Est-ce qu'il y en a beacuoup qui utilisent les patches de sécurité
aditionels comme grsec ou Selinux?
Lequel des projets est à conseiller maintenant? Le critère étant
l'activité du projet, parcequ'un projet de "sécurité" qui a des
fréquences de mise à jour trop faible, ça rassure pas...
Si mon raisonnement est bon, normalement, on ne devrait patcher avec ces
trucs _que_ les noyaux issus de kernel.org (et ses miroirs), parceque je
ne vois pas trop la fiabilité de patcher un kernel qui est déjà
modifié par une distribution (c'est le cas des kernels de Fedora, Debian
et Mandriva au moins)
Pour debian il y a bien ceci:
http://www.golden-gryphon.com/software/security/selinux.xhtml
Mais bon... moi je suis déjà en Sarge sur des serveurs relativement
chargés... et je veux pas trop m'aventurer dans des trucs "non-officiels"
à la distribution.
La Fedora intègre déjà Selinux par défaut, si j'en crois les messages
de boot de ma machine personnelle (je ne vois pas ceux du serveur qui est
en datacenter...).
Si il faut faire suivre sur fcold, je veux bien....
--
Mirroir de logiciels libres http://www.etud-orleans.fr
Développement de logiciels libres http://aspo.rktmb.org/activites/developpement
Infogerance de serveur dédié http://aspo.rktmb.org/activites/infogerance
(En louant les services de l'ASPO vous luttez contre la fracture numerique)
La Fedora intègre déjà Selinux par défaut, si j'en crois les messages de boot de ma machine personnelle
De mémoire : FC2 => SELinux, mais désactivé par défaut, FC3 => SELinux, activé par défaut.
(je ne vois pas ceux du serveur qui est en datacenter...).
Même en faisant "dmesg" ?
-- Matthieu
Samuel
Bonjour,
[...]
Si mon raisonnement est bon, normalement, on ne devrait patcher avec ces trucs _que_ les noyaux issus de kernel.org (et ses miroirs), parceque je ne vois pas trop la fiabilité de patcher un kernel qui est déjà modifié par une distribution (c'est le cas des kernels de Fedora, Debian et Mandriva au moins)
[...]
De plus pour grsec, le kernel doit être *frais* (Makefile non modifé donc kernel non compilé). Grsec est assez simple de mise en place, par contre j'ai pas encore attaqué les ACL qui sont assez complèxes (pour moi).
Samuel.
Bonjour,
[...]
Si mon raisonnement est bon, normalement, on ne devrait patcher avec ces
trucs _que_ les noyaux issus de kernel.org (et ses miroirs), parceque je
ne vois pas trop la fiabilité de patcher un kernel qui est déjà
modifié par une distribution (c'est le cas des kernels de Fedora, Debian
et Mandriva au moins)
[...]
De plus pour grsec, le kernel doit être *frais* (Makefile non modifé
donc kernel non compilé).
Grsec est assez simple de mise en place, par contre j'ai pas encore
attaqué les ACL qui sont assez complèxes (pour moi).
Si mon raisonnement est bon, normalement, on ne devrait patcher avec ces trucs _que_ les noyaux issus de kernel.org (et ses miroirs), parceque je ne vois pas trop la fiabilité de patcher un kernel qui est déjà modifié par une distribution (c'est le cas des kernels de Fedora, Debian et Mandriva au moins)
[...]
De plus pour grsec, le kernel doit être *frais* (Makefile non modifé donc kernel non compilé). Grsec est assez simple de mise en place, par contre j'ai pas encore attaqué les ACL qui sont assez complèxes (pour moi).
Samuel.
TiChou
Dans le message <news:, *Rakotomandimby (R12y) Mihamina* tapota sur f.c.o.l.configuration :
Bonjour
Salut,
Est-ce qu'il y en a beacuoup qui utilisent les patches de sécurité aditionels comme grsec ou Selinux?
J'utilise depuis longtemps grsec sur toutes mes machines Linux. Je m'étonne encore aujourd'hui que la plupart des fonctionnalités apportées par grsec ne soient pas d'origine intégrées aux noyaux alors qu'elles me paraissent essentielles et indispensables.
Lequel des projets est à conseiller maintenant? Le critère étant l'activité du projet, parcequ'un projet de "sécurité" qui a des fréquences de mise à jour trop faible, ça rassure pas...
Pourquoi veux-tu qu'il y ait des mises à jour fréquentes ? Quand un projet est bien aboutit et qu'il a été testé suffisement, il n'y a pas de raison qu'il évolue si ce n'est pour ajouter des nouvelles fonctionnalités, mais ce n'est pas ce qu'on demande à ce genre de patche. Si je prends l'exemple de qmail, la dernière fois qu'il a été mis à jour ça remonte à 1998 et il reste malgré tout très secure, peut être le plus secure dans sa catégorie.
Si mon raisonnement est bon, normalement, on ne devrait patcher avec ces trucs _que_ les noyaux issus de kernel.org (et ses miroirs), parceque je ne vois pas trop la fiabilité de patcher un kernel qui est déjà modifié par une distribution (c'est le cas des kernels de Fedora, Debian et Mandriva au moins)
grsec apporte surtout des fonctionnalités qui générallement n'interférent pas avec les autres fonctionnalités qui pourraient être ajoutées aux noyaux. Il n'y a donc pas trop de difficulté à patcher un noyau avec grsec même si ce noyau est déjà patché avec d'autres choses.
Pour debian il y a bien ceci: http://www.golden-gryphon.com/software/security/selinux.xhtml
Mais bon... moi je suis déjà en Sarge sur des serveurs relativement chargés... et je veux pas trop m'aventurer dans des trucs "non-officiels" à la distribution.
Il y a des distributions Linux qui proposent un grand choix de différents noyaux. :)
-- TiChou
Dans le message <news:pan.2005.06.02.03.29.16.368294@etu.univ-orleans.fr>,
*Rakotomandimby (R12y) Mihamina* tapota sur f.c.o.l.configuration :
Bonjour
Salut,
Est-ce qu'il y en a beacuoup qui utilisent les patches de sécurité
aditionels comme grsec ou Selinux?
J'utilise depuis longtemps grsec sur toutes mes machines Linux. Je m'étonne
encore aujourd'hui que la plupart des fonctionnalités apportées par grsec ne
soient pas d'origine intégrées aux noyaux alors qu'elles me paraissent
essentielles et indispensables.
Lequel des projets est à conseiller maintenant? Le critère étant
l'activité du projet, parcequ'un projet de "sécurité" qui a des
fréquences de mise à jour trop faible, ça rassure pas...
Pourquoi veux-tu qu'il y ait des mises à jour fréquentes ? Quand un projet
est bien aboutit et qu'il a été testé suffisement, il n'y a pas de raison
qu'il évolue si ce n'est pour ajouter des nouvelles fonctionnalités, mais ce
n'est pas ce qu'on demande à ce genre de patche.
Si je prends l'exemple de qmail, la dernière fois qu'il a été mis à jour ça
remonte à 1998 et il reste malgré tout très secure, peut être le plus secure
dans sa catégorie.
Si mon raisonnement est bon, normalement, on ne devrait patcher avec ces
trucs _que_ les noyaux issus de kernel.org (et ses miroirs), parceque je
ne vois pas trop la fiabilité de patcher un kernel qui est déjà
modifié par une distribution (c'est le cas des kernels de Fedora, Debian
et Mandriva au moins)
grsec apporte surtout des fonctionnalités qui générallement n'interférent
pas avec les autres fonctionnalités qui pourraient être ajoutées aux noyaux.
Il n'y a donc pas trop de difficulté à patcher un noyau avec grsec même si
ce noyau est déjà patché avec d'autres choses.
Pour debian il y a bien ceci:
http://www.golden-gryphon.com/software/security/selinux.xhtml
Mais bon... moi je suis déjà en Sarge sur des serveurs relativement
chargés... et je veux pas trop m'aventurer dans des trucs "non-officiels"
à la distribution.
Il y a des distributions Linux qui proposent un grand choix de différents
noyaux. :)
Dans le message <news:, *Rakotomandimby (R12y) Mihamina* tapota sur f.c.o.l.configuration :
Bonjour
Salut,
Est-ce qu'il y en a beacuoup qui utilisent les patches de sécurité aditionels comme grsec ou Selinux?
J'utilise depuis longtemps grsec sur toutes mes machines Linux. Je m'étonne encore aujourd'hui que la plupart des fonctionnalités apportées par grsec ne soient pas d'origine intégrées aux noyaux alors qu'elles me paraissent essentielles et indispensables.
Lequel des projets est à conseiller maintenant? Le critère étant l'activité du projet, parcequ'un projet de "sécurité" qui a des fréquences de mise à jour trop faible, ça rassure pas...
Pourquoi veux-tu qu'il y ait des mises à jour fréquentes ? Quand un projet est bien aboutit et qu'il a été testé suffisement, il n'y a pas de raison qu'il évolue si ce n'est pour ajouter des nouvelles fonctionnalités, mais ce n'est pas ce qu'on demande à ce genre de patche. Si je prends l'exemple de qmail, la dernière fois qu'il a été mis à jour ça remonte à 1998 et il reste malgré tout très secure, peut être le plus secure dans sa catégorie.
Si mon raisonnement est bon, normalement, on ne devrait patcher avec ces trucs _que_ les noyaux issus de kernel.org (et ses miroirs), parceque je ne vois pas trop la fiabilité de patcher un kernel qui est déjà modifié par une distribution (c'est le cas des kernels de Fedora, Debian et Mandriva au moins)
grsec apporte surtout des fonctionnalités qui générallement n'interférent pas avec les autres fonctionnalités qui pourraient être ajoutées aux noyaux. Il n'y a donc pas trop de difficulté à patcher un noyau avec grsec même si ce noyau est déjà patché avec d'autres choses.
Pour debian il y a bien ceci: http://www.golden-gryphon.com/software/security/selinux.xhtml
Mais bon... moi je suis déjà en Sarge sur des serveurs relativement chargés... et je veux pas trop m'aventurer dans des trucs "non-officiels" à la distribution.
Il y a des distributions Linux qui proposent un grand choix de différents noyaux. :)
