Après une nuit de repos, voici quelques indications supplémentaires :
TOMOYO a plusieurs modes (pour chaque règle) qui permettent une mise en oeuvre progressive:
"apprentissage" (learning) qui permet de générer les règles pour sa machine
"warning" (permissive) : prévient mais laisse faire si la règle n'existe pas
"securite" (enforcing) : prévient et bloque si la règle n'existe pas
Je l'ai utilisé en exploitation pour sécuriser une machine en DMZ pendant plusieurs années. Cela demande un travail quotidien si les applications évoluent. Et il y a beaucoup de choses à reprendre quand on fait une montée d'OS (en gros repasser en mode apprentissage, et nettoyer les règles inutiles)
SELINUX : difficile à prendre en main sans investissement, l'administration ne me parait pas naturelle
AppArmor : j'aime bien : simple à administrer, efficace. J'ai laissé tomber car à un moment, il n'était plus vraiment maintenu.
TOMOYO : simple à utiliser et administrer, avec des notamment des interfaces curses bien faites : c'est mon préféré. On peut aussi scripter sans soucis. En plus, le projet est très actif et évolue rapidement.
(paragraphe invocation)
Dash lit les fichiers /etc/profile et .profile s'ils existent. Il peut aussi utiliser le contenu de la variable d'environnement ENV pour exécuter un autre fichier.
Plutôt que faire un wget, il y a une autre solution qui ressemble à celle proposée par Fedora pour ses updates : un rpm qui mets à jour les dépots. La documentation est sur : http://blog.famillecollet.com/pages/Config
Il y a pas mal de services qui fonctionnent comme cela, pour ne pas avoir une démon qui tourne sous le compte root : postgresql par exemple (du moment qu'ils n'ont pas besoin d'ouvrir un port < 1024). Tu peux prendre exemple sur leurs scripts de démarrage.
Les plus sécurisé effectuent en plus un chroot pour éviter la corruption de la racine, en cas d'attaque.
Sur mes machines, j'utilise toujours des paquetages binaires (deb ou rpm selon la distribution employée). Pour garanti la cohérence de la base, les installations en tar.gz sont interdites. Je ne vois pas comment gsrc peut marcher dans ces conditions ?
Je suis aussi passé sur Ubuntu 11.04, et comme toi, Unity, je n'y arrive pas. Mais Ubuntu permet de conserver l'ancienne interface en choisissant "classique" dans l'interface de démarrage , ou dans le menu Système/administration/fenêtre de connexion.
Pourvu que ça dure !
Dans un laboratoire mixte CNRS, je gère, avec un collègue, environ 300 machines sous Mandriva, dont environ 70 serveurs, le reste en poste de travail, voire en portable. IL y a encore quelques irréductibles sous windows (secrétariat, cadres, machines de mesure ... )
La migration s'est faite il y a 10 ans environ, d'Unix propriétaires (Sun, HP) vers linux.
fail2ban, c'est "juste" un bout de code python. Si tu peux installer l'interpréteur sur ton routeur, ça a des chances de marcher quand même (à tester).
c'est bien ce que j'ai utilisé un certain temps, avant de tomber dans les problèmes de dépendances (je précise que j'ai installé gnome). D'autre part, les packages binaires me semblent incomplets et très en retard sur les sources.
Après en avoir discuté sur les forum bsd, avec Marc Espie par exemple (pour boucler sur les dépêches de ces derniers jours), je serais bien passé sous openbsd, mais celui-ci ne semble pas marcher sous virtualbox.
j'utilise FreeBsd depuis un an ou deux, sur une machine virtuelle, pour tester du logiciel, et de mon point de vue, ce qui manque le plus, c'est un bon système de paquets binaires. Je m'explique :
J'ai commencé par utiliser les paquets binaires avec les commandes pkg_add, mais si on essaie de maintenir sa machine à jour, on arrive assez vite à de gros problèmes de dépendances. Seule solution (d'après les forum bsd), repartir des ports, c'est à dire recompiler tous les paquets à mettre à jour (un peu comme sur une gentoo).
Sur ma machine virtuelle, c'est long, très long, en gros une dizaine d'heure à chaque mise à jour (une fois par semaine) !
toujours d'après les forums bsd, il semblerait que le système d'openbsd soit mieux foutu.
[^] # Re: comparaison
Posté par eric gerbier (site web personnel) . En réponse au journal Choisir un module de sécurité linux. Évalué à 4.
Après une nuit de repos, voici quelques indications supplémentaires :
TOMOYO a plusieurs modes (pour chaque règle) qui permettent une mise en oeuvre progressive:
"apprentissage" (learning) qui permet de générer les règles pour sa machine
"warning" (permissive) : prévient mais laisse faire si la règle n'existe pas
"securite" (enforcing) : prévient et bloque si la règle n'existe pas
Je l'ai utilisé en exploitation pour sécuriser une machine en DMZ pendant plusieurs années. Cela demande un travail quotidien si les applications évoluent. Et il y a beaucoup de choses à reprendre quand on fait une montée d'OS (en gros repasser en mode apprentissage, et nettoyer les règles inutiles)
# comparaison
Posté par eric gerbier (site web personnel) . En réponse au journal Choisir un module de sécurité linux. Évalué à 6.
J'ai essayé SELinux (sur fedora), AppArmor (sur ubuntu ?) et TOMOYO (sur mandriva). Voici mon avis
SELINUX : difficile à prendre en main sans investissement, l'administration ne me parait pas naturelle
AppArmor : j'aime bien : simple à administrer, efficace. J'ai laissé tomber car à un moment, il n'était plus vraiment maintenu.
TOMOYO : simple à utiliser et administrer, avec des notamment des interfaces curses bien faites : c'est mon préféré. On peut aussi scripter sans soucis. En plus, le projet est très actif et évolue rapidement.
[^] # Re: Fonctionnalités >> sécurité
Posté par eric gerbier (site web personnel) . En réponse au journal Un an de projet libre : bilan. Évalué à 3.
Il y a aussi quelques contre-exemples de projets qui ont misés dès le début sur la sécurité et qui ont du succès : postfix, vsftpd ...
[^] # Re: d'après le man ...
Posté par eric gerbier (site web personnel) . En réponse au message Fonctionnement de dash. Évalué à 1.
Pourtant, en tapant "man dash" sur google, le premier lien renvoyé est bon chez moi :
http://linux.die.net/man/1/dash
# d'après le man ...
Posté par eric gerbier (site web personnel) . En réponse au message Fonctionnement de dash. Évalué à 2.
(paragraphe invocation)
Dash lit les fichiers /etc/profile et .profile s'ils existent. Il peut aussi utiliser le contenu de la variable d'environnement ENV pour exécuter un autre fichier.
RTFM :)
# live-cd
Posté par eric gerbier (site web personnel) . En réponse au message Disque en sommeil. Évalué à -1.
Ce que tu veux faire ressemble fortement au comportement des live-cd !
# installer un autre dépot
Posté par eric gerbier (site web personnel) . En réponse au message Fedora et dépot firefox. Évalué à 0.
Plutôt que faire un wget, il y a une autre solution qui ressemble à celle proposée par Fedora pour ses updates : un rpm qui mets à jour les dépots. La documentation est sur :
http://blog.famillecollet.com/pages/Config
Cela revient à faire (pour une fedora 14 par exemple ) :
su
rpm -Uvh http://rpms.famillecollet.com/remi-release-14.rpm
yum --enablerepo=remi install firefox4
# sécurite
Posté par eric gerbier (site web personnel) . En réponse au message Contrôle de l'utilisateur dans un shell de service. Évalué à 0.
Il y a pas mal de services qui fonctionnent comme cela, pour ne pas avoir une démon qui tourne sous le compte root : postgresql par exemple (du moment qu'ils n'ont pas besoin d'ouvrir un port < 1024). Tu peux prendre exemple sur leurs scripts de démarrage.
Les plus sécurisé effectuent en plus un chroot pour éviter la corruption de la racine, en cas d'attaque.
# comprendre les commandes
Posté par eric gerbier (site web personnel) . En réponse au message Fedora et dépot firefox. Évalué à 2.
Si tu ne veux pas faire d'erreurs, le plus simple est de comprendre ce que tu tapes :
Le seul souci éventuel sera la compatibilité du dépot avec ta version de fedora.
# framabook !
Posté par eric gerbier (site web personnel) . En réponse au message Bouquinage. Évalué à 1.
il y a un livre (libre) récent dessus :
http://www.framabook.org/Produire_du_logiciel_libre.html
# coucou de la 42ème mission
Posté par eric gerbier (site web personnel) . En réponse au journal photos libre d'Antarctique. Évalué à 4.
superbes images !
ça me rappelle quelques souvenirs ...
# perl ?
Posté par eric gerbier (site web personnel) . En réponse à la dépêche Sortie de la version 2.10 de Sonar. Évalué à 1.
Je n'ai rien vu concernant le langage perl ?
Est-ce que quelque chose est prévu ?
ps : pour l'instant j'utilise perlcritic pour analyser mes codes. Peut-être qu'un interfaçage serait possible ?
[^] # Re: Le projet GNU s'enrichit d'un gestionnaire de paquets
Posté par eric gerbier (site web personnel) . En réponse à la dépêche Le projet GNU s'enrichit d'un gestionnaire de paquets. Évalué à -3.
Je vois 2 autres problèmes :
ça implique d'installer les paquetages "developpement".
Et rien n'assure que les options de compilation sont les mêmes que celles de sa distribution : les comportements ne seront pas comparables ...
# rpm, deb ...
Posté par eric gerbier (site web personnel) . En réponse à la dépêche Le projet GNU s'enrichit d'un gestionnaire de paquets. Évalué à 5.
Sur mes machines, j'utilise toujours des paquetages binaires (deb ou rpm selon la distribution employée). Pour garanti la cohérence de la base, les installations en tar.gz sont interdites. Je ne vois pas comment gsrc peut marcher dans ces conditions ?
outil réservé aux gentoo, et autres bsd ?
# ubuntu "classique"
Posté par eric gerbier (site web personnel) . En réponse au message Linux "populaire" est mort?. Évalué à 8.
Je suis aussi passé sur Ubuntu 11.04, et comme toi, Unity, je n'y arrive pas. Mais Ubuntu permet de conserver l'ancienne interface en choisissant "classique" dans l'interface de démarrage , ou dans le menu Système/administration/fenêtre de connexion.
Pourvu que ça dure !
# recherche
Posté par eric gerbier (site web personnel) . En réponse au journal Linux en entreprise : votre retour ?. Évalué à 5.
Dans un laboratoire mixte CNRS, je gère, avec un collègue, environ 300 machines sous Mandriva, dont environ 70 serveurs, le reste en poste de travail, voire en portable. IL y a encore quelques irréductibles sous windows (secrétariat, cadres, machines de mesure ... )
La migration s'est faite il y a 10 ans environ, d'Unix propriétaires (Sun, HP) vers linux.
[^] # Re: OpenWRT - Fail2Ban - Accès NAS
Posté par eric gerbier (site web personnel) . En réponse au journal La solidité des mots de passe. Évalué à 2.
fail2ban, c'est "juste" un bout de code python. Si tu peux installer l'interpréteur sur ton routeur, ça a des chances de marcher quand même (à tester).
# gt5
Posté par eric gerbier (site web personnel) . En réponse au message Qui mange mon espace disque ?. Évalué à 1.
http://gt5.sourceforge.net/ : il génère un fichier html, et permet de voir quels répertoires ont changé de taille entre 2 exécutions : très pratique !
[^] # Re: mises à jour
Posté par eric gerbier (site web personnel) . En réponse au message Mon expérience FreeBSD. Évalué à 0.
c'est bien ce que j'ai utilisé un certain temps, avant de tomber dans les problèmes de dépendances (je précise que j'ai installé gnome). D'autre part, les packages binaires me semblent incomplets et très en retard sur les sources.
Après en avoir discuté sur les forum bsd, avec Marc Espie par exemple (pour boucler sur les dépêches de ces derniers jours), je serais bien passé sous openbsd, mais celui-ci ne semble pas marcher sous virtualbox.
# mises à jour
Posté par eric gerbier (site web personnel) . En réponse au message Mon expérience FreeBSD. Évalué à 3.
j'utilise FreeBsd depuis un an ou deux, sur une machine virtuelle, pour tester du logiciel, et de mon point de vue, ce qui manque le plus, c'est un bon système de paquets binaires. Je m'explique :
J'ai commencé par utiliser les paquets binaires avec les commandes pkg_add, mais si on essaie de maintenir sa machine à jour, on arrive assez vite à de gros problèmes de dépendances. Seule solution (d'après les forum bsd), repartir des ports, c'est à dire recompiler tous les paquets à mettre à jour (un peu comme sur une gentoo).
Sur ma machine virtuelle, c'est long, très long, en gros une dizaine d'heure à chaque mise à jour (une fois par semaine) !
toujours d'après les forums bsd, il semblerait que le système d'openbsd soit mieux foutu.
[^] # Re: En Belgique
Posté par eric gerbier (site web personnel) . En réponse au message Tester l'accès à un site web svp. Évalué à 0.
chez moi, ça marche, et je viens de tester la résolution de nom :
$ host www.rssweather.com
www.rssweather.com has address 69.5.27.250
ce qui correspond bien à sa sortie, donc ce n'est pas un problème dns
# france (2)
Posté par eric gerbier (site web personnel) . En réponse au message Tester l'accès à un site web svp. Évalué à 1.
fai : free
navigateur : firefox 4
os : ubuntu (11.04)
et ça marche aussi
# mot de passe en clair
Posté par eric gerbier (site web personnel) . En réponse au message Client FTP stable et performant. Évalué à 3.
au fait, tu sais qu'avec le protocole ftp, les noms de compte et mots de passe circulent AUSSI en clair sur le réseau ...
[^] # Re: Duck typing
Posté par eric gerbier (site web personnel) . En réponse au journal Le problème de la POO pratiquée par des étudiants. Évalué à 0.
même en perl ? :)
# nagvis
Posté par eric gerbier (site web personnel) . En réponse au message Interface graphique web. Évalué à 1.
Ca ressemble furieusement à nagvis (http://www.nagvis.org/) une "surcouche" du logiciel de supervision nagios