Le premier patch de sécurité (qui ne soit pas un système de contrôle d'accès à la SELinux ou à la RSBAC) pour le noyau 2.6 a vu le jour, il s'agit d'un port basique de la partie du patch PaX (patch utilisé pour la protection de l'espace d'adressage dans grsecurity) concernant la randomization de l'espace d'adressage.

MicroBSD est un noyau BSD qui est conçu pour être peu gourmand en mémoire et sécurisé. Il possède néammoins un nombre important de fonctionalités (firewall, détection d'intrusion, VPN, SMTP, WWW, DNS, FTP, ...). En outre, il existe pour un nombre conséquent d'architectures (x86/Alpha/Sun/PPC). On peut aussi ajouter que son installation semble aisée (voir l'article sur BSD Newsletter). Bref, c'est le système idéal pour vos passerelles et firewalls!

Sur la page du projet, j'ai même vu qu'ils étaient en train d'implémenter un système MAC (Mandatory Access Control) comme dans Linux SE. Ce qui permettra de résoudre convenablement le problème des 'buffer overflows', entre autres.

Un système à suivre de près, donc.

Security Enhanced Linux est un projet Linux mis en oeuvre par la NSA afin de développer un système Linux plus sécurisé. SELinux est un assortiment de patchs du noyau Linux et d'utilitaires conçu autours d'un système de contrôle d'accès obligatoire.
Cet article explique son installation et sa configuration.

Comme chaque semaine, Linux Weekly News nous fait le résumé des nouvelles du libre.



Au sommaire de cette édition :



Front Page : Dmitry inculpé ; VA devient propriétaire ? ; Linux choisi par les "brokers" pour gérer les transactions.

Securité : Nouvelle version de SELinux.

Kernel : Whither 2.5 ? ; min() and max() ; smarter readahead.

Distros : test de LNX-BBC; Linux DA pour les Palm; Omoikane GNU/Linux.

On the Desktop: KOffice 1.1 est sorti, Webmin sur Debian, des progrès de la Desktop Division de Sun.

Dév: GPLFarm, MontaVista Library Optimizer, Jabber News, FLTK, GNOME Accessibility, profiling multi-threaded Python, Automake 1.5.

Commerce: Solutions de clusters; les annonces du LinuxWorld.

Histoire: Les pans de Corel pour Linux; Red Hat et LASER5 arrête leur collaboration; 1ère année de OSDL.

Lettres: Richard Stallman et la liberté; l'entropie; VA Linux.

Ca ressemble à un troll mais c'est bien le titre d'un article de securityportal.

Il ne compare pas les avantages intrinsèques des deux systèmes mais mentionne plusieurs moyens de sécuriser Linux non disponible sur OpenBSD, dont les arguments sont une configuration "secure by default" (bof ...) et un code mieux audité.

- WireX : Immunix, distribution Linux orientée sécurité : SubDomain pour restreindre les fichiers accessibles à un programme, StackGuard et FormatGuard pour les bugs dus à des dépassements de buffer et les chaînes de formatage.

- openwall : piles user non exécutable, plus de liens et pipes dans /tmp

- Argus PitBull LX : Discretionary Access Control, restrictions à l'accès aux devices et aux ports (flexible, moins lourd qu'un chroot). Attention, kernels binaires seulement !

- NSA SELinux : similaire à PitBull, mais PitBull ressemble un peu à l'inspecteur gadget de la sécurité tandis que les patches de la NSA ont apparemment un design plus cohérent, j'ai l'impression que les designers ont une "big picture" du noyau, mais c'est plus délicat à paramétrer.

- LIDS : bloque certains éléments de configuration qui ne sont plus modifiable sans un accès physique à la machine.

- Medusa DS9 : plus ou moins la même chose que les précédents ?


L'auteur annonce un article "Why Linux Will Never be as Secure as OpenBSD" pour la semaine prochaine, donc il ne faut prendre le titre provocateur au pied de la lettre.

Personnellement j'ai participé au crack contest openhack sur une machine avec PitBull LX et j'ai été impressionné par sa résistance, un hacker a pu avoir un shell root avec un exploit connu mais n'a pas pour autant pu créer le fichier demandé dans la racine à cause du Discretionary Access Control.

Apparemment la sécurisation globale d'un système passe par la mise en place de tels mécanismes qui n'ont pas les limites du "Mandatory Access Control", on ne peut pas tout faire à coups de chmod.

Le kernel (stable) tel qu'il est concu aujourd'hui oblige les personnes voulant disposer de contraintes de sécurité fortes (pile non exécutable, verouillage et/ou chiffrement de systèmes de fichiers, ACL etc) à appliquer des patches au noyau (openwall, LIDS, international patch), ce constitue un frein à la cohérence du noyau, complique le travail des éditeurs de distributions, et surtout limite la diffusion des fonctionnalités qu'ils apportent (tout le monde n'est pas capable de recompiler un noyau).

C'est pourquoi, lors du "2.5 kernel summit" a été évoquée la création d'un module kernel dédié à la sécurité. Le point de départ a été le discours d'un membre de la NSA concernant ses besoins pour la distribution "Security enhanced Linux". Le module prendrait en charge nombre de fonctionnalités apportées aujourd'hui par les divers patches, et permettrait de bénéficier d'un kernel plus sécurisé tout en utilisant le noyau "officiel". Finis les temps de latence entre la sortie du noyau et les patches de sécurité à apliquer, finies également les incompatibilités entre ces patches.
Si les fonctionnalités de ce module restent encore floues, les développeurs ont déjà identifié de nombreuses modifications à apporter au noyau. Linus a également donné son avis concernant le rôle et portée de ce module, ainsi la direction à prendre. Reste à voir dans quelle mesure cette décision impactera le développement du noyau dans son ensemble.

Note du modérateur : va-t-on vers un noyau officiel à la sauce NSA ?

Calendrier web, regroupant des évènements liés au Libre (logiciel, salon, atelier, install party, conférence) en France, annoncés par leurs organisateurs. Voici un récapitulatif de la semaine à venir. Le détail de chacun de ces 23 événements est en seconde partie de dépêche.

• lundi 4 janvier 2016
  • [Kunheim] Formation Linux
  • [Montpellier] Cartopartie participative accessibilité des personnes à mobilité réduite
  • [Montpellier] Points Libres GNU/Linux et Logiciels Libres
• mardi 5 janvier 2016
  • [Toulon] Réunion mensuelle Toulonux
  • [Montpellier] Rencontre du Groupe Blender
  • [Bordeaux] Atelier CLI
• mercredi 6 janvier 2016
  • [Toulouse] Rencontre Logiciels Libres
  • [Tarbes] Sécurisez votre site internet
  • [Montpellier] Cartopartie participative accessibilité des personnes à mobilité réduite
• jeudi 7 janvier 2016
  • [Paris] Soirée de Contribution au Libre
  • [Caen] First Jeudi
  • [Lyon] Atelier Libre
  • [Lyon] Jeudi du Libre
  • [Lyon] Conférence jeudi du Libre
  • [Lyon] Ateliers « découverte du numérique libre »
  • [Vailhauquès] Projet-O-Lab
  • [Rennes] Apéro du Libre
• samedi 9 janvier 2016
  • [Villeneuve d'Ascq] Libre à Vous
  • [Paris] Premier Samedi du Libre
  • [Saint-Martin-les-Eaux] Atelier Zotonome : Informatique débutant et avancé
  • [Aix-en-Provence] Samedi Libre
  • [Beauvais] Initiation aux logiciels libres
  • [Toulouse] Atelier C++/Qt

Attention, certains événements peuvent être annulés, consultez le site de l’organisateur.

Calendrier Web, regroupant des événements liés au Libre (logiciel, salon, atelier, install party, conférence), annoncés par leurs organisateurs. Voici un récapitulatif de la semaine à venir. Le détail de chacun de ces dix‑sept événements (France : 13, Belgique : 3, Suisse : 1) est en seconde partie de dépêche.

Calendrier Web, regroupant des événements liés au Libre (logiciel, salon, atelier, install party, conférence), annoncés par leurs organisateurs. Voici un récapitulatif de la semaine à venir. Le détail de chacun de ces 65 événements (France 63, Suisse 2) est en seconde partie de dépêche.