté.
      On le sais, je l'ai dit plus d'une fois, il y a plein d'information qu'on n'a pas de Red Hat notamment pour les produits à venir. Y aura-t-il mono dans la prochaine RHEL ? On ne sait pas. Elle sera basée sur quelle Fedora ? On ne sait pas.. On aura les informations à la sortie de la première beta.

      Ça toujours été comme ça. Je ne suis pas assez débile pour parler de la transparence de Red Hat, alors que Red Hat, comme beaucoup d'entreprise commerciale et pour des raisons stratégique, n'est pas transparent sur tout.

      En passant, niveau transparence, Red Hat est mieux que Novell ou Canonical...

      Pour ce qui est de l'honnèteté, et donc de la crédibilité, Red Hat n'a rien à prouver.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.