stratégie de maj noyau
Le
Christophe PEREZ
Bonjour,
Sur un serveur dédié (chez un hébergeur), principalement Web (http, ftp
etc), l'hébergeur m'a fourni la machine avec un noyau :
uname -a
Linux se100 2.6.11.7 #1 SMP Thu Apr 14 16:28:00 AST 2005 i686 Intel(R) Celeron(R) CPU 2.40GHz GenuineIntel GNU/Linux
(le 2.6.11.7 n'était pas dans portage à ce moment là)
J'ai ensuite poursuivi mon install de gentoo normalement, à distance.
Par contre, aucun noyau n'est dans mes packages installés, et donc, les
emerge -Dauv world ne me le mettront jamais à jour.
Aussi, j'ai plusieurs questions, dont une très basique.
Déjà, le SMP indiqué, est-ce juste une option de compilation ou est-ce
un noyau spécifique ? Car je voudrai maintenant prendre dans portage le
noyau le plus proche de celui-ci, sans toutefois savoir ce qui a été
installé.
Ensuite, quand j'en saurai plus sur ce noyau, je pourrai faire un emerge
vanilla-sources du noyau à jour dans portage, mais, ensuite, au niveau
des mises à jour, comment gérer ça ?
Je veux dire par là que je ne souhaite surtout pas rebooter cette machine
à chaque fois qu'un nouveau noyau sort, alors comment faire malgré tout
pour avoir quelque chose de sécurisé ?
J'avoue que je nage un peu dans tout ça (pas dans la compilation de noyau
elle même) et que je cherche à mettre en place la meilleure stratégie
avec le meilleur compromis sécurité noyau / reboot nécessaire.
Merci d'avance pour l'expérience que vous m'apporterez.
--
Christophe PEREZ
Écrivez moi sans _faute !
Sur un serveur dédié (chez un hébergeur), principalement Web (http, ftp
etc), l'hébergeur m'a fourni la machine avec un noyau :
uname -a
Linux se100 2.6.11.7 #1 SMP Thu Apr 14 16:28:00 AST 2005 i686 Intel(R) Celeron(R) CPU 2.40GHz GenuineIntel GNU/Linux
(le 2.6.11.7 n'était pas dans portage à ce moment là)
J'ai ensuite poursuivi mon install de gentoo normalement, à distance.
Par contre, aucun noyau n'est dans mes packages installés, et donc, les
emerge -Dauv world ne me le mettront jamais à jour.
Aussi, j'ai plusieurs questions, dont une très basique.
Déjà, le SMP indiqué, est-ce juste une option de compilation ou est-ce
un noyau spécifique ? Car je voudrai maintenant prendre dans portage le
noyau le plus proche de celui-ci, sans toutefois savoir ce qui a été
installé.
Ensuite, quand j'en saurai plus sur ce noyau, je pourrai faire un emerge
vanilla-sources du noyau à jour dans portage, mais, ensuite, au niveau
des mises à jour, comment gérer ça ?
Je veux dire par là que je ne souhaite surtout pas rebooter cette machine
à chaque fois qu'un nouveau noyau sort, alors comment faire malgré tout
pour avoir quelque chose de sécurisé ?
J'avoue que je nage un peu dans tout ça (pas dans la compilation de noyau
elle même) et que je cherche à mettre en place la meilleure stratégie
avec le meilleur compromis sécurité noyau / reboot nécessaire.
Merci d'avance pour l'expérience que vous m'apporterez.
--
Christophe PEREZ
Écrivez moi sans _faute !
Poser une question
Bonjour,
Option de compilation
Car je voudrai maintenant prendre dans portage le
examiner les changelog et les avis de sécurités par exemple sur
http://www.frsirt.com. par rapport aux vulnérabilités auquel ton systéme
est sensible.
Desolé, il n'y a pas de solution magique.
Mais s'il n'y a pas de nouveau noyau dans gentoo c'est que peut-etre il
est securitsé.
De rien.
Sur un serveur, je préconiserai de mettre une Gentoo hardened.
Il y aura ainsi moins d'update à faire ;-)
Et plein d'options pour sécuriser le kernel...
[...]
Ah, justement, je ne sais même pas à quoi correspond un hardened.
Concrètement, qu'est-ce que cela veut dire dans mon cas ?
Vais-je tomber sur des options de configurations nouvelles ?
auquel cas, ça sera un grand risque pour moi de rebooter sous un tel
noyau.
Hum ! Pour moi, c'est plus inquiétant que rassurant ça...
--
Christophe PEREZ
Écrivez moi sans _faute !
Ok, donc si je prends un vanilla-sources, et que j'utilise le config avec
un make oldconfig, je devrais retomber sur le même noyau, non ?
Ah ouais, effectivement, lourd...
Ce n'est pas ça, je n'ai pas du m'expliquer correctement, mais il ne me
semble pas que ce soit un noyau gentoo.
Je ne sais pas du tout d'où ils l'ont sorti ce noyau.
Du coup, je ne sais pas avec quoi le mettre à jour. Je veux dire, quel
noyau prendre pour en être au plus proche mais à jour.
--
Christophe PEREZ
Écrivez moi sans _faute !
Il ne faut pas croire celà !
La version hardened de Gentoo, c'est la version sécurisée.
Quand je dis qu'il y a moins d'updates, c'est que n'arrive dans cette
version, en principe, que des packages qui sont blindés au niveau
sécurité.
Par exemple, gcc rajoute des stubs pour éviter l'execution de code dans
la pile ou certains débordements. Idem pour la glibc.
Les packages sont donc en principe mis à jour qu'après avoir été bien
testé et patchés dans la Gentoo "normale".
Dans le noyau, il y a un packets d'options en plus liées à la sécurité.
Il est ainsi possible de définir une politique de sécurité précise.
Des exemples en vrac: rendre les pid et les file-descriptor random pour
rendre la tache des rootkit plus difficile, on peut empecher certains
programmes de faire certaines choses sur les sockets, empêcher un
utilisateur d'avoir des informations sur les processes des autres,...
En cas de doute, en n'activant pas ces options, le noyau est, dans le pire
des cas, similaire à un noyau "classique". En activant judicieusement
certaines de ces options, on peut obtenir quelque chose d'assez blindé...