Sécurité: Debian vs Mandrake

Le
Yugo
Chez Debian:

L'inclusion de la gestion intégrale des méthodes avancées
d'authentification telles que Kerberos, et aussi des améliorations
additionnelles de sécurité pour les mécanismes obligatoires de
contrôle d'accès tels que SElinux, RSBAC et des protections de
débordement de tampon comme Exec-shield ou Pax est encore en
développement.

<http://www.debian.org/doc/manuals/debian-faq/debian-faq.fr.txt>

Chez Mandrake, pour la version 2008 (livrée fin 2007):

Abandonner l'utilisation de RSBAC en faveur d'AppArmor

Le mécanisme de sécurité RSBAC sera abandonné en faveur d'AppArmor.

Proposé par: Luiz Capitulino

Assigné à: la kernel team

Statut: 100% - terminé.

<http://wiki.mandriva.com/fr/Mandriva_Linux_2008_sp%C3%A9cifications_techniques#Abandonner_l.27utilisation_de_RSBAC_en_faveur_d.27AppArmor>

En d'autres mots, Debian n'a pas encore adopté ce que Mandrake a déjà
abandonné. Il sera sans doute possible de sauter des étapes mais, pour
le moment, comme je le disais, la sécurité chez Debian, quand on fait
face à ce genre de problème:

http://db.tidbits.com/article/9579

c'est une farce.
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 6
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Patrice Karatchentzeff
Le #6406091
Yugo
Chez Debian:

L'inclusion de la gestion intégrale des méthodes avancées
d'authentification telles que Kerberos,


T'as essayé ? J'ai des Debian complètement kerberisés qui fonctionnent
parfaitement.

PK

--
      |      _,,,---,,_       Patrice KARATCHENTZEFF
ZZZzz /,`.-'`'    -.  ;-;;,_   mailto:
     |,4-  ) )-,_. , (  `'-'  http://p.karatchentzeff.free.fr
    '---''(_/--'  `-'_)       

Blaise Potard
Le #6406081
Yugo wrote:

Chez Debian:

L'inclusion de la gestion intégrale des méthodes avancées
d'authentification telles que Kerberos, et aussi des améliorations
additionnelles de sécurité pour les mécanismes obligatoires de
contrôle d'accès tels que SElinux, RSBAC et des protections de
débordement de tampon comme Exec-shield ou Pax est encore en
développement.



Je me demande comment tu peux arriver à ce genre de conclusion en te basant
sur un document qui prétend être vieux de 2 ans et qui est visiblement
plein d'imprécisions (par exemple, il prétend que la dernière version de
Debian est la 3.1, et que les amd64 ne sont pas encore supportés...)

Si tu veux une information fiable sur la sécurité dans debian, plutôt que de
lire une vague FAQ pas à jour, tu vas faire un tour sur
http://www.debian.org/security/

Ou alors tu vas voir dans la liste des paquets de stables :
sepol-utils
libsepol1
paxctl
gradm2
libkrb53
...

Chez Mandrake, pour la version 2008 (livrée fin 2007):

Abandonner l'utilisation de RSBAC en faveur d'AppArmor

Le mécanisme de sécurité RSBAC sera abandonné en faveur d'AppArmor.


Et ? AppArmor est censé être plus sûr que RSBAC ? Non, c'est censé être plus
simple d'utilisation. C'est bon pour les distribs orientées noobs style
mandrake ou ubuntu, mais certainement pas pour debian, qui est un système
sérieux (et qui supporte selinux depuis belle lurette).

En d'autres mots, Debian n'a pas encore adopté ce que Mandrake a déjà
abandonné.


Mais bien sûr. Et tu sais tout ça grâce à une ligne d'une traduction
hasardeuse d'une FAQ très généraliste datant de 2006. Félicitations, tu te
surpasses !

Yugo
Le #6409071

Chez Debian:

L'inclusion de la gestion intégrale des méthodes avancées
d'authentification telles que Kerberos,


T'as essayé ? J'ai des Debian complètement kerberisés qui fonctionnent
parfaitement.


Ça, mon vieux, pas de problème. Si tu veux kerberiser, paxer, apparmorer
Debian, ça peut se faire. Un newbie y mettra six mois, mais peu
imnporte, c'est Debian. Mais c'est ce taré de Hocevar, qui, en tant que
developpeur de VLC, était parfaitement au courant de ces problèmes, qui
n'a pas souligné l'urgence de cette mise à jour.


Yugo
Le #6409061
Yugo wrote:

Chez Debian:

L'inclusion de la gestion intégrale des méthodes avancées
d'authentification telles que Kerberos, et aussi des améliorations
additionnelles de sécurité pour les mécanismes obligatoires de
contrôle d'accès tels que SElinux, RSBAC et des protections de
débordement de tampon comme Exec-shield ou Pax est encore en
développement.



Je me demande comment tu peux arriver à ce genre de conclusion en te basant
sur un document qui prétend être vieux de 2 ans et qui est visiblement
plein d'imprécisions (par exemple, il prétend que la dernière version de
Debian est la 3.1, et que les amd64 ne sont pas encore supportés...)


Tiré du document:

"Actuellement, la version `stable' est un lien symbolique vers `etch'
(c.-à-d. Debian GNU/Linux 3.1)"

À ce que je sache, Etch est toujours la version stable.

Si tu veux une information fiable sur la sécurité dans debian, plutôt que de
lire une vague FAQ pas à jour, tu vas faire un tour sur
http://www.debian.org/security/


Non, non, mais, vas-y! Tu me cites le passage où il est clairement
expliqué que lesdits paquets:

Ou alors tu vas voir dans la liste des paquets de stables :
sepol-utils
libsepol1
paxctl
gradm2
libkrb53


sont installés par défaut. Autrement, pour el newbie, la configuration
risque d'être longuette.


Chez Mandrake, pour la version 2008 (livrée fin 2007):

Abandonner l'utilisation de RSBAC en faveur d'AppArmor

Le mécanisme de sécurité RSBAC sera abandonné en faveur d'AppArmor.


Et ? AppArmor est censé être plus sûr que RSBAC ? Non, c'est censé être plus
simple d'utilisation. C'est bon pour les distribs orientées noobs style
mandrake ou ubuntu, mais certainement pas pour debian, qui est un système
sérieux (et qui supporte selinux depuis belle lurette).


Oui, oui, supporte, mais ce n'est pas installé. Pourquoi
n'installent-ils pas quelque chose, si c'est si simple? Apparmor, est
installé sur Mandrake et, à ce que j'ai pu constater, ça fonctionne fort
bien. Tu n'as même pas à te casser la tête pendant cinq minutes. Idem
pour Suse, idem pour Red Hat avec SeLinux.

Mais, vu que Debian, «est un système sérieux», rien n'est installé par
défaut. Or, Mandrake, Suse et Red Hat ont passé un temps considérable à
intégrer des mesures de sécurité. Si Debian ne l'a pas fait, ce n'est
pas parce que c'est des professionnels, c'est parce que c'est des trous
de culs dépassés qui font chier avec leur soi-disant sécurité par défaut.

Debian, par défaut, c'est une passoire.

En d'autres mots, Debian n'a pas encore adopté ce que Mandrake a déjà
abandonné.


Mais bien sûr. Et tu sais tout ça grâce à une ligne d'une traduction
hasardeuse d'une FAQ très généraliste datant de 2006. Félicitations, tu te
surpasses !


Et toi donc! On voit bien que tu ne peux fournir aucun argument.


YBM
Le #6409321
Ça, mon vieux, pas de problème. Si tu veux kerberiser, paxer, apparmorer
Debian, ça peut se faire. Un newbie y mettra six mois, mais peu
imnporte, c'est Debian.


C'est sûr ça, un newbie qui met en place Kerberos ça se voit tous les
jours...

Il y a un livre de Bruce Schneier qui parle de tes problèmes, mais comme
ils sont entre ton écran et ton clavier, je doute que tu comprennes.

Stéphane CARPENTIER
Le #6409311
YBM wrote:

C'est sûr ça, un newbie qui met en place Kerberos ça se voit tous les
jours...


Chacun s'amuse comme il veut.

Il y a un livre de Bruce Schneier qui parle de tes problèmes,


Il a aussi écrit sur la psychiatrie ?

mais comme
ils sont entre ton écran et ton clavier, je doute que tu comprennes.


Je croyais qu'ils étaient plutôt entre sa chaise et son clavier. Mais bon,
je ne le connais pas assez pour savoir comment il se positionne pour
utiliser son ordinateur.

--
Stéphane

Pour me répondre, traduire gratuit en anglais et virer le .invalid.
http://stef.carpentier.free.fr/

Blaise Potard
Le #6409301
Yugo wrote:

Je me demande comment tu peux arriver à ce genre de conclusion en te
basant sur un document qui prétend être vieux de 2 ans et qui est
visiblement plein d'imprécisions (par exemple, il prétend que la dernière
version de Debian est la 3.1, et que les amd64 ne sont pas encore
supportés...)


Tiré du document:

"Actuellement, la version `stable' est un lien symbolique vers `etch'
(c.-à-d. Debian GNU/Linux 3.1)"

À ce que je sache, Etch est toujours la version stable.


Oui, mais Etch est la version 4.0. Je ne vois pas comment un document qui ne
connaît même pas les versions de la distribution qu'il est censé décrire
peut te paraître pertinent au niveau de la politique de sécurité de la dite
distribution.

Non, non, mais, vas-y! Tu me cites le passage où il est clairement
expliqué que lesdits paquets:

Ou alors tu vas voir dans la liste des paquets de stables :
sepol-utils
libsepol1
paxctl
gradm2
libkrb53


sont installés par défaut. Autrement, pour el newbie, la configuration
risque d'être longuette.


Le newbie n'a aucun besoin de ces choses là. Dans tous les cas, pour mettre
en oeuvre ces choses là de façon efficace, la configuration est longuette ;
l'installation en elle-même prend un temps négligeable.

Oui, oui, supporte, mais ce n'est pas installé. Pourquoi
n'installent-ils pas quelque chose, si c'est si simple? Apparmor, est
installé sur Mandrake et, à ce que j'ai pu constater, ça fonctionne fort
bien. Tu n'as même pas à te casser la tête pendant cinq minutes. Idem
pour Suse, idem pour Red Hat avec SeLinux.


Et ? Ça fait autre chose que te donner un faux sentiment de sécurité ? Il me
semble que le comportement par défaut est justement de ne pas troubler le
newbie, ce qui bien sûr veut dire : 0 sécurité. Un système qui est mis par
défaut en déroute par un simple lien symbolique m'apparaît au mieux comme
une sinistre plaisanterie.

Mais, vu que Debian, «est un système sérieux», rien n'est installé par
défaut. Or, Mandrake, Suse et Red Hat ont passé un temps considérable à
intégrer des mesures de sécurité. Si Debian ne l'a pas fait, ce n'est
pas parce que c'est des professionnels, c'est parce que c'est des trous
de culs dépassés qui font chier avec leur soi-disant sécurité par défaut.


Debian, par défaut, ne suppose rien de son utilisateur. A quoi sert d'avoir
des trucs comme Apparmor sur une machine individuelle ? A rien du tout.

Debian, par défaut, c'est une passoire.


Non.

Et toi donc! On voit bien que tu ne peux fournir aucun argument.


Bon, bah explique nous a quoi te sert kerberos, apparmor et touti quanti sur
ta machine de particulier. Parce qu'à part pleurer que ces machins ne sont
pas installés par défaut sur debian, tu n'as pas fait grand chose, et ce
serait cool que tu expliques pourquoi toutes ces choses te sont aussi
indispensables.


Doug713705
Le #6409291
Le samedi 26 avril 2008 00:05, Stéphane CARPENTIER s'est exprimé de la sorte
sur fr.comp.os.linux.debats :

mais comme
ils sont entre ton écran et ton clavier, je doute que tu comprennes.


Je croyais qu'ils étaient plutôt entre sa chaise et son clavier. Mais bon,
je ne le connais pas assez pour savoir comment il se positionne pour
utiliser son ordinateur.


Dos à l'écran avec le clavier sur les genoux ou assis sur le clavier ?
Ca pourrait expliquer les problèmes rencontrés à l'installation de debian.

--
@+
Doug - Linux user #307925 - Gentoo rocks ;-)
[ Plus ou moins avec une chance de peut-être ]


Yugo
Le #6409441
Ça, mon vieux, pas de problème. Si tu veux kerberiser, paxer,
apparmorer Debian, ça peut se faire. Un newbie y mettra six mois, mais
peu imnporte, c'est Debian.


C'est sûr ça, un newbie qui met en place Kerberos ça se voit tous les
jours...


C'est justement ce que je disais, le newbie ne passera pas six mois,
mais c'est ce sur quoi les développeurs de Debian, le système nul oh
combien professionnel, semblent compter.

Il y a un livre de Bruce Schneier qui parle de tes problèmes, mais comme
ils sont entre ton écran et ton clavier, je doute que tu comprennes.


Quels problèmes? Aucun problème avec Mandriva! T'es bien sûr que tu ne
veux pas tenter de faire ce que Potty Potard n'a pu faire faute de
preuves et m'expliquer comment Etch a été sécurisé?


Yugo
Le #6409431
Yugo wrote:

Je me demande comment tu peux arriver à ce genre de conclusion en te
basant sur un document qui prétend être vieux de 2 ans et qui est
visiblement plein d'imprécisions (par exemple, il prétend que la dernière
version de Debian est la 3.1, et que les amd64 ne sont pas encore
supportés...)
Tiré du document:


"Actuellement, la version `stable' est un lien symbolique vers `etch'
(c.-à-d. Debian GNU/Linux 3.1)"

À ce que je sache, Etch est toujours la version stable.


Oui, mais Etch est la version 4.0. Je ne vois pas comment un document qui ne
connaît même pas les versions de la distribution qu'il est censé décrire
peut te paraître pertinent au niveau de la politique de sécurité de la dite
distribution.


C'est apparemment que Debian ne sait plus compter ses versions puisque
le documetn cité provient du site de Debian. Mais j'attends toujours
qu'un expert comme toi m'explique, preuves à l'appui, comment Etch est
sécurisé.

Non, non, mais, vas-y! Tu me cites le passage où il est clairement
expliqué que lesdits paquets:

Ou alors tu vas voir dans la liste des paquets de stables :
sepol-utils
libsepol1
paxctl
gradm2
libkrb53
sont installés par défaut. Autrement, pour el newbie, la configuration

risque d'être longuette.


Le newbie n'a aucun besoin de ces choses là.


Bah non, c'est sûr! Le newbie ne regarde jamais de streaming.

Dans tous les cas, pour mettre
en oeuvre ces choses là de façon efficace, la configuration est longuette ;
l'installation en elle-même prend un temps négligeable.


Merci de l'information! Comme ça, télécharger un logiciel de sécurité...
ou de mahjong, pourquoi pas, n'est pas une longue affaire! Le problème,
c'est de le configurer... ce que Debian laisse aux bons soins de chacun
de ses usagers. Se foutent comme de l'an 40 que tout le monde y perde un
temps fou, ça leur sauve les heures de développement que Red Hat, suse
et Mandriva y ont mis.

Oui, oui, supporte, mais ce n'est pas installé. Pourquoi
n'installent-ils pas quelque chose, si c'est si simple? Apparmor, est
installé sur Mandrake et, à ce que j'ai pu constater, ça fonctionne fort
bien. Tu n'as même pas à te casser la tête pendant cinq minutes. Idem
pour Suse, idem pour Red Hat avec SeLinux.


Et ? Ça fait autre chose que te donner un faux sentiment de sécurité ?


Tu veux dire qu'il vaut mieux ne mettre en place aucune mesure de
sécurité? PArce que, autrement, il est certain que si tu te pointes sur
un sité cracké, ça craind toujours. Mais comment éviter la menace. Il y
a des gens qui travaillent là-dessus, pas Debian.

Il me
semble que le comportement par défaut est justement de ne pas troubler le
newbie, ce qui bien sûr veut dire : 0 sécurité. Un système qui est mis par
défaut en déroute par un simple lien symbolique m'apparaît au mieux comme
une sinistre plaisanterie.


Mets-en! Un lein symbolique et AppArmor est foutu. (Et s'il est pas
symbolique?) N'empêche, j'ai fait 15 minutes sur le net avec Debian et
Ubuntu, une deuxième fois 2 heures avec Ubuntu après avoir créé une
partition /tmp, et là, mine rien, ça fait des semaines que je navigue
avec Mandriva. Tout d'un coup, plus aucun problème entre la chaise et le
clavier!

Quelle malchance avec Debian/Ubuntu, quelle chance avec Mandriva! Rien à
voir avec les mesures de sécurité, évidemment! Parle-moi encore des
liens symboliques!



Publicité
Poster une réponse
Anonyme