Le Sat, 05 Jun 2004 23:27:33 +0000, Xavier Roche a écrit :
http://www.grsecurity.org/
http://www.openwall.com/linux/ ?
Ce qui serait bien ça serait d'expliquer rapidement les différences entre les deux, pour ceux que ça intéresse. S'il vous plait :)
-- entia non sont multiplicanda praeter necessitatem. Guillaume d'Ockham.
Djoume SALVETTI
Le Sat, 05 Jun 2004 23:27:33 +0000, Xavier Roche a écrit :
http://www.grsecurity.org/
http://www.openwall.com/linux/ ?
Ce qui serait bien ça serait d'expliquer rapidement les différences entre les deux, pour ceux que ça intéresse. S'il vous plait :)
Rapidement je dirais que les deux sont des patchs qui améliorent la sécurité du noyau Linux, GrSecurity étant a priori plus complet (par exemple openwall ne permet pas d'attribuer de façon aléatoire les numéros de processus) et plus simple à utiliser (utilisation des modes préconfigurés).
-- Djoumé SALVETTI
Le Sat, 05 Jun 2004 23:27:33 +0000, Xavier Roche a écrit :
http://www.grsecurity.org/
http://www.openwall.com/linux/ ?
Ce qui serait bien ça serait d'expliquer rapidement les différences
entre les deux, pour ceux que ça intéresse. S'il vous plait :)
Rapidement je dirais que les deux sont des patchs qui améliorent la
sécurité du noyau Linux, GrSecurity étant a priori plus complet
(par exemple openwall ne permet pas d'attribuer de façon aléatoire les
numéros de processus) et plus simple à utiliser (utilisation des modes
préconfigurés).
Le Sat, 05 Jun 2004 23:27:33 +0000, Xavier Roche a écrit :
http://www.grsecurity.org/
http://www.openwall.com/linux/ ?
Ce qui serait bien ça serait d'expliquer rapidement les différences entre les deux, pour ceux que ça intéresse. S'il vous plait :)
Rapidement je dirais que les deux sont des patchs qui améliorent la sécurité du noyau Linux, GrSecurity étant a priori plus complet (par exemple openwall ne permet pas d'attribuer de façon aléatoire les numéros de processus) et plus simple à utiliser (utilisation des modes préconfigurés).
-- Djoumé SALVETTI
Eric Masson
"Djoume" == Djoume SALVETTI writes:
'Lut,
Djoume> Rapidement je dirais que les deux sont des patchs qui Djoume> améliorent la sécurité du noyau Linux,
Sans troller exagérément, ces patchs ne doivent pas plaire des masses au sieur Torvalds, sinon ils seraient intégrés dans les sources officiels, non ?
Dans le cas présent, la maintenance d'un patchset non officiel doit être un joyeux merdier avec les risques de bugs que cela implique, pourquoi ne pas choisir un os ou ces principes sont intégrés de base (au hasard, OpenBSD) ?
Eric Masson
-- Ol: Vivement la WWDC qu'on en apprenne plus, quand même... EL: C'est sûr, on est au fond de la mine, on voit rien, juste du charbon partout. Beurk. ;-) -+ EL in Guide du Macounet Pervers : Les Nextiens préfèrent le jaune +-
Djoume> Rapidement je dirais que les deux sont des patchs qui
Djoume> améliorent la sécurité du noyau Linux,
Sans troller exagérément, ces patchs ne doivent pas plaire des masses au
sieur Torvalds, sinon ils seraient intégrés dans les sources officiels,
non ?
Dans le cas présent, la maintenance d'un patchset non officiel doit être
un joyeux merdier avec les risques de bugs que cela implique, pourquoi
ne pas choisir un os ou ces principes sont intégrés de base (au hasard,
OpenBSD) ?
Eric Masson
--
Ol: Vivement la WWDC qu'on en apprenne plus, quand même...
EL: C'est sûr, on est au fond de la mine, on voit rien, juste du
charbon partout. Beurk. ;-)
-+ EL in Guide du Macounet Pervers : Les Nextiens préfèrent le jaune +-
Djoume> Rapidement je dirais que les deux sont des patchs qui Djoume> améliorent la sécurité du noyau Linux,
Sans troller exagérément, ces patchs ne doivent pas plaire des masses au sieur Torvalds, sinon ils seraient intégrés dans les sources officiels, non ?
Dans le cas présent, la maintenance d'un patchset non officiel doit être un joyeux merdier avec les risques de bugs que cela implique, pourquoi ne pas choisir un os ou ces principes sont intégrés de base (au hasard, OpenBSD) ?
Eric Masson
-- Ol: Vivement la WWDC qu'on en apprenne plus, quand même... EL: C'est sûr, on est au fond de la mine, on voit rien, juste du charbon partout. Beurk. ;-) -+ EL in Guide du Macounet Pervers : Les Nextiens préfèrent le jaune +-
Francois Cartegnie
Eric Razny wrote:
Comme il semble que ce soit la fin : http://www.grsecurity.org/ (à moins d'un effet d'annonce)
pour ceux qui l'utilisent, à moins qu'ils aient le temps de le maintenir, il est peut être temps de se former à LIDS ou autre... :-/
Ou il serait peut être temps que certains gros hébergeurs (suivez mon regard) financent les projets qu'ils utilisent pour faire leur beurre...
Eric Razny wrote:
Comme il semble que ce soit la fin :
http://www.grsecurity.org/
(à moins d'un effet d'annonce)
pour ceux qui l'utilisent, à moins qu'ils aient le temps de le maintenir, il
est peut être temps de se former à LIDS ou autre... :-/
Ou il serait peut être temps que certains gros hébergeurs (suivez mon
regard) financent les projets qu'ils utilisent pour faire leur beurre...
Comme il semble que ce soit la fin : http://www.grsecurity.org/ (à moins d'un effet d'annonce)
pour ceux qui l'utilisent, à moins qu'ils aient le temps de le maintenir, il est peut être temps de se former à LIDS ou autre... :-/
Ou il serait peut être temps que certains gros hébergeurs (suivez mon regard) financent les projets qu'ils utilisent pour faire leur beurre...
Xavier Roche
Eric Masson wrote:
Sans troller exagérément, ces patchs ne doivent pas plaire des masses au sieur Torvalds, sinon ils seraient intégrés dans les sources officiels, non ?
Oui et non. Il y a pas mal de problèmes d'incompatibilité avec les patchs sécurité et certaines applis. Par exemple serveur X et protection contre la pile executable de mémoire, ou encore la protection sur la mémoire partagée qui pose problème à d'autres (genre les problèmes de crash avec samba il y a de ça quelques temps).
Bref activer ces fonctionnalités "casse" certaines choses, et donc leur utilisation n'est pas totalement acceptée par tous.
Dans le cas présent, la maintenance d'un patchset non officiel doit être un joyeux merdier avec les risques de bugs que cela implique
Oui et non - grsecurity reprend pas mal de choses venant de openwall, et certaines parties du noyau ne bougent pas sans arrêt.
De plus openwall teste sérieusement ses patchs avant de les sortir - pour mémoire le patch 2.6 n'est toujours pas validé pour cette raison.
pourquoi ne pas choisir un os ou ces principes sont intégrés de base (au hasard, OpenBSD) ?
Moins "mainstream" ? Càd plus de problèmes avec les modules/drivers, compatibilité parfois plus difficile etc.
Eric Masson wrote:
Sans troller exagérément, ces patchs ne doivent pas plaire des masses au
sieur Torvalds, sinon ils seraient intégrés dans les sources officiels,
non ?
Oui et non. Il y a pas mal de problèmes d'incompatibilité avec les patchs
sécurité et certaines applis. Par exemple serveur X et protection contre
la pile executable de mémoire, ou encore la protection sur la mémoire partagée
qui pose problème à d'autres (genre les problèmes de crash avec samba il y
a de ça quelques temps).
Bref activer ces fonctionnalités "casse" certaines choses, et donc leur
utilisation n'est pas totalement acceptée par tous.
Dans le cas présent, la maintenance d'un patchset non officiel doit être
un joyeux merdier avec les risques de bugs que cela implique
Oui et non - grsecurity reprend pas mal de choses venant de openwall,
et certaines parties du noyau ne bougent pas sans arrêt.
De plus openwall teste sérieusement ses patchs avant de les sortir -
pour mémoire le patch 2.6 n'est toujours pas validé pour cette raison.
pourquoi ne pas choisir un os ou ces principes sont intégrés de base
(au hasard, OpenBSD) ?
Moins "mainstream" ? Càd plus de problèmes avec les modules/drivers,
compatibilité parfois plus difficile etc.
Sans troller exagérément, ces patchs ne doivent pas plaire des masses au sieur Torvalds, sinon ils seraient intégrés dans les sources officiels, non ?
Oui et non. Il y a pas mal de problèmes d'incompatibilité avec les patchs sécurité et certaines applis. Par exemple serveur X et protection contre la pile executable de mémoire, ou encore la protection sur la mémoire partagée qui pose problème à d'autres (genre les problèmes de crash avec samba il y a de ça quelques temps).
Bref activer ces fonctionnalités "casse" certaines choses, et donc leur utilisation n'est pas totalement acceptée par tous.
Dans le cas présent, la maintenance d'un patchset non officiel doit être un joyeux merdier avec les risques de bugs que cela implique
Oui et non - grsecurity reprend pas mal de choses venant de openwall, et certaines parties du noyau ne bougent pas sans arrêt.
De plus openwall teste sérieusement ses patchs avant de les sortir - pour mémoire le patch 2.6 n'est toujours pas validé pour cette raison.
pourquoi ne pas choisir un os ou ces principes sont intégrés de base (au hasard, OpenBSD) ?
Moins "mainstream" ? Càd plus de problèmes avec les modules/drivers, compatibilité parfois plus difficile etc.
Emmanuel Florac
Le Sun, 06 Jun 2004 15:46:36 +0000, Eric Masson a écrit :
Sans troller exagérément, ces patchs ne doivent pas plaire des masses au sieur Torvalds, sinon ils seraient intégrés dans les sources officiels, non ?
Ça paraît évident. Sans compter que le type de grsecurity a annoncé que bien que ses développements soient GPL, il refuse que quelqu'un d'autre s'en charge, bref ça ne fait pas très sérieux de planter tout le monde plutôt que de repasser le bébé...
Dans le cas présent, la maintenance d'un patchset non officiel doit être un joyeux merdier avec les risques de bugs que cela implique, pourquoi ne pas choisir un os ou ces principes sont intégrés de base (au hasard, OpenBSD) ?
OpenBSD a ses propres inconvénients. En particulier et de manière non exhaustive, il ne tourne pas sur les mêmes architectures, il ne gère pas le SMP, et il a des performances très mauvaises.
-- L'Algérie était au bord du gouffre, aujourd'hui elle a fait un grand pas en avant. Kaid Ahmed.
Le Sun, 06 Jun 2004 15:46:36 +0000, Eric Masson a écrit :
Sans troller exagérément, ces patchs ne doivent pas plaire des masses au
sieur Torvalds, sinon ils seraient intégrés dans les sources officiels,
non ?
Ça paraît évident. Sans compter que le type de grsecurity a annoncé
que bien que ses développements soient GPL, il refuse que quelqu'un
d'autre s'en charge, bref ça ne fait pas très sérieux de planter tout
le monde plutôt que de repasser le bébé...
Dans le cas présent, la maintenance d'un patchset non officiel doit être
un joyeux merdier avec les risques de bugs que cela implique, pourquoi
ne pas choisir un os ou ces principes sont intégrés de base (au hasard,
OpenBSD) ?
OpenBSD a ses propres inconvénients. En particulier et de manière non
exhaustive, il ne tourne pas sur les mêmes architectures, il ne gère pas
le SMP, et il a des performances très mauvaises.
--
L'Algérie était au bord du gouffre, aujourd'hui elle a fait un grand pas
en avant.
Kaid Ahmed.
Le Sun, 06 Jun 2004 15:46:36 +0000, Eric Masson a écrit :
Sans troller exagérément, ces patchs ne doivent pas plaire des masses au sieur Torvalds, sinon ils seraient intégrés dans les sources officiels, non ?
Ça paraît évident. Sans compter que le type de grsecurity a annoncé que bien que ses développements soient GPL, il refuse que quelqu'un d'autre s'en charge, bref ça ne fait pas très sérieux de planter tout le monde plutôt que de repasser le bébé...
Dans le cas présent, la maintenance d'un patchset non officiel doit être un joyeux merdier avec les risques de bugs que cela implique, pourquoi ne pas choisir un os ou ces principes sont intégrés de base (au hasard, OpenBSD) ?
OpenBSD a ses propres inconvénients. En particulier et de manière non exhaustive, il ne tourne pas sur les mêmes architectures, il ne gère pas le SMP, et il a des performances très mauvaises.
-- L'Algérie était au bord du gouffre, aujourd'hui elle a fait un grand pas en avant. Kaid Ahmed.
db
Eric Masson wrote:
"Djoume" == Djoume SALVETTI writes:
'Lut,
Djoume> Rapidement je dirais que les deux sont des patchs qui Djoume> améliorent la sécurité du noyau Linux,
Sans troller exagérément, ces patchs ne doivent pas plaire des masses au sieur Torvalds, sinon ils seraient intégrés dans les sources officiels, non ? Et non. La stratégie de Linux est d'offrir l'architecture de base permettant
d'implanter telle ou telle politique de sécurité au niveau du noyau et non de fournir la politique elle-même. C'est la voie Torwaldienne et c'est bien ainsi. Il y a trop d'axes possibles pour tenter d'en inclure un dans le noyau. Ainsi snare, le patch NSA, j'ne passe et des meilleurs resteront des patches.
db
Dans le cas présent, la maintenance d'un patchset non officiel doit être un joyeux merdier avec les risques de bugs que cela implique, pourquoi ne pas choisir un os ou ces principes sont intégrés de base (au hasard, OpenBSD) ?
Djoume> Rapidement je dirais que les deux sont des patchs qui
Djoume> améliorent la sécurité du noyau Linux,
Sans troller exagérément, ces patchs ne doivent pas plaire des masses au
sieur Torvalds, sinon ils seraient intégrés dans les sources officiels,
non ?
Et non. La stratégie de Linux est d'offrir l'architecture de base permettant
d'implanter telle ou telle politique de sécurité au niveau du noyau et non
de fournir la politique elle-même. C'est la voie Torwaldienne et c'est bien
ainsi. Il y a trop d'axes possibles pour tenter d'en inclure un dans le
noyau.
Ainsi snare, le patch NSA, j'ne passe et des meilleurs resteront des
patches.
db
Dans le cas présent, la maintenance d'un patchset non officiel doit être
un joyeux merdier avec les risques de bugs que cela implique, pourquoi
ne pas choisir un os ou ces principes sont intégrés de base (au hasard,
OpenBSD) ?
Djoume> Rapidement je dirais que les deux sont des patchs qui Djoume> améliorent la sécurité du noyau Linux,
Sans troller exagérément, ces patchs ne doivent pas plaire des masses au sieur Torvalds, sinon ils seraient intégrés dans les sources officiels, non ? Et non. La stratégie de Linux est d'offrir l'architecture de base permettant
d'implanter telle ou telle politique de sécurité au niveau du noyau et non de fournir la politique elle-même. C'est la voie Torwaldienne et c'est bien ainsi. Il y a trop d'axes possibles pour tenter d'en inclure un dans le noyau. Ainsi snare, le patch NSA, j'ne passe et des meilleurs resteront des patches.
db
Dans le cas présent, la maintenance d'un patchset non officiel doit être un joyeux merdier avec les risques de bugs que cela implique, pourquoi ne pas choisir un os ou ces principes sont intégrés de base (au hasard, OpenBSD) ?
Eric Masson
-- email : usenet blas net
Xavier Roche
Emmanuel Florac wrote:
que bien que ses développements soient GPL, il refuse que quelqu'un d'autre s'en charge
Son refus n'a aucune valeur, au passage, étant donné la license.
Emmanuel Florac wrote:
que bien que ses développements soient GPL, il refuse que quelqu'un
d'autre s'en charge
Son refus n'a aucune valeur, au passage, étant donné la license.
que bien que ses développements soient GPL, il refuse que quelqu'un d'autre s'en charge
Son refus n'a aucune valeur, au passage, étant donné la license.
Djoume SALVETTI
Djoume> Rapidement je dirais que les deux sont des patchs qui Djoume> améliorent la sécurité du noyau Linux,
Sans troller exagérément, ces patchs ne doivent pas plaire des masses au sieur Torvalds, sinon ils seraient intégrés dans les sources officiels, non ?
Ouaip, Linus a préfèré les LSM (Linux Security Modules) pour sécuriser le noyau (cf selinux).
Dans le cas présent, la maintenance d'un patchset non officiel doit être un joyeux merdier avec les risques de bugs que cela implique, pourquoi ne pas choisir un os ou ces principes sont intégrés de base (au hasard, OpenBSD) ?
Jusque la les développeurs de GrSecurity s'en sont plutôt bien sorti pour maintenir leur patchs.
Quand au choix d'OpenBSD, les problèmes sont alors la lenteur [1], la portabilité et surtout le manque de ports.
Mais bon, comme d'hab, OpenBSD, GrSecurity, selinux, Windows, peu importe, l'important c'est de bien connaitre son système et de connaitre ses points faibles en termes de sécurité.
[1] Bon d'accord c'était juste pour troller celui la ;-) -- Djoumé SALVETTI
Djoume> Rapidement je dirais que les deux sont des patchs qui
Djoume> améliorent la sécurité du noyau Linux,
Sans troller exagérément, ces patchs ne doivent pas plaire des masses au
sieur Torvalds, sinon ils seraient intégrés dans les sources officiels,
non ?
Ouaip, Linus a préfèré les LSM (Linux Security Modules) pour sécuriser
le noyau (cf selinux).
Dans le cas présent, la maintenance d'un patchset non officiel doit être
un joyeux merdier avec les risques de bugs que cela implique, pourquoi
ne pas choisir un os ou ces principes sont intégrés de base (au hasard,
OpenBSD) ?
Jusque la les développeurs de GrSecurity s'en sont plutôt bien sorti
pour maintenir leur patchs.
Quand au choix d'OpenBSD, les problèmes sont alors la lenteur [1], la
portabilité et surtout le manque de ports.
Mais bon, comme d'hab, OpenBSD, GrSecurity, selinux, Windows, peu
importe, l'important c'est de bien connaitre son système et de connaitre
ses points faibles en termes de sécurité.
[1] Bon d'accord c'était juste pour troller celui la ;-)
--
Djoumé SALVETTI
Djoume> Rapidement je dirais que les deux sont des patchs qui Djoume> améliorent la sécurité du noyau Linux,
Sans troller exagérément, ces patchs ne doivent pas plaire des masses au sieur Torvalds, sinon ils seraient intégrés dans les sources officiels, non ?
Ouaip, Linus a préfèré les LSM (Linux Security Modules) pour sécuriser le noyau (cf selinux).
Dans le cas présent, la maintenance d'un patchset non officiel doit être un joyeux merdier avec les risques de bugs que cela implique, pourquoi ne pas choisir un os ou ces principes sont intégrés de base (au hasard, OpenBSD) ?
Jusque la les développeurs de GrSecurity s'en sont plutôt bien sorti pour maintenir leur patchs.
Quand au choix d'OpenBSD, les problèmes sont alors la lenteur [1], la portabilité et surtout le manque de ports.
Mais bon, comme d'hab, OpenBSD, GrSecurity, selinux, Windows, peu importe, l'important c'est de bien connaitre son système et de connaitre ses points faibles en termes de sécurité.
[1] Bon d'accord c'était juste pour troller celui la ;-) -- Djoumé SALVETTI
