Linux Mandrake 10.1 - Page 3

hum, oui

hum, oui

je suis bien d'accord

je suis bien d'accord

Le fl00d çay mal © !

MiM powaaaa et la meme ton S il peut se le fdlc

AAAAAAAAAAAAAAAAARGGGGGGHHHHHHHHH !!
J'arrive pas à compiler les pilotes de mon modem bewan avec la 10.1 !!!!

nEUrOO :
oué, c bon si t'as peur de recompiler ton noyau voire même d'installer un serveurx
c bon pour les assistés koi !

pour un serveur tu conseil quoi?

Debian
Slack
RedHat Server
Mandrake Server

Pour un serveur je conseillerais plutôt un OpenBSD, perso.
Si tu tiens à rester sous Linux, à ce moment là Debian est un bon choix. Les autres proposées par Nil je les connais pas.

je rajouterait LFS et Gentoo suivant le degré de ce que tu veux

Le problème de LFS et Gentoo c'est que si on n'a pas un certain nombre de connaissances en sécurité Linux, c'est à éviter : on risque de laisser des portes ouvertes sans le savoir.

Oué, un système Secure by default c'est mieux ^^

ba lfs ya pas plus secure par défaut hein

"Secure by default" c'est la devise de OpenBSD ^^

oué 1 faille en je sais plus combien d'ans

Bah LFS, si tu ne sais pas quels trucs sont à installer/à mettre en oeuvre pour la sécurité (par exemple le truc tout con qui permet de remettre les droits comme il faut dans les home de façon régulière), ben tu peux pas l'inventer. C'est pas parce que tu compiles tout toi même que tu connais toutes la chtusse.

Sans compter qu'il reste plein de faiblesses inhérentes aux logiciels.
Si je prends quelques exemples tout bêtes :
- avec OpenBSD, le swap peut être crypté
- les numéros de processus sont alloués aléatoirement, ce qui rend bcp plus difficile les attaques sur race condition utilisant des ipc
- les numéros de séquence TCP et IP sont initialisés aléatoirement
- tous les programmes sont audités en permanence, ce qui fait qu'il n'est pas rare de voir "faille trouvée dans apache." et 5 lignes plus bas "ce problème a été corrigé dans OpenBSD l'année dernière"
- OpenBSD est le seul système où le Apache tourne chrooté
- il est possible, pour chaque programme, d'interdire l'utilisation d'appels systèmes particuliers (genre execve ou setuid)
- ce ne sont que quelques exemples, il y en a plein d'autres. C'est au point que nmap est incapable de détecter que c'est un OpenBSD qui tourne. Selon les versions il dit windows xp ou linux.

Evidemment, après la question c'est est-ce que tu es prêt à apprendre à utiliser OpenBSD (qui est réellement différent d'un système GNU, contrairement à GNU/FreeBSD), as-tu vraiment besoin d'autant de sécurité ?

(pour moi la réponse a été :
- apprendre, oui parce que c'est fun
- besoin non dans l'absolu, mais ça fait pas de mal et c'est tellement plus classe
- je voulais sortir un peu de l'opposition GNU/Linux - Windows
- la prochaine fois je testerai Hurd
)
Enfin bon plus qu'un test, maintenant mon routeur/serveur tourne sous OpenBSD et je ne compte pas changer.
Welcome to OpenBSD: The proactively secure Unix-like operating system.

On peut recompiler tout soft Linux pour OpenBSD sans problème ? Ou alors c'est quand même franchement différent et il faut passer par des étapes complexes et/ou chiantes ?

Ca dépend des softs.
- une majorité fonctionne sans même avoir à être recompilée (OpenBSD supporte nativement les exécutables ELF)
- certains ont besoin d'être recompilés
- quelques uns ne fonctionnent pas du tout (notamment des utilitaires systèmes, mais normalement ils ont leurs équivalents openbsd).

Sinon, tous les outils principaux pour un serveur sont de base dans le système, ou des la liste des ports (les trucs de la liste des ports s'installent super rapidement).

Si tu veux essayer je peux te faire un compte sur mon serveur.

Bah en fait, là, je suis chez ma future belle famille, avec une connect pas tip top... pis de toutes façons, ça sera pour le bural, donc pas avant début janvier .

spectras :
Sans compter qu'il reste plein de faiblesses inhérentes aux logiciels.
Si je prends quelques exemples tout bêtes :
- avec OpenBSD, le swap peut être crypté
- les numéros de processus sont alloués aléatoirement, ce qui rend bcp plus difficile les attaques sur race condition utilisant des ipc - les numéros de séquence TCP et IP sont initialisés aléatoirement

Linux + grsec le fait aussi, et ce genre de protection est bien, mais un petit RBAC est un plus : avec ça, meme si un gars chope un acces root, il ne peut rien faire quand meme...

- OpenBSD est le seul système où le Apache tourne chrooté - il est possible, pour chaque programme, d'interdire l'utilisation d'appels systèmes particuliers (genre execve ou setuid)

Avec un peu de conf, ça se fait aussi sous linux, RBAC aide bien a ce niveau (pour interdire le bind de certains process sur certains ports, interdire certains appels système, etc...)

- ce ne sont que quelques exemples, il y en a plein d'autres. C'est au point que nmap est incapable de détecter que c'est un OpenBSD qui tourne. Selon les versions il dit windows xp ou linux.

Bah mon linux (Gentoo) compilé avec les patch pie/ssp (protection contre les stack overflow) + grsec + RBAC (Role based access Control, un peu chiant a configurer) est détecté comme une xbox )

Evidemment, après la question c'est est-ce que tu es prêt à apprendre à utiliser OpenBSD (qui est réellement différent d'un système GNU, contrairement à GNU/FreeBSD), as-tu vraiment besoin d'autant de sécurité ?

(pour moi la réponse a été :
- apprendre, oui parce que c'est fun
- besoin non dans l'absolu, mais ça fait pas de mal et c'est tellement plus classe
- je voulais sortir un peu de l'opposition GNU/Linux - Windows
- la prochaine fois je testerai Hurd
)
Enfin bon plus qu'un test, maintenant mon routeur/serveur tourne sous OpenBSD et je ne compte pas changer.
Welcome to OpenBSD: The proactively secure Unix-like operating system.

Ouaip, c'est bien, mais demande pas mal d'investissement. Perso, je maitrise la base d'OpenBSD, mais pour sécuser a fond, je trouve que ça demande vraiment plus de boulot que pour maitriser un grsec avec son RBAC associé, pour un niveau de sécurisation sensiblement équivalent pour peu que tu suis bien les sorties d'exploits/patch kernel + softs comme apache/sshd (avant qu'on me dise quoi que ce soit, je précise qu'un kernel patché grsec est insensible aux 9/10 des failles trouvées sur le kernel linux )

[Edit]
C'est pas BÔ de lancer des trolls comme ça à l'approche des fêtes

Seul pbm d'open bsd, pour avoir la distribution officielle il faut payer :/

Linux + grsec le fait aussi, et ce genre de protection est bien, mais un petit RBAC est un plus : avec ça, meme si un gars chope un acces root, il ne peut rien faire quand meme...

Je viens de vérifier grsec ne fait pas le swap crypté

Avec un peu de conf
, ça se fait aussi sous linux, RBAC aide bien a ce niveau (pour interdire le bind de certains process sur certains ports, interdire certains appels système, etc...)

En fait je dirais même avec beaucoup de conf (essaie tu verras t'as plein de merdes avec le /lib qui est plus accessible, php qui peut pas se charger, mysql qui refuse de collaborer avec apache).

Bah mon linux (Gentoo) compilé avec les patch pie/ssp (protection contre les stack overflow) + grsec + RBAC (Role based access Control, un peu chiant a configurer)

Ben mon serveur c'est une OpenBSD pas recompilée sans patches sans sucre ajouté ^^
Sans compter que le patch pie/ssp ne protège pas "contre les stack overflow" mais contre certaines formes de stacks overflows seulement.

pour sécuser a fond, je trouve que ça demande vraiment plus de boulot que pour maitriser un grsec avec son RBAC associé, pour un niveau de sécurisation sensiblement équivalent

OpenBSD est "secure by default". Tu l'installes et tu as immédiatement, dans la configuration de base, sans rien toucher, un système qui est bien plus sécure que ta gentoo recompilée et patchée de partout.

C'est pas BÔ de lancer des trolls comme ça à l'approche des fêtes

Ce n'était pas un troll, je présentais OpenBSD pour ce qu'elle est : une distribution pour laquelle une seule faille a été découverte en 8 ans dans l'install de base (qui inclue apache le serveur ftp, le serveur ssh...).

Seul pbm d'open bsd, pour avoir la distribution officielle il faut payer :/

Si la distribution officielle c'est la version en boîte avec le cd et la doc, oui (comme Mandrake quoi). Si c'est juste pour avoir de quoi l'installer, ftp://ftp.openbsd.org/pub/OpenBSD/3.6/i386 contient tout ce qu'il faut.

spectras
:

Linux + grsec le fait aussi, et ce genre de protection est bien, mais un petit RBAC est un plus : avec ça, meme si un gars chope un acces root, il ne peut rien faire quand meme...

Je viens de vérifier grsec ne fait pas le swap crypté

grsec non, il fait le reste de cette partie de citation. la swap est cryptable avec dm-crypt ou loop-aes

Avec un peu de conf
, ça se fait aussi sous linux, RBAC aide bien a ce niveau (pour interdire le bind de certains process sur certains ports, interdire certains appels système, etc...)

En fait je dirais même avec beaucoup de conf (essaie tu verras t'as plein de merdes avec le /lib qui est plus accessible, php qui peut pas se charger, mysql qui refuse de collaborer avec apache).

C'est pas ça qui m'a franchement gené, ça se fait relativement bien

Bah mon linux (Gentoo) compilé avec les patch pie/ssp (protection contre les stack overflow) + grsec + RBAC (Role based access Control, un peu chiant a configurer)

Ben mon serveur c'est une OpenBSD pas recompilée sans patches sans sucre ajouté ^^ Sans compter que le patch pie/ssp ne protège pas "contre les stack overflow" mais contre certaines formes de stacks overflows seulement.

Bah oui, peut-etre, mais OpenBSD est prévu pour ça dès le départ, un linux n'est vraiment bien sécurisé qu'avec ces choses (je ne crois pas me tromper en disant que pie/ssp est intégré de base a OpenBSD par exemple), et tout bon admin qui met en place un serveur sécurisé sous linux utilise ces choses, c'est pas du "sucre ajouté", c'est des patches très bein intégrés et d'utilisation TRÈS courant dans le domaine du serveur... Et si pie/ssp protège contre certains stack overflows, ajoute le à PAX, notamment Mprotect (inclu dans grsec), et ça devient tout de suite beaucoup plus efficace.

pour sécuser a fond, je trouve que ça demande vraiment plus de boulot que pour maitriser un grsec avec son RBAC associé, pour un niveau de sécurisation sensiblement équivalent

OpenBSD est "secure by default". Tu l'installes et tu as immédiatement, dans la configuration de base, sans rien toucher, un système qui est bien plus sécure que ta gentoo recompilée et patchée de partout.

Si j'était vraiment motivé, je te mettrai au défit de pirater un linux patché de la sorte (et je répete, c pas du patch fait n'importe comment, c'est du patch très utilisé et très intégré, une RHEL et beaucoup de linux serveur (tous devraient d'ailleurs) utilisent ça). Et puis ma Gentoo, elle est pas "recompilée", elle est "compilée", c'est uniquement des sources, hein , meme si j'avais pas ajouté ces patchs, j'aurais tout compilé, et puis l'intégration de ces patchs est tellement bien faite, qu'il suffit de changer 2 flags et hop, ils sont utilisés direct, sans plus se faire chier

C'est pas BÔ de lancer des trolls comme ça à l'approche des fêtes

Ce n'était pas un troll, je présentais OpenBSD pour ce qu'elle est : une distribution pour laquelle une seule faille a été découverte en 8 ans dans l'install de base (qui inclue apache le serveur ftp, le serveur ssh...).

C'est pas tout a fait vrai : toutes les failles openSSH ont aussi affecté OpenBSD au meme titre que les autres plateformes, et si tu n'updates pas, c'est pas plus sécure que le reste, y a pas de secret, pour rester sécure, faut faire SOUVENT les updates de sécurité, une openBSD d'il y a 2-3ans est autant piratable que n'importe quel linux sans updates


Et si ce genre de choses (pie/ssp/grsec/RBAC) n'est pas intégré de base sur les linux courant, c'est parceque ça apporte d'importantes contraintes au niveau de l'administration et de l'utilisation des programmes, qui sont inutiles pour un linux courant. Il ne faut pas perdre de vue la grande polyvalence de linux

[Edit]
sur ce, je vais me coucher, j'ai pas que ça a foutre en fait, et puis c'est très bien que les 2 alternatives existent

spectras
:

Seul pbm d'open bsd, pour avoir la distribution officielle il faut payer :/

Si la distribution officielle c'est la version en boîte avec le cd et la doc, oui (comme Mandrake quoi). Si c'est juste pour avoir de quoi l'installer, ftp://ftp.openbsd.org/pub/OpenBSD/3.6/i386 contient tout ce qu'il faut.

TU mas pas compris :/

Mandrake faut payé pour l'avoir en CD c'est faux vu que tu peu dl les iso officiels. OpenBSD il faut payer pour avoir les CD (et c'est la seule forme pour avoir les ISOs officiels) et c'est quand meme pratique de pouvoir isntaller depuis un cd sans avoir besoin d'une connection net pour

En même temps, chez Mandrake, les ISOs officiels ne sont pas disponibles au téléchargement en même temps que la vente de la version boite, et toutes les distros ne sont pas dispos gratuitement (la server, par exemple, vu qu'on parle de ça pour l'instant).
[Jolie migration de Troll ]

C'est pas ça qui m'a franchement gené, ça se fait relativement bien

Je dis pas le contraire, mais faut le faire, et le faire bien, et ça prend du temps.

Bah oui, peut-etre, mais OpenBSD est prévu pour ça dès le départ, un linux n'est vraiment bien sécurisé qu'avec ces choses (je ne crois pas me tromper en disant que pie/ssp est intégré de base a OpenBSD par exemple), et tout bon admin qui met en place un serveur sécurisé sous linux utilise ces choses, c'est pas du "sucre ajouté", c'est des patches très bein intégrés et d'utilisation TRÈS courant dans le domaine du serveur...

La réponse est dans la question : OpenBSD est prévu pour ça dès le départ. Y compris le support du matériel qui va avec (les cartes d'accélération cryptographique notamment, dont le support dans Linux est léger parce que ce n'est pas la préoccupation essentielle).

C'est pas tout a fait vrai : toutes les failles openSSH ont aussi affecté OpenBSD au meme titre que les autres plateformes, et si tu n'updates pas, c'est pas plus sécure que le reste, y a pas de secret, pour rester sécure, faut faire SOUVENT les updates de sécurité, une openBSD d'il y a 2-3ans est autant piratable que n'importe quel linux sans updates

Justement c'est là que tu te trompes. Les progs ne sont pas dans leur version standard, ils sont audités en permanence. Et si je prends par ton exemple des failles openSSH, je cite :
"The OpenBSD releases of OpenSSH do not contain this code and are not vulnerable." (http://www.securityfocus.com/archive/121/338617)
"The items mentioned below do not affect the OpenBSD version." (http://www.securityfocus.com/archive/121/338616)

Et c'est très fréquent de voir ce type de mention ^^. Parce que le (par exemple) apache livré avec OpenBSD a été audité largement, et tous les points à risque ont été analysés un par un et recodés. Tu verras qu'aucun service tournant sous OpenBSD n'a de strcpy strcat ou strlen dans son code. Tu verras que pour certains gros serveurs, les différences entre la version auditée et la version officielle se comptent en milliers.

Et si ce genre de choses (pie/ssp/grsec/RBAC) n'est pas intégré de base sur les linux courant, c'est parceque ça apporte d'importantes contraintes au niveau de l'administration et de l'utilisation des programmes, qui sont inutiles pour un linux courant. Il ne faut pas perdre de vue la grande polyvalence de linux

Voilà on est d'accord (enfin il manque GNU/ devant linux mais bon). J'utilise OpenBSD pour mon routeur/serveur, et je tourne sur Debian Linux pour mes autres PCs. Et si je devais recommender une BSD pour un desktop, ça serait surement Debian FreeBSD.

Godzil> bah tu dl tous les fichiers du répertoire et tu les graves sur un cd.

Godzil> bah tu dl tous les fichiers du répertoire et tu les graves sur un cd.

mais ça ne correspond pas a un official set