Le projet Fedora - projet communautaire soutenu par Red Hat - vient d'annoncer la disponibilité de Fedora Core 2, distribution GNU/Linux composée exclusivement de logiciels libres.

FC2 est dotée d'un noyau Linux 2.6 (2.6.5), et de GCC 3.3.3 (et 3.4) ; X.org a remplacé XFree86 ; le bureau léger XFCE 4 est inclus ainsi que GNOME 2.6 et KDE 3.2.2 (lire la Release Note pour les détails).

FC2 est disponible sur de nombreux serveurs ftp (cf. miroirs) sous la forme d'images iso de CD : 4 binaires + 4 sources pour i386 et x86-64 ; une iso de DVD est également proposée).

NdM : Merci également à Emmanuel Seyman, http, arafox et maher b.

Avec un certain retard, la test2 est disponible, mais avec en prime une version x86-64 contrairement à la test1. Peut-être que la version finale pour x86-64 sortira en même temps que la version x86.

La distribution est maintenant principalement en phase de correction de bug et de traduction. Le planning actuel est :
* test3 : 19 avril
* finale : 10 mai

Les nouveautés par rapport à Fedora Core 1 :
* Linux 2.6 : 2.6.4-rc2-bk5 pour test2.
* Support complet de SeLinux.
* Gnome 2.5/2.6
* Kde 3.2.1
* Mozilla 1.6
* X.org ( voir http://www.x.org/ et http://www.freedesktop.org/Software/xorg ) au-lieu d'XFree86 (x.org est un fork de XFree86 à cause du changement de licence de ce dernier).
* Ajout de Jakarta/Tomcat/Ant..., xfce 4, exim, iiimf.

Un mois de novembre assez dense !
Login: fête ses 10 ans, GLMF consacre son dossier à l'I.A. et nous propose la suite de son Hors Série sur le noyau, et MISC, impassible aborde les VPN ! Quant à l'Informaticien, il continue à traiter aussi bien Windows que Linux.

Plus de détails en annexe, avec les sommaires détaillés

Bonne lecture !

Le premier patch de sécurité (qui ne soit pas un système de contrôle d'accès à la SELinux ou à la RSBAC) pour le noyau 2.6 a vu le jour, il s'agit d'un port basique de la partie du patch PaX (patch utilisé pour la protection de l'espace d'adressage dans grsecurity) concernant la randomization de l'espace d'adressage.

MicroBSD est un noyau BSD qui est conçu pour être peu gourmand en mémoire et sécurisé. Il possède néammoins un nombre important de fonctionalités (firewall, détection d'intrusion, VPN, SMTP, WWW, DNS, FTP, ...). En outre, il existe pour un nombre conséquent d'architectures (x86/Alpha/Sun/PPC). On peut aussi ajouter que son installation semble aisée (voir l'article sur BSD Newsletter). Bref, c'est le système idéal pour vos passerelles et firewalls!

Sur la page du projet, j'ai même vu qu'ils étaient en train d'implémenter un système MAC (Mandatory Access Control) comme dans Linux SE. Ce qui permettra de résoudre convenablement le problème des 'buffer overflows', entre autres.

Un système à suivre de près, donc.

Security Enhanced Linux est un projet Linux mis en oeuvre par la NSA afin de développer un système Linux plus sécurisé. SELinux est un assortiment de patchs du noyau Linux et d'utilitaires conçu autours d'un système de contrôle d'accès obligatoire.
Cet article explique son installation et sa configuration.

Comme chaque semaine, Linux Weekly News nous fait le résumé des nouvelles du libre.



Au sommaire de cette édition :



Front Page : Dmitry inculpé ; VA devient propriétaire ? ; Linux choisi par les "brokers" pour gérer les transactions.

Securité : Nouvelle version de SELinux.

Kernel : Whither 2.5 ? ; min() and max() ; smarter readahead.

Distros : test de LNX-BBC; Linux DA pour les Palm; Omoikane GNU/Linux.

On the Desktop: KOffice 1.1 est sorti, Webmin sur Debian, des progrès de la Desktop Division de Sun.

Dév: GPLFarm, MontaVista Library Optimizer, Jabber News, FLTK, GNOME Accessibility, profiling multi-threaded Python, Automake 1.5.

Commerce: Solutions de clusters; les annonces du LinuxWorld.

Histoire: Les pans de Corel pour Linux; Red Hat et LASER5 arrête leur collaboration; 1ère année de OSDL.

Lettres: Richard Stallman et la liberté; l'entropie; VA Linux.

Ca ressemble à un troll mais c'est bien le titre d'un article de securityportal.

Il ne compare pas les avantages intrinsèques des deux systèmes mais mentionne plusieurs moyens de sécuriser Linux non disponible sur OpenBSD, dont les arguments sont une configuration "secure by default" (bof ...) et un code mieux audité.

- WireX : Immunix, distribution Linux orientée sécurité : SubDomain pour restreindre les fichiers accessibles à un programme, StackGuard et FormatGuard pour les bugs dus à des dépassements de buffer et les chaînes de formatage.

- openwall : piles user non exécutable, plus de liens et pipes dans /tmp

- Argus PitBull LX : Discretionary Access Control, restrictions à l'accès aux devices et aux ports (flexible, moins lourd qu'un chroot). Attention, kernels binaires seulement !

- NSA SELinux : similaire à PitBull, mais PitBull ressemble un peu à l'inspecteur gadget de la sécurité tandis que les patches de la NSA ont apparemment un design plus cohérent, j'ai l'impression que les designers ont une "big picture" du noyau, mais c'est plus délicat à paramétrer.

- LIDS : bloque certains éléments de configuration qui ne sont plus modifiable sans un accès physique à la machine.

- Medusa DS9 : plus ou moins la même chose que les précédents ?


L'auteur annonce un article "Why Linux Will Never be as Secure as OpenBSD" pour la semaine prochaine, donc il ne faut prendre le titre provocateur au pied de la lettre.

Personnellement j'ai participé au crack contest openhack sur une machine avec PitBull LX et j'ai été impressionné par sa résistance, un hacker a pu avoir un shell root avec un exploit connu mais n'a pas pour autant pu créer le fichier demandé dans la racine à cause du Discretionary Access Control.

Apparemment la sécurisation globale d'un système passe par la mise en place de tels mécanismes qui n'ont pas les limites du "Mandatory Access Control", on ne peut pas tout faire à coups de chmod.

Le kernel (stable) tel qu'il est concu aujourd'hui oblige les personnes voulant disposer de contraintes de sécurité fortes (pile non exécutable, verouillage et/ou chiffrement de systèmes de fichiers, ACL etc) à appliquer des patches au noyau (openwall, LIDS, international patch), ce constitue un frein à la cohérence du noyau, complique le travail des éditeurs de distributions, et surtout limite la diffusion des fonctionnalités qu'ils apportent (tout le monde n'est pas capable de recompiler un noyau).

C'est pourquoi, lors du "2.5 kernel summit" a été évoquée la création d'un module kernel dédié à la sécurité. Le point de départ a été le discours d'un membre de la NSA concernant ses besoins pour la distribution "Security enhanced Linux". Le module prendrait en charge nombre de fonctionnalités apportées aujourd'hui par les divers patches, et permettrait de bénéficier d'un kernel plus sécurisé tout en utilisant le noyau "officiel". Finis les temps de latence entre la sortie du noyau et les patches de sécurité à apliquer, finies également les incompatibilités entre ces patches.
Si les fonctionnalités de ce module restent encore floues, les développeurs ont déjà identifié de nombreuses modifications à apporter au noyau. Linus a également donné son avis concernant le rôle et portée de ce module, ainsi la direction à prendre. Reste à voir dans quelle mesure cette décision impactera le développement du noyau dans son ensemble.

Note du modérateur : va-t-on vers un noyau officiel à la sauce NSA ?