eric gerbier a écrit 319 commentaires

J'ai essayé SELinux (sur fedora), AppArmor (sur ubuntu ?) et TOMOYO (sur mandriva). Voici mon avis

• SELINUX : difficile à prendre en main sans investissement, l'administration ne me parait pas naturelle

• AppArmor : j'aime bien : simple à administrer, efficace. J'ai laissé tomber car à un moment, il n'était plus vraiment maintenu.

• TOMOYO : simple à utiliser et administrer, avec des notamment des interfaces curses bien faites : c'est mon préféré. On peut aussi scripter sans soucis. En plus, le projet est très actif et évolue rapidement.

Il y a aussi quelques contre-exemples de projets qui ont misés dès le début sur la sécurité et qui ont du succès : postfix, vsftpd ...

Pourtant, en tapant "man dash" sur google, le premier lien renvoyé est bon chez moi :
http://linux.die.net/man/1/dash

(paragraphe invocation)
Dash lit les fichiers /etc/profile et .profile s'ils existent. Il peut aussi utiliser le contenu de la variable d'environnement ENV pour exécuter un autre fichier.

RTFM :)

Ce que tu veux faire ressemble fortement au comportement des live-cd !

Plutôt que faire un wget, il y a une autre solution qui ressemble à celle proposée par Fedora pour ses updates : un rpm qui mets à jour les dépots. La documentation est sur :
http://blog.famillecollet.com/pages/Config

Cela revient à faire (pour une fedora 14 par exemple ) :
su
rpm -Uvh http://rpms.famillecollet.com/remi-release-14.rpm
yum --enablerepo=remi install firefox4

Il y a pas mal de services qui fonctionnent comme cela, pour ne pas avoir une démon qui tourne sous le compte root : postgresql par exemple (du moment qu'ils n'ont pas besoin d'ouvrir un port < 1024). Tu peux prendre exemple sur leurs scripts de démarrage.

Les plus sécurisé effectuent en plus un chroot pour éviter la corruption de la racine, en cas d'attaque.

Si tu ne veux pas faire d'erreurs, le plus simple est de comprendre ce que tu tapes :

• su : passer root
• cd /etc/yum.repos.d/ : aller dans le répertoire qui décrit les dépots rpm
• wget http://repos.fedorapeople.org/repos/remi/Remi/fedora-remi.repo : récuperer un fichier décrivant un dépot
• yum --enablerepo=remi install firefox4 : installer le package firefox4 en utilisant le dépot remi

Le seul souci éventuel sera la compatibilité du dépot avec ta version de fedora.

il y a un livre (libre) récent dessus :
http://www.framabook.org/Produire_du_logiciel_libre.html

superbes images !
ça me rappelle quelques souvenirs ...

Je n'ai rien vu concernant le langage perl ?
Est-ce que quelque chose est prévu ?

ps : pour l'instant j'utilise perlcritic pour analyser mes codes. Peut-être qu'un interfaçage serait possible ?

Je vois 2 autres problèmes :

• ça implique d'installer les paquetages "developpement".

• Et rien n'assure que les options de compilation sont les mêmes que celles de sa distribution : les comportements ne seront pas comparables ...

Sur mes machines, j'utilise toujours des paquetages binaires (deb ou rpm selon la distribution employée). Pour garanti la cohérence de la base, les installations en tar.gz sont interdites. Je ne vois pas comment gsrc peut marcher dans ces conditions ?

outil réservé aux gentoo, et autres bsd ?

Je suis aussi passé sur Ubuntu 11.04, et comme toi, Unity, je n'y arrive pas. Mais Ubuntu permet de conserver l'ancienne interface en choisissant "classique" dans l'interface de démarrage , ou dans le menu Système/administration/fenêtre de connexion.
Pourvu que ça dure !

Dans un laboratoire mixte CNRS, je gère, avec un collègue, environ 300 machines sous Mandriva, dont environ 70 serveurs, le reste en poste de travail, voire en portable. IL y a encore quelques irréductibles sous windows (secrétariat, cadres, machines de mesure ... )

La migration s'est faite il y a 10 ans environ, d'Unix propriétaires (Sun, HP) vers linux.

fail2ban, c'est "juste" un bout de code python. Si tu peux installer l'interpréteur sur ton routeur, ça a des chances de marcher quand même (à tester).

http://gt5.sourceforge.net/ : il génère un fichier html, et permet de voir quels répertoires ont changé de taille entre 2 exécutions : très pratique !

c'est bien ce que j'ai utilisé un certain temps, avant de tomber dans les problèmes de dépendances (je précise que j'ai installé gnome). D'autre part, les packages binaires me semblent incomplets et très en retard sur les sources.

Après en avoir discuté sur les forum bsd, avec Marc Espie par exemple (pour boucler sur les dépêches de ces derniers jours), je serais bien passé sous openbsd, mais celui-ci ne semble pas marcher sous virtualbox.

j'utilise FreeBsd depuis un an ou deux, sur une machine virtuelle, pour tester du logiciel, et de mon point de vue, ce qui manque le plus, c'est un bon système de paquets binaires. Je m'explique :

J'ai commencé par utiliser les paquets binaires avec les commandes pkg_add, mais si on essaie de maintenir sa machine à jour, on arrive assez vite à de gros problèmes de dépendances. Seule solution (d'après les forum bsd), repartir des ports, c'est à dire recompiler tous les paquets à mettre à jour (un peu comme sur une gentoo).
Sur ma machine virtuelle, c'est long, très long, en gros une dizaine d'heure à chaque mise à jour (une fois par semaine) !

toujours d'après les forums bsd, il semblerait que le système d'openbsd soit mieux foutu.

chez moi, ça marche, et je viens de tester la résolution de nom :

$ host www.rssweather.com
www.rssweather.com has address 69.5.27.250

ce qui correspond bien à sa sortie, donc ce n'est pas un problème dns

fai : free
navigateur : firefox 4
os : ubuntu (11.04)

et ça marche aussi

au fait, tu sais qu'avec le protocole ftp, les noms de compte et mots de passe circulent AUSSI en clair sur le réseau ...

même en perl ? :)

Ca ressemble furieusement à nagvis (http://www.nagvis.org/) une "surcouche" du logiciel de supervision nagios

En fait, rpm se fiche que le fichier existe sur le disque : il ne prends en compte que sa base de données. Si ce fichier n'a pas été installé par un package, il ne le "voit" pas.

que donne la commande : rpm -qf /etc/mime.types

sur la centos, elle me réponds : mailcap-2.1.23-1.fc6