À (at) 05 Nov 2008 13:26:55 GMT, Thomas écrivait (wrote):
j'avais l'intention de faire tourner mon serveur web sous l'utilisateur www, puisque ça aurait été le cas si ça avait été apache je suppose donc que le maximum de précautions a été pris pour protéger le système au mieux en cas de piratage de cet utilisateur
Le système ne se protège pas de l'utilisateur 'www' en particulier. Il s'assure juste que les droits d'accès aux ressources sont respectés. Généralement, l'utilisateur 'www' n'a pas beaucoup de droits...
-- Paul Gaborit - <http://perso.enstimac.fr/~gaborit/>
À (at) 05 Nov 2008 13:26:55 GMT,
Thomas <fantome.forums.tDeContes@free.fr.invalid> écrivait (wrote):
j'avais l'intention de faire tourner mon serveur web sous l'utilisateur
www, puisque ça aurait été le cas si ça avait été apache
je suppose donc que le maximum de précautions a été pris pour protéger
le système au mieux en cas de piratage de cet utilisateur
Le système ne se protège pas de l'utilisateur 'www' en particulier. Il
s'assure juste que les droits d'accès aux ressources sont respectés.
Généralement, l'utilisateur 'www' n'a pas beaucoup de droits...
--
Paul Gaborit - <http://perso.enstimac.fr/~gaborit/>
À (at) 05 Nov 2008 13:26:55 GMT, Thomas écrivait (wrote):
j'avais l'intention de faire tourner mon serveur web sous l'utilisateur www, puisque ça aurait été le cas si ça avait été apache je suppose donc que le maximum de précautions a été pris pour protéger le système au mieux en cas de piratage de cet utilisateur
Le système ne se protège pas de l'utilisateur 'www' en particulier. Il s'assure juste que les droits d'accès aux ressources sont respectés. Généralement, l'utilisateur 'www' n'a pas beaucoup de droits...
-- Paul Gaborit - <http://perso.enstimac.fr/~gaborit/>
Paul Gaborit
À (at) 07 Nov 2008 07:56:27 GMT, Olivier Croquette écrivait (wrote):
Paul Gaborit wrote, On 5/11/08 10:08:
La virtualisation n'augmente en rien la sécurité (elle aurait même plutôt tendance à la diminuer puisqu'on multiplie le nombre de codes à vérifier...).
Je suis plutôt d'accord pour la virtualisation sur le long terme, type serveur, mais pas d'accord sur une utilisation des machines virtuelles du type "bac à sable". Certes, c'est toujours plus risqué de faire tourner du code potentiellement dangereux dans une machine virtuelle que sur du matériel dédié, mais c'est moins risqué que de le faire tourner directement sur le système hôte.
Par exemple, quand je télécharge un outil dans lequel je n'ai pas forcément confiance, je le teste d'abord dans une machine virtuelle jetable.
Ça ne protège que des bugs et autre con*ries du soft qu'on teste. La virtualisation augmente la fiabilité globale.
En ce sens, la virtualisation a une valeur ajoutée en terme de sécurité. C'est un outil intéressant en plus.
Si le code malicieux est bien conçu, l'utilisation d'une machine virtuelle ne protège pas plus qu'autre chose (une jail ou tout simplement un utilisateur sans droit particulier).
-- Paul Gaborit - <http://perso.enstimac.fr/~gaborit/>
À (at) 07 Nov 2008 07:56:27 GMT,
Olivier Croquette <ocroquette@ocroquette.free.fr> écrivait (wrote):
Paul Gaborit wrote, On 5/11/08 10:08:
La virtualisation n'augmente en rien la sécurité (elle aurait même
plutôt tendance à la diminuer puisqu'on multiplie le nombre de codes à
vérifier...).
Je suis plutôt d'accord pour la virtualisation sur le long terme, type
serveur, mais pas d'accord sur une utilisation des machines virtuelles
du type "bac à sable". Certes, c'est toujours plus risqué de faire
tourner du code potentiellement dangereux dans une machine virtuelle
que sur du matériel dédié, mais c'est moins risqué que de le faire
tourner directement sur le système hôte.
Par exemple, quand je télécharge un outil dans lequel je n'ai pas
forcément confiance, je le teste d'abord dans une machine virtuelle
jetable.
Ça ne protège que des bugs et autre con*ries du soft qu'on teste. La
virtualisation augmente la fiabilité globale.
En ce sens, la virtualisation a une valeur ajoutée en terme de
sécurité. C'est un outil intéressant en plus.
Si le code malicieux est bien conçu, l'utilisation d'une machine
virtuelle ne protège pas plus qu'autre chose (une jail ou tout
simplement un utilisateur sans droit particulier).
--
Paul Gaborit - <http://perso.enstimac.fr/~gaborit/>
À (at) 07 Nov 2008 07:56:27 GMT, Olivier Croquette écrivait (wrote):
Paul Gaborit wrote, On 5/11/08 10:08:
La virtualisation n'augmente en rien la sécurité (elle aurait même plutôt tendance à la diminuer puisqu'on multiplie le nombre de codes à vérifier...).
Je suis plutôt d'accord pour la virtualisation sur le long terme, type serveur, mais pas d'accord sur une utilisation des machines virtuelles du type "bac à sable". Certes, c'est toujours plus risqué de faire tourner du code potentiellement dangereux dans une machine virtuelle que sur du matériel dédié, mais c'est moins risqué que de le faire tourner directement sur le système hôte.
Par exemple, quand je télécharge un outil dans lequel je n'ai pas forcément confiance, je le teste d'abord dans une machine virtuelle jetable.
Ça ne protège que des bugs et autre con*ries du soft qu'on teste. La virtualisation augmente la fiabilité globale.
En ce sens, la virtualisation a une valeur ajoutée en terme de sécurité. C'est un outil intéressant en plus.
Si le code malicieux est bien conçu, l'utilisation d'une machine virtuelle ne protège pas plus qu'autre chose (une jail ou tout simplement un utilisateur sans droit particulier).
-- Paul Gaborit - <http://perso.enstimac.fr/~gaborit/>
Xavier Belanger
Bonjour,
mais alors est ce que qqn peut m'expliquer ce que VirtualBox fait avec le noyau, exactement, svp ?
Tous les logiciels de virtualisation on besoin d'intercepter des commandes depuis le système hôte vers le système invité et vers le matériel, et pour avoir suffisement de privilèges pour cela (gestion de mémoire par exemple) il faut un module noyau.
VMware et VirtualBox installent des modules noyau lors de leur installation et si ces modules posent problème (faille de sécurité, stabilité) cela peut avoir une incidence sur le système hôte.
Qemu dans sa version "de base" n'installe pas de module. Mais en règle générale on l'utilise avec kqemu, un module noyau qui améliore sensiblement les performances (le 'k' étant pour kernel). On se retrouve donc dans le même cas que précédemment.
Un autre cas est celui de KVM, qui est un support pour les machines virtuelles intégré au noyaux Linux récent, qui propose en standard les modules nécessaires. L'intérêt est que ces modules sont intégrés dans le noyau Linux au même titre que le reste et que ils peuvent apporter une meilleure fiabilité.
A+ -- Xavier Belanger
Bonjour,
mais alors est ce que qqn peut m'expliquer ce que VirtualBox fait avec
le noyau, exactement, svp ?
Tous les logiciels de virtualisation on besoin d'intercepter des commandes
depuis le système hôte vers le système invité et vers le matériel, et pour
avoir suffisement de privilèges pour cela (gestion de mémoire par exemple)
il faut un module noyau.
VMware et VirtualBox installent des modules noyau lors de leur installation
et si ces modules posent problème (faille de sécurité, stabilité) cela peut
avoir une incidence sur le système hôte.
Qemu dans sa version "de base" n'installe pas de module. Mais en règle
générale on l'utilise avec kqemu, un module noyau qui améliore sensiblement
les performances (le 'k' étant pour kernel). On se retrouve donc dans le même
cas que précédemment.
Un autre cas est celui de KVM, qui est un support pour les machines virtuelles
intégré au noyaux Linux récent, qui propose en standard les modules nécessaires.
L'intérêt est que ces modules sont intégrés dans le noyau Linux au même titre
que le reste et que ils peuvent apporter une meilleure fiabilité.
mais alors est ce que qqn peut m'expliquer ce que VirtualBox fait avec le noyau, exactement, svp ?
Tous les logiciels de virtualisation on besoin d'intercepter des commandes depuis le système hôte vers le système invité et vers le matériel, et pour avoir suffisement de privilèges pour cela (gestion de mémoire par exemple) il faut un module noyau.
VMware et VirtualBox installent des modules noyau lors de leur installation et si ces modules posent problème (faille de sécurité, stabilité) cela peut avoir une incidence sur le système hôte.
Qemu dans sa version "de base" n'installe pas de module. Mais en règle générale on l'utilise avec kqemu, un module noyau qui améliore sensiblement les performances (le 'k' étant pour kernel). On se retrouve donc dans le même cas que précédemment.
Un autre cas est celui de KVM, qui est un support pour les machines virtuelles intégré au noyaux Linux récent, qui propose en standard les modules nécessaires. L'intérêt est que ces modules sont intégrés dans le noyau Linux au même titre que le reste et que ils peuvent apporter une meilleure fiabilité.
A+ -- Xavier Belanger
Olivier Croquette
Paul Gaborit wrote, On 7/11/08 12:08:
En ce sens, la virtualisation a une valeur ajoutée en terme de sécurité. C'est un outil intéressant en plus.
Si le code malicieux est bien conçu, l'utilisation d'une machine virtuelle ne protège pas plus qu'autre chose (une jail ou tout simplement un utilisateur sans droit particulier).
Certes, mais aucun des deux OS les plus répandus n'offre de jail, et beaucoup d'outils (surtout sous Windows) nécessitent des droits admin pour s'installer.
D'autre part, les codes malveillants ciblant les machines virtuelles, ça ne court pas les rues.
En pratique, sous Windows et MacOS X, la virtualisation est probablement le moyen le plus pratique pour tester des logiciels dans un bac à sable.
Paul Gaborit wrote, On 7/11/08 12:08:
En ce sens, la virtualisation a une valeur ajoutée en terme de
sécurité. C'est un outil intéressant en plus.
Si le code malicieux est bien conçu, l'utilisation d'une machine
virtuelle ne protège pas plus qu'autre chose (une jail ou tout
simplement un utilisateur sans droit particulier).
Certes, mais aucun des deux OS les plus répandus n'offre de jail, et
beaucoup d'outils (surtout sous Windows) nécessitent des droits admin
pour s'installer.
D'autre part, les codes malveillants ciblant les machines virtuelles, ça
ne court pas les rues.
En pratique, sous Windows et MacOS X, la virtualisation est probablement
le moyen le plus pratique pour tester des logiciels dans un bac à sable.
En ce sens, la virtualisation a une valeur ajoutée en terme de sécurité. C'est un outil intéressant en plus.
Si le code malicieux est bien conçu, l'utilisation d'une machine virtuelle ne protège pas plus qu'autre chose (une jail ou tout simplement un utilisateur sans droit particulier).
Certes, mais aucun des deux OS les plus répandus n'offre de jail, et beaucoup d'outils (surtout sous Windows) nécessitent des droits admin pour s'installer.
D'autre part, les codes malveillants ciblant les machines virtuelles, ça ne court pas les rues.
En pratique, sous Windows et MacOS X, la virtualisation est probablement le moyen le plus pratique pour tester des logiciels dans un bac à sable.
Erwan David
Olivier Croquette écrivait :
Paul Gaborit wrote, On 7/11/08 12:08:
En ce sens, la virtualisation a une valeur ajoutée en terme de sécurité. C'est un outil intéressant en plus.
Si le code malicieux est bien conçu, l'utilisation d'une machine virtuelle ne protège pas plus qu'autre chose (une jail ou tout simplement un utilisateur sans droit particulier).
Certes, mais aucun des deux OS les plus répandus n'offre de jail, et beaucoup d'outils (surtout sous Windows) nécessitent des droits admin pour s'installer.
humm, la séparation sous Javacard peut être assimilée à une jail. Et elle est obligatoire.
(et vu le nombre de cartes SIM, javacard est certainement plus répandu que windows).
-- Le travail n'est pas une bonne chose. Si ça l'était, les riches l'auraient accaparé
En ce sens, la virtualisation a une valeur ajoutée en terme de
sécurité. C'est un outil intéressant en plus.
Si le code malicieux est bien conçu, l'utilisation d'une machine
virtuelle ne protège pas plus qu'autre chose (une jail ou tout
simplement un utilisateur sans droit particulier).
Certes, mais aucun des deux OS les plus répandus n'offre de jail, et
beaucoup d'outils (surtout sous Windows) nécessitent des droits admin
pour s'installer.
humm, la séparation sous Javacard peut être assimilée à une jail. Et
elle est obligatoire.
(et vu le nombre de cartes SIM, javacard est certainement plus répandu
que windows).
--
Le travail n'est pas une bonne chose. Si ça l'était,
les riches l'auraient accaparé
En ce sens, la virtualisation a une valeur ajoutée en terme de sécurité. C'est un outil intéressant en plus.
Si le code malicieux est bien conçu, l'utilisation d'une machine virtuelle ne protège pas plus qu'autre chose (une jail ou tout simplement un utilisateur sans droit particulier).
Certes, mais aucun des deux OS les plus répandus n'offre de jail, et beaucoup d'outils (surtout sous Windows) nécessitent des droits admin pour s'installer.
humm, la séparation sous Javacard peut être assimilée à une jail. Et elle est obligatoire.
(et vu le nombre de cartes SIM, javacard est certainement plus répandu que windows).
-- Le travail n'est pas une bonne chose. Si ça l'était, les riches l'auraient accaparé
