L'écosystème des distributions GNU/Linux est saturé. Le site Distrowatch en recense plus de 300 et ce chiffre est sans doute une sous-estimation.
On trouve bien entendu les "grandes" que tout le monde connaît (Red Hat/Fedora, Debian GNU/Linux, Ubuntu, Mandriva Linux, etc) mais il existe une multitude de petits projets spécialisés, de forks plus ou moins amicaux, d'expérimentations diverses et variées.
Certaines de ces distributions ont choisi de se spécialiser dans le secteur de la sécurité et il m'a semblé intéressant de regarder d'un peu plus près ce qu'elles avaient à proposer.

Il n'est pas question ici des live-CD spécialisés qui permettent de vérifier la sécurité d'un réseau ou d'un poste local (du type Network Security Toolkit ou bien HoneyWall). Ces distributions sont incontestablement intéressantes mais ce n'est pas le sujet de cette dépêche. Ce qui va être examiné ce sont les distributions installables qui veulent proposer une sécurité au dessus de la moyenne. Seront également examinés certains patchs ou paquets spéciaux pour des distributions préexistantes.
La niche écologique de ces distributions spéciales, ou de ces variantes, c'est la promesse d'une sécurité supérieure par le biais de diverses améliorations techniques.

Dans la suite de la dépêche nous examinerons donc :

• OpenWall
  
• EnGarde Secure Linux
  
• Grsecurity/Pax
  
• NetSecL
  
• Bastille Unix
  
• Hardened Gentoo/Hardened Debian
  

La distribution Tails (The Amnesic Incognito Live System) est un media de type live-CD et live-USB, basé sur Debian GNU/Linux, visant à protéger votre anonymat et votre vie privée quand vous vous connectez à Internet.

La sortie de la version 1.2 a été annoncée le 16 octobre dernier par l'équipe de développement.

Plus de détails dans la suite de la dépêche sur cette version 1.2, ainsi que sur les
versions mineures 1.1.1 et 1.1.2 sorties depuis la dépêche précédente.

La nouvelle version de Mandriva Linux est disponible ce jour pour téléchargement pour tous, sur tous les miroirs habituels.

Fidèle à son calendrier de sortie d'une version tous les six mois, Mandriva met à disposition la version dite Spring 2009.1.

Cette version inclut un nombre conséquent de mises à jour, tant au niveau du cœur du système (noyau, GlibC) que du serveur d'affichage Xorg, des bureaux au choix, des outils applicatifs tiers. Une révision des drakxtools et de nombreux points d'améliorations sur certains sont également au menu de cette Spring.

Elle propose un nouveau mode de traitement des fichiers ISO : au lieu de simplement les graver, on peut dorénavant les transférer sur une clef USB, directement, et obtenir une clef USB amorçable. Ceci est valable tant pour la version LiveCD que la version classique. Un utilitaire graphique pour toutes les distributions est disponible pour réaliser cette opération de copie d'ISO sur une clef USB (« ISO hybride »). L'opération est rapide, très simple et parfaitement fonctionnelle.

La distribution Tails - The Amnesic Incognito Live System - est un media de type live-CD et live-USB, basé sur Debian GNU/Linux, visant à protéger votre anonymat et votre vie privée quand vous vous connectez à Internet.

À l'heure de la version 2.0 beta 1, nous fournissons plus de détails dans la suite de la dépêche sur les versions sorties depuis la dépêche précédente, dont les versions 1.3, 1.4, 1.5, 1.6, 1.7 et 1.8.

C’est l’été, les serveurs ont chaud, mais on a un peu de temps pour faire un tour chez notre marchand de journaux préféré pour se trouver de la lecture saine et utile. Voici donc le retour temporaire de la revue de presse des magazines papier que vous pouvez trouver chez votre marchand de journaux favori. C’est un petit tour subjectif de la presse papier, celle que vous pouvez encore trouver, en 2019, chez votre marchand de journaux pour ce mois‐ci.

Les nouveautés de ce mois‐ci :

• GNU/Linux Magazine France n^o 228 et l’ordinateur quantique ;
• Linux Pratique n^o 114 pour créer un hotspot Wi‐Fi sécurisé ;
• MISC magazine n^o 104 masque vos attaques ;
• Hackable Magazine n^o 30 s’assure que les nuages radioactifs restent à la frontière ;
• GNU/Linux Magazine hors‐série n^o 103 vous apprend à développer des extensions à vos apps préférées ;
• Planète Linux n^o 110 découvre la M. A. O. ;
• de retour depuis quelques mois, le Virus Informatique n^o 40.

Certains diront que l’on est très centré sur un éditeur. Pourtant, nous avons essayé les autres revues disponibles qui abordent aussi le Libre et GNU/Linux. Nous aimons moins, définitivement :

• la cohorte des Linux Identity avec ses habituels déclinaisons kits, packs et starters qui ont pour avantage de pouvoir récupérer des distributions en masse sur d’innombrables CDDVD‐ROM contenant de l’Ubuntu en pagaille, Xubuntu, Ubuntu GNOME, Ubuntu Mentholée, Ubuntu Origins (aka Debian) et Tails ; bref, on ne les achète pas pour les articles — sinon, la clef USB, vous connaissez ?
• Linux Inside n^o 46, seulement si l’on aime les articles passés au traducteur automatique et les erreurs de traduction ; c’est bien dommage, car les sujets sont régulièrement intéressants et détaillés : Linux sur Chromebook, la maison connectée avec du Libre, les moteurs de jeux, etc. ; mais un rendez‐vous chez votre ophtalmologiste s’impose car cela pique les yeux ;
• idem pour Linux Référence n^o 2 et son hors‐série n^o 1 du même éditeur que Linux Inside, même souci ; pourtant ces magazines sont beaux, bien présentés, mais aussi très chers comparés à la concurrence (14 à 15 €).

---

N. D. L. A. : La revue de presse est ouverte pour parler de vos magazines. Elle est en gestation dans l’espace de rédaction et est publiée quand elle est assez dense et pas trop en retard.

Brad Spengler, mainteneur du projet Grsecurity, a publié un exploit local pour le noyau Linux. Seule la version 2.6.30 du noyau est impactée. L'exploit a été publié rapidement car aucune distribution n'utilise cette version pour le moment. Il est capable de contourner les protections AppArmor, SELinux, LSM, et désactive l'audit. La faille concerne les interfaces réseaux virtuelles tun et a été introduite en février dernier. D'abord considérée comme un simple bug, elle a été découverte le 4 juillet, corrigée le lendemain, puis Brad a publié son exploit le 15 juillet.

Brad profite de l'exploit pour dire tout le mal qu'il pense de la gestion de la sécurité dans le noyau Linux (lire notamment tous les commentaires présents dans le fichier exploit.c du tgz). Il reproche notamment la correction silencieuse de failles qui pose problème aux distributions Linux : les mainteneurs ne savent pas quels patchs doivent être backportés dans les branches stables. Il reproche également l'absence d'analyse de l'impact d'un bug en terme de sécurité : certaines failles sont considérées comme non exploitables, alors qu'elles le sont.

La seconde partie de cette dépêche détaille la faille.

Ce jeudi 18 décembre, après seulement six mois de gestation, la nouvelle version de la distribution soutenue par Novell est disponible au téléchargement.

Cette nouvelle version d'openSUSE propose en standard :

• Noyau Linux 2.6.27.7 ;
• glibc 2.9 ;
• GNOME 2.24.1;
• KDE 4.1.3 muni de fonctionnalités et correctifs de la branche 4.2 ;
• KDE 3.5.10 en option ;
• Firefox 3.0.4 ;
• OpenOffice.org 3.0 ;
• openJDK (par défaut) et Sun Java ;
• Mono 2.0.1.

Proposant aussi bien les bureaux GNOME que KDE et profitant de l'une des meilleures intégrations de KDE 4 actuellement disponible, openSUSE représente une très bonne alternative parmi les distributions ciblant l'utilisateur final, qu'il soit débutant ou utilisateur averti.

openSUSE 11.1 est disponible pour architecture x86, x86_64 et PPC, en deux versions Live-CD ou DVD. Une version boîte contenant un un DVD double couche (x86, x86_64) et un CD additionnel contenant les logiciels non libres sera prochainement proposée à la vente (60 €). Elle sera supportée 2 ans.

La version d'Ubuntu d'octobre 2009 est sortie ce 29 octobre et porte le doux nom de Karmic Koala. En terme de logiciels disponibles, on note l'arrivée de GNOME 2.28 et de Firefox 3.5. HAL laisse la place à DeviceKit. Profitant du noyau 2.6.31, Ubuntu intègre KMS pour les cartes Intel et ATI, mais aussi le système de fichiers ext4 par défaut et le protocole USB 3.0. Tous les détails dans la suite de la dépêche...

NdM : Un grand MERCI à Etienne Bersace pour le contenu de cette dépêche. Merci également à Cedric Bellec, Frederic Cambus et zarbatrip pour avoir proposé des dépêches sur ce sujet.

La société Mandriva offre depuis peu la possibilité aux utilisateurs d'étendre la durée de maintenance des versions de la distribution Mandriva Linux supposées être en fin de vie. Certains pourront probablement voir un inconvénient dans le fait qu'il faut acheter cette extension de garantie. Elle permet néanmoins d'allonger la maintenance (de sécurité et applicative) des versions (actuellement 2008, 2009 et 2010) de 18 mois.

Cette offre s'adresse à tous ceux qui souhaitent déployer une solution pérenne de postes de travail sous Mandriva Linux.