Confiner l'installation d'un binaire propriétaire

Le
Benoit B
--bcaec548aadf75953904e124ec04
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Bonjour à tous,

Existe-il un moyen de créer un environnement cloisonné(plus léger que=
la
virtualisation) pour éviter la contamination de système (debian) si je =
dois
installer un binaire propriétaire ?
Il existe aussi des binaires propriétaire en paquet debian, mais le
problème est le même

Merci d'avance.

--
Benoît

--bcaec548aadf75953904e124ec04
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

<div dir="ltr"><div><div><div>Bonjour à tous, <br><br></div>Existe-il u=
n moyen de créer un environnement cloisonné(plus léger que la virtual=
isation) pour éviter la contamination de système (debian) si je dois in=
staller un binaire propriétaire ?<br>
Il existe aussi des binaires propriétaire en paquet debian, mais le probl=
ème est le même<br><br></div>Merci d&#39;avance.<br><br>-- <br></div=
>Benoît<br><div><div>  <br></div></div></div>

--bcaec548aadf75953904e124ec04--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/CAK_7-eS4+qKQvRL9c+L9RGs_HGa==+9-ZZtLg6sDorc92Am91w@mail.gmail.com
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Erwan David
Le #25536782
On Wed, Jul 10, 2013 at 11:44:00AM CEST, admini
chroot?


mieux, jail?


jail est très utilisé en BSD. les conteneurs sont très étanches, et
possèdent leur propre stack. ca a tous les avantages de la virtu,
sans les inconvénients, notamment liés au manque de perfe. il y a des
paquets jails sous debian, mais je ne sais pas ce que ca vaut. si
c'est équivalent à son homologue BSD, c'est la soluce idéale pour
toi.



Sous linux il n'y a pas les jails, mais LXC est proche.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
admini
Le #25536792
chroot?


mieux, jail?


jail est très utilisé en BSD. les conteneurs sont très étanches, et
possèdent leur propre stack. ca a tous les avantages de la virtu, sans
les inconvénients, notamment liés au manque de perfe. il y a des paquets
jails sous debian, mais je ne sais pas ce que ca vaut. si c'est
équivalent à son homologue BSD, c'est la soluce idéale pour toi.

Le 10/07/2013 11:30, Benoit B a écrit :
Bonjour à tous,

Existe-il un moyen de créer un environnement cloisonné(plus léger que
la virtualisation) pour éviter la contamination de système (debian) si
je dois installer un binaire propriétaire ?
Il existe aussi des binaires propriétaire en paquet debian, mais le
problème est le même...

Merci d'avance.

--
Benoît




--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
stephane.gargoly
Le #25536772
Bonjour à tous les utilisateurs et développeurs de Debian :

Dans son message du 10/07/13 à 11:30, Benoit B a écrit :
Existe-il un moyen de créer un environnement cloisonné(plus l éger que la
virtualisation) pour éviter la contamination de système (debian ) si je dois installer
un binaire propriétaire ?
Il existe aussi des binaires propriétaire en paquet debian, mais le problème est le
même...



Peut-être par l'intermédiaire de chroot ? Mais, au fait, que ente nds-tu par "contamination" ? Et pourquoi dois-tu installer un binaire propr iétaire si tu crains de "contaminer" ton système GNU/Linux "pur" ? :-)

Cordialement et à bientôt,

Stéphane.



Une messagerie gratuite, garantie à vie et des services en plus, à §a vous tente ?
Je crée ma boîte mail www.laposte.net

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Belaïd MOUNSI
Le #25536752
--047d7b5db9f4c606d604e12547f3
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Il me semble que depuis peu les jails bsd existent sur la debian. J'utilise
LXC qui marche vraiment très bien
Le 10 juil. 2013 11:49, "Erwan David"
On Wed, Jul 10, 2013 at 11:44:00AM CEST, admini said:
> chroot?
>
>
> mieux, jail?
>
>
> jail est très utilisé en BSD. les conteneurs sont très étanches , et
> possèdent leur propre stack. ca a tous les avantages de la virtu,
> sans les inconvénients, notamment liés au manque de perfe. il y a d es
> paquets jails sous debian, mais je ne sais pas ce que ca vaut. si
> c'est équivalent à son homologue BSD, c'est la soluce idéale pour
> toi.

Sous linux il n'y a pas les jails, mais LXC est proche.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/





--047d7b5db9f4c606d604e12547f3
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

On Wed, Jul 10, 2013 at 11:44:00AM CEST, admini &lt; &gt; chroot?<br>
&gt;<br>
&gt;<br>
&gt; mieux, jail?<br>
&gt;<br>
&gt;<br>
&gt; jail est très utilisé en BSD. les conteneurs sont très étanche s, et<br>
&gt; possèdent leur propre stack. ca a tous les avantages de la virtu,<br >
&gt; sans les inconvénients, notamment liés au manque de perfe. il y a des<br>
&gt; paquets jails sous debian, mais je ne sais pas ce que ca vaut. si<br>
&gt; c&#39;est équivalent à son homologue BSD, c&#39;est la soluce id éale pour<br>
&gt; toi.<br>
<br>
Sous linux il n&#39;y a pas les jails, mais LXC est proche.<br>
<br>
--<br>
Lisez la FAQ de la liste avant de poser une question :<br>
<br>
Pour vous DESABONNER, envoyez un message avec comme objet &quot;unsubscribe &quot;<br>
vers En cas de soucis, contactez EN ANGLAIS Archive: <br>
</blockquote></div>

--047d7b5db9f4c606d604e12547f3--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/CAFuS2baxEOKtRo46JUNc7U6+
Klaus Becker
Le #25536762
Le mercredi 10 juillet 2013 09:49:37, Erwan David a écrit :
On Wed, Jul 10, 2013 at 11:44:00AM CEST, admini > chroot?
>
>
> mieux, jail?
>
>
> jail est très utilisé en BSD. les conteneurs sont très étanches, et
> possèdent leur propre stack. ca a tous les avantages de la virtu,
> sans les inconvénients, notamment liés au manque de perfe. il y a des
> paquets jails sous debian, mais je ne sais pas ce que ca vaut. si
> c'est équivalent à son homologue BSD, c'est la soluce idà ©ale pour
> toi.

Sous linux il n'y a pas les jails, mais LXC est proche.




Il y a makejail - création automatique d'environnements fermés d' exécution (« chroot »)

librement

Klaus

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Yves Rutschle
Le #25536732
On Wed, Jul 10, 2013 at 11:44:00AM +0200, admini wrote:
les conteneurs sont très étanches, et possèdent leur propre stack.



Leur propre stack? qu'entend-tu par là?

Y.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Benoit B
Le #25536712
--089e013cbfbed176c004e1272639
Content-Type: text/plain; charset=windows-1252
Content-Transfer-Encoding: quoted-printable

Le 10 juillet 2013 11:57,
Bonjour à tous les utilisateurs et développeurs de Debian :

Dans son message du 10/07/13 à 11:30, Benoit B a écrit :



--8<--


Peut-être par l'intermédiaire de chroot ? Mais, au fait, que entends- tu
par "contamination" ? Et pourquoi dois-tu installer un binaire propriét aire
si tu crains de "contaminer" ton système GNU/Linux "pur" ? :-)




Par contamination, j'entends d'un point de vue éthique* *je ne souhaites
pas installer des binaires qui ne respectent pas les 4 libertés
fondamentales. Sauf si c'est strictement nécessaire pour un usage limit é
dans le temps et que mon système soit facile à «nettoyer» après usage. Où
bien à plus long terme, mais parfaitement cloisonné : ne pas mélanger les
binaires propriétaires avec ceux de mon système et ne pas les installer
avec des droits qui permettrait à un code malveillant où juste maladroi t(ou
que ça ne soit tout simplement pas vérifiable) d’endommager mon syst ème ou
de le modifier sans que n'en aie le contrôle.
Pour un usage à long terme vu que je suis nul en orthographe j'utilise ça
en virtualisation(mais c'est le poids de deux session X):
http://www.druide.com/maj_linux.html
Excepté son gros défaut de ne pas respecter mes libertés, ça m'aide
beaucoup... ;-)
Je pensais aussi à Google Earth : «Vous renoncez et interdisez à tou s les
tiers (i) de copier, vendre, distribuer, transférer, modifier, adapter,
traduire, décompiler ou désassembler le Logiciel».

Merci pour vos nombreux conseils.

--
Benoît

--089e013cbfbed176c004e1272639
Content-Type: text/html; charset=windows-1252
Content-Transfer-Encoding: quoted-printable

<br>
Dans son message du 10/07/13 à 11:30, Benoit B a écrit :<br>
</div>Peut-être par l&#39;intermédiaire de chroot ? Mais, au fait, que entends-tu par &quot;contamination&quot; ? Et pourquoi dois-tu installer un binaire propriétaire si tu crains de &quot;contaminer&quot; ton systèm e GNU/Linux &quot;pur&quot; ? :-)<br>
distribuer, transférer, modifier, adapter, traduire, décompiler ou
désassembler le Logiciel». <span class="">Benoît<br></span></div><div class="gmail_extra"><span class=""> <br></span></div></div>

--089e013cbfbed176c004e1272639--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
admini
Le #25537042
Le 10/07/2013 13:27, Yves Rutschle a écrit :
On Wed, Jul 10, 2013 at 11:44:00AM +0200, admini wrote:
les conteneurs sont très étanches, et possèdent leur propre stack.


Leur propre stack? qu'entend-tu par là?

Y.



stack protocolaire.


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Yves Rutschle
Le #25537312
On Wed, Jul 10, 2013 at 03:36:42PM +0200, admini wrote:
>> les conteneurs sont très étanches, et possèdent leur propre stack.
>Leur propre stack? qu'entend-tu par là?
stack protocolaire.



TCP/IP donc?

J'imagine que chaque stack est identique, et contient donc
les mêmes vulnérabilités potentielles, du coup quel est
l'intérêt? Ou est-ce que le but n'est pas la sécurité, et
dans ce cas quel est-il?

Y.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
admini
Le #25537352
Le 10/07/2013 19:04, Yves Rutschle a écrit :
On Wed, Jul 10, 2013 at 03:36:42PM +0200, admini wrote:
les conteneurs sont très étanches, et possèdent leur propre stack.


Leur propre stack? qu'entend-tu par là?


stack protocolaire.


TCP/IP donc?

J'imagine que chaque stack est identique, et contient donc
les mêmes vulnérabilités potentielles, du coup quel est
l'intérêt? Ou est-ce que le but n'est pas la sécurité, et
dans ce cas quel est-il?

Y.



et bien, d'un point de vu sécuritaire, c'est au contraire, plus simple à
gérer. les stacks sont identiques, il faut bien sur mettre à jour tous
les jails et le serveur hébergeur. moyennant un reboot bien entendu.
mais le boulot est le même si les serveurs font tourner la même version
d'apache. en cas de découverte d'une faille, tous les serveurs apache
doivent être mis à jour.

l'autre avantage du jail au stack indépendant (c'est le cas sous BSD, et
très probablement sous debian), c'est qu'on peut firewaller, donc gérer
les politiques de sécurité de façon totalement indépendante pour chacun
des jail, flager les options du stack (QoS, Vlans, interface virtuelle
pour les SAN...) selon les besoins de chacun.

la sécurité est très précisément le but principal du jail. un jail
compromis? pas de problème, il sera le seul à l'être pour l'instant.
l'admin doit fait son boulot c'est tout.

d'ailleurs, les failles de sécurité touchant le stack de BSD .... à
part ces fameuses backdoors de FBI dans IPsec, pour peu que quelqu'un se
serve encore de ca dans le monde libre, j'en connais pas.
l'autre avantage du jail, est la perfe. sans la sur-couche de la virtue
classique, le jail est très proche du matériel, car il se sert du noyau
hébergeur pour fonctionner. les IO sont rapides comme sur le serveur
hébergeur, ainsi que pour tout le reste.


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Publicité
Poster une réponse
Anonyme