J'ai migré sous Linux il y a 2 mois et je suis surpris par le nombre de failles de sécurité :
relatives à toutes distributions :
http://www.linuxsecurity.com/(…)
relative à Mandrake :
http://mandrakeusers.org/index.php?showforum=33(…)
Vos avis et vos conseils me seraient utiles pour comprendre et prendre les mesures necessaires.
Merci d'avance
# Il ne faut pas etre surpris
Posté par Calim' Héros (site web personnel) . Évalué à 2.
Apres il ne faut pas confondre Le systeme en lui même et la distribution (i.e. Linux le kernel et linux + tous les pgm de la distribution de même windows et tous les logiciels qui sont installés en plus), cela permet deja de relativisé les choses.
Maintenat que ceci est eclairci on en arrive a comprendre que la difference entre les allerte liée a linux (le noyeau/kernel en vo) et la distro sont grande car dans le cas de la dsitro on a une remonté de toute les erreurs des logiciels qu'elle prodigue. Ceci est un avantage par rapport a windows ou il faut faire le tour des logiciels installés en plus des rapport d'erreur de MS pour son OS.
Enfin quelque soit le cas, le mieux est :
1- de t'inscrire a la mailing liste de securité de ta distribution (et des logiciels hors distribution que tu as installé) pour suivre ce qu'il se passe.
2- d'appliquer les correctifs des leur sortie. La vitesse de réaction du monde libre est souvent tres rapide et c'est un avantage.
3- de mettre en place un firewall (iptables)
voila, c'est mon avis sur la chose.
[^] # Re: Il ne faut pas etre surpris
Posté par PhenixDotNet . Évalué à 1.
Juste un truc en plus : Si tu utilise mandrake il y a les Mises à jours qui se font facilement il suffit de trouver le programme dans le panneau de controle de mandrake -> Gestionnaire de logiciel-> mise à jour.
Pour les autres distribution il doit y avoir le meme systeme ;-)
Un petit truc encore : Si tu as autant vu de failles de sécu rapporté c'est que la communauté fait son boulot et corrige ces failles. Ce n'est pas le cas de tout les éditeurs ................. (il faut parfois 3 semaines avant qu'un patch soit dispo pour IE alors que la failles est classées comme extrement critique .......)
Voila voila si tu veux rester protegé fait les maj et pas de probleme....
# plus de pb
Posté par tipi (site web personnel) . Évalué à 1.
Voilà 2 solutions une serveur et une workstation.
Je ne donne pas le lien vers la solution serveur car nous avions passé une dépêche concernant cette distribution qui n'a pas retenu l'attention du modérateur. Certainement car ça dérange toujours de vendre des services associés à des solutions open source. Il faudra si faire pour que l'on arrive à être encore plus présent dans les entreprises qui ont beaucoup à y gagner. Pour nous, c'est le seul moyen de rémunérer les personnes qui développe à plein temps des solutions open source.
[^] # Re: plus de pb
Posté par Calim' Héros (site web personnel) . Évalué à 2.
Sinon je veux bien l'adresse, ca peut etre interessant.
Mais il existe quand même un problèmes pour les livre-cd (serveur ou non) si il y a une faille : Bien que l'integrité du systeme soit mieux protégé et qu'un reboot soit suffisant à effacer toute (ou presque) trace d'une attaque, il faut attendre la nouvelle version de la distribution (ou la faire ou faire ca bidouille) puis la graver pour remettre les choses en place.
[^] # Re: plus de pb
Posté par dominique . Évalué à 1.
merci à vous.
[^] # Re: plus de pb
Posté par Calim' Héros (site web personnel) . Évalué à 2.
Je crois avoir lu que la cty est une version test ou qque chose dans le genre donc toutes les maj ne sont pas du a la securité mais a l'integration de nouveau packets (ou de nouvelles version de ceux deja presents). Peut etre y a t il moyen de mettre a jour que ce qui est lié a la securité ce qui ferait deja moins.
[^] # Re: plus de pb
Posté par tipi (site web personnel) . Évalué à 1.
La demande était trop forte, les installations et les configurations serveur longues et fastidieuses, la sécurité un point sensible, nous avons donc créé une version serveur live on CD qui n'existait pas.
Un fichier de configuration comporte les différents paramètres de l'infrastructure de chaque réseau permettant de configurer automatiquement les services au montage de la distribution.
Les changements de configuration sont enregistrés dans le persistent home directory ainsi que les logs avant de refabriquer un média mis à jour.
la sécurité nous impose cette règle assurant un rétablissement rapide des services.
la version est open-source , elle regroupe tous les services de base, firewall, nat, dns, dhcp, serveur de messagerie, proxy, serveur de fichier, serveur d'impression, serveur PPP, FTP, HTTP, SGBD, Webmail + des services optionnels serveurs d'applications, annuaire LDAP, Anti-virus centralisé + anti-spam, serveur de scanner, serveur de sauvegarde, VPN, haute disponibilté, téléphonie VoIP-IVR.
L'unicité de chaque infrastructure fait que chaque distribution est unique, sans ce fichier de config, çà serait une distribution live supplémentaire sans grand intérêt.
Les entreprises pour lesquelles nous fabriquons ces distributions ont une maintenance en remote access via l'xDSL ou en RTC via un serveur PPP en cas de perte de xDSL. On peut intervenir de cette façon sur les serveurs que l'on a en Europe mais aussi dans le monde.
Nous sommes en train de préparer une page WEB pour recueillir les différents paramètres réseau.
En début d'année, nous proposerons une version téléchargeable d'une configuration exemple. Pour le moment, nous fournissons les différents programmes corrigés des logiciels de démarrage de KNOPPIX qui a été la base de notre distribution. voir http://www.ads-lu.com/events.html(...)
[^] # Re: plus de pb
Posté par dominique . Évalué à 1.
Avant de commencer sous Linux, j'étais persuadé que Linux permettait de se dispenser de toute sécurité.
Plus j'utilise Linux , plus Linux ressemble à Mozilla ou vice versa : il y a des failles mais elles sont corrigées rapidement. Dans ce cas, le comportement de l'utilisateur importe beaucoup et l'absence de mise à jour pourrait rendre un poste de travail aussi perméable qu'un XP entretenu ou pas.
NB : l'update devait comprendre la mise à jour de la 10.1 cty en official ( sur le desktop "community" a disparu ) en plus des mises à jour de sécurité ( notamment relative au speedtouch que j'utilise ).
[^] # explications
Posté par tipi (site web personnel) . Évalué à 1.
je ne veux pas mettre une pression excessive sur la sécurité mais nous avons eu un assez gros probléme de root kit sur un serveur installé avec une version MDK8.2 qui nous a persuadé de changer les choses et d'être plus acteur de notre distribution.
Je pense que les distributions sont assez généralistes et le côté décisionnel trop souvent laissé à leur charge.
Sous linux à la grande différence de windows, on connait les différents éléments et on peut intervenir à un bas niveau. Suivant l'utilisation, il faut savoir quoi paramétrer; sur le réseau, le firewall en démarrant par la fermeture de tous les port et une configuration stateful. Les virus ne sont pas légions sous linux mais il faut surveiller les ordinateurs derrière le serveur et c'est souvent du windows.
La sécurité, pour nous, c'est aussi, la haute disponibilité, la redondance, la sauvegarde, l'archivage, les onduleurs, la possibilité d'intervenir à distance de manière sécurisée sur les configs, VPN, pouvoir en cas de pannes matérielles redémarrer des services le plus rapidement possible (choix d'une distribution live) et la formation du personnel avec les postes nomades qui se généralisent (très important): le WIFI, les clefs USB...
Au niveau matériel, nous avons été échaudés par du RAID 5 sur un serveur de marque et nous préférons utiliser du matériel plus basique que l'on peut facilement doublé avec des composants standards de bonne qualité vendus dans le plus grands nombres de magasins d'informatiques.
Le logiciel nessus permettra une analyse de la machine et du réseau afin de connaître les failles de sécurité.
[^] # Re: plus de pb
Posté par Calim' Héros (site web personnel) . Évalué à 2.
Mais cependant la securité c'est tjs, tout le temps, partout. Que se soit sous WindowsXX, *Linux* ou MacOSXX ou n'importe quel autre systeme d'exploitation / logiciel.
L'avantage que tu a sur les systeme de type *nix dont Linux fait partit est une gestion des droit des utilisateur plus fine que sous Windows. En effet sous les *nix personne n'est connecter en ROOT (administrateur) pour un usage quotidient. Ce compte ne doit etre utiliser que pour la maintenance. Ceci ainsi que le fait que de nombreux utilisateurs existes (de nombreux logiciel tournant en arriere plan comme apache, mysql, cups... tournent avec un utilisateur qui leur est propre) avec des droit limiter permet de rendre plus difficil la prise en main sur toute la machine.
Mais des failles exite et necessitent des mise a jour reguliere.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.