Spéciale Lennart Poettering : nouvelles versions de systemd et PulseAudio

Posté par  . Édité par Davy Defaud, BAud, antistress, palm123, Benoît Sibaud, Melkor73, stiffux, ZeroHeure, Jarvis, patrick_g, Sébastien Koechlin, Jiehong, liberforce et Kfadelk. Modéré par patrick_g. Licence CC By‑SA.
Étiquettes :
42
21
mar.
2014
Technologie

La sortie de la dernière version de PulseAudio coïncide avec celle de trois nouvelles versions de systemd, c’est donc l’occasion de faire une dépêche spéciale Lennart Poettering !

Lennart Poettering <3

photo de Harald Hoyer sous CC-BY-SA-3.0

Journal Fin des RPS et choix cornélien

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
40
4
mai
2013

J'ai eu aujourd'hui la désagréable surprise de recevoir un email d'OVh me disant en substance ceci :

[IMPORTANT] Arrêt du service RPS le 24 Juin 2013

OVH a proposé le produit RPS de Janvier 2008 à Juin 2011. L'infrastructure de ce produit 
devient obsolète, amenant à terme de potentiels risques. OVH proposant désormais des offres 
plus adaptées à ce type de besoin, nous avons pris la décision de stopper le service.

Le service RPS sera donc définitivement stoppé le 24
(…)

Journal Sortie de Setup 0.1-alpha0

Posté par  (site web personnel) .
Étiquettes :
39
27
nov.
2009
Bonjour,

Aujourd'hui, j'ai le plaisir de vous annoncer que des mois de travail portent enfin leurs fruits. Après un début purement théorique, le gestionnaire de paquets que je développe pour le moment sort enfin à la lumière du soleil.

Cette version n'est pas du tout stable, et n'est là que pour montrer que le travail avance, mais peut déjà être testée, et appréciée. Certaines fonctionnalités critiques sont encore absentes (désinstallation, mise à jour), mais l'installation marche déjà correctement.

Qu'est-ce (…)

Journal Utiliser Podman en mode rootless pour exécuter en service des containers rootless

Posté par  (site web personnel, Mastodon) . Licence CC By‑SA.
Étiquettes :
39
29
avr.
2022

Hello,

J'ai eu l'occasion de remonter mon serveur et tous ses services suite à un bug sur le système de fichier.

Je pouvais juste remonter les sauvegardes de ma Debian 11 Bullseye, mais j'avais prévu une nouvelle machine et je voulais en profiter pour refaire à la main les installations des services.

J'emploie Debian et j'utilise donc d'habitude les paquets Debian.

Mais, bien sûr, j'ai certains services, comme Firefox Sync et Grafana, qui ne sont pas disponible dans les répertoires (…)

Faille locale dans les fonctions pipe_*_open() du noyau Linux

Posté par  (site web personnel) . Modéré par rootix.
Étiquettes :
38
5
nov.
2009
Sécurité
Une situation de compétition (race condition) a été trouvée le 14 octobre dans les fonctions pipe_read_open(), pipe_write_open() et pipe_rdwr_open() du noyau Linux par Earl Chew, bug vieux de plus de dix ans. Deux jours plus tard, Earl a écrit un patch corrigeant le bug (commité le 21 octobre, il fait partie de la version 2.6.32-rc6).

L'histoire pourrait s'arrêter là, mais Eugene Teo de Red Hat a découvert cinq jours plus tard que le bug est une faille de sécurité. La faille est facile à exploiter avec la boîte à outils de Brad Spengler. Comme les dernières failles du noyau Linux (vmsplice(), tun_chr_pool() et perf_counter), la faille est liée au déréférencement d'un pointeur NULL. Brad Spengler a écrit un exploit (pouvoir passer root à partir d'un compte utilisateur) fonctionnant sur, au moins, Debian Etch, Fedora (6, 10 et 11), et RedHat (5.3 et 5.4). L'exploit contourne les protections SELinux dans le cas de Fedora 10 et RedHat 5.4. Il devrait publier son exploit dans les prochains jours.

Pour se protéger (ou vérifier si votre système est vulnérable ou non), assurez-vous que la valeur de /proc/sys/vm/mmap_min_addr ne soit pas nulle. Debian Sid, Mandriva Linux 2010.0, Fedora 12, Ubuntu (Ibex et supérieurs) et les noyaux patchés avec grsecurity ne sont pas vulnérables. Alors que Debian Lenny et Squeeze ont une valeur nulle par exemple (il est prévu de changer ça à partir de Debian 5.0.4). Comme l'option mmap_min_addr a été introduite dans Linux 2.6.23, Debian Etch (qui utilise un noyau 2.6.18) est vulnérable : vous pouvez utiliser les paquets etchhalf pour installer un noyau 2.6.24. Des correctifs pour RedHat sont déjà disponibles.

Sortie de Fedora 34 Beta

Posté par  (site web personnel) . Édité par ted, claudex et Ysabeau 🧶 🧦. Modéré par Pierre Jarillon. Licence CC By‑SA.
Étiquettes :
38
23
mar.
2021
Fedora

En ce mardi 23 mars, la communauté du Projet Fedora sera ravie d’apprendre la disponibilité de la version Bêta Fedora 34.

Malgré les risques concernant la stabilité d’une version Bêta, il est important de la tester ! En rapportant les bogues maintenant, vous découvrirez les nouveautés avant tout le monde, tout en améliorant la qualité de Fedora 34 et réduisant du même coup le risque de retard. Les versions en développement manquent de testeurs et de retours pour mener à bien leurs buts.

La version finale est pour le moment fixée pour le 20 ou 27 avril.
Voici les nouveautés annoncées pour cette version.

La fin de Grsecurity ?

Posté par  (site web personnel) . Modéré par Nÿco.
Étiquettes :
38
6
jan.
2009
Linux
Grsecurity est un patch sous licence GPL pour Linux qui vise a renforcer la sécurité du noyau par l'ajout de divers mécanismes.

Le sponsor principal du projet s'étant retiré du fait de la crise économique, la version 2.1.12 de Grsecurity pourrait bien être la dernière. Selon l'annonce postée sur le site, si un nouveau sponsor ne se manifeste pas avant le 31 mars alors les développements prendront fin et le projet sera gelé, peut-être définitivement.

Meltdown et Spectre, comment savoir si votre noyau est vulnérable ou pas

Posté par  (site web personnel) . Édité par Benoît Sibaud, Florent Zara et Davy Defaud. Modéré par ZeroHeure. Licence CC By‑SA.
Étiquettes :
37
23
jan.
2018
Noyau

Avec toute l’agitation et la parution rapide des correctifs au sujet des failles Meltdown et Spectre, il peut être difficile de savoir si son processeur est affecté et quel est le niveau exact de protection de sa machine.
Afin d’aider les utilisateurs à trouver l’information, le développeur Thomas Gleixner a introduit un nouveau mécanisme qui permet d’avoir une vue unifiée de l’état actuel de son noyau.

Sudo 1.9.9 et Opendoas 6.8.2

Posté par  . Édité par Benoît Sibaud. Modéré par Benoît Sibaud. Licence CC By‑SA.
Étiquettes :
36
9
fév.
2022
Administration système

Le 28 janvier 2022 Sudo et OpenDoas proposaient simultanément leurs nouvelles versions. sudo c'est la commande présente dans toutes nos distributions qui permet d'exécuter un programme au nom d'un autre utilisateur — elle est couramment utilisée pour lancer une commande d'administration sans être root. doas c'est son pendant chez OpenBSD et OpenDoas en est le portage sur Linux. L'intérêt ? Une version plus simple et allégée (sur une Debian stable par exemple : doas version am64 paquet de 20,6 kB pour 68,0 kB déployés, avec deux dépendances libc6 et libpam0g, sudo version amd64 paquet de 1033,9 kB pour 4589,0 kB installés, avec 7 dépendances libaudit1, libc6, libpam-modules, libpam0g, libselinux1, libselinux1 et zlib1g).

Les nouveautés sont mineures, à moins de s'en servir dans des scripts (je vous renvoie aux changelogs). Mais c'est l'occasion de parler du petit frère allégé :

Doas est l’œuvre de Ted Unangst qui fait un récit savoureux de ses motivations et changements (la bonne vieille histoire du développeur fainéant qui se retrouve contraint de finir un logiciel qui intéresse la communauté). Sa configuration est simple et différente de Sudo : plutôt que donner des droits à l'utilisateur, on indique la commande puis les utilisateurs autorisés. Ça devrait contraindre l'administrateur à être plus attentif.

Journal Un petit tour sur le paysage de la virtualisation Linux

Posté par  .
Étiquettes :
35
17
sept.
2009
Cher lecteurs,

avec tout ce qu'il se profile à l'horizon concernant la virtualisation sous Linux je me suis dit qu'un point semblait opportun.

Tout d'abord Xen:

La version 3.4.1 étant sortie il y a peu, force est de constater que cet hyperviseur est en pleine phase de transition concernant le Dom0. A l'heure actuelle pas moins de 5 candidats s'offrent à nous pour ce domaine privilégié (Lien 1).
Sur ces 5 seul l'ancestral 2.6.18 est pleinement fonctionnel à ce jour. (…)

Sortie de Red Hat Enterprise Linux 6.4

Posté par  . Édité par Nils Ratusznik, Davy Defaud, Nils Ratusznik, Katyucha, Benoît, Anonyme, rootix, Xavier Teyssier, Nÿco et Florent Zara. Modéré par Xavier Teyssier. Licence CC By‑SA.
Étiquettes :
35
22
fév.
2013
Red Hat

Red Hat a annoncé ce 21 février la version 6.4 de Red Hat Enterprise Linux (RHEL), distribution commerciale destinée aux professionnels et aux entreprises.

Pour rappel, RHEL 6 est disponible depuis novembre 2010 et apporte de nombreuses nouveautés, tant au niveau de la prise en charge matérielle que logicielle. La version bêta fut annoncée quant à elle le 5 décembre 2012.

RHEL

Les changements sont détaillés en seconde partie de cet article.

Red Hat Enterprise Linux 7.2

Posté par  (site web personnel, Mastodon) . Édité par BAud, Benoît Sibaud, palm123, Jean-Max Reymond, ZeroHeure, Misc et Lucas. Modéré par patrick_g. Licence CC By‑SA.
Étiquettes :
34
11
jan.
2016
Red Hat

Red Hat a annoncé, ce 19 novembre 2015, la version 7.2 de Red Hat Enterprise Linux (RHEL), distribution commerciale destinée aux professionnels et aux entreprises.

Pour rappel, RHEL 7 est disponible depuis juin 2014 et apporte de nombreuses nouveautés, comme Docker, systemd et l'utilisation par défaut du système de fichiers XFS. RHEL 6 et 5 sont, malgré tout, encore maintenues par l'éditeur.

Il convient, bien entendu, de ne pas confondre RHEL 7.2 avec Red Hat Linux 7.2 sortie en octobre 2001 ;).

RHEL 7

Vous trouverez en deuxième partie de cet article une sélection des changements apportés.

Les distributions GNU/Linux sécurisées

Posté par  (site web personnel) . Modéré par patrick_g.
Étiquettes :
33
2
avr.
2010
Sécurité
L'écosystème des distributions GNU/Linux est saturé. Le site Distrowatch en recense plus de 300 et ce chiffre est sans doute une sous-estimation.
On trouve bien entendu les "grandes" que tout le monde connaît (Red Hat/Fedora, Debian GNU/Linux, Ubuntu, Mandriva Linux, etc) mais il existe une multitude de petits projets spécialisés, de forks plus ou moins amicaux, d'expérimentations diverses et variées.
Certaines de ces distributions ont choisi de se spécialiser dans le secteur de la sécurité et il m'a semblé intéressant de regarder d'un peu plus près ce qu'elles avaient à proposer.

Il n'est pas question ici des live-CD spécialisés qui permettent de vérifier la sécurité d'un réseau ou d'un poste local (du type Network Security Toolkit ou bien HoneyWall). Ces distributions sont incontestablement intéressantes mais ce n'est pas le sujet de cette dépêche. Ce qui va être examiné ce sont les distributions installables qui veulent proposer une sécurité au dessus de la moyenne. Seront également examinés certains patchs ou paquets spéciaux pour des distributions préexistantes.
La niche écologique de ces distributions spéciales, ou de ces variantes, c'est la promesse d'une sécurité supérieure par le biais de diverses améliorations techniques.

Dans la suite de la dépêche nous examinerons donc :
  • OpenWall
  • EnGarde Secure Linux
  • Grsecurity/Pax
  • NetSecL
  • Bastille Unix
  • Hardened Gentoo/Hardened Debian

Fim 1.1.0

Posté par  . Édité par Nils Ratusznik et Benoît Sibaud. Modéré par ZeroHeure. Licence CC By‑SA.
Étiquettes :
31
2
nov.
2015
Ligne de commande

Fim (File Integrity Manager) est un gestionnaire de fichiers libre (licence GPLv3) qui permet de gérer beaucoup de fichiers de n'importe quelle taille. Il peut par exemple, gérer des photos ou des vidéos. Il est capable de gérer des centaines de milliers de fichiers occupant une taille totale de plusieurs téraoctets. Il peut détecter les fichiers dupliqués et aider à les effacer.

Logo de Fim

Les nouveautés de la version 1.1.0 :

  • réécriture de l'algorithme de hachage pour hacher un bloc au début, un au milieu et un à la fin (détails ici) ;
  • détection de corruption due au matériel ou de bug du système de fichiers (détails ici) ;
  • sauvegarde et restauration des permissions des fichiers, utilisation des labels SELinux si disponibles (détails ici) ;
  • prise en compte des fichiers .fimignore pour ignorer des fichiers ou des répertoires (détails ici).

Red Hat Enterprise Linux 7.1

Posté par  (site web personnel, Mastodon) . Édité par bubar🦥, BAud, Xavier Teyssier et david.g. Modéré par patrick_g. Licence CC By‑SA.
Étiquettes :
31
12
mar.
2015
Red Hat

Red Hat a annoncé, ce 5 mars 2015, la version 7.1 de Red Hat Enterprise Linux (RHEL), distribution commerciale destinée aux professionnels et aux entreprises.

Pour rappel, RHEL 7 est disponible depuis juin 2014 et apporte de nombreuses nouveautés, comme Docker et systemd, mais crée une rupture avec le passé en ne proposant plus d'installation sur un système x86 32 bits.

RHEL 7

Vous trouverez en deuxième partie de cet article une sélection des changements apportés.