http://frimouvy.org/wiki/Debian10Commandements(...)
J'attend vos avis et vos corrections.
Je me permet aussi de rappeler que ce serait chouette d'unir les forces des Debianneux en ce qui concerne l'aide et je propose donc de se retrouver tous sur Andesi ( http://andesi.org/forum(...) ) lorsque vous avez une question sur Debian.
Andesi est déjà un rapprochement de plusieurs sites et fora consacrés à Debian francophones. si vous en connaissez d'autres, n'hésitez pas à le dire.
Forum Linux.debian/ubuntu Les 10 Commandements de la Debian..
16
août
2004
# Bof ...
Posté par jerome (site web personnel) . Évalué à 4.
Pour le coup, les commandements intéressants pour Debian sont d'autant plus discutables :
. c'est quoi cette histoire de paquet deb ? Et si l'on sait installer des softs proprement en utilisant la bonne entrée de l'arborescence (/usr/local et /usr/local/src à priori) et pour le fignolage, des softs pratique comme stow ?
. même remarque que précédemment, c'est stupide pour quelqu'un connaissant un peu l'arborescence unix ... (*)/opt peut être par exemple utilisé comme dépotoire pour les applis hors distrib, (/usr/local/opt par exemple), la partition $HOME étant souvent montée "noexec" en plus ...
. quid d'expérimental dans la "philosophie" Debian ?
. il sort d'ou ce seuil au niveau du nombre de backports (pas DTC, j'ose espérer),
. apt-listchanges ?
Je pense qu'il y a trop d'amalgames, d'imprécisions dans l'état actuel.
Il faut à mon sens séparer clairement ce qui relève des administrateurs/utilisateurs tout courts, unix ou debian. Je dis d'ailleurs Debian, puisque, à priori, ce seraient les mêmes conseils pour une Debian "gnu/linux", "gnu/hurd" ou "netbsd".
Finalement, je suis assez gené par tout ce qui touche à la l'organisation des fichiers sous unix. Ce n'est pas parce que l'on utilise une distribution à base de paquets, certes bien faits, que l'on doit croire que l'installation manuelle est synonyme de porcherie et que du coup, on peut faire ça n'importe comment.
Sans parler de rêgles, on peut assez facilement installer des softs sans pour autant pourrir l'ensemble du système. D'ailleurs, c'est généralement assez bien documenté dans les tarballs, ce genre de chose.
Par contre, je trouve l'initiative valeureuse et j'espère avoir apporté des remarques intéressantes, pas trop cassantes.
[^] # Re: Bof ...
Posté par gnujsa . Évalué à 2.
Il y a une petite différence entre /opt et /usr/local/:
Dans /usr/local/, man, lib, bin, etc.. continuent d'être séparés « à la UNIX », tandis que dans /opt, ils sont regroupés dessous /opt/<package >, « à la Windows »
http://www.pathname.com/fhs/(...)
ou le paquet debian-policy qui contient diverses docs, dont fhs, « Filesystem Hierarchy Standard »
Sinon, je comprend pas trop:
« 1. Jamais, une application graphique en root tu ne lanceras »
Il faut éviter de lancer n'importe quel application utilisateur, que ce soit en ligne de commande, en ncurses ou graphique. Par contre, pour certains outils, il est indispensable de les lancer en root ( qu'ils soient graphique ou non ), et ils ne demandent pas toujours un le mot de pass root ( ex: gnome-system-log )
Moi, je suprrimerai le « graphique »
Question sécurité, à la limite, je rajouterai, sudo ( avec demande de mot de pass ) tu utilisera
même remarque que le post du dessus: pourquoi ne pas utiliser /usr/local/ ( qui est fait pour ! ) losrque l'on est le seul utilisateur ?
# 4. Des paquets deb uniquement sur ton système tu installeras
Posté par MrTout (site web personnel) . Évalué à 3.
Ok, le mien est presque vide car quasiment tous les logiciels que j'utilise existe en .deb, mais c'est pas une raison pour être si dogmatique.
Hum, tiens, ya quoi dedans d'ailleurs ?
- drod : http://www.drod.net/(...)
- rox : http://rox.sourceforge.net(...)
- dont Mime-Editor : http://rox.sourceforge.net/phpwiki/index.php/MIME-Editor(...)
- java
[^] # Re: 4. Des paquets deb uniquement sur ton système tu installeras
Posté par SQP . Évalué à 2.
voici ce que j'ai dans mon sources.list (merci http://apt-get.org(...))
# ROX
deb http://www.janw.easynet.be/rox/(...) developer/
deb http://www.hrw.one.pl/apt/(...) sid/
deb http://www.tu-harburg.de/~vkv/debian(...) ./
# JAVA
deb http://jopa.studentenweb.org/debian(...) ./
sinon, moi j'aime bien le /usr/local/bin pour ce qui est spécifique à la machine (genre des scripts de connexion à des serveurs locaux)
ou alors, je fais mes propres paquets pour profiter des mises à jour automatiques de mes fichiers sur toutes mes machines (skins, scripts...)
si certains veulent en profiter, il sont sur http://meuarrr.free.fr/unstable(...)
[^] # Re: 4. Des paquets deb uniquement sur ton système tu installeras
Posté par MrTout (site web personnel) . Évalué à 1.
pour java, merci. En fait j'utilise pas java mais je connais des gens que ça peut interesser.
# "fora"
Posté par Nap . Évalué à -1.
# Commandement 1
Posté par snt . Évalué à -1.
Ca vient d'où cette peur du mode graphique ? C'est pas l'IHM qui fait le danger. Tu peux avoir des trucs crades-proprio-et-dangereux en mode texte et des softs beaux-libres-et-inoffensifs en mode graphique.
Par exemple j'utilise filelight parce que je le trouve plus parlant que la commande "du". Chacun son truc. Mais je vois vraiment pas en quoi ca présente un danger de le lancer depuis mon terminal root.
De plus le fait d'incrimer les logiciels graphiques occulte le vrai probleme : "utiliser une application en tant que root présente des dangers si on ne sait pas à quoi sert l'application, pourquoi elle necessite d'avoir les droits root et ce qu'elle va en faire".
<troll>Quant au dénigrement des applis graphiques, c'est juste une peur de dinos réacs de voir leur si précieuses incantations devenir inutiles</troll>
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 1.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: Commandement 1
Posté par gnujsa . Évalué à 2.
Si tu fais allusion à xhost/xauth, ça n'a pas de rapport avec le sujet, sinon je vois pas de quoi tu veux parler.
« - Parce que, plus, il y a de lignes de code dans une appli, plus, il y a de chances d'avoir de trous de sécu ? (une appli graphique devient très vite volumineuse) ? »
Dans ce cas là, évite bash: Il est beaucoups plus gros ( entre x5 et x10) que les outils systemes gnome.
Je crois pas que « graphique » soit le bon critère pour évaluer la dangerosité de lancer un programme en root.
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 1.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: Commandement 1
Posté par gnujsa . Évalué à 2.
L'article dont tu donne le lien est intéresant. Apparement, l'utilisation d'un xterm est tout aussi dangeureuse (même si on utilise des lignes de commandes à l'interieur)
« Or an attacker could insert malicious commands into the input stream of a terminal emulator. »
Il faudrait donc préciser en mode texte dans une console Linux (CTRL+ALT+F1). C'est quand même un peu embetant, par rapport au sujet « Gnome + Debian = The perfect Desktop »
« Et les librairie gnome n'appellent pas X ? »
Et bien X est déjà lancer (en root en plus!). On relance pas un deuxième serveur juste pour lancer une appli graphique en root. Elle n'a qu'a s'y connecter.
« Il est facile d'obtenir moins de ligne de code si on ne compte pas de façon équitable.
Bash utilise beaucoup moins de librairies et autres. »
Effectivement j'en ai oublié en chemin ;-)
Bash consomme, chez moi, ~ 6 Mo contre ~ 21 Mo pour l'appli gnome users-admin + 9 Mo pour le backend en perl
Il n'en reste pas moins vrai que bash est un trés gros shell, et que si l'on suit le même raisonnement (gros, donc beaucoups de lignes de codes, donc plus de failles potentiels), on devrait plutot utiliser, en root, un shell légé comme posh ou dash (1,5 Mo de mémoire, pour chacun d'eux, soit 4 fois moins que bash)
En dehors de ça, je me suis rendu compte, en faisant quelques testes, qu'il vaut mieux, comme le préconise ploum, lancer les applis systemes de gnome en tant que simple utilisateur, et attendre qu'elles demandent un mot de pass root, que de les lancer directement en root (sudo ou su -c) De cette manière, il n'y a que le backend en perl qui se lance en root, pas la GUI.
Malheureusement, elles ne demandent pas (encore) toutes un mot de pass ( ex: gnome-system-log )
[^] # Re: Commandement 1
Posté par CoinKoin . Évalué à 3.
Il ne dit pas "on peut lancer des applications graphiques en tant que root, ça ne craint rien", au contraire, il dit "attention, il ne faut pas lancer d'applications en tant que root lorsqu'on ne sait pas précisément ce qu'elles font, qu'elles soient en mode texte ou bien en mode graphique".
A mon avis, il a raison, le vrai problème vient du lancement d'applications inconnues par le root, pas de l'IHM. Lancer mplayer en mode texte en root n'est PAS conseillé, pas plus qu'en mode graphique.
Cela dit, je pense que le rajout de l'IHM peut effectivement rajouter des failles, mais se focaliser sur ce point revient effectivement à passer à côté du coeur du problème.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.