Forum Linux.débutant sécurité

Posté par  .
Étiquettes : aucune
0
12
nov.
2004

J'ai migré sous Linux il y a 2 mois et je suis surpris par le nombre de failles de sécurité :

relatives à toutes distributions :

http://www.linuxsecurity.com/(…)

relative à Mandrake :

http://mandrakeusers.org/index.php?showforum=33(…)

Vos avis et vos conseils me seraient utiles pour comprendre et prendre les mesures necessaires.

Merci d'avance

  • # Il ne faut pas etre surpris

    Posté par  (site web personnel) . Évalué à 2.

    Voila, comme tout logiciel est faillible que ce soit Linux et les logiciels qui composent une distribution ou windows et les logiciels que tu peut y install ou bien encore MacOS... La regle est la même pour tous, nulle n'est parfait.

    Apres il ne faut pas confondre Le systeme en lui même et la distribution (i.e. Linux le kernel et linux + tous les pgm de la distribution de même windows et tous les logiciels qui sont installés en plus), cela permet deja de relativisé les choses.
    Maintenat que ceci est eclairci on en arrive a comprendre que la difference entre les allerte liée a linux (le noyeau/kernel en vo) et la distro sont grande car dans le cas de la dsitro on a une remonté de toute les erreurs des logiciels qu'elle prodigue. Ceci est un avantage par rapport a windows ou il faut faire le tour des logiciels installés en plus des rapport d'erreur de MS pour son OS.

    Enfin quelque soit le cas, le mieux est :
    1- de t'inscrire a la mailing liste de securité de ta distribution (et des logiciels hors distribution que tu as installé) pour suivre ce qu'il se passe.
    2- d'appliquer les correctifs des leur sortie. La vitesse de réaction du monde libre est souvent tres rapide et c'est un avantage.
    3- de mettre en place un firewall (iptables)

    voila, c'est mon avis sur la chose.
    • [^] # Re: Il ne faut pas etre surpris

      Posté par  . Évalué à 1.

      Tout à fait d'accord avec toi ...
      Juste un truc en plus : Si tu utilise mandrake il y a les Mises à jours qui se font facilement il suffit de trouver le programme dans le panneau de controle de mandrake -> Gestionnaire de logiciel-> mise à jour.

      Pour les autres distribution il doit y avoir le meme systeme ;-)

      Un petit truc encore : Si tu as autant vu de failles de sécu rapporté c'est que la communauté fait son boulot et corrige ces failles. Ce n'est pas le cas de tout les éditeurs ................. (il faut parfois 3 semaines avant qu'un patch soit dispo pour IE alors que la failles est classées comme extrement critique .......)

      Voila voila si tu veux rester protegé fait les maj et pas de probleme....
  • # plus de pb

    Posté par  (site web personnel) . Évalué à 1.

    Nous développons sous linux depuis 1994 et savons que quelque soit la distribution, il y a des pbs, install, config et sécurité. Nous avons donc créé une distribution live server qui permet d'améliorer et protéger totalement le système de se genre de chose. Au même titre que Knoppix ou les distributions live pour les stations de travail. Le serveur et encore plus sensible et doit être plus protégé. Le fait d'avoir la config sur le média sécurise beaucoup plus les choses, pas d'install, juste une migration sur le disque dur, en cas de pbs matériels, mise en route rapide.
    Voilà 2 solutions une serveur et une workstation.
    Je ne donne pas le lien vers la solution serveur car nous avions passé une dépêche concernant cette distribution qui n'a pas retenu l'attention du modérateur. Certainement car ça dérange toujours de vendre des services associés à des solutions open source. Il faudra si faire pour que l'on arrive à être encore plus présent dans les entreprises qui ont beaucoup à y gagner. Pour nous, c'est le seul moyen de rémunérer les personnes qui développe à plein temps des solutions open source.
    • [^] # Re: plus de pb

      Posté par  (site web personnel) . Évalué à 2.

      Je ne connais pas la nature de la depeche que vous avez soumise, mais il ne me semble pas que le fait de vendre du service autour de logiciels libres ou autre pose un probleme à la majorité des gens frequentant ce site, j'ai d'ailleurs encore lu je ne sais plus dans quel journal que libre!=non commercial. Ce qui pose un probleme est plus le non respect des licences et la publicité (ba oui ce site n'est pas fait pour faire de la pub). Donc je pense plus que la depeche à ete refusé pour un coté publicitaire mais ce n'est qu'une supposition vue que je ne la connais pas.

      Sinon je veux bien l'adresse, ca peut etre interessant.
      Mais il existe quand même un problèmes pour les livre-cd (serveur ou non) si il y a une faille : Bien que l'integrité du systeme soit mieux protégé et qu'un reboot soit suffisant à effacer toute (ou presque) trace d'une attaque, il faut attendre la nouvelle version de la distribution (ou la faire ou faire ca bidouille) puis la graver pour remettre les choses en place.
      • [^] # Re: plus de pb

        Posté par  . Évalué à 1.

        J'ai updaté ma mdke 10.1 cty par urpmi : prés de 160 maj.

        merci à vous.
        • [^] # Re: plus de pb

          Posté par  (site web personnel) . Évalué à 2.

          Ca fait bcp de maj tout ca.
          Je crois avoir lu que la cty est une version test ou qque chose dans le genre donc toutes les maj ne sont pas du a la securité mais a l'integration de nouveau packets (ou de nouvelles version de ceux deja presents). Peut etre y a t il moyen de mettre a jour que ce qui est lié a la securité ce qui ferait deja moins.
      • [^] # Re: plus de pb

        Posté par  (site web personnel) . Évalué à 1.

        Voila c'est justement pour cette raison que l'on associe du service, ce qui fait qu'il est rattaché à une société qui lorsqu'elle communique devient de la pub.

        La demande était trop forte, les installations et les configurations serveur longues et fastidieuses, la sécurité un point sensible, nous avons donc créé une version serveur live on CD qui n'existait pas.

        Un fichier de configuration comporte les différents paramètres de l'infrastructure de chaque réseau permettant de configurer automatiquement les services au montage de la distribution.

        Les changements de configuration sont enregistrés dans le persistent home directory ainsi que les logs avant de refabriquer un média mis à jour.
        la sécurité nous impose cette règle assurant un rétablissement rapide des services.

        la version est open-source , elle regroupe tous les services de base, firewall, nat, dns, dhcp, serveur de messagerie, proxy, serveur de fichier, serveur d'impression, serveur PPP, FTP, HTTP, SGBD, Webmail + des services optionnels serveurs d'applications, annuaire LDAP, Anti-virus centralisé + anti-spam, serveur de scanner, serveur de sauvegarde, VPN, haute disponibilté, téléphonie VoIP-IVR.

        L'unicité de chaque infrastructure fait que chaque distribution est unique, sans ce fichier de config, çà serait une distribution live supplémentaire sans grand intérêt.

        Les entreprises pour lesquelles nous fabriquons ces distributions ont une maintenance en remote access via l'xDSL ou en RTC via un serveur PPP en cas de perte de xDSL. On peut intervenir de cette façon sur les serveurs que l'on a en Europe mais aussi dans le monde.

        Nous sommes en train de préparer une page WEB pour recueillir les différents paramètres réseau.

        En début d'année, nous proposerons une version téléchargeable d'une configuration exemple. Pour le moment, nous fournissons les différents programmes corrigés des logiciels de démarrage de KNOPPIX qui a été la base de notre distribution. voir http://www.ads-lu.com/events.html(...)
        • [^] # Re: plus de pb

          Posté par  . Évalué à 1.

          une question bête et de débutant : y-aurait-il autant de problèmes de sécurité sous linux que sous XP ?

          Avant de commencer sous Linux, j'étais persuadé que Linux permettait de se dispenser de toute sécurité.

          Plus j'utilise Linux , plus Linux ressemble à Mozilla ou vice versa : il y a des failles mais elles sont corrigées rapidement. Dans ce cas, le comportement de l'utilisateur importe beaucoup et l'absence de mise à jour pourrait rendre un poste de travail aussi perméable qu'un XP entretenu ou pas.

          NB : l'update devait comprendre la mise à jour de la 10.1 cty en official ( sur le desktop "community" a disparu ) en plus des mises à jour de sécurité ( notamment relative au speedtouch que j'utilise ).
          • [^] # explications

            Posté par  (site web personnel) . Évalué à 1.

            Bonjour,

            je ne veux pas mettre une pression excessive sur la sécurité mais nous avons eu un assez gros probléme de root kit sur un serveur installé avec une version MDK8.2 qui nous a persuadé de changer les choses et d'être plus acteur de notre distribution.
            Je pense que les distributions sont assez généralistes et le côté décisionnel trop souvent laissé à leur charge.
            Sous linux à la grande différence de windows, on connait les différents éléments et on peut intervenir à un bas niveau. Suivant l'utilisation, il faut savoir quoi paramétrer; sur le réseau, le firewall en démarrant par la fermeture de tous les port et une configuration stateful. Les virus ne sont pas légions sous linux mais il faut surveiller les ordinateurs derrière le serveur et c'est souvent du windows.
            La sécurité, pour nous, c'est aussi, la haute disponibilité, la redondance, la sauvegarde, l'archivage, les onduleurs, la possibilité d'intervenir à distance de manière sécurisée sur les configs, VPN, pouvoir en cas de pannes matérielles redémarrer des services le plus rapidement possible (choix d'une distribution live) et la formation du personnel avec les postes nomades qui se généralisent (très important): le WIFI, les clefs USB...

            Au niveau matériel, nous avons été échaudés par du RAID 5 sur un serveur de marque et nous préférons utiliser du matériel plus basique que l'on peut facilement doublé avec des composants standards de bonne qualité vendus dans le plus grands nombres de magasins d'informatiques.

            Le logiciel nessus permettra une analyse de la machine et du réseau afin de connaître les failles de sécurité.
          • [^] # Re: plus de pb

            Posté par  (site web personnel) . Évalué à 2.

            Ne prend pas peur si vite, il faut bien que tu comprenne aussi que tipi parle d'une distribution destiné à des professionnels avec des exigences suplementaire/plus grande.
            Mais cependant la securité c'est tjs, tout le temps, partout. Que se soit sous WindowsXX, *Linux* ou MacOSXX ou n'importe quel autre systeme d'exploitation / logiciel.

            L'avantage que tu a sur les systeme de type *nix dont Linux fait partit est une gestion des droit des utilisateur plus fine que sous Windows. En effet sous les *nix personne n'est connecter en ROOT (administrateur) pour un usage quotidient. Ce compte ne doit etre utiliser que pour la maintenance. Ceci ainsi que le fait que de nombreux utilisateurs existes (de nombreux logiciel tournant en arriere plan comme apache, mysql, cups... tournent avec un utilisateur qui leur est propre) avec des droit limiter permet de rendre plus difficil la prise en main sur toute la machine.
            Mais des failles exite et necessitent des mise a jour reguliere.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.