La fin de Grsecurity ?

Posté par  (site web personnel) . Modéré par Nÿco.
Étiquettes :
38
6
jan.
2009
Linux
Grsecurity est un patch sous licence GPL pour Linux qui vise a renforcer la sécurité du noyau par l'ajout de divers mécanismes.

Le sponsor principal du projet s'étant retiré du fait de la crise économique, la version 2.1.12 de Grsecurity pourrait bien être la dernière. Selon l'annonce postée sur le site, si un nouveau sponsor ne se manifeste pas avant le 31 mars alors les développements prendront fin et le projet sera gelé, peut-être définitivement.

Les distributions GNU/Linux sécurisées

Posté par  (site web personnel) . Modéré par patrick_g.
Étiquettes :
33
2
avr.
2010
Sécurité
L'écosystème des distributions GNU/Linux est saturé. Le site Distrowatch en recense plus de 300 et ce chiffre est sans doute une sous-estimation.
On trouve bien entendu les "grandes" que tout le monde connaît (Red Hat/Fedora, Debian GNU/Linux, Ubuntu, Mandriva Linux, etc) mais il existe une multitude de petits projets spécialisés, de forks plus ou moins amicaux, d'expérimentations diverses et variées.
Certaines de ces distributions ont choisi de se spécialiser dans le secteur de la sécurité et il m'a semblé intéressant de regarder d'un peu plus près ce qu'elles avaient à proposer.

Il n'est pas question ici des live-CD spécialisés qui permettent de vérifier la sécurité d'un réseau ou d'un poste local (du type Network Security Toolkit ou bien HoneyWall). Ces distributions sont incontestablement intéressantes mais ce n'est pas le sujet de cette dépêche. Ce qui va être examiné ce sont les distributions installables qui veulent proposer une sécurité au dessus de la moyenne. Seront également examinés certains patchs ou paquets spéciaux pour des distributions préexistantes.
La niche écologique de ces distributions spéciales, ou de ces variantes, c'est la promesse d'une sécurité supérieure par le biais de diverses améliorations techniques.

Dans la suite de la dépêche nous examinerons donc :
  • OpenWall
  • EnGarde Secure Linux
  • Grsecurity/Pax
  • NetSecL
  • Bastille Unix
  • Hardened Gentoo/Hardened Debian

Journal Choisir un module de sécurité linux

Posté par  . Licence CC By‑SA.
Étiquettes :
13
25
oct.
2011

À titre personnel, j'ai envie de découvrir un peu le monde des LSM.

Je ne suis pas vraiment parano mais leurs possibilités me semblent intéressantes. La question c'est : lequel choisir ?

Il y en a 4 qui ont chacun leurs avantages :

SELinux

C'est le plus vieux et le mieux intégré (la plupart des distributions proposent en standard une version de coreutils adaptée), mais il est basé sur des attributs de fichiers, ce qui empêche de s'en servir (…)

Wiki Dépêches_Noyau

Licence CC By‑SA.
Étiquettes :
6
15
mai
2012

Dépêches des sorties du noyau Linux

à des fins d'historique et de suivi des nouveautés

2.6.0

2.6.1

2.6.2

  • [SCTP] Stream Control Transmission Protocol
  • [ACPI] Advanced Configuration & Power Interface
  • [Bluetooth] Communication sans fil
  • [USB]…
  • [XFS] Le système de fichier de IRIX, l'UNIX de Sgi (ex Silicon Graphics)
  • [IRDA] Communication infra rouge
  • [IPV6] La "nouvelle" version du protocole Internet
  • [PCI] pour le "hotplug"
  • http://www.kernel.org/pub/linux/kernel/v2.6/ChangeLog-2.6.2

2.6.3

2.6.4

  • Le support de l'architecture (…)

Sondage Dix ans après, quel mécanisme de contrôle d'accès utilisez-vous pour votre système d'exploitation ?

Posté par  . Licence CC By‑SA.
Étiquettes :
5
25
fév.
2023

En cherchant ici du contenu, des avis et des retours d’expériences sur les différentes propositions logiciels (LSM) qui essayent d’augmenter le niveau de sécurité de nos systèmes Linux, j’ai beaucoup trouvé de ressources de la décennie dernière.

Je vous propose donc d’actualiser ce sondage en partageant vos pratiques en la matière, ce que soit sur vos ordinateurs personnels, professionnels ou vos serveurs.

  • Plutôt AppArmor, SELinux, ou GrSecurity ?
  • Les autres propositions semblaient vraiment anecdotiques sur le dernier sondage et c’est uniquement ce dernier qui me les a fait découvrir, certains ici les utilisent ?
  • Est-ce que vos ordinateurs fixes/mobiles/serveurs sont concernés ?
  • SElinux :
    167
    (15.5 %)
  • AppArmor :
    156
    (14.5 %)
  • grsecurity :
    6
    (0.6 %)
  • capabilities :
    18
    (1.7 %)
  • le cloud ! :
    24
    (2.2 %)
  • autre (en commentaire) :
    14
    (1.3 %)
  • eh ben en fait alors je... rien peut-être ? :
    691
    (64.2 %)

Total : 1076 votes

Forum Linux.debian/ubuntu Aide : Temps de boot anormalement long

Posté par  . Licence CC By‑SA.
Étiquettes :
2
17
nov.
2022

Bonjour à tous,

J'essaie d'aider quelqu'un pour résoudre un temps de boot anormalement long.

Je vous décris les étapes pour savoir ou intervenir.

-démarrage du PC portable
-menu grub -> Ubuntu LTS 16.04
-affichage de l'image chargement d'Ubuntu (les 3 petits points) -> tourne pendant 2 minutes au lieu de 3 secondes
-affichage de l'écran de login

Lignes ou l'on identifie le temps de 2 minutes :

Nov 13 18:05:00 jojo-HP-EliteBook-8440p rsyslogd: [origin software="rsyslogd" swVersion="8.16.0" x-pid="1177" x-info="http://www.rsyslog.com"] exiting on signal
(…)

Le noyau Linux 2.6.25 est disponible

Posté par  (site web personnel) . Modéré par Pascal Terjan.
Étiquettes :
0
17
avr.
2008
Noyau
La toute dernière version du noyau Linux stable est maintenant téléchargeable sur les serveurs du site kernel.org. Cette version 2.6.25 a suivi le processus de développement devenu maintenant classique.

Peu avant la sortie du 2.6.24 les divers mainteneurs des sous-systèmes ont indiqués sur la liste de diffusion du noyau leurs intentions sur les patchs suffisamment stables pour pouvoir migrer de la branche de test d'Andrew Morton (la -mm) vers la branche de Linus. La période d'intégration de ces milliers de patchs doit durer deux semaines et elle permet l'ajout de toutes les nouveautés prévues dans le nouveau noyau.

Cette fois-ci le démarrage a été rendu un peu plus lent car la plupart des développeurs participaient à la conférence Linux en Australie à la fin du mois de janvier. Une fois la fenêtre d'intégration d'environ quinze jours refermée la saga des "releases candidates" a pu commencer.

Journal Nouvelles du noyau Linux : SMACK, PSS, mais pas de kgdb

Posté par  (site web personnel) .
Étiquettes :
0
11
fév.
2008
Lifera vient de me notifier la publication de court article :
http://www.heise-online.co.uk/security/Kernel-Log-Linux-2-6-(...)

Il présente quelques nouveautés du prochain noyau Linux (2.6.25). Je suis impatient de tester SMACK (genre de SELinux simplifié) et PSS : une nouvelle façon de calculer la mémoire consommée par les processus (beaucoup plus réaliste que les infos données actuellement).

KGDB ne sera pas inclus dans Linux 2.6.25 et Linus s'explique.

--

Pas de KGDB, mais Vegard Nossum a écrit un outil appelé « kmemcheck » qui (…)

Forum Linux.debian/ubuntu Plantage en boucle

Posté par  . Licence CC By‑SA.
Étiquettes :
0
10
avr.
2020

Bonjour à tous, ayant du temps j'ai voulu me lancer dans une manip qui sans que je comprenne pourquoi à complétement planter mon raspberry pi 0. Pourtant, j'ai uniquement voulu installer certbot et generer un certificat en local…
Mais mantenant le systeme ne parviens pas à booter correctement, on dirait que les erreurs commence avec 

[FAILED] Failed to start Journal Service.
See 'systemctl status systemd-journald.service' for details.
[ TIME ] Timed out waiting for device ▒▒v/disk/by-partuuid/e724c016-01.
[DEPEND
(…)

Sortie du noyau Linux 2.6.24

Posté par  (site web personnel) . Modéré par Pascal Terjan.
Étiquettes :
0
25
jan.
2008
Noyau
Après un cycle de développement inhabituellement long la sortie de la vingt-cinquième version stable de la branche 2.6 du noyau Linux vient d'être annoncée. Le code source du noyau est maintenant téléchargeable sur les serveurs du site kernel.org.

  • Cette version 2.6.24 se caractérise essentiellement par l'ampleur des changements, en terme de lignes de codes, avec la version précédente. Le 23 octobre, dans son mail d'annonce de la RC-1, Linus écrit :
    Cela doit être l'une des plus grosses versions candidates de tous les temps. C'est monstrueux. D'habitude, pour la RC-1, la taille du fichier compressé des différences est de l'ordre de 3 à 5 Mo. Certains sont plus petits que ça et on a occasionnellement des pointes à 6 Mo. Celle-ci fait *onze* méga-octets.
    En bref nous avons juste eu un grand nombre de merges, et pas seulement pour x86 mais aussi des tonnes de nouveaux pilotes (surtout pour le wifi mais pas seulement - dvb, réseau classique, mmc..etc) ainsi qu'une bonne quantité de travail sur les diverses architectures, les systèmes de fichiers, le réseau etc.
    Donc il y a juste beaucoup de nouvelles choses.
  • En dépit de ces nombreux changements le cycle des versions candidates n'a pas été excessivement douloureux. Le 6 novembre Linus a annoncé la RC-2 :
    Ouais, ne m'en parlez-pas - c'est en retard. Il n'y a rien eu de particulier pour retenir cette version aussi longtemps. J'ai juste simplement oublié de faire une RC-2 la semaine dernière. Il n'y a pas beaucoup de trucs vraiment excitants ici. Des mises à jour d'architectures : MIPS, arm, blackfin, x86, sparc64, sh, s390. Également des mises à jour de pilotes : libata, IDE, réseau, DVB. Rien de vraiment révolutionnaire dont je puisse me souvenir. La liste des modifications est encore trop grosse pour la limite de la liste de diffusion mais, franchement, ce n'est pas du Tolstoï. Si vous avez des problèmes pour vous endormir vous pouvez essayer de l'imprimer et de la prendre au lit avec vous.
  • La RC-3, apparue le 16 novembre, a vu, en plus de beaucoup de petites corrections, la touche finale au processus de fusion des branches i386 et x86-64 qui constitue l'une des grandes nouveautés du noyau 2.6.24 :
    En plus des autres mises à jour il y a également le dernier nettoyage du patch d'unification. Le reste peut attendre après le 2.6.24 mais avec ce dernier patch la configuration x86 est vraiment fusionnée et les architectures i386 et x86-64 sont vraiment juste des cas spéciaux de l'architecture globale "x86" lors de la configuration.
  • La RC-4 n'a été annoncée que le 3 décembre par Linus :
    Nous devrions avoir seulement une semaine entre chaque version candidate mais, à l'occasion de Thanksgiving, j'étais parti pour une semaine (comme certains autres développeurs du noyau) ce qui fait que celle-ci est un peu en retard.
    Comme d'habitude, c'est devenu rituel lors des cycles de développement, il a ensuite protesté devant le grand nombres de patchs qui continuent d'arriver alors que le noyau devrait être en mode stabilisation :
    La différence par rapport à la RC-3 est de presque de 36000 lignes (...) Je vais blâmer la période de deux semaines qui s'est écoulée mais, même en tenant compte de ce délai, c'est un peu décourageant. J'espère vraiment que nous allons ralentir et que la RC-5 ne sera pas aussi grosse. Ceci dit aucun des changements n'est vraiment excitant ou vraiment effrayant.
  • Une semaine pile après la version candidate précédente voici la RC-5 :
    Cela fait une semaine et comme j'ai promis d'être un bon garçon et d'essayer de suivre mes propres règles de sortie, voici la version candidate suivante.
    Les choses ont ralenti mais je mentirais si je disais que nous avons toutes les régressions bien en main et sous contrôle. C'est en cours de résolution et la liste diminue mais, si je devais deviner, nous ne pourrons certainement pas avoir un 2.6.24 avant Noël sauf si le père Noël met un peu plus d'elfes pour travailler sur ces régressions.
    Donc pour tous les elfes là dehors, merci de continuer à bosser.
  • Malheureusement le père Noël n'a pas été coopératif et Linus, dans l'annonce de la RC-6, a reconnu que la nouvelle cible était début janvier :
    La liste des régressions continue à se réduire donc nous sommes dans les clous pour une sortie du 2.6.24 début janvier... en supposant que nous ne fassions pas trop d'excès de boustifaille pendant les vacances et que les gens continuent à bosser. Mais nous savons tous que les vacances sont le moment où on peut couper avec l'ennuyeux "travail réel" et enfin passer 24 heures sur 24 à hacker le noyau n'est-ce pas ?
  • Après le break des vacances Linus a annoncé la sortie de la version RC-7. Cette dernière consiste principalement en de multiples petites corrections et le changement par rapport à la RC-6 n'est pas énorme. Linus l'a expliqué à sa façon à lui :
    Je vais être charitable et prétendre que c'est parce que les choses se stabilisent et pas parce que nous avons tous été perdus dans les brumes de l'alcool durant les vacances
  • La seconde hypothèse s'étant révélée être la bonne il a été nécessaire d'ajouter une RC-8 pour corriger divers petits problèmes de dernière minute :
    Je déteste faire des RC pendant si longtemps, mais je déteste encore plus annoncer une sortie quand je sens que les choses n'ont pas mitonné suffisamment.

Vous trouverez plus de détails sur les nouveautés dans la suite de cette dépêche.

Sortie du noyau Linux 2.6.26

Posté par  (site web personnel) . Modéré par j.
Étiquettes :
0
14
juil.
2008
Noyau
La sortie de la vingt-septième version stable de la branche 2.6 du noyau Linux vient d'être annoncée par Linus. Vous pouvez donc dès maintenant télécharger le code source du nouveau noyau sur les serveurs du site kernel.org.

NdM : le détail des évolutions, nouveautés et prévisions est dans la seconde partie de la dépêche.

Forum Linux.debian/ubuntu Ubuntu long to start

Posté par  . Licence CC By‑SA.
Étiquettes :
0
7
fév.
2021

Bonjour à tous,
Mon Ubuntu est long a démarrer, et ce depuis que je l'ai installé.
Rapport dmesg:

[    0.276979] TCP: Hash tables configured (established 65536 bind 65536)
[    0.277009] UDP hash table entries: 4096 (order: 5, 131072 bytes, linear)
[    0.277031] UDP-Lite hash table entries: 4096 (order: 5, 131072 bytes, linear)
[    0.277070] NET: Registered protocol family 1
[    0.277075] NET: Registered protocol family 44
[    0.277085] pci 0000:00:02.0: Video device with shadowed ROM at [mem 0x000c0000-0x000dffff]
[    0.277352]
(…)