On a pas du avoir les mêmes Fedora alors :)
J'ai toujours laissé SELinux installé et activé. Je dit pas que j'ai jamais eu de popups, j'ai reporté pas mal de bugs sur la policy justement, mais je dirais pas "sans arrêt des popups". Et en général, c'était pas sur les softs installés par défaut.
Les erreurs courantes que j'ai vu avec des gens et SELinux, c'est quand tu touches à la configuration des daemons en réseau ( vu qu'il y a globalement que eux qui sont confinés ). Par exemple, tu fait tourner sshd sur un autre port sans configurer selinux pour ça. Que tu décide de mettre ton ftp dans /home/monsiteweb et que pareil, tu précises pas à SELinux que c'est des objets que apache a le droit de lire et vsftpd a le droit d'écrire, etc. ou des trucs que tu installes à la mano.
Dans la configuration par défaut, en règle général, ça passe. Et plus il y a de gens qui utilisent selinux, notamment sur les versions de dev ( genre F19 en ce moment ), plus vite la policy est corrigé. Les packageurs Fedora sont assez réactifs à ce niveau.
Et pour la question de l'utilisation plus grand public, ça dépend des risques d'attaques sur ta machine.
Tu pourrais te dire par exemple qu'un simple assistant va pas avoir de souci, mais si c'est l'assistant de la directrice générale du groupe, ça reste une cible de choix. Ensuite, out of the box, l'utilisateur bureautique n'est pas protégé par SELinux dans la policy déployé par Fedora, car ses processus tournent sans confinement même si des choses comme le fait de bloquer ptrace ( http://lwn.net/Articles/491440/ ) aident à sécuriser. Pour ce genre d'utilisateur, je pense que le confinement tel que Canonical le prévoit va servir une fois que ça sera au point.
Donc je pense plus que tu as le support entreprise pour le kernel maison ( ie la partie intéressante ), et que le reste est disponible grâce à une moulinette semi-automatique et moins intensivement testé et sur laquelle y a pas de garantie (notamment pour les drivers tierces). IE, que le support Fedora/Ubuntu est juste la pour servir de demo sur des machines de test afin d'attirer les clients, tout comme leur version d'essai de 30 jours pour RHEL. Bien sur, Oracle ne parle pas du fait que la version d'essai doit sans doute annuler le support RHEL.
En fait, au vu des postes de blogs ( https://blogs.oracle.com/ksplice/entry/ksplice_update_for_cve_2013 ), il semble que ksplice oblige à attendre le distributeur de base quand même, et au final, vu qu'il y a assez souvent de mesures qui vont réduire l'impact ( mitigation feature, je suis pas sur de traduire ça comme il faut ), ç'est AMHA mieux de passer par les dites features si ton but est d'être protégé vite fait. Du coup, une fois que tu es protégé sans avoir rebooté, tu as plus besoin de ksplice.
Donc oui, comme tu dit, c'est un marché de niche même si 70 clients, c'est déjà pas mal (ie, moi, je connais des boites avec moins de clients en 5 ans) et je pense que plein de gens voudraient ça (mais je connais personne qui utilise ça, alors que le support pour Ubuntu LTS est fourni).
La valorisation de la chose, suffit de voir que c'est juste fourni de base avec le support oracle. Donc ils ont fait le calcul sur le fait que vendre ça comme service, ça rapporte moins que comme "cadeau gratuit" à leur clients existants.
Bien sur, tu prends en compte le fait que certaines failles sont justes dans les noyaux récents et que ta distro pas-rolling-release n'est pas touché ?
exemple, CVE-2013-1858 CVE-2013-1979 et CVE-2013-1959 dans le noyau 3.8 uniquement, pour ne citer que les plus récentes qui me viennent à l'esprit. Ou justement la faille dont parle le journal, qui touche pas RHEL5 ou plus vieux. Ou par exemple, CVE-2009-1527 qui touche que le 2.6.29.
Et j'ai pris juste une paire d'exploit au pif dans la liste des CVEs, j'ai peut être eu de la chance, mais je suis pas sur.
Non, le souci n'est pas la licence (en tout cas, ça n'était pas la licence au début), le souci, c'est soit y a des limitations (genre pas le droit de toucher à la taille du code binaire sinon tu décales tout les pointeurs, pas le droit de toucher aux structures, etc, etc), soit tu es obligé de faire des grosses réécritures de la mémoire, et ton kernel est dans un sale état. En fait, quand tu vois que les devs kernels voulait retirer la possibilité de retirer les modules car c'était trop compliqué (à l'époque du 2.6, je crois), c'est bien qu'il y a quelque choses.
Donc pour mettre à jour ton kernel, tu dois "juste" changer du code, mais pour change rle code, faut le faire de tel façon que le kernel soit le même du point de vue du layout. Même si pour les failles les plus importantes, ça semble être bon d'aprés wikipedia, il semble que pour une petite partie des failles ( 12% ), il faut faire intervenir un développeur pour bidouiller la mémoire du kernel. Et bien sur, les chiffres ne parlent que de 64 failles sur 3 ans, quid des autres updates que tu voudrait aussi appliquer sans rebooter ?
Et ça, ça part du principe que tu part avec un kernel connu dont tu as le code, pas un kernel bidouillé ou avec des modules customs ou ce genre de choses. Et bien sur, chaque modif implique un patch spécifique, et chaque patch spécifique implique des tests poussés (car bon, c'est une chose de tester un soft dans un état connu contre une faille, c'est autre chose de tester un soft dans un état inconnu contre une faille et tout les emmerdes possibles, surtout face à des soucis de processeurs multiples, etc. Et tu veux pas non plus que ton update bloque le kernel trop longtemps pendant que tu fait la mise à jour, vu que le kernel est freezé le temps de magouiller tout)
Et je sais pas si tu peux enchainer les updates ksplices advitam eternam.
Donc non, en pratique, la plupart des distributions n'ont pas les ressources (en plus maintenant de plus avoir le code à jour). En pratique, Oracle n'a visiblement même pas les ressources suffisante pour faire ça sur les 2 kernels de sa distribution malgré le fait que leur distribution ne soit qu'un rebuild de l'original (ou alors, ils mentent quand ils disent qu'ils sont compatibles de façon binaire, mais Oracle peut pas jouer sur les 2 tableaux à ce niveau la). IE oracle ne propose ksplice que pour son kernel maison, celui qu'ils rebasent sur le 3.0 (vu qu'ils ont pas envie de faire des rebases peut êtrepour des questions de moyens) avec btrfs en production et supporté, voir http://www.h-online.com/open/news/item/Btrfs-ready-for-production-in-new-Oracle-Linux-kernel-1471706.html .
Ensuite, peut être que je suis mauvaise langue, c'est vrai, ksplice inc avait réussi à avoir 70 clients en 2 ans d'existence, c'est pas mal.
tu oublies aussi que parfois, les contrats circulent avec des formats fermés, lu par des outils proprios dont l'éditeur n'a pas forcément mis l'accent sur la sécurité ( ou du moins, pour ce format en particulier ). Voir même que pendant longtemps, les dits contrats étaient stockés sur des machines sans disque dur chiffrés.
Et pourtant, l'économie n'est pas en crise à cause du manque de sécurité informatique, plutôt le contraire, les marchands de peur arrivent très bien à s'en sortir.
Ensuite, faut avoir systemtap sur sa distribution ( et vu que pour le moment, ça sert pas mal pour écrire ce genre de magouille, je pense que toute les distros devraient l'adopter vite fait )
Les gens qui ont commité le fix en Avril dans le trunk du noyau savaient qu'ils corrigeaient une faille de sécurité ou pas?
C'est assez délicat de savoir si tu as un truc exploitable ou pas dans la plupart des cas. Même sur des failles simples ( genre usage de /tmp avec un nom un peu prévisible ), tu passes du temps à essayer de voir si tu as un scenario pour monter une attaque pour pas apparaitre comme celui qui dit de la merde et qui s'affole sans savoir de quoi il parle.
Et les attaques les plus simples ( genre buffer overflow ) sont de nos jours assez bien comprises et anticipés ( au moins dans le code du kernel ), donc il reste que les cas les plus compliqués qui sont dur à évaluer.
Ensuite, c'était plus pour vejmarie ( vu qu'il est président de SDS, je pense qu'il peut contacter le service commercial de Grobill pour dire "ça serait bien de corriger tel faute" sur notre produit )
Ah oui, c'est un exemple plus parlant que celui de l'armée :)
En fait, si tu veux avoir des relations, il faut pas juste rajouter un 3eme élément qui est considéré comme étant "hors de la politique de sécurité" et qu'on suppose être capable de décider et de suivre la politique, donc de vérifier l'intégrité ( ou dans le cas de Bell-Lapaluda, de forcer la déclassification des données ) ?
IE, dans le cas que tu donnes, un humain comme l'admin de la machine.
En fait, je réalise ( je réalise beaucoup ce matin ) qu'on utilise les dites politiques de sécurité parce qu'on fait pas confiance aux programmes pour avoir un minimum de jugement pour dire "ça, c'est louche", mais l'armée fait pareil vis à vis de ses membres, en demandant à ne pas réfléchir aux ordres mais en devant compenser ça par des politiques stricts. Au final, l'armée gère presque des machines biologiques.
Si je dois citer tout les solutions de sécurité qui vont changer le système de permission de façon conséquente, faut que je rajoute smack (utilisé par meegoo), tomoyo et sa longue histoire, les différents modules du projet trustedbsd, bitfrost (olpc), aegis (nokia n9), le modèle d'android et sans doute une paire que je connais pas (ou qui n'ont pas de petit nom).
On a beau dire "le modèle Unix est parfait et loué soit ses codeurs", refaire la liste montre bien qu'il y a quand même du monde qui cherche à l'adapter car il est totalement inadéquat (au contraire de Sheila). Et c'est sans prendre en compte le souci que xkcd résume bien: https://www.xkcd.com/1200/ , à savoir qu'il y a aussi tout le souci d'authentification sur le réseau, et la tension entre "facilité d'utilisation" et "blocage en cas de compromission".
Oui, mais le souci, c'est que c'est pas activé par défaut. Le particulier en question veut être secure, mais si ça empêche des tas de choses genre "envoyer ma clé privée sur gmail pour faire un backup", ou "ne plus pouvoir utiliser firessh", il va raler :)
Je vois bien le nombre de gens (à commencer par des OEMs, donc des gens à priori techniques) qui commence par "faut désactiver selinux", c'est pas tip top.
Ensuite, les profiles de firefox/chromium ont aussi le souci de pas être aussi étanche qu'ils devraient, vu qu'il y a divers attaques sur les variables d’environnement, il y a dbus (qui n'est pas encore apparmor aware, et qui est selinux aware mais c'est pas trop utilisé), le keyring, etc. Les soucis pour le confinement d'application sont bien détaillé dans le document d'ubuntu que j'ai donné.
Alors, AppArmor et SELinux, ce sont 2 modules de sécurité du noyau (LSM, linux security module). L'idée est d'avoir des extensions du kernel pour accepter ou pas certaines opérations sur la base de critères externes ( voir ça comme un firewall pour les fonctions du kernel ).
Les LSM permettent plus que ces 2 la, mais je vais pas me disperser. Les 2 servent à appliquer des règles de qui a le droit de faire quoi plus souple que le simple modèle unix.
Ensuite, la ou ça diffère, c'est comment tu le fait. SELinux est un système de label couplé avec des règles. Tu mets un label sur les utilisateurs, sur les fichiers, sur les processus, etc, et tu écrit des règles pour régir l'interaction.
Par exemple, quelqu'un avec le label admin_u ( _u comme user ) a le droit de faire exec sur un fichier avec le label network_t ( _t comme type ), ce qui va donner un processus avec network-exec_t ( y a une regle qui dit comment les labels évoluent ). Et ce processus a le doit de faire tel ou tel chose, comme ouvrir un socket, et ainsi de suite.
Apparmor, c'est la même idée, sans les labels. IE, tu donnes direct les chemins de fichiers. Tu va dire "tel programme /usr/bin/toto a le droit de lire tel fichier, tel fichier, et faire tel opération". Par exemple, tu va dire que evince n'a pas le droit de lire ton .ssh, même si tu as le droit toi en tant qu'utilisateur de manipuler les fichiers. Si jamais un pdf contient un malware, il va pas piquer ta clé ssh.
Personnellement, je trouve SELinux plus souple, mais je suis partiel.
L'idée à la base, c'est de pouvoir confiner les processus et/ou les utilisateurs, ou de gérer des politiques obligatoires ( MAC, mandatory access control, par opposition à un DAC, discretionnary access control, qui sont les droits unix gérés par les utilisateurs eux mêmes, et donc potentiellement non conforme à ce que l'organisation veut ).
L'idée est que si tu as une faille dans un processus confiné, en temps normal ( ie non confiné ), il peut faire ce qu'il veut. Par exemple, si je prends la main sur apache via une faille, j'ai l'accès d'un utilisateur non privilégié et de la, je peux rebondir, faire des connexions vers l'extérieur, lancer des programmes avec d'autres failles, lire des fichiers non protégés, etc. Avec SELinux/AppArmor, tu peux interdire de faire ça.
Ça implique d'avoir une politique de sécurité, mais justement, Ubuntu propose des politiques ( appelés profil ) pour certains démons, Fedora/RHEL/Centos propose une politique SELinux des plus complètes
A partir de SELinux, tu peux aussi mettre en place différents modèles de sécurité des données, souvent mis pour des organisations militaires :
modèle Bell Lapadula, ou grosso modo, chacun a une classification ( donc un label assigné ), chaque document a une classification ( donc un label aussi ), par exemple, public, privée, confidentiel, top secret, par ordre de criticité. Les gens avec l'habilitation privée peuvent écrire un document privée, confidentiel, et top secret, et ne peuvent lire que public et privé. Ce qui fait que l'information top secret ne va jamais devenir moins que top secret ( sauf personne non soumise à la politique de sécurité ).
modèle Biba, qui est l'inverse, ou tu as par exemple 3 classifications, soldat, colonel, général. Les gens de rangs le plus haut peuvent écrire des documents à destination des gens en dessous, mais pas les lire. Et tout le monde peut lire les documents venant d'en haut. Et ça permet donc de formaliser la chaine de commandement d'une armée, ou par exemple, tu es sur que les ordres viennent bien d'une personne au dessus de toi. Le soldat ne peux pas donner d'ordre à un colonel, mais le général peut.
Formaliser la politique de sécurité permet de s'assurer que personne ne va faire des conneries comme virer les droits top secret par erreur.
( ensuite, il faut je précise d'autres mesures pour éviter d'autres attaques )
Enfin bon, je pourrais parler de SELinux pendant des heures, un peu moins de AppArmor ( je connais moins ) mais j’espère que mon explication t'a aidé.
Alors ça, c'est un sujet ou j'aimerais avoir un peu plus de détail, et je ne sais pas si des gens peuvent me répondre.
1) est ce que apparmor est mis par défaut ?
je vois assez souvent des gens qui ralent sur la présence de selinux ( et qui AMHA, rale à tort ), et je vois pareil pour apparmor, dans une moindr emesure, sur ubuntu. Quid de Suse ?
2) apparmor et selinux, sans policy, tu va pas très loin.
est ce qu'il y a plus de profiles que sur Ubuntu, ou des développements particuliers à ce niveau ?
Non mais j'ai vraiment réfléchi à savoir si c'était une vraie personne ou pas. Et si c'est pas quelqu'un qui existe vraiment, alors la personne derrière tout ça a vraiment fait des efforts en créant des comptes facebook, google, en posant à gauche à droite, etc.
C'est un chouia plus flippant
( sinon, je réponds car je vois que j'ai des réponses sur le tableau de bord, hein )
support Oracle : c'est un problème, mais si tu le prend à la source, il disparaît… pourquoi Oracle quand tu peux utiliser Postgresql
parce que ton soft à coté ( exemple, remedy de bmc, ou secureid de RSA, même si je suis pas sur pour celui la ) demande à avoir une db Oracle ou des tas d'autres trucs d'Oracle. Faut pas se leurrer, le standard SQL n'a que la base de standard.
Et il y a des features avancés chez Oracle qu'on a/avait pas encore sur postgresql. Même si postgresql a fait des gros progrès sur ce point depuis quelques années, la réplication n'était par exemple pas fourni de base, et il fallait passer par des projets qui n'avait l'air pas forcément pérenne ( et je me base sur le fait qu'il y avait l'air d'avoir plus une compétition commercial autour qu'une franche collaboration pour pousser ça upstream :/ ).
Et quand je lit les différents threads sur le sujet ( genre https://linuxfr.org/news/migrer-de-oracle-a-postgresql-ora2pg ), il y a l'air d'avoir encore des features vachement avancés que Oracle propose qui fait que les grandes boites vont avoir besoin de ça ( ou plutôt, préfère prendre un produit que d'avoir des ingés pointus sur le sujet vu qu'ils se font débauchés de tout les cotés ).
Ensuite, je vois aussi que plein de gens semblent avoir des expériences pas terrible avec Oracle…
Comme quelqu'un le fait remarquer, oracle, c'est plus qu'un moteur SQL, donc il faut plus chercher de ce coté la que de croire que forcément, les DSI sont idiots et incapables de choisir.
Le logiciel libre n'est pas gratuit et du Debian en grand compte je n'en ai pas encore vu (attention à ceux qui veulent aller au conflit : > je n'ai pas dis qu'il n'y en avait pas juste que MOI je n'en ai pas encore vu).
C'est aussi ce que j'entends, mais pour donner quand même un exemple, je sais qu'EDF a beaucoup de Debian pour ses fermes de calculs, ce genre de choses. Je sais aussi que Google a beaucoup de Debian.
Ensuite, c'est pas non plus étonnant par la définition même de grand compte, si tu es assez important pour être un grand compte, alors tu es assez important pour pousser des solutions industrialisés via des grandes sociétés depuis longtemps ( ie, le SI de ta boite a déjà été ciblé par tout les commerciaux de France et de Navarre, ta hiérarchie t'a poussé à avoir un truc standardisé partout, ce qui implique d'avoir des certifications matériels, etc, etc, et donc il te faut retrouver ça si tu veux passer à du libre, ne serais que parce que ça fait parti des bonnes pratiques d'un DSI ).
Et en effet, le fait que le logiciel ne suffit pas, il faut une structure pour adresser un grand compte ( ie, avoir des commerciaux, etc ), et la communauté ne permet pas ce genre de chose. Elles pourraient en effet le faire, et Canonical aurait pu être cet structure si Mark Shuttleworth avait eu la bonne idée de se lancer la dedans à l'époque, il aurait sans doute fait un carton. Il a choisi de chasser ses chimères, tant pis.
Quid d'une solution pour remplacer l'ancien Active Directory (qui te permette de descendre aussi finement sur la conf d'un poste pour
bloquer l'utilisateur, qui te permette d'administrer et de déployer des choses sur le parc facilement et rapidement, etc) ?
Techniquement, je dirais qu'il y a puppet et co. Mais j'ai pas vu grand monde faire du puppet coté client pour le moment, car le support windows, c'est pas encore ça, et je pense qu'il faut un minimum de compétence pour puppet, donc tu peux pas file rle taf à une SSII qui vat efiler un mec pour cliquer dans l'interface.
On me dit aussi toujours du bien de FreeIPA, mais je sais que ça fait pas tout (notamment les questions de GPO).
Mais la plupart du temps, ça reste des solutions peu utilisées et un peu ad-hoc. Je pense peut être que Canonical vise ce marché ( bureau d'entreprise ), mais je connais pas assez landscape pour dire si ça peut faire une partie du boulot : http://www.ubuntu.com/management
Pour moi, ça ressemble à RH Network Satelitte, notamment au niveau de l'argumentaire sur la compliance, mais pareil, je connais pas assez pour savoir si ça fait ce qu'il manque avec un peu de taf, ou si ça fait en utilisant les forceps.
Tout ça pour dire qu'il y a eu des tentatives, et qu'il y a encore des gros bouts, donc que le problème n'est pas forcément la, plus dans les trucs annexes.
La communauté LibreOffice propose un support de 5 ans sur le produit ?
Non, pas que je sache
Si oui, pour combien ? Si non, on fait comment ?
Je pense que dans tout les cas, en tant que société, tu veux avoir un nombre restreint d'interlocuteurs. Le cout humain est pas négligeable, car il faut des gens pour négocié, des gens pour parler à un support différent à chaque fois, des contrats à gérer, etc, etc. Oracle utilise ça comme argument commercial pour dire "prenez tout chez nous, du hard à la db", mais Oracle étant Oracle, ça refroidit plus qu'autre chose.
Donc si tu veux du support sur tel soft pour X années, je pense qu'il faut que tu passes par un éditeur.
Canonical propose ce genre d'offre, mais j'ai pas trouvé des masses d'information sur le web et je ne me sens pas d'appeler le service commercial juste pour donner des infos sur linuxfr, désolé.
Quelle distribution Linux a été supportée si longtemps ?
Il est pas moinsé en masse, il a -8 ou -9 de base car il poste des trucs faux à longueur de temps. Je t'invite à relire ses premiers commentaires pour comprendre comment c'est arrivé, en partant qu'à l'époque, il avait forcément le même karma que tous à 0. Donc se retrouver à -10, c'est la preuve d'un assez fort consensus sur le coté "inutile" du commentaire.
Si tu postes de base à -9, ça veut quand même dire que tu as un karma aux alentours de -210, ce qui est quand même un exploit d'atteindre ça sur une centaine de commentaires. Et ça veut dire que tu as perdu bien plus que 230 points de karma ( on commence tous à 20 ) vu que des gens vont quand même trouver des commentaires pertinent quand c'est le cas, et remonter le score de karma. ( et vu que la majorité des gens à mon avis ne lisent plus les commentaires après un temps, donc ne donne pas d'avis sur la plupart des commentaires ).
Ubuntu/debian vont s'imposer dans une entreprise sur le long terme, donc ce n'est pas une question de moyen.
Faut quand même payer les salariés pendant ce temps. L'argent, même si ça reste du papier, ne pousse pas sur les arbres.
non je n'aime pas les entreprises commerciales de type multinationales dont la vision est de phagocyter les autres.
Ce qui n'est pas le cas de Canonical.
Bah Canonical est multinationale, c'est même pas discutable. Et Canonical a les mêmes visés que Apple, à vouloir être partout, et à tout refaire. La seule différence, c'est que personne ne les suit. Et puis, faudrait savoir, tantot, tu dis que Debian et Ubuntu domine le monde, ensuite, tu dis que Canonical ne veut pas phagocyter le libre ? Tu as aucune cohérence dans tes propos.
Un de reproches, dont je ne suis pas le seul à me plaindre, c'est bien l'absence de documentation digne de ce nom.
Il y a toujours de la doc, mais pas nécessairement de qualité.
Dans mon cas, je n'avais pas trouvé la doc que je voulais.
C'est pas parce que les gens se plaignent que c'est vrai. Encore une fois, sans exemple concret, tu continue à dire de la merde, comme à ton habitude. J'ai donné un lien vers la doc gtk fourni, tu as rien donné à part des rumeurs, des "on dit que". Aucune chose vérifiable, aucune données, juste des impressions, et qui venant de quelqu'un qui prends son ignorance comme une force, fait sans doute doucement rire tout le monde.
Tiens par exemple, à ma connaissance, on n'a pas besoin de systemd pour utiliser les cgroup…
le mot clé, c'est "pleinement". Et par pleinement, je parle par exemple de la classification automatique dans X cgroups des systémes, suivant une hiérarchie documenté et suffisamment standardisé pour que ta config et tes scripts marchent sans personnalisation ailleurs que su ta machine, ce qui est un pré requis à la création d'outil de plus haut niveau.
pourtant, le serveur web a reculé pour Debian et j'ai jamais vu personne dire "Debian va mourir". Le serveur web recule pour Microsoft, et pourtant, la boite se porte bien, mais en plus, des nouveaux projets comme azure font 1 milliard de chiffres d'affaire en 1 an. D'ailleurs, ça marche tellement bien que Debian bosse pour tourner sur le cloud de Microsoft ( http://lists.debian.org/debian-cloud/2012/11/msg00039.html ), suite au travail du Debian Project leader qui a lui même été voir microsoft : https://lists.debian.org/debian-devel-announce/2012/11/msg00000.html
Pour le milliard, compte tenu de la baisse du dollar [on parle même de monnaie de singe] permet moi de ne pas être aussi optimiste pour RH.
Tu peux voir dans les rapports de la SEC que ce point a été pris en compte. Et tu peux aussi comparer le nombre de souscriptions année après année, car ça ne va pas changer avec le dollar.
Regardes les recrutements: essentiellement des compétences ubuntu/debian.
alors j'ai regardé. J'ai pris le premier site que j'ai trouvé, à savoir monster.fr, et j'ai tapé "debian", "ubuntu" et "red hat" ( et "redhat" car les gens ont tendances à ne pas mettre l'espace ).
ça fait :
debian 32
red hat : 8
redhat : 23
ubuntu : 10
pour comparaison :
windows : 382
android : 53
solaris : 19
unix : 174
rhel : 2
suse : 3
Donc déjà, on voit que 1) ça reste toujours microsoft qui domine le marché, suivi par autre chose que linux, puis par android. Puis Debian et RH sont à égalité quasiment ( car bon, en fonction de savoir si tu comptes ou pas les 2 offres RHEL, ça change de peu, et on va dire que 1/2 offres de différences, ç'est de l'ordre du détail ), suivi par Solaris et enfin Ubuntu.
Donc non, c'est pas "essentiellement des compétences ubuntu/debian". Pour le moment, Unix reste encore très présent, Windows encore plus, et Ubuntu reste à l'état de trace. J'attends maintenant tes chiffres aussi détaillés et vérifiables.
Puis je te suggérer l'usage d'un moteur de recherche la prochaine fois ?
Je sais m'en servir.
Ben dans ce cas, fait le au lieu de balancer des informations qui n'ont rien de factuel ?
Le lien que tu as donné n'as pas de valeur en soi puisqu'il n'est pas officiel.
regarde l'url, c'est sur le site officiel. Que LFS propose le choix n'est pas étonnant. Le fait est que systemd est assez intéressant pour avoir une variante de LFS est bien plus révélateur que tu le crois. Il est ou le guide lfs avec upstart, openrc ou tout les autres systèmes d'init ? Il existe pas, car personne ne les trouvent assez intéressant pour écrire un guide.
Et la présence d'une version sans systemd montre bien que les gens ont toujours le choix, et donc que tout les gens qui utilisent systemd le font par choix, pas parce qu'ils sont forcés d'une manière ou d'une autre. Ton argumentaire ne tient toujours pas plus la route.
Et pour finir, parce que même devant des preuves formelles, tu continue à dire de la merde :
systemd existe depuis 10 ans et pourtant il n'est pas encore adopté ! C'est la preuve qu'on n'en veut pas…
c'est marqué "première version de systemd : juillet 2010". C'est le premier tarball, la liste avant n'avait que 3 mois, donc je sais pas d'ou tu sort ton "ça fait 10 ans que ça existe". En 3 ans, ça a eu le temps d'être présent en option sur la majorité des distributions ( debian, gentoo, lfs ), et de base sur une bonne part ( mandriva/mageia, fedora, suse, arch ), utilisé par Intel ( vu qu'ils postent des patchs : http://comments.gmane.org/gmane.comp.handhelds.openembedded/56537 ). Même ubuntu propose un paquet et de la documentation ( https://wiki.ubuntu.com/systemd ).
Les sources sont la, mais je peux pas mettre un kernel plus à jour, sauf à faire le portage des morceaux manquants ou sauf à oublier l'usage d'android. Si je veux le 3.9 sur mon galaxy s II, y a de grande chance que je ne puisse plus démarrer grand chose d'android. Et je parle pas des glues entre le kernel et les pilotes proprios pour la partie graphique, les trucs que les mainteneurs X/mesa refusent en bloc.
Ensuite, les choses ont peut être changé depuis les efforts d'upstreamification d'android, mais si j'arrive pas à avoir le kernel à jour sur mon freerunner, je doute que ça soit radicalement différent sur autre chose.
Et SHR, je compte pas ça comme distribution classique ( même si je comprends que tu puisses compter ça dans le sens ou classique serait non android ) vu que c'est quand même prévu pour l'embarqué, je parle plus de prendre une version arm non modifié. Tu peux démarrer ça en chroot tout au plus. Mais je vais pas avoir le choix de mettre xorg, de me passer de surface flinger ou ce genre de choses. Au mieux, je peux attendre une version de waylnd/mir qui supporte les pilotes android.
justement, Ubuntu qui est l'exemple le plus grand public est blindé de logiciels propriétaires.
Euh, pas vraiment non. Déja, Ubuntu n'est pas "la plupart des distributions", et ensuite, blindé me parait un terme un peu fort. Tu va avoir quoi mis par défaut, des pilotes, peut être steam ( et encore, aps par défaut ), flash ?
Oui, Android compris. C'est parce que Android est jeune qu'il n'existe quasi pas de pilotes libres.
Non, c'est parce que les fabricants s'en foutent et que les utilisateurs s'en foutent. Les raisons de pas avoir de pilote libre vont de "on a pas les specs" à "les trucs sont bourrés de brevets" et "les fabricants préfèrent faire des pilotes cradocs vite que de filer de la doc" et "imgtek est une bande d'enfoiré".
Android a 5 ans, se base sur un kernel qui a eu 20 ans y a 2 ans. Ça n'a rien de jeune. Microsoft a eu le temps de refaire le code entier de l'os sans doute 2/3 fois, Apple a eu le temps de couler et revenir, y a eu le temps d'avoir 2 guerres en Irak, et la yougoslavie a eu le temps de se reconstruire depuis.
Android est en train de passer sur le desktop (PC) et je m'inquiète pas que des pilotes libres vont sortir (si ce n'est pas déjà fait).
Ok alors grande nouvelle, Android tourne sur un noyau linux. Y a déjà des pilotes libres dans le noyau linux pour le matos pc. Et si tu mets Android sur ton pc, il va utiliser les drivers classiques linux pour pas mal de choses, voir même pour tout.
A la base, on avait pas vraiment le choix, il fallait utiliser des pilotes proprio
Tu m'as l'air un peu jeune pour parler de ça. J'ai connu le monde du libre avant que Nvidia ne sorte son premier driver proprio pour Xfree86 et déja à l'époque, le libre et linux était pas nouveau. Et non, on avait pas besoin d'utiliser des drivers proprios, on avait pas de drivers du tout pour certaines cartes ( pour plein de cartes en fait ). Et pourtant, avec Glide et ma carte 3DFx ( http://en.wikipedia.org/wiki/Glide_API ), j'avais la 3d sur mon premier pc ( sur la fin du dit pc ).
Et au final, plus de 10 ans après, la phase "on va avoir des pilotes libres, le proprio dure qu'un temps" dure encore. Voir pire, on en a plus.
Le système Android hors pilotes et logiciels complémentaires (GApps et surcouches) est totalement libre.
donc quand on retire le proprio, il reste du libre. C'est pas de l'enfoncage de porte ouverte ?
Android, c'est comme toute distribution Linux. Le système est totalement libre, les pilotes ne le sont pas tous (en fonction du hard),
comme les applications d'ailleurs. Je ne suis pas un extrémiste du libre.
En fait non, y a plusieurs distributions qui proposent que du libre. Debian, Fedora, etc. Et y a très rarement de l'userspace proprio, parce que la distribution est contraignante.
Je pense qu'avoir des logiciels propriétaires dans un système libre est un mal nécessaire afin d'assurer le succès des logiciels libres. En
tout cas dans un premier temps. Android en est la preuve.
Bah, en quoi Android est un succès du logiciel libre ? J'ai du Linux dans mon téléphone, mais je peux pas modifier le kernel, et comme l'userspace est lié au kernel, je peux pas non plus mettre l'userspace que je veux ou une distrib classique.
Et de plus, je doute qu'on passe un jour à un second temps vu comment ça s'oriente. Ça fait deja 5 ans qu'android est sur le marché, et j'ai pas le sentiment qu'on s'oriente vers plus d'application libre grace à ça. En fait, j'ai plutot l'impression qu'on a plus de pilotes proprios grâce à ça et je vois pas de changement en vue.
Tant que l'utilisateur à le choix de bidouiller s'il le souhaite et tant qu'il a le contrôle du système et de ses sources, je ne vois pas
où est le problème.
On n'a pas le choix justement. Je veux un kernel 3.10 avec les derniers cgroups pour faire du lxc sur mon galaxy s II ? Je peux pas, les drivers proprios ne me permettent pas de toucher au kernel. Je veux installer une Fedora en chroot avec systemd ? Je peux pas non plus, trop de morceaux du kernel pas compilé.
En matière de bidouillabilité, Android est à un système Linux classique ce que la chicoré est au café, un ersatz qu'on garde parce qu'on a pas le choix.
[^] # Re: AppArmor et Selinux
Posté par Misc (site web personnel) . En réponse au journal OpenSUSE 13.1 Milestone1. Évalué à 2.
On a pas du avoir les mêmes Fedora alors :)
J'ai toujours laissé SELinux installé et activé. Je dit pas que j'ai jamais eu de popups, j'ai reporté pas mal de bugs sur la policy justement, mais je dirais pas "sans arrêt des popups". Et en général, c'était pas sur les softs installés par défaut.
Les erreurs courantes que j'ai vu avec des gens et SELinux, c'est quand tu touches à la configuration des daemons en réseau ( vu qu'il y a globalement que eux qui sont confinés ). Par exemple, tu fait tourner sshd sur un autre port sans configurer selinux pour ça. Que tu décide de mettre ton ftp dans /home/monsiteweb et que pareil, tu précises pas à SELinux que c'est des objets que apache a le droit de lire et vsftpd a le droit d'écrire, etc. ou des trucs que tu installes à la mano.
Dans la configuration par défaut, en règle général, ça passe. Et plus il y a de gens qui utilisent selinux, notamment sur les versions de dev ( genre F19 en ce moment ), plus vite la policy est corrigé. Les packageurs Fedora sont assez réactifs à ce niveau.
Et pour la question de l'utilisation plus grand public, ça dépend des risques d'attaques sur ta machine.
Tu pourrais te dire par exemple qu'un simple assistant va pas avoir de souci, mais si c'est l'assistant de la directrice générale du groupe, ça reste une cible de choix. Ensuite, out of the box, l'utilisateur bureautique n'est pas protégé par SELinux dans la policy déployé par Fedora, car ses processus tournent sans confinement même si des choses comme le fait de bloquer ptrace ( http://lwn.net/Articles/491440/ ) aident à sécuriser. Pour ce genre d'utilisateur, je pense que le confinement tel que Canonical le prévoit va servir une fois que ça sera au point.
Et sinon, SELinux est aussi la technologie qui permet d'avoir xguest ( https://access.redhat.com/site/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Security-Enhanced_Linux/sect-Security-Enhanced_Linux-Confining_Users-xguest_Kiosk_Mode.html ), et visiblement, lightdm se base sur apparmor pour son utilisateur guest. Donc il y a des avantages, même si c'est minime par rapport à tout ce qu'on pourrait faire.
[^] # Re: et quid de Ksplice ?
Posté par Misc (site web personnel) . En réponse à la dépêche Root exploit sur les noyaux linux 2.6.38 à 3.8.8. Évalué à 5.
Ben la doc qu'on trouve sur le web ( https://oss.oracle.com/ksplice/docs/ksplice-quickstart.pdf ) dit qu'il faut le kernel maison d'oracle :
Ensuite, la documentation est dite "outdated" ( http://kkempf.wordpress.com/2013/01/24/ksplice-another-reason-to-love-oracle-linux/ ).
Donc je pense plus que tu as le support entreprise pour le kernel maison ( ie la partie intéressante ), et que le reste est disponible grâce à une moulinette semi-automatique et moins intensivement testé et sur laquelle y a pas de garantie (notamment pour les drivers tierces). IE, que le support Fedora/Ubuntu est juste la pour servir de demo sur des machines de test afin d'attirer les clients, tout comme leur version d'essai de 30 jours pour RHEL. Bien sur, Oracle ne parle pas du fait que la version d'essai doit sans doute annuler le support RHEL.
En fait, au vu des postes de blogs ( https://blogs.oracle.com/ksplice/entry/ksplice_update_for_cve_2013 ), il semble que ksplice oblige à attendre le distributeur de base quand même, et au final, vu qu'il y a assez souvent de mesures qui vont réduire l'impact ( mitigation feature, je suis pas sur de traduire ça comme il faut ), ç'est AMHA mieux de passer par les dites features si ton but est d'être protégé vite fait. Du coup, une fois que tu es protégé sans avoir rebooté, tu as plus besoin de ksplice.
Donc oui, comme tu dit, c'est un marché de niche même si 70 clients, c'est déjà pas mal (ie, moi, je connais des boites avec moins de clients en 5 ans) et je pense que plein de gens voudraient ça (mais je connais personne qui utilise ça, alors que le support pour Ubuntu LTS est fourni).
La valorisation de la chose, suffit de voir que c'est juste fourni de base avec le support oracle. Donc ils ont fait le calcul sur le fait que vendre ça comme service, ça rapporte moins que comme "cadeau gratuit" à leur clients existants.
[^] # Re: HAHA
Posté par Misc (site web personnel) . En réponse à la dépêche Root exploit sur les noyaux linux 2.6.38 à 3.8.8. Évalué à 7.
Bien sur, tu prends en compte le fait que certaines failles sont justes dans les noyaux récents et que ta distro pas-rolling-release n'est pas touché ?
exemple, CVE-2013-1858 CVE-2013-1979 et CVE-2013-1959 dans le noyau 3.8 uniquement, pour ne citer que les plus récentes qui me viennent à l'esprit. Ou justement la faille dont parle le journal, qui touche pas RHEL5 ou plus vieux. Ou par exemple, CVE-2009-1527 qui touche que le 2.6.29.
Et j'ai pris juste une paire d'exploit au pif dans la liste des CVEs, j'ai peut être eu de la chance, mais je suis pas sur.
[^] # Re: et quid de Ksplice ?
Posté par Misc (site web personnel) . En réponse à la dépêche Root exploit sur les noyaux linux 2.6.38 à 3.8.8. Évalué à 4.
s/sans redémarrer/sans passer par le BIOS/
Ce qui est déjà pas mal, je le reconnais, mais tu ne coupes pas au reboot de l'userspace, à la perte de l'état, etc, etc.
[^] # Re: et quid de Ksplice ?
Posté par Misc (site web personnel) . En réponse à la dépêche Root exploit sur les noyaux linux 2.6.38 à 3.8.8. Évalué à 4.
Non, le souci n'est pas la licence (en tout cas, ça n'était pas la licence au début), le souci, c'est soit y a des limitations (genre pas le droit de toucher à la taille du code binaire sinon tu décales tout les pointeurs, pas le droit de toucher aux structures, etc, etc), soit tu es obligé de faire des grosses réécritures de la mémoire, et ton kernel est dans un sale état. En fait, quand tu vois que les devs kernels voulait retirer la possibilité de retirer les modules car c'était trop compliqué (à l'époque du 2.6, je crois), c'est bien qu'il y a quelque choses.
Donc pour mettre à jour ton kernel, tu dois "juste" changer du code, mais pour change rle code, faut le faire de tel façon que le kernel soit le même du point de vue du layout. Même si pour les failles les plus importantes, ça semble être bon d'aprés wikipedia, il semble que pour une petite partie des failles ( 12% ), il faut faire intervenir un développeur pour bidouiller la mémoire du kernel. Et bien sur, les chiffres ne parlent que de 64 failles sur 3 ans, quid des autres updates que tu voudrait aussi appliquer sans rebooter ?
Et ça, ça part du principe que tu part avec un kernel connu dont tu as le code, pas un kernel bidouillé ou avec des modules customs ou ce genre de choses. Et bien sur, chaque modif implique un patch spécifique, et chaque patch spécifique implique des tests poussés (car bon, c'est une chose de tester un soft dans un état connu contre une faille, c'est autre chose de tester un soft dans un état inconnu contre une faille et tout les emmerdes possibles, surtout face à des soucis de processeurs multiples, etc. Et tu veux pas non plus que ton update bloque le kernel trop longtemps pendant que tu fait la mise à jour, vu que le kernel est freezé le temps de magouiller tout)
Et je sais pas si tu peux enchainer les updates ksplices advitam eternam.
Donc non, en pratique, la plupart des distributions n'ont pas les ressources (en plus maintenant de plus avoir le code à jour). En pratique, Oracle n'a visiblement même pas les ressources suffisante pour faire ça sur les 2 kernels de sa distribution malgré le fait que leur distribution ne soit qu'un rebuild de l'original (ou alors, ils mentent quand ils disent qu'ils sont compatibles de façon binaire, mais Oracle peut pas jouer sur les 2 tableaux à ce niveau la). IE oracle ne propose ksplice que pour son kernel maison, celui qu'ils rebasent sur le 3.0 (vu qu'ils ont pas envie de faire des rebases peut êtrepour des questions de moyens) avec btrfs en production et supporté, voir http://www.h-online.com/open/news/item/Btrfs-ready-for-production-in-new-Oracle-Linux-kernel-1471706.html .
Ensuite, peut être que je suis mauvaise langue, c'est vrai, ksplice inc avait réussi à avoir 70 clients en 2 ans d'existence, c'est pas mal.
[^] # Re: notre vie privée n'est pas respectée ?
Posté par Misc (site web personnel) . En réponse à la dépêche Cozy, un cloud personnel que l'on peut héberger, bidouiller et supprimer. Évalué à 7.
parfois est un mot un peu faible :)
tu oublies aussi que parfois, les contrats circulent avec des formats fermés, lu par des outils proprios dont l'éditeur n'a pas forcément mis l'accent sur la sécurité ( ou du moins, pour ce format en particulier ). Voir même que pendant longtemps, les dits contrats étaient stockés sur des machines sans disque dur chiffrés.
Et pourtant, l'économie n'est pas en crise à cause du manque de sécurité informatique, plutôt le contraire, les marchands de peur arrivent très bien à s'en sortir.
[^] # Re: Quel est le risque ?
Posté par Misc (site web personnel) . En réponse à la dépêche Root exploit sur les noyaux linux 2.6.38 à 3.8.8. Évalué à 3. Dernière modification le 18 mai 2013 à 20:24.
Locale
On a déployé au boulot un fix basé sur systemtap, qui est d'ailleurs dans les liens :
https://bugzilla.redhat.com/show_bug.cgi?id=962792#c13
Ensuite, faut avoir systemtap sur sa distribution ( et vu que pour le moment, ça sert pas mal pour écrire ce genre de magouille, je pense que toute les distros devraient l'adopter vite fait )
[^] # Re: Silent patching
Posté par Misc (site web personnel) . En réponse à la dépêche Root exploit sur les noyaux linux 2.6.38 à 3.8.8. Évalué à 5.
C'est assez délicat de savoir si tu as un truc exploitable ou pas dans la plupart des cas. Même sur des failles simples ( genre usage de /tmp avec un nom un peu prévisible ), tu passes du temps à essayer de voir si tu as un scenario pour monter une attaque pour pas apparaitre comme celui qui dit de la merde et qui s'affole sans savoir de quoi il parle.
Et les attaques les plus simples ( genre buffer overflow ) sont de nos jours assez bien comprises et anticipés ( au moins dans le code du kernel ), donc il reste que les cas les plus compliqués qui sont dur à évaluer.
[^] # Re: Grosbill
Posté par Misc (site web personnel) . En réponse au journal Ouverture du git qy.share. Évalué à 3.
Dans les mentions légales :
http://www.grosbill.com/html/mentions_legales.shtml#gt-mentions_legales-footer
Ensuite, c'était plus pour vejmarie ( vu qu'il est président de SDS, je pense qu'il peut contacter le service commercial de Grobill pour dire "ça serait bien de corriger tel faute" sur notre produit )
[^] # Re: Grosbill
Posté par Misc (site web personnel) . En réponse au journal Ouverture du git qy.share. Évalué à 3.
Un mail au webmaster, ça peut marcher.
[^] # Re: AppArmor et Selinux
Posté par Misc (site web personnel) . En réponse au journal OpenSUSE 13.1 Milestone1. Évalué à 2.
Ah oui, c'est un exemple plus parlant que celui de l'armée :)
En fait, si tu veux avoir des relations, il faut pas juste rajouter un 3eme élément qui est considéré comme étant "hors de la politique de sécurité" et qu'on suppose être capable de décider et de suivre la politique, donc de vérifier l'intégrité ( ou dans le cas de Bell-Lapaluda, de forcer la déclassification des données ) ?
IE, dans le cas que tu donnes, un humain comme l'admin de la machine.
En fait, je réalise ( je réalise beaucoup ce matin ) qu'on utilise les dites politiques de sécurité parce qu'on fait pas confiance aux programmes pour avoir un minimum de jugement pour dire "ça, c'est louche", mais l'armée fait pareil vis à vis de ses membres, en demandant à ne pas réfléchir aux ordres mais en devant compenser ça par des politiques stricts. Au final, l'armée gère presque des machines biologiques.
[^] # Re: AppArmor et Selinux
Posté par Misc (site web personnel) . En réponse au journal OpenSUSE 13.1 Milestone1. Évalué à 3.
Capsicum est pas un LSM, sauf erreur de ma part.
Si je dois citer tout les solutions de sécurité qui vont changer le système de permission de façon conséquente, faut que je rajoute smack (utilisé par meegoo), tomoyo et sa longue histoire, les différents modules du projet trustedbsd, bitfrost (olpc), aegis (nokia n9), le modèle d'android et sans doute une paire que je connais pas (ou qui n'ont pas de petit nom).
On a beau dire "le modèle Unix est parfait et loué soit ses codeurs", refaire la liste montre bien qu'il y a quand même du monde qui cherche à l'adapter car il est totalement inadéquat (au contraire de Sheila). Et c'est sans prendre en compte le souci que xkcd résume bien: https://www.xkcd.com/1200/ , à savoir qu'il y a aussi tout le souci d'authentification sur le réseau, et la tension entre "facilité d'utilisation" et "blocage en cas de compromission".
[^] # Re: AppArmor et Selinux
Posté par Misc (site web personnel) . En réponse au journal OpenSUSE 13.1 Milestone1. Évalué à 2.
Oui, mais le souci, c'est que c'est pas activé par défaut. Le particulier en question veut être secure, mais si ça empêche des tas de choses genre "envoyer ma clé privée sur gmail pour faire un backup", ou "ne plus pouvoir utiliser firessh", il va raler :)
Je vois bien le nombre de gens (à commencer par des OEMs, donc des gens à priori techniques) qui commence par "faut désactiver selinux", c'est pas tip top.
Ensuite, les profiles de firefox/chromium ont aussi le souci de pas être aussi étanche qu'ils devraient, vu qu'il y a divers attaques sur les variables d’environnement, il y a dbus (qui n'est pas encore apparmor aware, et qui est selinux aware mais c'est pas trop utilisé), le keyring, etc. Les soucis pour le confinement d'application sont bien détaillé dans le document d'ubuntu que j'ai donné.
Mais c'est mieux que rien, je le concède.
[^] # Re: iptables + logs
Posté par Misc (site web personnel) . En réponse au message être au courant des ping reçu. Évalué à 2.
Le framework d'audit du kernel :
http://doc.opensuse.org/products/draft/SLES/SLES-security_sd_draft/cha.audit.comp.html
ça va enregistrer les modifications dans syslog, et tu peux réagir en regardant du coté de audidsp ( plus loin dans la doc que j'ai cité ).
[^] # Re: AppArmor et Selinux
Posté par Misc (site web personnel) . En réponse au journal OpenSUSE 13.1 Milestone1. Évalué à 10. Dernière modification le 18 mai 2013 à 00:13.
Alors, AppArmor et SELinux, ce sont 2 modules de sécurité du noyau (LSM, linux security module). L'idée est d'avoir des extensions du kernel pour accepter ou pas certaines opérations sur la base de critères externes ( voir ça comme un firewall pour les fonctions du kernel ).
Les LSM permettent plus que ces 2 la, mais je vais pas me disperser. Les 2 servent à appliquer des règles de qui a le droit de faire quoi plus souple que le simple modèle unix.
Ensuite, la ou ça diffère, c'est comment tu le fait. SELinux est un système de label couplé avec des règles. Tu mets un label sur les utilisateurs, sur les fichiers, sur les processus, etc, et tu écrit des règles pour régir l'interaction.
Par exemple, quelqu'un avec le label admin_u ( _u comme user ) a le droit de faire exec sur un fichier avec le label network_t ( _t comme type ), ce qui va donner un processus avec network-exec_t ( y a une regle qui dit comment les labels évoluent ). Et ce processus a le doit de faire tel ou tel chose, comme ouvrir un socket, et ainsi de suite.
Apparmor, c'est la même idée, sans les labels. IE, tu donnes direct les chemins de fichiers. Tu va dire "tel programme /usr/bin/toto a le droit de lire tel fichier, tel fichier, et faire tel opération". Par exemple, tu va dire que evince n'a pas le droit de lire ton .ssh, même si tu as le droit toi en tant qu'utilisateur de manipuler les fichiers. Si jamais un pdf contient un malware, il va pas piquer ta clé ssh.
Personnellement, je trouve SELinux plus souple, mais je suis partiel.
L'idée à la base, c'est de pouvoir confiner les processus et/ou les utilisateurs, ou de gérer des politiques obligatoires ( MAC, mandatory access control, par opposition à un DAC, discretionnary access control, qui sont les droits unix gérés par les utilisateurs eux mêmes, et donc potentiellement non conforme à ce que l'organisation veut ).
Ceci permet par exemple par une isolation des utilisateurs sur une plateforme comme openshift, ou chacun n'a accès qu'à son répertoire, ne voit pas les processus des autres ( http://www.youtube.com/watch?v=VaxkrSpBr6M pour les anglophones ), etc, à l'isolation des VMs les unes des autres ( voir libvirt et svirt http://namei.org/presentations/svirt-lca-2009.pdf , mais ça marche aussi avec AppArmor ), à la limitation des droits des applications bureautiques ( voir les propositions de Canonical sur le sujet : https://wiki.ubuntu.com/SecurityTeam/Specifications/ApplicationConfinement ), etc.
Il existe par exemple plusieurs projets de sandbox comme https://www.stgraber.org/category/arkose/ , http://danwalsh.livejournal.com/28545.html , etc.
L'idée est que si tu as une faille dans un processus confiné, en temps normal ( ie non confiné ), il peut faire ce qu'il veut. Par exemple, si je prends la main sur apache via une faille, j'ai l'accès d'un utilisateur non privilégié et de la, je peux rebondir, faire des connexions vers l'extérieur, lancer des programmes avec d'autres failles, lire des fichiers non protégés, etc. Avec SELinux/AppArmor, tu peux interdire de faire ça.
Ça implique d'avoir une politique de sécurité, mais justement, Ubuntu propose des politiques ( appelés profil ) pour certains démons, Fedora/RHEL/Centos propose une politique SELinux des plus complètes
A partir de SELinux, tu peux aussi mettre en place différents modèles de sécurité des données, souvent mis pour des organisations militaires :
modèle Bell Lapadula, ou grosso modo, chacun a une classification ( donc un label assigné ), chaque document a une classification ( donc un label aussi ), par exemple, public, privée, confidentiel, top secret, par ordre de criticité. Les gens avec l'habilitation privée peuvent écrire un document privée, confidentiel, et top secret, et ne peuvent lire que public et privé. Ce qui fait que l'information top secret ne va jamais devenir moins que top secret ( sauf personne non soumise à la politique de sécurité ).
modèle Biba, qui est l'inverse, ou tu as par exemple 3 classifications, soldat, colonel, général. Les gens de rangs le plus haut peuvent écrire des documents à destination des gens en dessous, mais pas les lire. Et tout le monde peut lire les documents venant d'en haut. Et ça permet donc de formaliser la chaine de commandement d'une armée, ou par exemple, tu es sur que les ordres viennent bien d'une personne au dessus de toi. Le soldat ne peux pas donner d'ordre à un colonel, mais le général peut.
Formaliser la politique de sécurité permet de s'assurer que personne ne va faire des conneries comme virer les droits top secret par erreur.
( ensuite, il faut je précise d'autres mesures pour éviter d'autres attaques )
Enfin bon, je pourrais parler de SELinux pendant des heures, un peu moins de AppArmor ( je connais moins ) mais j’espère que mon explication t'a aidé.
# AppArmor et Selinux
Posté par Misc (site web personnel) . En réponse au journal OpenSUSE 13.1 Milestone1. Évalué à 3.
Alors ça, c'est un sujet ou j'aimerais avoir un peu plus de détail, et je ne sais pas si des gens peuvent me répondre.
1) est ce que apparmor est mis par défaut ?
je vois assez souvent des gens qui ralent sur la présence de selinux ( et qui AMHA, rale à tort ), et je vois pareil pour apparmor, dans une moindr emesure, sur ubuntu. Quid de Suse ?
2) apparmor et selinux, sans policy, tu va pas très loin.
est ce qu'il y a plus de profiles que sur Ubuntu, ou des développements particuliers à ce niveau ?
[^] # Re: travailler avec debian est-il possible pour Ubuntu ?
Posté par Misc (site web personnel) . En réponse au journal Un nouveau format de paquets pour Ubuntu. Évalué à 1.
Non mais j'ai vraiment réfléchi à savoir si c'était une vraie personne ou pas. Et si c'est pas quelqu'un qui existe vraiment, alors la personne derrière tout ça a vraiment fait des efforts en créant des comptes facebook, google, en posant à gauche à droite, etc.
C'est un chouia plus flippant
( sinon, je réponds car je vois que j'ai des réponses sur le tableau de bord, hein )
[^] # Re: La question en elle même ne permet pas de répondre à la problématique
Posté par Misc (site web personnel) . En réponse à la dépêche L'État essaie d'évaluer le coût des logiciels non libres. Évalué à 5.
parce que ton soft à coté ( exemple, remedy de bmc, ou secureid de RSA, même si je suis pas sur pour celui la ) demande à avoir une db Oracle ou des tas d'autres trucs d'Oracle. Faut pas se leurrer, le standard SQL n'a que la base de standard.
Et il y a des features avancés chez Oracle qu'on a/avait pas encore sur postgresql. Même si postgresql a fait des gros progrès sur ce point depuis quelques années, la réplication n'était par exemple pas fourni de base, et il fallait passer par des projets qui n'avait l'air pas forcément pérenne ( et je me base sur le fait qu'il y avait l'air d'avoir plus une compétition commercial autour qu'une franche collaboration pour pousser ça upstream :/ ).
Et quand je lit les différents threads sur le sujet ( genre https://linuxfr.org/news/migrer-de-oracle-a-postgresql-ora2pg ), il y a l'air d'avoir encore des features vachement avancés que Oracle propose qui fait que les grandes boites vont avoir besoin de ça ( ou plutôt, préfère prendre un produit que d'avoir des ingés pointus sur le sujet vu qu'ils se font débauchés de tout les cotés ).
Ensuite, je vois aussi que plein de gens semblent avoir des expériences pas terrible avec Oracle…
Comme quelqu'un le fait remarquer, oracle, c'est plus qu'un moteur SQL, donc il faut plus chercher de ce coté la que de croire que forcément, les DSI sont idiots et incapables de choisir.
[^] # Re: La question en elle même ne permet pas de répondre à la problématique
Posté par Misc (site web personnel) . En réponse à la dépêche L'État essaie d'évaluer le coût des logiciels non libres. Évalué à 4.
C'est aussi ce que j'entends, mais pour donner quand même un exemple, je sais qu'EDF a beaucoup de Debian pour ses fermes de calculs, ce genre de choses. Je sais aussi que Google a beaucoup de Debian.
Ensuite, c'est pas non plus étonnant par la définition même de grand compte, si tu es assez important pour être un grand compte, alors tu es assez important pour pousser des solutions industrialisés via des grandes sociétés depuis longtemps ( ie, le SI de ta boite a déjà été ciblé par tout les commerciaux de France et de Navarre, ta hiérarchie t'a poussé à avoir un truc standardisé partout, ce qui implique d'avoir des certifications matériels, etc, etc, et donc il te faut retrouver ça si tu veux passer à du libre, ne serais que parce que ça fait parti des bonnes pratiques d'un DSI ).
Et en effet, le fait que le logiciel ne suffit pas, il faut une structure pour adresser un grand compte ( ie, avoir des commerciaux, etc ), et la communauté ne permet pas ce genre de chose. Elles pourraient en effet le faire, et Canonical aurait pu être cet structure si Mark Shuttleworth avait eu la bonne idée de se lancer la dedans à l'époque, il aurait sans doute fait un carton. Il a choisi de chasser ses chimères, tant pis.
Techniquement, je dirais qu'il y a puppet et co. Mais j'ai pas vu grand monde faire du puppet coté client pour le moment, car le support windows, c'est pas encore ça, et je pense qu'il faut un minimum de compétence pour puppet, donc tu peux pas file rle taf à une SSII qui vat efiler un mec pour cliquer dans l'interface.
On me dit aussi toujours du bien de FreeIPA, mais je sais que ça fait pas tout (notamment les questions de GPO).
Et pourtant, y a eu des efforts plus d'une fois sur le sujet des politiques coté desktop, par exemple avec KDE :
http://www.novell.com/coolsolutions/feature/1640.html
ou Sabayon sur gnome (projet mort donc je cite la page de man):
http://linux.die.net/man/8/sabayon-apply
Mais la plupart du temps, ça reste des solutions peu utilisées et un peu ad-hoc. Je pense peut être que Canonical vise ce marché ( bureau d'entreprise ), mais je connais pas assez landscape pour dire si ça peut faire une partie du boulot :
http://www.ubuntu.com/management
Pour moi, ça ressemble à RH Network Satelitte, notamment au niveau de l'argumentaire sur la compliance, mais pareil, je connais pas assez pour savoir si ça fait ce qu'il manque avec un peu de taf, ou si ça fait en utilisant les forceps.
Tout ça pour dire qu'il y a eu des tentatives, et qu'il y a encore des gros bouts, donc que le problème n'est pas forcément la, plus dans les trucs annexes.
Non, pas que je sache
Je pense que dans tout les cas, en tant que société, tu veux avoir un nombre restreint d'interlocuteurs. Le cout humain est pas négligeable, car il faut des gens pour négocié, des gens pour parler à un support différent à chaque fois, des contrats à gérer, etc, etc. Oracle utilise ça comme argument commercial pour dire "prenez tout chez nous, du hard à la db", mais Oracle étant Oracle, ça refroidit plus qu'autre chose.
Donc si tu veux du support sur tel soft pour X années, je pense qu'il faut que tu passes par un éditeur.
Canonical propose ce genre d'offre, mais j'ai pas trouvé des masses d'information sur le web et je ne me sens pas d'appeler le service commercial juste pour donner des infos sur linuxfr, désolé.
14 ans ? Aucune. Le plus proche, ça serait RHEL 5/6 ( 13 ans ), d'ici quelques années :
https://access.redhat.com/support/policy/updates/errata/
Et c'est pas encore fait.
[^] # Re: Thélia serait donc un concurrent sérieux pour les autres ?
Posté par Misc (site web personnel) . En réponse à la dépêche Thelia, solution e-commerce libre, fait le tour de France !. Évalué à 2.
Il est pas moinsé en masse, il a -8 ou -9 de base car il poste des trucs faux à longueur de temps. Je t'invite à relire ses premiers commentaires pour comprendre comment c'est arrivé, en partant qu'à l'époque, il avait forcément le même karma que tous à 0. Donc se retrouver à -10, c'est la preuve d'un assez fort consensus sur le coté "inutile" du commentaire.
Si tu postes de base à -9, ça veut quand même dire que tu as un karma aux alentours de -210, ce qui est quand même un exploit d'atteindre ça sur une centaine de commentaires. Et ça veut dire que tu as perdu bien plus que 230 points de karma ( on commence tous à 20 ) vu que des gens vont quand même trouver des commentaires pertinent quand c'est le cas, et remonter le score de karma. ( et vu que la majorité des gens à mon avis ne lisent plus les commentaires après un temps, donc ne donne pas d'avis sur la plupart des commentaires ).
[^] # Re: La prochaine version firefox ESR c'est laquelle ?
Posté par Misc (site web personnel) . En réponse à la dépêche Firefox habite au 21. Évalué à 4.
Firefox ESR dans un moteur de recherche, tu tombes sur
http://www.mozilla.org/en-US/firefox/organizations/faq/
qui dit que la prochaine ESR devrait être la 24.
( sinon, 7 versions entre la 10 et la 17, 17 + 7 => 24 ).
[^] # Re: travailler avec debian est-il possible pour Ubuntu ?
Posté par Misc (site web personnel) . En réponse au journal Un nouveau format de paquets pour Ubuntu. Évalué à 2.
Faut quand même payer les salariés pendant ce temps. L'argent, même si ça reste du papier, ne pousse pas sur les arbres.
Bah Canonical est multinationale, c'est même pas discutable. Et Canonical a les mêmes visés que Apple, à vouloir être partout, et à tout refaire. La seule différence, c'est que personne ne les suit. Et puis, faudrait savoir, tantot, tu dis que Debian et Ubuntu domine le monde, ensuite, tu dis que Canonical ne veut pas phagocyter le libre ? Tu as aucune cohérence dans tes propos.
C'est pas parce que les gens se plaignent que c'est vrai. Encore une fois, sans exemple concret, tu continue à dire de la merde, comme à ton habitude. J'ai donné un lien vers la doc gtk fourni, tu as rien donné à part des rumeurs, des "on dit que". Aucune chose vérifiable, aucune données, juste des impressions, et qui venant de quelqu'un qui prends son ignorance comme une force, fait sans doute doucement rire tout le monde.
le mot clé, c'est "pleinement". Et par pleinement, je parle par exemple de la classification automatique dans X cgroups des systémes, suivant une hiérarchie documenté et suffisamment standardisé pour que ta config et tes scripts marchent sans personnalisation ailleurs que su ta machine, ce qui est un pré requis à la création d'outil de plus haut niveau.
Mais sinon oui, bien sur qu'on peut utiliser les cgroups à la main :
https://access.redhat.com/site/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Resource_Management_Guide/ch-Using_Control_Groups.html
pourtant, le serveur web a reculé pour Debian et j'ai jamais vu personne dire "Debian va mourir". Le serveur web recule pour Microsoft, et pourtant, la boite se porte bien, mais en plus, des nouveaux projets comme azure font 1 milliard de chiffres d'affaire en 1 an. D'ailleurs, ça marche tellement bien que Debian bosse pour tourner sur le cloud de Microsoft ( http://lists.debian.org/debian-cloud/2012/11/msg00039.html ), suite au travail du Debian Project leader qui a lui même été voir microsoft :
https://lists.debian.org/debian-devel-announce/2012/11/msg00000.html
Tu peux voir dans les rapports de la SEC que ce point a été pris en compte. Et tu peux aussi comparer le nombre de souscriptions année après année, car ça ne va pas changer avec le dollar.
alors j'ai regardé. J'ai pris le premier site que j'ai trouvé, à savoir monster.fr, et j'ai tapé "debian", "ubuntu" et "red hat" ( et "redhat" car les gens ont tendances à ne pas mettre l'espace ).
ça fait :
debian 32
red hat : 8
redhat : 23
ubuntu : 10
pour comparaison :
windows : 382
android : 53
solaris : 19
unix : 174
rhel : 2
suse : 3
Donc déjà, on voit que 1) ça reste toujours microsoft qui domine le marché, suivi par autre chose que linux, puis par android. Puis Debian et RH sont à égalité quasiment ( car bon, en fonction de savoir si tu comptes ou pas les 2 offres RHEL, ça change de peu, et on va dire que 1/2 offres de différences, ç'est de l'ordre du détail ), suivi par Solaris et enfin Ubuntu.
Donc non, c'est pas "essentiellement des compétences ubuntu/debian". Pour le moment, Unix reste encore très présent, Windows encore plus, et Ubuntu reste à l'état de trace. J'attends maintenant tes chiffres aussi détaillés et vérifiables.
Ben dans ce cas, fait le au lieu de balancer des informations qui n'ont rien de factuel ?
regarde l'url, c'est sur le site officiel. Que LFS propose le choix n'est pas étonnant. Le fait est que systemd est assez intéressant pour avoir une variante de LFS est bien plus révélateur que tu le crois. Il est ou le guide lfs avec upstart, openrc ou tout les autres systèmes d'init ? Il existe pas, car personne ne les trouvent assez intéressant pour écrire un guide.
Et la présence d'une version sans systemd montre bien que les gens ont toujours le choix, et donc que tout les gens qui utilisent systemd le font par choix, pas parce qu'ils sont forcés d'une manière ou d'une autre. Ton argumentaire ne tient toujours pas plus la route.
Et pour finir, parce que même devant des preuves formelles, tu continue à dire de la merde :
Donc http://lists.freedesktop.org/archives/systemd-devel/2010-July/000095.html
c'est marqué "première version de systemd : juillet 2010". C'est le premier tarball, la liste avant n'avait que 3 mois, donc je sais pas d'ou tu sort ton "ça fait 10 ans que ça existe". En 3 ans, ça a eu le temps d'être présent en option sur la majorité des distributions ( debian, gentoo, lfs ), et de base sur une bonne part ( mandriva/mageia, fedora, suse, arch ), utilisé par Intel ( vu qu'ils postent des patchs : http://comments.gmane.org/gmane.comp.handhelds.openembedded/56537 ). Même ubuntu propose un paquet et de la documentation ( https://wiki.ubuntu.com/systemd ).
[^] # Re: Pour résumé
Posté par Misc (site web personnel) . En réponse à la dépêche À quand les smartphones et tablettes libres ?. Évalué à 3.
Les sources sont la, mais je peux pas mettre un kernel plus à jour, sauf à faire le portage des morceaux manquants ou sauf à oublier l'usage d'android. Si je veux le 3.9 sur mon galaxy s II, y a de grande chance que je ne puisse plus démarrer grand chose d'android. Et je parle pas des glues entre le kernel et les pilotes proprios pour la partie graphique, les trucs que les mainteneurs X/mesa refusent en bloc.
Ensuite, les choses ont peut être changé depuis les efforts d'upstreamification d'android, mais si j'arrive pas à avoir le kernel à jour sur mon freerunner, je doute que ça soit radicalement différent sur autre chose.
Et SHR, je compte pas ça comme distribution classique ( même si je comprends que tu puisses compter ça dans le sens ou classique serait non android ) vu que c'est quand même prévu pour l'embarqué, je parle plus de prendre une version arm non modifié. Tu peux démarrer ça en chroot tout au plus. Mais je vais pas avoir le choix de mettre xorg, de me passer de surface flinger ou ce genre de choses. Au mieux, je peux attendre une version de waylnd/mir qui supporte les pilotes android.
[^] # Re: Pour résumé
Posté par Misc (site web personnel) . En réponse à la dépêche À quand les smartphones et tablettes libres ?. Évalué à 5.
Euh, pas vraiment non. Déja, Ubuntu n'est pas "la plupart des distributions", et ensuite, blindé me parait un terme un peu fort. Tu va avoir quoi mis par défaut, des pilotes, peut être steam ( et encore, aps par défaut ), flash ?
Non, c'est parce que les fabricants s'en foutent et que les utilisateurs s'en foutent. Les raisons de pas avoir de pilote libre vont de "on a pas les specs" à "les trucs sont bourrés de brevets" et "les fabricants préfèrent faire des pilotes cradocs vite que de filer de la doc" et "imgtek est une bande d'enfoiré".
Android a 5 ans, se base sur un kernel qui a eu 20 ans y a 2 ans. Ça n'a rien de jeune. Microsoft a eu le temps de refaire le code entier de l'os sans doute 2/3 fois, Apple a eu le temps de couler et revenir, y a eu le temps d'avoir 2 guerres en Irak, et la yougoslavie a eu le temps de se reconstruire depuis.
Ok alors grande nouvelle, Android tourne sur un noyau linux. Y a déjà des pilotes libres dans le noyau linux pour le matos pc. Et si tu mets Android sur ton pc, il va utiliser les drivers classiques linux pour pas mal de choses, voir même pour tout.
Tu m'as l'air un peu jeune pour parler de ça. J'ai connu le monde du libre avant que Nvidia ne sorte son premier driver proprio pour Xfree86 et déja à l'époque, le libre et linux était pas nouveau. Et non, on avait pas besoin d'utiliser des drivers proprios, on avait pas de drivers du tout pour certaines cartes ( pour plein de cartes en fait ). Et pourtant, avec Glide et ma carte 3DFx ( http://en.wikipedia.org/wiki/Glide_API ), j'avais la 3d sur mon premier pc ( sur la fin du dit pc ).
Et au final, plus de 10 ans après, la phase "on va avoir des pilotes libres, le proprio dure qu'un temps" dure encore. Voir pire, on en a plus.
[^] # Re: Pour résumé
Posté par Misc (site web personnel) . En réponse à la dépêche À quand les smartphones et tablettes libres ?. Évalué à 6.
donc quand on retire le proprio, il reste du libre. C'est pas de l'enfoncage de porte ouverte ?
En fait non, y a plusieurs distributions qui proposent que du libre. Debian, Fedora, etc. Et y a très rarement de l'userspace proprio, parce que la distribution est contraignante.
Bah, en quoi Android est un succès du logiciel libre ? J'ai du Linux dans mon téléphone, mais je peux pas modifier le kernel, et comme l'userspace est lié au kernel, je peux pas non plus mettre l'userspace que je veux ou une distrib classique.
Et de plus, je doute qu'on passe un jour à un second temps vu comment ça s'oriente. Ça fait deja 5 ans qu'android est sur le marché, et j'ai pas le sentiment qu'on s'oriente vers plus d'application libre grace à ça. En fait, j'ai plutot l'impression qu'on a plus de pilotes proprios grâce à ça et je vois pas de changement en vue.
On n'a pas le choix justement. Je veux un kernel 3.10 avec les derniers cgroups pour faire du lxc sur mon galaxy s II ? Je peux pas, les drivers proprios ne me permettent pas de toucher au kernel. Je veux installer une Fedora en chroot avec systemd ? Je peux pas non plus, trop de morceaux du kernel pas compilé.
En matière de bidouillabilité, Android est à un système Linux classique ce que la chicoré est au café, un ersatz qu'on garde parce qu'on a pas le choix.