Sondage Dix ans après, quel mécanisme de contrôle d'accès utilisez-vous pour votre système d'exploitation ?

Posté par  . Licence CC By‑SA.
5
25
fév.
2023

En cherchant ici du contenu, des avis et des retours d’expériences sur les différentes propositions logiciels (LSM) qui essayent d’augmenter le niveau de sécurité de nos systèmes Linux, j’ai beaucoup trouvé de ressources de la décennie dernière.

Je vous propose donc d’actualiser ce sondage en partageant vos pratiques en la matière, ce que soit sur vos ordinateurs personnels, professionnels ou vos serveurs.

  • Plutôt AppArmor, SELinux, ou GrSecurity ?
  • Les autres propositions semblaient vraiment anecdotiques sur le dernier sondage et c’est uniquement ce dernier qui me les a fait découvrir, certains ici les utilisent ?
  • Est-ce que vos ordinateurs fixes/mobiles/serveurs sont concernés ?
  • SElinux :
    167
    (15.5 %)
  • AppArmor :
    156
    (14.5 %)
  • grsecurity :
    6
    (0.6 %)
  • capabilities :
    18
    (1.7 %)
  • le cloud ! :
    24
    (2.2 %)
  • autre (en commentaire) :
    14
    (1.3 %)
  • eh ben en fait alors je... rien peut-être ? :
    691
    (64.2 %)

Total : 1076 votes

Journal Une image de base docker

Posté par  .
Étiquettes :
37
7
août
2018

Si on connait tous à priori nos bonnes vielles distributions (GNU?/)Linux. Ces dernières années l'arrivée de Docker a donné lieu à l'apparition de distributions nouvelles moins connues (en tout cas pas par moi). En effet même si les distributions classiques sont tout à fait utilisables dans une image docker, le fait d'avoir une distribution pensée pour docker peut être un avantage. Par exemple réduire fortement la taille de l'image rend son utilisation bien plus agréable (plus rapide à télécharger depuis (…)

Les journaux LinuxFr.org les mieux notés de l’été 2017

Posté par  (site web personnel, Mastodon) . Édité par Davy Defaud et Benoît Sibaud. Modéré par claudex. Licence CC By‑SA.
15
11
sept.
2017
LinuxFr.org

LinuxFr.org propose des dépêches et articles, soumis par tout un chacun, puis revus et corrigés par l’équipe de modération avant publication. C’est la partie la plus visible de LinuxFr.org, ce sont les dépêches qui sont le plus lues et suivies, sur le site, via Atom/RSS, ou bien via partage par messagerie instantanée, par courriel, ou encore via médias sociaux.

Bannière LinuxFr.org

Ce que l’on sait moins, c’est que LinuxFr.org vous propose également à tous de tenir vos propres articles directement publiables, sans validation a priori des modérateurs. Ceux‐ci s’appellent des journaux. Voici un florilège d’une dizaine de ces journaux parmi les mieux notés par les utilisateurs… qui notent. Lumière sur ceux des mois de juillet et août passés.

Journal Grsecurity attaque Bruce Perens en justice pour diffamation

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
80
4
août
2017

Tout d’abord un peu de contexte.
Grsecurity/PaX est une série de correctifs (patches) développés dans l’optique d’améliorer la sécurité du noyau Linux. Ces correctifs n’ont, pour diverses raisons, pas été intégrés en amont dans le noyau Vanilla et il s’agit donc d’un correctif externe que les utilisateurs doivent appliquer au code source du noyau avant de le recompiler.

Open Source Security, Inc. est la société qui commercialise le correctif Grsecurity auprès de ses clients. L’accès au correctif a été progressivement (…)

Les journaux LinuxFr.org les mieux notés du mois d’avril 2017

Posté par  (site web personnel, Mastodon) . Édité par Davy Defaud. Modéré par Pierre Jarillon. Licence CC By‑SA.
11
5
mai
2017
LinuxFr.org

LinuxFr.org propose des dépêches et articles, soumis par tout un chacun, puis revus et corrigés par l’équipe de modération avant publication. C’est la partie la plus visible de LinuxFr.org, ce sont les dépêches qui sont le plus lues et suivies, sur le site, via Atom/RSS, ou bien via partage par messagerie instantanée, par courriel, ou encore via médias sociaux.

Bannière LinuxFr.org

Ce que l’on sait moins, c’est que LinuxFr.org vous propose également à tous de tenir vos propres articles directement publiables, sans validation a priori des modérateurs. Ceux‐ci s’appellent des journaux. Voici un florilège d’une dizaine de ces journaux parmi les mieux notés par les utilisateurs… qui notent. Lumière sur ceux du mois d’avril passé :

Journal grsecurity abandonne le gratuit

Posté par  . Licence CC By‑SA.
Étiquettes :
32
26
avr.
2017

Hop, le lien : https://grsecurity.net/passing_the_baton.php

Donc, si j'ai bien compris, grsecurity arrête de fournir en accès libre son ensemble de patchs pour le noyau Linux. C'est un peu décevant, parce que je m'en sers depuis à peine un an sur ma Debian, et je trouve que c'est un plus en sécurité relativement facile à mettre en œuvre. Je vais devoir, dans un futur proche, revenir à un noyau normal, parce que grsecurity ne vend rien aux particuliers. Et ce serait (…)

Sortie du noyau Linux 4.9

92
8
fév.
2017
Linux

La sortie de la version stable 4.9 du noyau Linux a été annoncée le dimanche 11 décembre 2016 par Linus Torvalds. Le nouveau noyau est, comme d’habitude, téléchargeable sur les serveurs du site kernel.org.

Le détail des évolutions, nouveautés et prévisions est dans la seconde partie de la dépêche (qui est sous licence CC BY-SA).

Les deux filles nerds implémentent BBR, un nouvel algorithme d’évitement de congestion TCP pour remplacer les douze autres algorithmes. Mais, à la fin, l’algorithme BBR, intégré dans Linux 4.9, n’est pas le meilleur dans tous les cas. Et les filles se rendent compte que maintenant elles font face à treize algorithmes et aucun pour remplacer les autres dans tous les cas !

Journal Utiliser un noyau grsecurity sous Debian

Posté par  . Licence CC By‑SA.
Étiquettes :
13
12
sept.
2016

Bonjour tout l'monde.
Un journal pas très détaillé pour dire que malgré les annonces sur la fin prématurée de grecurity, cet ensemble de patchs est toujours vivant, et s'installe (vachement) bien avec Debian.

apt install linux-image-grsec-amd64
reboot

Évidemment des choses vont péter, notamment les programmes qui font du Just-In-Time (pypy, php7, rspamd, etc). Il faut donc utiliser paxctl pour les régler afin de pouvoir continuer à s'exécuter. Ça affaiblit le niveau de sécurité, mais bon, faut bien que ça marche.

(…)

Rétrospective des dépêches et journaux 2015

Posté par  (site web personnel) . Édité par BAud et Nÿco. Modéré par bubar🦥. Licence CC By‑SA.
32
2
jan.
2016
LinuxFr.org

Basé sur les dépêches et journaux les mieux notés par la communauté LinuxFr, voici un petit retour sur l'année 2015 sur LinuxFr.org.

Mentions particulières

La dépêche collaborative sur le noyau Linux a remporté un grand succès tout au long de l'année, avec les diverses versions parues : 3.19, 4.0, 4.1, 4.2 et 4.3.

La saga Je créé mon jeu vidéo de rewind s'est poursuivie en saison 2 avec deux épisodes sur les formats de données et sur un hypothétique arrêt.

La saga Parlons XMPP a débuté sur les chapeaux de roue, avec déjà 9 épisodes, sur les bases, le cœur et les extensions 1 et 2, les discussions de groupes, les discussions de groupe (suite) et les transports, les commandes à distance, les cas pratiques: SleekXMPP et SàT, PubSub et PEP et la copie de fichiers et Jingle. Plus un journal hors saga sur XMPP et (micro)blogage: la donne a changé.

On notera aussi d'autres sujets régulièrement traités, comme

Forum Linux.noyau Freeze quand passerelle buggé

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
0
28
sept.
2015

Bonjour,

J'ai noté un comportement trés étrange, hardware: compute utilite (Noyau 4.1.5 + Grsec + Pax), port eth0 FEC vers internet, port eth1 IGB vers réseau local.
- sysctl net.ipv4.ip_forward=1
- -A POSTROUTING -o ethToInternet -j MASQUERADE
Et tout se qui vas bien pour une passerelle.
Sachant que 192.168.0.1 est ma passerelle, si je fait cela:
/sbin/arp -s 192.168.0.1 30:46:9a:b3:99:66
avec une Mac fausse cela plante tout le hardware. Pas de probléme si je foire une autre addresse Mac (Quelque (…)

Les journaux LinuxFr.org les mieux notés d'août 2015

Posté par  (site web personnel, Mastodon) . Modéré par bubar🦥. Licence CC By‑SA.
14
4
sept.
2015
LinuxFr.org

LinuxFr.org propose des dépêches et articles, soumis par tout un chacun, puis revus et corrigés par l'équipe de modération avant publication. C'est la partie la plus visible de LinuxFr.org, ce sont les dépêches qui sont le plus lues et suivies, sur le site, via Atom/RSS, ou bien via partage par messagerie instantanée, par courriel, ou encore via médias sociaux.

Bannière LinuxFr.org

Ce que l’on sait moins, c’est que LinuxFr.org vous propose également à tous de tenir vos propres articles directement publiables, sans validation a priori des modérateurs. Ceux-ci s'appellent des journaux. Votre blog en fait, hébergé chez nous. Voici un florilège d'une dizaine de ces journaux parmi les mieux notés par les utilisateurs… qui notent. Lumière sur ceux publié en pleine torpeur estivale pendant que vous étiez AFK.

Journal Grsecurity : le patch stable réservé aux sponsors

Posté par  (site web personnel) . Licence CC By‑SA.
48
27
août
2015

Grsecurity est une série de patchs développés dans l'optique d'améliorer la sécurité du noyau Linux. Ces patchs n'ont, pour diverses raisons, pas été intégrés upstream dans le noyau vanilla et il s'agit donc un patch externe que les personnes intéressés doivent appliquer au code source du noyau avant de le recompiler.

Grsecurity maintient deux séries de patchs : la série stable s'applique à un noyau à support long (comme le 3.2 ou le 3.14). La série test s'applique au dernier (…)

Journal Tame et OpenBSD

Posté par  (site web personnel) . Licence CC By‑SA.
67
20
juil.
2015

Juste un petit journal pour vous signaler un post intéressant de Theo de Raadt (leader d'OpenBSD) sur la liste "Tech".
Dans ce post il présente tame, un outil sur lequel il travaille depuis un certain temps et qui vise à réduire les droits d'un programme afin de diminuer la surface d'attaque.

Theo commence par évoquer très brièvement les alternatives et pourquoi, selon lui, elles ne conviennent pas.

  • Capsicum nécessite de réécrire profondément le programme qui sera protégé.
  • D'autres approches (…)

Sondage Quel mécanisme de contrôle d'accès utilisez-vous pour votre système d'exploitation ?

Posté par  . Licence CC By‑SA.
Étiquettes :
7
21
sept.
2014

Avant la conférence Kernel Recipes et la rédaction d'un article pour Linux Mag, j'aimerais lancer les questions suivantes : utilisez-vous un mécanisme de contrôle d'accès avec vos systèmes d'exploitation ? Si oui lequel ?

merci. Samir

  • SElinux :
    103
    (11.6 %)
  • AppArmor :
    79
    (8.9 %)
  • SMACK :
    0
    (0.0 %)
  • tomoyo :
    3
    (0.3 %)
  • yama :
    4
    (0.4 %)
  • capabilities :
    8
    (0.9 %)
  • grsecurity :
    13
    (1.5 %)
  • chroot :
    38
    (4.3 %)
  • aucun (ou le parefeu OpenOffice.org) :
    451
    (50.7 %)
  • geste de la main plus « ce n'est pas cet accès que vous cherchez » :
    155
    (17.4 %)
  • autre (en commentaire ) :
    35
    (3.9 %)

Total : 889 votes