Effectivement, chroot n'est pas un outil de sécurité sur un système linux (qui n'est pas un système à ranger dans la catégorie 'sécurisé'). Par contre, avec un kernel patché grsecurity et contenant les bonnes configurations des 'Chroot restrictions', on doit pouvoir atteindre un niveau de sécurité acceptable.
J'ai une alix2d3 faisant office de firewall/dns secondaire pilotée par OpenBSD.
Je n'ai pas fait de mesures / tests de performance, mais j'en suis content (consommation électrique réduite et aucun bruit).
A moins d'avoir des yeux irréprochables, je trouve que tu exagères un peu sur les IRC.
La norme EN-12464-1 définit les conditions d'un bon éclairage en fonction de la pièce à éclairer. Dans de très rares cas un IRC supérieur ou égal à 90 est recommandé (les lampes au dessus du siège d'opération du dentiste ...).
Selon cette norme, un indice correct est compris entre 80 et 90.
J'ajoute que les mesures actuelles d'IRC ne sont pas des mesures exactes : c'est le meilleur moyen de chiffrer ce critère mais ça ne reste qu'un indice. J'ai vu que certaines personnes tentent de faire approuver un nouveau test qui à l'air légèrement mieux. Cependant, d'autres ont émis la possibilité que ces mesures d'IRC ne soient pas du tout adaptées aux éclairages LED ...
Concernant les éclairages LED actuellement dispo en magasin, je ne cite pas de nom mais je suis près à parier que très peu d'articles disposent d'un IRC supérieur à 80 et pire, les chiffres annoncés sur les emballages sont sur-estimés.
La technologie LED est en constant progrès. La lumière blanche étant assez récente, il est normal de voir apparaître des produits d'éclairage. Pour augmenter la quantité de lumière, les fabricants peuvent utiliser des LED de différentes puissances et/ou jouer sur leur nombre. Tu as raison de dire qu'augmenter le tension à leurs bornes permet d'augmenter la luminosité au détriment de la durée de vie (je n'ai pas de chiffre mais la durée de vie décroît très vite), mais ceci est une "solution" inacceptable et pourtant encore trop utilisée.
Je n'arrive pas à déterminer si son message est ironique au pas.
Dans le cas où il l'est, je vais expliquer pourquoi je pose cette question :
Utiliser ce genre d'outils oblige à un investissement de temps conséquent (surtout lorsqu'on n'est pas comptable ou gestionnaire). De plus, suivant la quantité et la nature des informations que l'outil gérera, il est facile de comprendre qu'on ne souhaite pas recommencer cette étape à la prochaine version car le SGBDR aura changé.
J'ai testé récemment Dolibarr et je l'ai momentanément adopté : accès par navigateur web, possibilité de le lier à des boutiques de vente en ligne, moins obscure que openerp, en php donc j'ai pu signaler et corriger quelques bugs ....
Mais l'une des raisons principales a été le support de postgresql. Malgré quelques bugs (comme la requête pour chiffrer les mots de passe utilisateur en base dédiée à mysql), ça fonctionne plutôt bien. Mais j'ai peur de voir ce support disparaître, il n'est pas mentionné dans ce journal (pourtant j'utilise la version 2.9). Pensez-vous continuer le support de ce sgbdr dans les futures versions ?
L'avantage de memcache sur sharedance est que le module php5-memcache (enfin sous debian) inclus directement la gestion des sessions.
Haproxy n'est pas un reverse proxy, c'est un load balancer tcp/http.
Pour faire du reverse proxy, j'aime bien nginx.
Et si tu as du temps pour tester d'autres solutions, tu peux t'intéresser à OpenBSD.
En plus de prendre très au sérieux la sécurité informatique, cet OS dispose d'outils réseau performants :
- interface trunk pour agréger tes interfaces réseau permettant de redonder les switchs
- interface carp permettant des bascules automatiques (ou manuelles) avec une configuration simple mais puissante
- interface pfsync (lié au parefeu PF) pour synchroniser les tables d'état
....
Des équivalents existent sous linux, mais je les trouve trop "compliquées" par rapport à celle-ci.
Par exemple, tu peux faire un load-balancer IP avec 2 OpenBSD, leur parefeu PF+pfsync et relayd qui surveille les backends.
Ne connaissant pas LVS, je ne peux pas te répondre précisément. Par contre, je peux partager mon expérience passée en HA.
Stocker des sessions PHP sur disque est contre-performant et s'oppose au principe de HA/répartition de charge. Tu peux utiliser une base de données, ceci réglera ton problème de répartition mais pourra te mener à de plus graves soucis : plus ton trafic augmentera, plus la base de données sera sollicitée, et c'est sûrement l'un des points les plus difficiles à solutionner dans une archi HA. Je te conseille de regarder du coté de memcache et php5-memcache. Tu peux en 2 lignes de conf utiliser un stockage memcache (redondé ou pas) pour les sessions.
Pour le load balancing ssl sans persistance, il n'existe qu'une seule solution : utiliser des certificats ssl multi-domaines (plusieurs SubjectAltName).
Pour ton souci de load-balancing, je te conseille de regarder Haproxy. Tu assures ça redondance avec heartbeat ou ucarp.
Nginx est un très bon soft, je l'ai utilisé pour délivrer du contenu statique et dans un pool de reverse proxy ssl et j'en ai été tres satisfait.
- reverse : certaines choses sont perfectibles, comme la détection de bon fonctionnement des backends qui reste en dessous de celle de Haproxy (qui est un chef d'oeuvre) ou de relayd, mais tu pourras rewriter par exemple
- web : tu ne retrouveras pas toutes les fonctionnalités fournies par apache et ses nombreux modules mais les perfs seront au rendez-vous
En bref, il est à essayer, sa configuration est assez simple et la wikidoc est correcte.
A vérifier qu'il puisse piloter ton autoloader ...
C'est un très bon outil que j'utilise actuellement sur des plateformes de prod, j'ai un peu modifié sa façon de fonctionner car je n'utilise pas de bande mais sauvegardes fichier.
Il utilise une base de données (postgresql ici) permettant de facilement s'y retrouver dans ses backups.
Il en existe plein d'autres (pgcluster, bucardo ...)
Fût un temps où je les ai testé, aucun ne m'a apporté satisfaction, je me suis rabattu sur du drbd/heartbeat qui fonctionne bien.
je confirme pour la marge, certains produits prennent x10 au niveau de leur prix lors du passage des frontières et notamment les cadres photos (j'étais à Shenzhen la semaine dernière où j'ai pu constater ce phénomène).
Le man chroot ne laisse pas entendre ceci, et donne même un exemple pour s'évader de la prison (si user root je l'accorde).
chroot n'est pas un gage de sécurité et n'est pas son but d'ailleurs.
Maintenant, avec un certain patch kernel centré sur la sécurité (et non mainline), c'est déjà un peu mieux.
Peut-on passer de qemulator à virt-manager (ou inverse) sans modifier les "images" des OS utilisés ?
J'utilise actuellement virtualbox pour virtualiser un OS sale mais me permettant de créer une connexion IPSEC avec des OpenBSD (afin d'utiliser des interfaces web bourrées d'ActiveX, pas le choix).
Je suis rentré de vacances il y a quelques jours, et virtualbox sur sid ne démarre plus à cause d'un souci de compatibilité de virtualbox et du module kernel (je n'ai pas intérêt à jouer avec mon kernel, j'utilise un laptop avec chiffrement complet - /boot sur clef usb).
Ceci est peut être dû au passage à Lenny (Sid étant mis en retrait pour l'instant), mais du coup j'ai du mal à utiliser mon VPN.
L'un des avantages de vbox est aussi d'être disponible sur plusieurs OS et donc de pouvoir partager les images mais en réalité, d'obscures problèmes sont apparus lorsque j'ai voulu faire tourner des images linux grsecurity sur du windows.
Tout ceci et cette article/discussion me donne envie de passer à qemu avec un mode clickodrome. N'ayant pas envie de comparer (pour l'instant) les diverses interfaces, l'idéal serait de pouvoir switcher entre elles et virer vbox.
Stockage: centralisation à un endroit des logs (dans son cas il parle d'une seule machine mais ...)
Rotation: à lui de bien définir son modèle et aussi d'utiliser les capacités de la base de données qu'il aura choisi. Perso, j'ai un système de partitionnement de table et des fonctions pl/pgsql (à choisir) pour manipuler le tout (créer les tables filles par exemple).
Recherche: un enregistrement d'une table de log comporte énormément d'information permettant à une requête sql de bien mieux trier qu'un grep.
Pour le choix de la base de données, chacun ses goûts mais il faut penser qu'elle sera fortement sollicitée (surtout en écriture). Pour le stockage, il est recommandé de choisir un espace de stockage conséquent et rapide.
Et enfin syslog-ng vs rsyslog, si on mets à part les problèmes de licence / mode de développement du premier, le deuxième me semble plus adapté:
- gestion natives des bases de données
- et surtout plusieurs niveaux de tampons permettant de bien mieux gérer les afflux de logs sur une base chargée.
Sinon il existe trickle dont voici la description :
Trickle is a voluntary, cooperative bandwidth shaper. it works entirely in userland and is very easy to use.
The most simple application is to limit the bandwidth usage of programs.
si vous choisissez de mauvais outils tels que ce sgbd alors qu'il en existe un bien meilleur sous tous points de comparaison ....
sinon, faire des backups sur la machine même ça sert presque à rien ...
et puis dans ton cas (remonter un serveur identique), la backup de la configuration de la plateforme peut aussi être très utile.
Tu regardes trop la télé et véhicule des images fausses.
Tu en plaisantes sûrement mais c'est quand même une image de la Thaïlande largement répandu.
Je crois bien que la pédophilie est interdit et en tout cas tres mal vue ....
Tu pourras me dire que c'est quand même possible mais en France aussi, sauf qu'il faut payer plus cher.
Cherche mieux dans mon précédent commentaire et tu trouveras.
Sinon, y a quoi dans les routeurs / switchs .... des diverses marques ?
Y a bien des OS là dedans (souvent dérivés de certains autres OS que l'on connait bien), et bien qu'on ne puisse pas les utiliser tel quels, ils existent et méritent la comparaison quand on parle de réseau.
A part le fait que je préfère grsecurity (+pax) à SELinux et que je préfère quand les fonctionnalités offertes par grsec+pax sont intégrées directement au noyau (genre un OS ayant du piquant) , la phrase "Son projet est de faire de Linux le top de la sécurité comme Linux est le top pour le réseau" me fait bien rire.
En quoi Linux est le top pour le réseau ? (note que je n'ai pas dit qu'il est mauvais).
[^] # Re: chroot
Posté par Fabien . En réponse au message Compte utilisateur avec droits TRES restreints. Évalué à 1.
[^] # Re: Firewall
Posté par Fabien . En réponse au journal Enfin un serveur basse consommation?. Évalué à 1.
Je n'ai pas fait de mesures / tests de performance, mais j'en suis content (consommation électrique réduite et aucun bruit).
[^] # Re: Et pourquoi pas des ampoules LED ?
Posté par Fabien . En réponse au journal Ampoules à incandescence : faites des stocks. Évalué à 2.
La norme EN-12464-1 définit les conditions d'un bon éclairage en fonction de la pièce à éclairer. Dans de très rares cas un IRC supérieur ou égal à 90 est recommandé (les lampes au dessus du siège d'opération du dentiste ...).
Selon cette norme, un indice correct est compris entre 80 et 90.
J'ajoute que les mesures actuelles d'IRC ne sont pas des mesures exactes : c'est le meilleur moyen de chiffrer ce critère mais ça ne reste qu'un indice. J'ai vu que certaines personnes tentent de faire approuver un nouveau test qui à l'air légèrement mieux. Cependant, d'autres ont émis la possibilité que ces mesures d'IRC ne soient pas du tout adaptées aux éclairages LED ...
Concernant les éclairages LED actuellement dispo en magasin, je ne cite pas de nom mais je suis près à parier que très peu d'articles disposent d'un IRC supérieur à 80 et pire, les chiffres annoncés sur les emballages sont sur-estimés.
[^] # Re: Mauvaise foi spotted
Posté par Fabien . En réponse au journal Ampoules à incandescence : faites des stocks. Évalué à 1.
[^] # Re: Oui mais ...
Posté par Fabien . En réponse à la dépêche Nouvelle version de Dolibarr ERP/CRM disponible. Évalué à 1.
j'espère avoir le temps de tester la version 3.0 et participer aux tests.
[^] # Re: Oui mais ...
Posté par Fabien . En réponse à la dépêche Nouvelle version de Dolibarr ERP/CRM disponible. Évalué à -1.
Dans le cas où il l'est, je vais expliquer pourquoi je pose cette question :
Utiliser ce genre d'outils oblige à un investissement de temps conséquent (surtout lorsqu'on n'est pas comptable ou gestionnaire). De plus, suivant la quantité et la nature des informations que l'outil gérera, il est facile de comprendre qu'on ne souhaite pas recommencer cette étape à la prochaine version car le SGBDR aura changé.
# Oui mais ...
Posté par Fabien . En réponse à la dépêche Nouvelle version de Dolibarr ERP/CRM disponible. Évalué à 4.
Mais l'une des raisons principales a été le support de postgresql. Malgré quelques bugs (comme la requête pour chiffrer les mots de passe utilisateur en base dédiée à mysql), ça fonctionne plutôt bien. Mais j'ai peur de voir ce support disparaître, il n'est pas mentionné dans ce journal (pourtant j'utilise la version 2.9). Pensez-vous continuer le support de ce sgbdr dans les futures versions ?
[^] # Re: HA
Posté par Fabien . En réponse au message Répartition de charge avec LVS. Évalué à 2.
Haproxy n'est pas un reverse proxy, c'est un load balancer tcp/http.
Pour faire du reverse proxy, j'aime bien nginx.
Et si tu as du temps pour tester d'autres solutions, tu peux t'intéresser à OpenBSD.
En plus de prendre très au sérieux la sécurité informatique, cet OS dispose d'outils réseau performants :
- interface trunk pour agréger tes interfaces réseau permettant de redonder les switchs
- interface carp permettant des bascules automatiques (ou manuelles) avec une configuration simple mais puissante
- interface pfsync (lié au parefeu PF) pour synchroniser les tables d'état
....
Des équivalents existent sous linux, mais je les trouve trop "compliquées" par rapport à celle-ci.
Par exemple, tu peux faire un load-balancer IP avec 2 OpenBSD, leur parefeu PF+pfsync et relayd qui surveille les backends.
# HA
Posté par Fabien . En réponse au message Répartition de charge avec LVS. Évalué à 2.
Stocker des sessions PHP sur disque est contre-performant et s'oppose au principe de HA/répartition de charge. Tu peux utiliser une base de données, ceci réglera ton problème de répartition mais pourra te mener à de plus graves soucis : plus ton trafic augmentera, plus la base de données sera sollicitée, et c'est sûrement l'un des points les plus difficiles à solutionner dans une archi HA. Je te conseille de regarder du coté de memcache et php5-memcache. Tu peux en 2 lignes de conf utiliser un stockage memcache (redondé ou pas) pour les sessions.
Pour le load balancing ssl sans persistance, il n'existe qu'une seule solution : utiliser des certificats ssl multi-domaines (plusieurs SubjectAltName).
Pour ton souci de load-balancing, je te conseille de regarder Haproxy. Tu assures ça redondance avec heartbeat ou ucarp.
[^] # Re: nginx ?
Posté par Fabien . En réponse au journal La fin du monde. Évalué à 5.
- reverse : certaines choses sont perfectibles, comme la détection de bon fonctionnement des backends qui reste en dessous de celle de Haproxy (qui est un chef d'oeuvre) ou de relayd, mais tu pourras rewriter par exemple
- web : tu ne retrouveras pas toutes les fonctionnalités fournies par apache et ses nombreux modules mais les perfs seront au rendez-vous
En bref, il est à essayer, sa configuration est assez simple et la wikidoc est correcte.
# Bacula
Posté par Fabien . En réponse au message Sauvegarde depuis linux sur autochargeur de bande. Évalué à 2.
C'est un très bon outil que j'utilise actuellement sur des plateformes de prod, j'ai un peu modifié sa façon de fonctionner car je n'utilise pas de bande mais sauvegardes fichier.
Il utilise une base de données (postgresql ici) permettant de facilement s'y retrouver dans ses backups.
[^] # Re: du flou...
Posté par Fabien . En réponse au journal Au coeur de la cyberguerre. Évalué à 1.
Et d'autres options permettent de renforcer la sécurité générale des serveurs.
[^] # Re: PostgreSQL master/master
Posté par Fabien . En réponse à la dépêche Répartition de charge : axes de réflexion et quelques exemples de solutions libres. Évalué à 3.
Fût un temps où je les ai testé, aucun ne m'a apporté satisfaction, je me suis rabattu sur du drbd/heartbeat qui fonctionne bien.
[^] # Re: tablet firefox :)
Posté par Fabien . En réponse au journal Un nouveau concept, le prototype de Techcrunch.. Évalué à 5.
[^] # Re: Parce que
Posté par Fabien . En réponse au message Pourquoi chrooter bind ?. Évalué à 3.
chroot n'est pas un gage de sécurité et n'est pas son but d'ailleurs.
Maintenant, avec un certain patch kernel centré sur la sécurité (et non mainline), c'est déjà un peu mieux.
[^] # Re: virtualbox
Posté par Fabien . En réponse au journal qemu 0.10 is out \o/. Évalué à 1.
J'utilise actuellement virtualbox pour virtualiser un OS sale mais me permettant de créer une connexion IPSEC avec des OpenBSD (afin d'utiliser des interfaces web bourrées d'ActiveX, pas le choix).
Je suis rentré de vacances il y a quelques jours, et virtualbox sur sid ne démarre plus à cause d'un souci de compatibilité de virtualbox et du module kernel (je n'ai pas intérêt à jouer avec mon kernel, j'utilise un laptop avec chiffrement complet - /boot sur clef usb).
Ceci est peut être dû au passage à Lenny (Sid étant mis en retrait pour l'instant), mais du coup j'ai du mal à utiliser mon VPN.
L'un des avantages de vbox est aussi d'être disponible sur plusieurs OS et donc de pouvoir partager les images mais en réalité, d'obscures problèmes sont apparus lorsque j'ai voulu faire tourner des images linux grsecurity sur du windows.
Tout ceci et cette article/discussion me donne envie de passer à qemu avec un mode clickodrome. N'ayant pas envie de comparer (pour l'instant) les diverses interfaces, l'idéal serait de pouvoir switcher entre elles et virer vbox.
[^] # Re: No problemo
Posté par Fabien . En réponse au message Redirection de logs sous MySql via Syslog-ng. Évalué à 2.
Rotation: à lui de bien définir son modèle et aussi d'utiliser les capacités de la base de données qu'il aura choisi. Perso, j'ai un système de partitionnement de table et des fonctions pl/pgsql (à choisir) pour manipuler le tout (créer les tables filles par exemple).
Recherche: un enregistrement d'une table de log comporte énormément d'information permettant à une requête sql de bien mieux trier qu'un grep.
Pour le choix de la base de données, chacun ses goûts mais il faut penser qu'elle sera fortement sollicitée (surtout en écriture). Pour le stockage, il est recommandé de choisir un espace de stockage conséquent et rapide.
Et enfin syslog-ng vs rsyslog, si on mets à part les problèmes de licence / mode de développement du premier, le deuxième me semble plus adapté:
- gestion natives des bases de données
- et surtout plusieurs niveaux de tampons permettant de bien mieux gérer les afflux de logs sur une base chargée.
[^] # Re: Super sympa !
Posté par Fabien . En réponse au journal CSS spéciale Ubuntu 8.10 : explication. Évalué à 5.
# Générique
Posté par Fabien . En réponse au message transfert de fichiers avec limitation de débit. Évalué à 1.
Trickle is a voluntary, cooperative bandwidth shaper. it works entirely in userland and is very easy to use.
The most simple application is to limit the bandwidth usage of programs.
[^] # Re: Les bits de sécurité ?
Posté par Fabien . En réponse à la dépêche Sortie du noyau Linux 2.6.26. Évalué à 2.
merci grsecurity
# en même temps ...
Posté par Fabien . En réponse au journal Migration foirée. Évalué à -7.
sinon, faire des backups sur la machine même ça sert presque à rien ...
et puis dans ton cas (remonter un serveur identique), la backup de la configuration de la plateforme peut aussi être très utile.
[^] # Re: le coté parano
Posté par Fabien . En réponse au journal Le disque, le loup et le phoque. Évalué à 1.
Tu en plaisantes sûrement mais c'est quand même une image de la Thaïlande largement répandu.
Je crois bien que la pédophilie est interdit et en tout cas tres mal vue ....
Tu pourras me dire que c'est quand même possible mais en France aussi, sauf qu'il faut payer plus cher.
[^] # Re: LSM
Posté par Fabien . En réponse au journal Le nouveau SeLinux. Évalué à 0.
Sinon, y a quoi dans les routeurs / switchs .... des diverses marques ?
Y a bien des OS là dedans (souvent dérivés de certains autres OS que l'on connait bien), et bien qu'on ne puisse pas les utiliser tel quels, ils existent et méritent la comparaison quand on parle de réseau.
[^] # Re: LSM
Posté par Fabien . En réponse au journal Le nouveau SeLinux. Évalué à 2.
En quoi Linux est le top pour le réseau ? (note que je n'ai pas dit qu'il est mauvais).
[^] # Re: Share and enjoy
Posté par Fabien . En réponse au journal Détection de rootkit. Évalué à 1.
kernel 2.6.22.9 2007-09-26 18:10 UTC
kernel 2.6.23-rc9-git1 2007-10-02 19:01 UTC
pas si en retard que ça.
Je recommande aussi ce projet