La sortie de la dernière version de PulseAudio coïncide avec celle de trois nouvelles versions de systemd, c’est donc l’occasion de faire une dépêche spéciale Lennart Poettering !
Journal Fin des RPS et choix cornélien
J'ai eu aujourd'hui la désagréable surprise de recevoir un email d'OVh me disant en substance ceci :
[IMPORTANT] Arrêt du service RPS le 24 Juin 2013
OVH a proposé le produit RPS de Janvier 2008 à Juin 2011. L'infrastructure de ce produit
devient obsolète, amenant à terme de potentiels risques. OVH proposant désormais des offres
plus adaptées à ce type de besoin, nous avons pris la décision de stopper le service.
Le service RPS sera donc définitivement stoppé le 24
(…)
Journal Sortie de Setup 0.1-alpha0
Aujourd'hui, j'ai le plaisir de vous annoncer que des mois de travail portent enfin leurs fruits. Après un début purement théorique, le gestionnaire de paquets que je développe pour le moment sort enfin à la lumière du soleil.
Cette version n'est pas du tout stable, et n'est là que pour montrer que le travail avance, mais peut déjà être testée, et appréciée. Certaines fonctionnalités critiques sont encore absentes (désinstallation, mise à jour), mais l'installation marche déjà correctement.
Qu'est-ce (…)
Journal Utiliser Podman en mode rootless pour exécuter en service des containers rootless
Hello,
J'ai eu l'occasion de remonter mon serveur et tous ses services suite à un bug sur le système de fichier.
Je pouvais juste remonter les sauvegardes de ma Debian 11 Bullseye, mais j'avais prévu une nouvelle machine et je voulais en profiter pour refaire à la main les installations des services.
J'emploie Debian et j'utilise donc d'habitude les paquets Debian.
Mais, bien sûr, j'ai certains services, comme Firefox Sync et Grafana, qui ne sont pas disponible dans les répertoires (…)
Faille locale dans les fonctions pipe_*_open() du noyau Linux
L'histoire pourrait s'arrêter là, mais Eugene Teo de Red Hat a découvert cinq jours plus tard que le bug est une faille de sécurité. La faille est facile à exploiter avec la boîte à outils de Brad Spengler. Comme les dernières failles du noyau Linux (vmsplice(), tun_chr_pool() et perf_counter), la faille est liée au déréférencement d'un pointeur NULL. Brad Spengler a écrit un exploit (pouvoir passer root à partir d'un compte utilisateur) fonctionnant sur, au moins, Debian Etch, Fedora (6, 10 et 11), et RedHat (5.3 et 5.4). L'exploit contourne les protections SELinux dans le cas de Fedora 10 et RedHat 5.4. Il devrait publier son exploit dans les prochains jours.
Pour se protéger (ou vérifier si votre système est vulnérable ou non), assurez-vous que la valeur de /proc/sys/vm/mmap_min_addr ne soit pas nulle. Debian Sid, Mandriva Linux 2010.0, Fedora 12, Ubuntu (Ibex et supérieurs) et les noyaux patchés avec grsecurity ne sont pas vulnérables. Alors que Debian Lenny et Squeeze ont une valeur nulle par exemple (il est prévu de changer ça à partir de Debian 5.0.4). Comme l'option mmap_min_addr a été introduite dans Linux 2.6.23, Debian Etch (qui utilise un noyau 2.6.18) est vulnérable : vous pouvez utiliser les paquets etchhalf pour installer un noyau 2.6.24. Des correctifs pour RedHat sont déjà disponibles.
Sortie de Fedora 34 Beta
En ce mardi 23 mars, la communauté du Projet Fedora sera ravie d’apprendre la disponibilité de la version Bêta Fedora 34.
Malgré les risques concernant la stabilité d’une version Bêta, il est important de la tester ! En rapportant les bogues maintenant, vous découvrirez les nouveautés avant tout le monde, tout en améliorant la qualité de Fedora 34 et réduisant du même coup le risque de retard. Les versions en développement manquent de testeurs et de retours pour mener à bien leurs buts.
La version finale est pour le moment fixée pour le 20 ou 27 avril.
Voici les nouveautés annoncées pour cette version.
La fin de Grsecurity ?
Le sponsor principal du projet s'étant retiré du fait de la crise économique, la version 2.1.12 de Grsecurity pourrait bien être la dernière. Selon l'annonce postée sur le site, si un nouveau sponsor ne se manifeste pas avant le 31 mars alors les développements prendront fin et le projet sera gelé, peut-être définitivement.
Meltdown et Spectre, comment savoir si votre noyau est vulnérable ou pas
Avec toute l’agitation et la parution rapide des correctifs au sujet des failles Meltdown et Spectre, il peut être difficile de savoir si son processeur est affecté et quel est le niveau exact de protection de sa machine.
Afin d’aider les utilisateurs à trouver l’information, le développeur Thomas Gleixner a introduit un nouveau mécanisme qui permet d’avoir une vue unifiée de l’état actuel de son noyau.
Sudo 1.9.9 et Opendoas 6.8.2
Le 28 janvier 2022 Sudo et OpenDoas proposaient simultanément leurs nouvelles versions. sudo
c'est la commande présente dans toutes nos distributions qui permet d'exécuter un programme au nom d'un autre utilisateur — elle est couramment utilisée pour lancer une commande d'administration sans être root. doas
c'est son pendant chez OpenBSD et OpenDoas en est le portage sur Linux. L'intérêt ? Une version plus simple et allégée (sur une Debian stable par exemple : doas version am64 paquet de 20,6 kB pour 68,0 kB déployés, avec deux dépendances libc6 et libpam0g, sudo version amd64 paquet de 1033,9 kB pour 4589,0 kB installés, avec 7 dépendances libaudit1, libc6, libpam-modules, libpam0g, libselinux1, libselinux1 et zlib1g).
Les nouveautés sont mineures, à moins de s'en servir dans des scripts (je vous renvoie aux changelogs). Mais c'est l'occasion de parler du petit frère allégé :
Doas est l’œuvre de Ted Unangst qui fait un récit savoureux de ses motivations et changements (la bonne vieille histoire du développeur fainéant qui se retrouve contraint de finir un logiciel qui intéresse la communauté). Sa configuration est simple et différente de Sudo : plutôt que donner des droits à l'utilisateur, on indique la commande puis les utilisateurs autorisés. Ça devrait contraindre l'administrateur à être plus attentif.
Journal Un petit tour sur le paysage de la virtualisation Linux
avec tout ce qu'il se profile à l'horizon concernant la virtualisation sous Linux je me suis dit qu'un point semblait opportun.
Tout d'abord Xen:
La version 3.4.1 étant sortie il y a peu, force est de constater que cet hyperviseur est en pleine phase de transition concernant le Dom0. A l'heure actuelle pas moins de 5 candidats s'offrent à nous pour ce domaine privilégié (Lien 1).
Sur ces 5 seul l'ancestral 2.6.18 est pleinement fonctionnel à ce jour. (…)
Sortie de Red Hat Enterprise Linux 6.4
Red Hat a annoncé ce 21 février la version 6.4 de Red Hat Enterprise Linux (RHEL), distribution commerciale destinée aux professionnels et aux entreprises.
Pour rappel, RHEL 6 est disponible depuis novembre 2010 et apporte de nombreuses nouveautés, tant au niveau de la prise en charge matérielle que logicielle. La version bêta fut annoncée quant à elle le 5 décembre 2012.
Les changements sont détaillés en seconde partie de cet article.
Red Hat Enterprise Linux 7.2
Red Hat a annoncé, ce 19 novembre 2015, la version 7.2 de Red Hat Enterprise Linux (RHEL), distribution commerciale destinée aux professionnels et aux entreprises.
Pour rappel, RHEL 7 est disponible depuis juin 2014 et apporte de nombreuses nouveautés, comme Docker, systemd et l'utilisation par défaut du système de fichiers XFS. RHEL 6 et 5 sont, malgré tout, encore maintenues par l'éditeur.
Il convient, bien entendu, de ne pas confondre RHEL 7.2 avec Red Hat Linux 7.2 sortie en octobre 2001 ;).
Vous trouverez en deuxième partie de cet article une sélection des changements apportés.
Les distributions GNU/Linux sécurisées
On trouve bien entendu les "grandes" que tout le monde connaît (Red Hat/Fedora, Debian GNU/Linux, Ubuntu, Mandriva Linux, etc) mais il existe une multitude de petits projets spécialisés, de forks plus ou moins amicaux, d'expérimentations diverses et variées.
Certaines de ces distributions ont choisi de se spécialiser dans le secteur de la sécurité et il m'a semblé intéressant de regarder d'un peu plus près ce qu'elles avaient à proposer.
Il n'est pas question ici des live-CD spécialisés qui permettent de vérifier la sécurité d'un réseau ou d'un poste local (du type Network Security Toolkit ou bien HoneyWall). Ces distributions sont incontestablement intéressantes mais ce n'est pas le sujet de cette dépêche. Ce qui va être examiné ce sont les distributions installables qui veulent proposer une sécurité au dessus de la moyenne. Seront également examinés certains patchs ou paquets spéciaux pour des distributions préexistantes.
La niche écologique de ces distributions spéciales, ou de ces variantes, c'est la promesse d'une sécurité supérieure par le biais de diverses améliorations techniques.
Dans la suite de la dépêche nous examinerons donc :
- OpenWall
- EnGarde Secure Linux
- Grsecurity/Pax
- NetSecL
- Bastille Unix
- Hardened Gentoo/Hardened Debian
Fim 1.1.0
Fim (File Integrity Manager) est un gestionnaire de fichiers libre (licence GPLv3) qui permet de gérer beaucoup de fichiers de n'importe quelle taille. Il peut par exemple, gérer des photos ou des vidéos. Il est capable de gérer des centaines de milliers de fichiers occupant une taille totale de plusieurs téraoctets. Il peut détecter les fichiers dupliqués et aider à les effacer.
Les nouveautés de la version 1.1.0 :
- réécriture de l'algorithme de hachage pour hacher un bloc au début, un au milieu et un à la fin (détails ici) ;
- détection de corruption due au matériel ou de bug du système de fichiers (détails ici) ;
- sauvegarde et restauration des permissions des fichiers, utilisation des labels SELinux si disponibles (détails ici) ;
- prise en compte des fichiers .fimignore pour ignorer des fichiers ou des répertoires (détails ici).
Red Hat Enterprise Linux 7.1
Red Hat a annoncé, ce 5 mars 2015, la version 7.1 de Red Hat Enterprise Linux (RHEL), distribution commerciale destinée aux professionnels et aux entreprises.
Pour rappel, RHEL 7 est disponible depuis juin 2014 et apporte de nombreuses nouveautés, comme Docker et systemd, mais crée une rupture avec le passé en ne proposant plus d'installation sur un système x86 32 bits.
Vous trouverez en deuxième partie de cet article une sélection des changements apportés.