Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Confiner l'installation d'un binaire propriétaire

11 réponses
Avatar
Benoit B
--bcaec548aadf75953904e124ec04
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Bonjour =E0 tous,

Existe-il un moyen de cr=E9er un environnement cloisonn=E9(plus l=E9ger que=
la
virtualisation) pour =E9viter la contamination de syst=E8me (debian) si je =
dois
installer un binaire propri=E9taire ?
Il existe aussi des binaires propri=E9taire en paquet debian, mais le
probl=E8me est le m=EAme...

Merci d'avance.

--=20
Beno=EEt

--bcaec548aadf75953904e124ec04
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

<div dir=3D"ltr"><div><div><div>Bonjour =E0 tous, <br><br></div>Existe-il u=
n moyen de cr=E9er un environnement cloisonn=E9(plus l=E9ger que la virtual=
isation) pour =E9viter la contamination de syst=E8me (debian) si je dois in=
staller un binaire propri=E9taire ?<br>
Il existe aussi des binaires propri=E9taire en paquet debian, mais le probl=
=E8me est le m=EAme...<br><br></div>Merci d&#39;avance.<br><br>-- <br></div=
>Beno=EEt<br><div><div>=A0 <br></div></div></div>

--bcaec548aadf75953904e124ec04--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/CAK_7-eS4+qKQvRL9c+L9RGs_HGa==+9-ZZtLg6sDorc92Am91w@mail.gmail.com

10 réponses

1 2
Avatar
Erwan David
On Wed, Jul 10, 2013 at 11:44:00AM CEST, admini said:
chroot?


mieux, jail?


jail est très utilisé en BSD. les conteneurs sont très étanches, et
possèdent leur propre stack. ca a tous les avantages de la virtu,
sans les inconvénients, notamment liés au manque de perfe. il y a des
paquets jails sous debian, mais je ne sais pas ce que ca vaut. si
c'est équivalent à son homologue BSD, c'est la soluce idéale pour
toi.



Sous linux il n'y a pas les jails, mais LXC est proche.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
admini
chroot?


mieux, jail?


jail est très utilisé en BSD. les conteneurs sont très étanches, et
possèdent leur propre stack. ca a tous les avantages de la virtu, sans
les inconvénients, notamment liés au manque de perfe. il y a des paquets
jails sous debian, mais je ne sais pas ce que ca vaut. si c'est
équivalent à son homologue BSD, c'est la soluce idéale pour toi.

Le 10/07/2013 11:30, Benoit B a écrit :
Bonjour à tous,

Existe-il un moyen de créer un environnement cloisonné(plus léger que
la virtualisation) pour éviter la contamination de système (debian) si
je dois installer un binaire propriétaire ?
Il existe aussi des binaires propriétaire en paquet debian, mais le
problème est le même...

Merci d'avance.

--
Benoît




--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
stephane.gargoly
Bonjour à tous les utilisateurs et développeurs de Debian :

Dans son message du 10/07/13 à 11:30, Benoit B a écrit :
Existe-il un moyen de créer un environnement cloisonné(plus l éger que la
virtualisation) pour éviter la contamination de système (debian ) si je dois installer
un binaire propriétaire ?
Il existe aussi des binaires propriétaire en paquet debian, mais le problème est le
même...



Peut-être par l'intermédiaire de chroot ? Mais, au fait, que ente nds-tu par "contamination" ? Et pourquoi dois-tu installer un binaire propr iétaire si tu crains de "contaminer" ton système GNU/Linux "pur" ? :-)

Cordialement et à bientôt,

Stéphane.



Une messagerie gratuite, garantie à vie et des services en plus, à §a vous tente ?
Je crée ma boîte mail www.laposte.net

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
Belaïd MOUNSI
--047d7b5db9f4c606d604e12547f3
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Il me semble que depuis peu les jails bsd existent sur la debian. J'utilise
LXC qui marche vraiment très bien
Le 10 juil. 2013 11:49, "Erwan David" a écrit :

On Wed, Jul 10, 2013 at 11:44:00AM CEST, admini
said:
> chroot?
>
>
> mieux, jail?
>
>
> jail est très utilisé en BSD. les conteneurs sont très étanches , et
> possèdent leur propre stack. ca a tous les avantages de la virtu,
> sans les inconvénients, notamment liés au manque de perfe. il y a d es
> paquets jails sous debian, mais je ne sais pas ce que ca vaut. si
> c'est équivalent à son homologue BSD, c'est la soluce idéale pour
> toi.

Sous linux il n'y a pas les jails, mais LXC est proche.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://lists.debian.org/" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://lists.debian.org/" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://lists.debian.org/





--047d7b5db9f4c606d604e12547f3
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

<p dir="ltr">Il me semble que depuis peu les jails bsd existent sur la de bian. J&#39;utilise LXC qui marche vraiment très bien</p>
<div class="gmail_quote">Le 10 juil. 2013 11:49, &quot;Erwan David&quot; &lt;<a href="mailto:"></a>&gt; a écri t :<br type="attribution"><blockquote class="gmail_quote" style="ma rgin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
On Wed, Jul 10, 2013 at 11:44:00AM CEST, admini &lt;<a href="mailto:admin "></a>&gt; said:<br>
&gt; chroot?<br>
&gt;<br>
&gt;<br>
&gt; mieux, jail?<br>
&gt;<br>
&gt;<br>
&gt; jail est très utilisé en BSD. les conteneurs sont très étanche s, et<br>
&gt; possèdent leur propre stack. ca a tous les avantages de la virtu,<br >
&gt; sans les inconvénients, notamment liés au manque de perfe. il y a des<br>
&gt; paquets jails sous debian, mais je ne sais pas ce que ca vaut. si<br>
&gt; c&#39;est équivalent à son homologue BSD, c&#39;est la soluce id éale pour<br>
&gt; toi.<br>
<br>
Sous linux il n&#39;y a pas les jails, mais LXC est proche.<br>
<br>
--<br>
Lisez la FAQ de la liste avant de poser une question :<br>
<a href="http://wiki.debian.org/fr/FrenchLists" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://wiki.debian.org/fr/FrenchLists" target="_blank">http:// wiki.debian.org/fr/FrenchLists</a><br>
<br>
Pour vous DESABONNER, envoyez un message avec comme objet &quot;unsubscribe &quot;<br>
vers <a href="mailto:">debian- </a><br>
En cas de soucis, contactez EN ANGLAIS <a href="mailto: ebian.org"></a><br>
Archive: <a href="http://lists.debian.org/" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://lists.debian.org/" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://lists.debian.org/" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://lists.debian.org/ org" target="_blank">http://lists.debian.org/" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://lists.debian.org/" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://lists.debian.org/" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://lists.debian.org/ eu.org</a><br>
<br>
</blockquote></div>

--047d7b5db9f4c606d604e12547f3--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://lists.debian.org/" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://lists.debian.org/" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://lists.debian.org/CAFuS2baxEOKtRo46JUNc7U6+
Avatar
Klaus Becker
Le mercredi 10 juillet 2013 09:49:37, Erwan David a écrit :
On Wed, Jul 10, 2013 at 11:44:00AM CEST, admini sa id:
> chroot?
>
>
> mieux, jail?
>
>
> jail est très utilisé en BSD. les conteneurs sont très étanches, et
> possèdent leur propre stack. ca a tous les avantages de la virtu,
> sans les inconvénients, notamment liés au manque de perfe. il y a des
> paquets jails sous debian, mais je ne sais pas ce que ca vaut. si
> c'est équivalent à son homologue BSD, c'est la soluce idà ©ale pour
> toi.

Sous linux il n'y a pas les jails, mais LXC est proche.




Il y a makejail - création automatique d'environnements fermés d' exécution (« chroot »)

librement

Klaus

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
Yves Rutschle
On Wed, Jul 10, 2013 at 11:44:00AM +0200, admini wrote:
les conteneurs sont très étanches, et possèdent leur propre stack.



Leur propre stack? qu'entend-tu par là?

Y.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
Benoit B
--089e013cbfbed176c004e1272639
Content-Type: text/plain; charset=windows-1252
Content-Transfer-Encoding: quoted-printable

Le 10 juillet 2013 11:57, a écrit :

Bonjour à tous les utilisateurs et développeurs de Debian :

Dans son message du 10/07/13 à 11:30, Benoit B a écrit :



--8<--


Peut-être par l'intermédiaire de chroot ? Mais, au fait, que entends- tu
par "contamination" ? Et pourquoi dois-tu installer un binaire propriét aire
si tu crains de "contaminer" ton système GNU/Linux "pur" ? :-)




Par contamination, j'entends d'un point de vue éthique* *je ne souhaites
pas installer des binaires qui ne respectent pas les 4 libertés
fondamentales. Sauf si c'est strictement nécessaire pour un usage limit é
dans le temps et que mon système soit facile à «nettoyer» après usage. Où
bien à plus long terme, mais parfaitement cloisonné : ne pas mélanger les
binaires propriétaires avec ceux de mon système et ne pas les installer
avec des droits qui permettrait à un code malveillant où juste maladroi t(ou
que ça ne soit tout simplement pas vérifiable) d’endommager mon syst ème ou
de le modifier sans que n'en aie le contrôle.
Pour un usage à long terme vu que je suis nul en orthographe j'utilise ça
en virtualisation(mais c'est le poids de deux session X):
http://www.druide.com/maj_linux.html" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.druide.com/maj_linux.html
Excepté son gros défaut de ne pas respecter mes libertés, ça m'aide
beaucoup... ;-)
Je pensais aussi à Google Earth : «Vous renoncez et interdisez à tou s les
tiers (i) de copier, vendre, distribuer, transférer, modifier, adapter,
traduire, décompiler ou désassembler le Logiciel».

Merci pour vos nombreux conseils.

--
Benoît

--089e013cbfbed176c004e1272639
Content-Type: text/html; charset=windows-1252
Content-Transfer-Encoding: quoted-printable

<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">Le 1 0 juillet 2013 11:57, <span dir="ltr">&lt;<a href="mailto:stephane.gar " target="_blank"></a>&gt;</s pan> a écrit :<br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border- left:1px solid rgb(204,204,204);padding-left:1ex">Bonjour à tous les util isateurs et développeurs de Debian :<br>
<br>
Dans son message du 10/07/13 à 11:30, Benoit B a écrit :<br>
</blockquote><div>--8&lt;--<br> </div><blockquote class="gmail_quote" s tyle="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);pad ding-left:1ex"><div class="im">
</div>Peut-être par l&#39;intermédiaire de chroot ? Mais, au fait, que entends-tu par &quot;contamination&quot; ? Et pourquoi dois-tu installer un binaire propriétaire si tu crains de &quot;contaminer&quot; ton systèm e GNU/Linux &quot;pur&quot; ? :-)<br>
</blockquote><br></div>Par contamination, j&#39;entends d&#39;un point de v ue <span class="">éthique<em> </em>je ne souhaites pas installer des bi naires qui ne respectent pas les 4 libertés fondamentales. Sauf si c&#39; est strictement nécessaire pour un usage limité dans le temps et que mo n système soit facile à «nettoyer»  après usage. Où bien à plus long terme, mais parfaitement cloisonné : ne pas mélanger les bina ires propriétaires avec ceux de mon système et ne pas les installer ave c des droits qui permettrait à un code malveillant où juste maladroit(o u que ça ne soit tout simplement pas vérifiable) d’endommager mon sys tème ou de le modifier sans que n&#39;en aie le contrôle. <br>
</span></div><div class="gmail_extra"><span class="">Pour un usage à long terme vu que je suis nul en orthographe j&#39;utilise ça en virtuali sation(mais c&#39;est le poids de deux session X):<br><a href="http://www .druide.com/maj_linux.html">http://www.druide.com/maj_linux.html" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://www.druide.com/maj_linux.html</a><br>
</span></div><div class="gmail_extra"><span class="">Excepté son gros défaut de ne pas respecter mes libertés, ça m&#39;aide beaucoup... ; -)<br></span></div><div class="gmail_extra"><span class="">Je pensais a ussi à  </span><span class="">Google Earth : «</span><span class= "">Vous renoncez et interdisez à tous les tiers (i) de copier, vendre,
distribuer, transférer, modifier, adapter, traduire, décompiler ou
désassembler le Logiciel». <br><br></span></div><div class="gmail_ext ra"><span class="">Merci pour vos nombreux conseils.<br></span></div><div class="gmail_extra"><span class=""><br>-- <br></span></div><div class ="gmail_extra">
<span class="">Benoît<br></span></div><div class="gmail_extra"><span class=""> <br></span></div></div>

--089e013cbfbed176c004e1272639--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
admini
Le 10/07/2013 13:27, Yves Rutschle a écrit :
On Wed, Jul 10, 2013 at 11:44:00AM +0200, admini wrote:
les conteneurs sont très étanches, et possèdent leur propre stack.


Leur propre stack? qu'entend-tu par là?

Y.



stack protocolaire.


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
Yves Rutschle
On Wed, Jul 10, 2013 at 03:36:42PM +0200, admini wrote:
>> les conteneurs sont très étanches, et possèdent leur propre stack.
>Leur propre stack? qu'entend-tu par là?
stack protocolaire.



TCP/IP donc?

J'imagine que chaque stack est identique, et contient donc
les mêmes vulnérabilités potentielles, du coup quel est
l'intérêt? Ou est-ce que le but n'est pas la sécurité, et
dans ce cas quel est-il?

Y.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
admini
Le 10/07/2013 19:04, Yves Rutschle a écrit :
On Wed, Jul 10, 2013 at 03:36:42PM +0200, admini wrote:
les conteneurs sont très étanches, et possèdent leur propre stack.


Leur propre stack? qu'entend-tu par là?


stack protocolaire.


TCP/IP donc?

J'imagine que chaque stack est identique, et contient donc
les mêmes vulnérabilités potentielles, du coup quel est
l'intérêt? Ou est-ce que le but n'est pas la sécurité, et
dans ce cas quel est-il?

Y.



et bien, d'un point de vu sécuritaire, c'est au contraire, plus simple à
gérer. les stacks sont identiques, il faut bien sur mettre à jour tous
les jails et le serveur hébergeur. moyennant un reboot bien entendu.
mais le boulot est le même si les serveurs font tourner la même version
d'apache. en cas de découverte d'une faille, tous les serveurs apache
doivent être mis à jour.

l'autre avantage du jail au stack indépendant (c'est le cas sous BSD, et
très probablement sous debian), c'est qu'on peut firewaller, donc gérer
les politiques de sécurité de façon totalement indépendante pour chacun
des jail, flager les options du stack (QoS, Vlans, interface virtuelle
pour les SAN...) selon les besoins de chacun.

la sécurité est très précisément le but principal du jail. un jail
compromis? pas de problème, il sera le seul à l'être pour l'instant.
l'admin doit fait son boulot c'est tout.

d'ailleurs, les failles de sécurité touchant le stack de BSD .... à
part ces fameuses backdoors de FBI dans IPsec, pour peu que quelqu'un se
serve encore de ca dans le monde libre, j'en connais pas.
l'autre avantage du jail, est la perfe. sans la sur-couche de la virtue
classique, le jail est très proche du matériel, car il se sert du noyau
hébergeur pour fonctionner. les IO sont rapides comme sur le serveur
hébergeur, ainsi que pour tout le reste.


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
1 2