L'inclusion de la gestion intégrale des méthodes avancées
d'authentification telles que Kerberos, et aussi des améliorations
additionnelles de sécurité pour les mécanismes obligatoires de
contrôle d'accès tels que SElinux, RSBAC et des protections de
débordement de tampon comme Exec-shield ou Pax est encore en
développement.
En d'autres mots, Debian n'a pas encore adopté ce que Mandrake a déjà
abandonné. Il sera sans doute possible de sauter des étapes mais, pour
le moment, comme je le disais, la sécurité chez Debian, quand on fait
face à ce genre de problème:
Autre chose, dans la vraie vie, des fois tu dois faire tourner des softs codés avec les pieds, genre Matlab (et ce n'est qu'un exemple). Matlab
Qu'est ce que tu lui reproche à Matlab ?
Mihamina Rakotomandimby
Riquer Vincent wrote:
Ce que je dit pour selinux est certainement valable pour apparmor, même si je ne l'ai pas testé. Les outils LSM sont trop intrusifs pour qu'une configuration générique soit réellement satisfaisante. Soit tu laisses plein de trous,
Comment ça "plein de trous"? Une machine Linux sans ces chose n'est pas forcément plein de trous.
-- Huile Essentielle de Camphre http://www.huile-camphre.fr Infogerance http://www.infogerance.us (Serveurs, Postes de travail, Développement logiciel)
Riquer Vincent wrote:
Ce que je dit pour selinux est certainement valable pour apparmor, même
si je ne l'ai pas testé. Les outils LSM sont trop intrusifs pour qu'une
configuration générique soit réellement satisfaisante. Soit tu laisses
plein de trous,
Comment ça "plein de trous"? Une machine Linux sans ces chose n'est pas
forcément plein de trous.
--
Huile Essentielle de Camphre http://www.huile-camphre.fr
Infogerance http://www.infogerance.us
(Serveurs, Postes de travail, Développement logiciel)
Ce que je dit pour selinux est certainement valable pour apparmor, même si je ne l'ai pas testé. Les outils LSM sont trop intrusifs pour qu'une configuration générique soit réellement satisfaisante. Soit tu laisses plein de trous,
Comment ça "plein de trous"? Une machine Linux sans ces chose n'est pas forcément plein de trous.
-- Huile Essentielle de Camphre http://www.huile-camphre.fr Infogerance http://www.infogerance.us (Serveurs, Postes de travail, Développement logiciel)
Riquer Vincent
SL wrote:
Autre chose, dans la vraie vie, des fois tu dois faire tourner des softs codés avec les pieds, genre Matlab (et ce n'est qu'un exemple). Matlab
Qu'est ce que tu lui reproche à Matlab ?
De passer des zones mémoires "data" en exécutable.
SL wrote:
Autre chose, dans la vraie vie, des fois tu dois faire tourner des softs
codés avec les pieds, genre Matlab (et ce n'est qu'un exemple). Matlab
Qu'est ce que tu lui reproche à Matlab ?
De passer des zones mémoires "data" en exécutable.
Autre chose, dans la vraie vie, des fois tu dois faire tourner des softs codés avec les pieds, genre Matlab (et ce n'est qu'un exemple). Matlab
Qu'est ce que tu lui reproche à Matlab ?
De passer des zones mémoires "data" en exécutable.
Riquer Vincent
Mihamina Rakotomandimby wrote:
Riquer Vincent wrote:
Ce que je dit pour selinux est certainement valable pour apparmor, même si je ne l'ai pas testé. Les outils LSM sont trop intrusifs pour qu'une configuration générique soit réellement satisfaisante. Soit tu laisses plein de trous,
Comment ça "plein de trous"? Une machine Linux sans ces chose n'est pas forcément plein de trous.
Non, je voulais dire que dans une config selinux générique, tu es obligé de laisser des "trous". Je parle juste de la config selinux.
Mihamina Rakotomandimby wrote:
Riquer Vincent wrote:
Ce que je dit pour selinux est certainement valable pour apparmor, même
si je ne l'ai pas testé. Les outils LSM sont trop intrusifs pour qu'une
configuration générique soit réellement satisfaisante. Soit tu laisses
plein de trous,
Comment ça "plein de trous"? Une machine Linux sans ces chose n'est pas
forcément plein de trous.
Non, je voulais dire que dans une config selinux générique, tu es obligé
de laisser des "trous". Je parle juste de la config selinux.
Ce que je dit pour selinux est certainement valable pour apparmor, même si je ne l'ai pas testé. Les outils LSM sont trop intrusifs pour qu'une configuration générique soit réellement satisfaisante. Soit tu laisses plein de trous,
Comment ça "plein de trous"? Une machine Linux sans ces chose n'est pas forcément plein de trous.
Non, je voulais dire que dans une config selinux générique, tu es obligé de laisser des "trous". Je parle juste de la config selinux.
Stéphane CARPENTIER
YBM wrote:
Il y a un livre de Bruce Schneier qui parle de tes problèmes, mais comme ils sont entre ton écran et ton clavier, je doute que tu comprennes.
Quels problèmes? Aucun problème avec Mandriva! T'es bien sûr que tu ne veux pas tenter de faire ce que Potty Potard n'a pu faire faute de preuves et m'expliquer comment Etch a été sécurisé?
Tu as configuré Kerberos, toi ? Tu veux faire croire çà qui ?
Il a écrit qu'il avait mis six mois à essayer de rentrer un mot de passe dans Kerberos et qu'en suite il se l'est fait voler de la faute de debian en général et de Sam en particulier.
Si tu appelles ça configurer, je veux bien, mais je trouve ça un peu léger.
-- Stéphane
Pour me répondre, traduire gratuit en anglais et virer le .invalid. http://stef.carpentier.free.fr/
YBM wrote:
Il y a un livre de Bruce Schneier qui parle de tes problèmes, mais comme
ils sont entre ton écran et ton clavier, je doute que tu comprennes.
Quels problèmes? Aucun problème avec Mandriva! T'es bien sûr que tu ne
veux pas tenter de faire ce que Potty Potard n'a pu faire faute de
preuves et m'expliquer comment Etch a été sécurisé?
Tu as configuré Kerberos, toi ? Tu veux faire croire çà qui ?
Il a écrit qu'il avait mis six mois à essayer de rentrer un mot de passe
dans Kerberos et qu'en suite il se l'est fait voler de la faute de debian
en général et de Sam en particulier.
Si tu appelles ça configurer, je veux bien, mais je trouve ça un peu léger.
--
Stéphane
Pour me répondre, traduire gratuit en anglais et virer le .invalid.
http://stef.carpentier.free.fr/
Il y a un livre de Bruce Schneier qui parle de tes problèmes, mais comme ils sont entre ton écran et ton clavier, je doute que tu comprennes.
Quels problèmes? Aucun problème avec Mandriva! T'es bien sûr que tu ne veux pas tenter de faire ce que Potty Potard n'a pu faire faute de preuves et m'expliquer comment Etch a été sécurisé?
Tu as configuré Kerberos, toi ? Tu veux faire croire çà qui ?
Il a écrit qu'il avait mis six mois à essayer de rentrer un mot de passe dans Kerberos et qu'en suite il se l'est fait voler de la faute de debian en général et de Sam en particulier.
Si tu appelles ça configurer, je veux bien, mais je trouve ça un peu léger.
-- Stéphane
Pour me répondre, traduire gratuit en anglais et virer le .invalid. http://stef.carpentier.free.fr/
Patrick Lamaizière
Le Sat, 26 Apr 2008 13:39:13 +0200,
Autre chose, dans la vraie vie, des fois tu dois faire tourner des softs codés avec les pieds, genre Matlab (et ce n'est qu'un exemple). Matlab
Qu'est ce que tu lui reproche à Matlab ?
De passer des zones mémoires "data" en exécutable.
Il y des cas où c'est justifié non ? Par exemple la compilation "just in time".
Le Sat, 26 Apr 2008 13:39:13 +0200,
Autre chose, dans la vraie vie, des fois tu dois faire tourner des
softs codés avec les pieds, genre Matlab (et ce n'est qu'un
exemple). Matlab
Qu'est ce que tu lui reproche à Matlab ?
De passer des zones mémoires "data" en exécutable.
Il y des cas où c'est justifié non ? Par exemple la compilation "just
in time".
Tout d'un coup, plus aucun problème entre la chaise et le clavier!
T'as changé de position ?
-- Stéphane
Pour me répondre, traduire gratuit en anglais et virer le .invalid. http://stef.carpentier.free.fr/
Patrick Lamaizière
Le Sat, 26 Apr 2008 01:21:20 -0400,
Le problème, c'est qu'il n'est pas configuré par défaut. Il faut télécharger un fichier profil, ce que je ne savais pas. Et si le fichier profil n'est pas installé avec des valeurs par défaut, c'est qu'il y a apparemment des bugs. (Mandriva en est à développer une interface pour une configuration plus fine.)
J'utiliserais ces trucs de sécurité quand y'aura un module webmin pour ça.
Le Sat, 26 Apr 2008 01:21:20 -0400,
Le problème, c'est qu'il n'est pas configuré par défaut. Il faut
télécharger un fichier profil, ce que je ne savais pas. Et si le
fichier profil n'est pas installé avec des valeurs par défaut, c'est
qu'il y a apparemment des bugs. (Mandriva en est à développer une
interface pour une configuration plus fine.)
J'utiliserais ces trucs de sécurité quand y'aura un module webmin pour
ça.
Le problème, c'est qu'il n'est pas configuré par défaut. Il faut télécharger un fichier profil, ce que je ne savais pas. Et si le fichier profil n'est pas installé avec des valeurs par défaut, c'est qu'il y a apparemment des bugs. (Mandriva en est à développer une interface pour une configuration plus fine.)
J'utiliserais ces trucs de sécurité quand y'aura un module webmin pour ça.
Kevin Denis
On 2008-04-26, Priam wrote:
À mon avis, Shorewall, le firewall stateful installé par défaut par Mandrake est aussi supérieur à Firestarter, le firewall stateless installé le plus souvent par les usagers d'Ubuntu.
Essaye de te renseigner un minimum quand même.
http://www.shorewall.net/ The Shoreline Firewall, more commonly known as "Shorewall", is a high-level tool for configuring Netfilter. http://doc.ubuntu-fr.org/firestarter Firestarter n'est que l'interface graphique de configuration du pare-feu Netfilter, qui, lui, tourne tout le temps
Et tu clames que firestarter est stateless et shorewall statefull. Alors que les deux configurent la même chose, c'est à dire netfilter. -- Kevin
On 2008-04-26, Priam <priam@nowhere.com> wrote:
À mon avis, Shorewall, le firewall stateful installé par défaut par
Mandrake est aussi supérieur à Firestarter, le firewall stateless
installé le plus souvent par les usagers d'Ubuntu.
Essaye de te renseigner un minimum quand même.
http://www.shorewall.net/
The Shoreline Firewall, more commonly known as "Shorewall", is a
high-level tool for configuring Netfilter.
http://doc.ubuntu-fr.org/firestarter
Firestarter n'est que l'interface graphique de configuration du pare-feu
Netfilter, qui, lui, tourne tout le temps
Et tu clames que firestarter est stateless et shorewall statefull.
Alors que les deux configurent la même chose, c'est à dire netfilter.
--
Kevin
À mon avis, Shorewall, le firewall stateful installé par défaut par Mandrake est aussi supérieur à Firestarter, le firewall stateless installé le plus souvent par les usagers d'Ubuntu.
Essaye de te renseigner un minimum quand même.
http://www.shorewall.net/ The Shoreline Firewall, more commonly known as "Shorewall", is a high-level tool for configuring Netfilter. http://doc.ubuntu-fr.org/firestarter Firestarter n'est que l'interface graphique de configuration du pare-feu Netfilter, qui, lui, tourne tout le temps
Et tu clames que firestarter est stateless et shorewall statefull. Alors que les deux configurent la même chose, c'est à dire netfilter. -- Kevin
