Autrement, pour el newbie,
Autrement, pour el newbie,
Autrement, pour el newbie,
Et tu clames que firestarter est stateless et shorewall statefull.
Alors que les deux configurent la même chose, c'est à dire netfilter.
Et tu clames que firestarter est stateless et shorewall statefull.
Alors que les deux configurent la même chose, c'est à dire netfilter.
Et tu clames que firestarter est stateless et shorewall statefull.
Alors que les deux configurent la même chose, c'est à dire netfilter.
Debian, par défaut, ne suppose rien de son utilisateur. A quoi sert
d'avoir des trucs comme Apparmor sur une machine individuelle ? A rien du
tout.
Bon, après un bon souper et un bon bol d'air à vélo, je me sens plus en
forme pour répondre à la dernière idiotie d'un grand expert. Ainsi,
AppArmor ne servirait à rien sur les ordinateurs individuels?
Pourtant, comme l'indique l'article de TidBits, Quicktime était sensible
aux buffer overflows, et cela, même si OS X utilise l'Address Space
Layout Randomization (ASLR), ce que ne fait que faiblement Linux par
défaut à partir du noyau 2.6.12. Donc, Debian n'est donc certainement
pas plus à l'abri des overflows avec Xine, MPlayer... et VLC de ton bon
ami Hocevar :) que ne l'est OS X avec QuickTime.
Alors, que vient faire AppArmor là-dedans? Peut-il prévenir les
overflows? Apparemment, non, mais il peut les empêcher d'accéder aux
fonctions vitales du kernel.
«if an attacker can induce arbitrary code execution in a confined
application (e.g. *buffer overflow*) then they can cause the program to
call the kernel directly instead of through the library, thus bypassing
the mediation. Moreover, such mediation is best done deep inside the
kernel, rather than by intercepting system calls.
(...)
So instead of system call mediation, LSM (Linux Security Modules
interface) inserts hooks deep into the kernel. Wherever a request by a
user level process leads to access to an important deep kernel data
structure, such as task descriptors or inodes, the LSM hook makes an
up-call to whatever LSM module is loaded, asking "is this ok?" The LSM
module considers the situation, makes its access control decision, and
sends back a "yes" or "no" answer to the kernel, which then either
performs the access or returns an error to the requestor. Thus access
control technologies like SELinux and AppArmor can do their work as
loadable modules, without requiring constant patching of the kernel.»
http://en.opensuse.org/AppArmor_Detail
En somme, cela signifie que Debian n'a pas encore fait le développement
pour intégrer les logiciels de sécurité qui font appel au LSM, et cela,
malgré qu'ils soient disponibles depuis fort longtemps. C'est pourquoi
je dis que Debian tourne en rond, et est devenu une passoire.
À mon avis, Shorewall, le firewall stateful installé par défaut par
Mandrake est aussi supérieur à Firestarter, le firewall stateless
installé le plus souvent par les usagers d'Ubuntu.
Mais alors, pourquoi n'entend pas parler d'exploits à tous les jours sur
les distributions Debian? Exactement pour la raison que TidBits, une
fois encore, donne ici:
«It's not that Mac OS X is inherently more secure against viruses than
current versions of Windows (although it was clearly more secure than
Windows prior to XP SP2); the numerous vulnerabilities reported and
patched in recent years are just as exploitable as their Windows
equivalents. But most security experts agree that malicious software
these days is driven by financial incentives, and it's far more
profitable to target the dominant platform.»
http://db.tidbits.com/article/9511
Alors, comment se fait-il que je me sois fais attaquer et cracker tant
et plus avec les installations par défaut de Debian et Ubuntu(1). Y
avait-il quelque chance que j'aie copié des informations sensibles ou
exploitables commercialement sur mes premières installations? Aucune,
évidemment.
Le problème, c'est qu'il n'est pas configuré par défaut. Il faut
télécharger un fichier profil, ce que je ne savais pas. Et si le fichier
profil n'est pas installé avec des valeurs par défaut, c'est qu'il y a
apparemment des bugs. (Mandriva en est à développer une interface pour
une configuration plus fine.)
J'ai donc eu affaire à des crackers très habiles qui ont du temps à
perdre, qui n'évaluent pas trop la valeur économique de leur démarche.
Il y a peut-être des gens qui n'apprécient pas que je pointe leurs
imbécilités du doigt...
Debian, par défaut, ne suppose rien de son utilisateur. A quoi sert
d'avoir des trucs comme Apparmor sur une machine individuelle ? A rien du
tout.
Bon, après un bon souper et un bon bol d'air à vélo, je me sens plus en
forme pour répondre à la dernière idiotie d'un grand expert. Ainsi,
AppArmor ne servirait à rien sur les ordinateurs individuels?
Pourtant, comme l'indique l'article de TidBits, Quicktime était sensible
aux buffer overflows, et cela, même si OS X utilise l'Address Space
Layout Randomization (ASLR), ce que ne fait que faiblement Linux par
défaut à partir du noyau 2.6.12. Donc, Debian n'est donc certainement
pas plus à l'abri des overflows avec Xine, MPlayer... et VLC de ton bon
ami Hocevar :) que ne l'est OS X avec QuickTime.
Alors, que vient faire AppArmor là-dedans? Peut-il prévenir les
overflows? Apparemment, non, mais il peut les empêcher d'accéder aux
fonctions vitales du kernel.
«if an attacker can induce arbitrary code execution in a confined
application (e.g. *buffer overflow*) then they can cause the program to
call the kernel directly instead of through the library, thus bypassing
the mediation. Moreover, such mediation is best done deep inside the
kernel, rather than by intercepting system calls.
(...)
So instead of system call mediation, LSM (Linux Security Modules
interface) inserts hooks deep into the kernel. Wherever a request by a
user level process leads to access to an important deep kernel data
structure, such as task descriptors or inodes, the LSM hook makes an
up-call to whatever LSM module is loaded, asking "is this ok?" The LSM
module considers the situation, makes its access control decision, and
sends back a "yes" or "no" answer to the kernel, which then either
performs the access or returns an error to the requestor. Thus access
control technologies like SELinux and AppArmor can do their work as
loadable modules, without requiring constant patching of the kernel.»
http://en.opensuse.org/AppArmor_Detail
En somme, cela signifie que Debian n'a pas encore fait le développement
pour intégrer les logiciels de sécurité qui font appel au LSM, et cela,
malgré qu'ils soient disponibles depuis fort longtemps. C'est pourquoi
je dis que Debian tourne en rond, et est devenu une passoire.
À mon avis, Shorewall, le firewall stateful installé par défaut par
Mandrake est aussi supérieur à Firestarter, le firewall stateless
installé le plus souvent par les usagers d'Ubuntu.
Mais alors, pourquoi n'entend pas parler d'exploits à tous les jours sur
les distributions Debian? Exactement pour la raison que TidBits, une
fois encore, donne ici:
«It's not that Mac OS X is inherently more secure against viruses than
current versions of Windows (although it was clearly more secure than
Windows prior to XP SP2); the numerous vulnerabilities reported and
patched in recent years are just as exploitable as their Windows
equivalents. But most security experts agree that malicious software
these days is driven by financial incentives, and it's far more
profitable to target the dominant platform.»
http://db.tidbits.com/article/9511
Alors, comment se fait-il que je me sois fais attaquer et cracker tant
et plus avec les installations par défaut de Debian et Ubuntu(1). Y
avait-il quelque chance que j'aie copié des informations sensibles ou
exploitables commercialement sur mes premières installations? Aucune,
évidemment.
Le problème, c'est qu'il n'est pas configuré par défaut. Il faut
télécharger un fichier profil, ce que je ne savais pas. Et si le fichier
profil n'est pas installé avec des valeurs par défaut, c'est qu'il y a
apparemment des bugs. (Mandriva en est à développer une interface pour
une configuration plus fine.)
J'ai donc eu affaire à des crackers très habiles qui ont du temps à
perdre, qui n'évaluent pas trop la valeur économique de leur démarche.
Il y a peut-être des gens qui n'apprécient pas que je pointe leurs
imbécilités du doigt...
Debian, par défaut, ne suppose rien de son utilisateur. A quoi sert
d'avoir des trucs comme Apparmor sur une machine individuelle ? A rien du
tout.
Bon, après un bon souper et un bon bol d'air à vélo, je me sens plus en
forme pour répondre à la dernière idiotie d'un grand expert. Ainsi,
AppArmor ne servirait à rien sur les ordinateurs individuels?
Pourtant, comme l'indique l'article de TidBits, Quicktime était sensible
aux buffer overflows, et cela, même si OS X utilise l'Address Space
Layout Randomization (ASLR), ce que ne fait que faiblement Linux par
défaut à partir du noyau 2.6.12. Donc, Debian n'est donc certainement
pas plus à l'abri des overflows avec Xine, MPlayer... et VLC de ton bon
ami Hocevar :) que ne l'est OS X avec QuickTime.
Alors, que vient faire AppArmor là-dedans? Peut-il prévenir les
overflows? Apparemment, non, mais il peut les empêcher d'accéder aux
fonctions vitales du kernel.
«if an attacker can induce arbitrary code execution in a confined
application (e.g. *buffer overflow*) then they can cause the program to
call the kernel directly instead of through the library, thus bypassing
the mediation. Moreover, such mediation is best done deep inside the
kernel, rather than by intercepting system calls.
(...)
So instead of system call mediation, LSM (Linux Security Modules
interface) inserts hooks deep into the kernel. Wherever a request by a
user level process leads to access to an important deep kernel data
structure, such as task descriptors or inodes, the LSM hook makes an
up-call to whatever LSM module is loaded, asking "is this ok?" The LSM
module considers the situation, makes its access control decision, and
sends back a "yes" or "no" answer to the kernel, which then either
performs the access or returns an error to the requestor. Thus access
control technologies like SELinux and AppArmor can do their work as
loadable modules, without requiring constant patching of the kernel.»
http://en.opensuse.org/AppArmor_Detail
En somme, cela signifie que Debian n'a pas encore fait le développement
pour intégrer les logiciels de sécurité qui font appel au LSM, et cela,
malgré qu'ils soient disponibles depuis fort longtemps. C'est pourquoi
je dis que Debian tourne en rond, et est devenu une passoire.
À mon avis, Shorewall, le firewall stateful installé par défaut par
Mandrake est aussi supérieur à Firestarter, le firewall stateless
installé le plus souvent par les usagers d'Ubuntu.
Mais alors, pourquoi n'entend pas parler d'exploits à tous les jours sur
les distributions Debian? Exactement pour la raison que TidBits, une
fois encore, donne ici:
«It's not that Mac OS X is inherently more secure against viruses than
current versions of Windows (although it was clearly more secure than
Windows prior to XP SP2); the numerous vulnerabilities reported and
patched in recent years are just as exploitable as their Windows
equivalents. But most security experts agree that malicious software
these days is driven by financial incentives, and it's far more
profitable to target the dominant platform.»
http://db.tidbits.com/article/9511
Alors, comment se fait-il que je me sois fais attaquer et cracker tant
et plus avec les installations par défaut de Debian et Ubuntu(1). Y
avait-il quelque chance que j'aie copié des informations sensibles ou
exploitables commercialement sur mes premières installations? Aucune,
évidemment.
Le problème, c'est qu'il n'est pas configuré par défaut. Il faut
télécharger un fichier profil, ce que je ne savais pas. Et si le fichier
profil n'est pas installé avec des valeurs par défaut, c'est qu'il y a
apparemment des bugs. (Mandriva en est à développer une interface pour
une configuration plus fine.)
J'ai donc eu affaire à des crackers très habiles qui ont du temps à
perdre, qui n'évaluent pas trop la valeur économique de leur démarche.
Il y a peut-être des gens qui n'apprécient pas que je pointe leurs
imbécilités du doigt...
Comme ça, télécharger un logiciel de sécurité...
ou de mahjong, pourquoi pas, n'est pas une longue affaire! Le problème,
c'est de le configurer... ce que Debian laisse aux bons soins de chacun
de ses usagers.
Comme ça, télécharger un logiciel de sécurité...
ou de mahjong, pourquoi pas, n'est pas une longue affaire! Le problème,
c'est de le configurer... ce que Debian laisse aux bons soins de chacun
de ses usagers.
Comme ça, télécharger un logiciel de sécurité...
ou de mahjong, pourquoi pas, n'est pas une longue affaire! Le problème,
c'est de le configurer... ce que Debian laisse aux bons soins de chacun
de ses usagers.
On 2008-04-26, Priam wrote:À mon avis, Shorewall, le firewall stateful installé par défaut par
Mandrake est aussi supérieur à Firestarter, le firewall stateless
installé le plus souvent par les usagers d'Ubuntu.
Essaye de te renseigner un minimum quand même.
http://www.shorewall.net/
The Shoreline Firewall, more commonly known as "Shorewall", is a
high-level tool for configuring Netfilter.
http://doc.ubuntu-fr.org/firestarter
On 2008-04-26, Priam <priam@nowhere.com> wrote:
À mon avis, Shorewall, le firewall stateful installé par défaut par
Mandrake est aussi supérieur à Firestarter, le firewall stateless
installé le plus souvent par les usagers d'Ubuntu.
Essaye de te renseigner un minimum quand même.
http://www.shorewall.net/
The Shoreline Firewall, more commonly known as "Shorewall", is a
high-level tool for configuring Netfilter.
http://doc.ubuntu-fr.org/firestarter
On 2008-04-26, Priam wrote:À mon avis, Shorewall, le firewall stateful installé par défaut par
Mandrake est aussi supérieur à Firestarter, le firewall stateless
installé le plus souvent par les usagers d'Ubuntu.
Essaye de te renseigner un minimum quand même.
http://www.shorewall.net/
The Shoreline Firewall, more commonly known as "Shorewall", is a
high-level tool for configuring Netfilter.
http://doc.ubuntu-fr.org/firestarter
Yugo wrote:Debian, par défaut, ne suppose rien de son utilisateur. A quoi sert
d'avoir des trucs comme Apparmor sur une machine individuelle ? A rien du
tout.
Bon, après un bon souper et un bon bol d'air à vélo, je me sens plus en
forme pour répondre à la dernière idiotie d'un grand expert. Ainsi,
AppArmor ne servirait à rien sur les ordinateurs individuels?
Bah, surtout s'il n'est pas configuré !
Pourtant, comme l'indique l'article de TidBits, Quicktime était sensible
aux buffer overflows, et cela, même si OS X utilise l'Address Space
Layout Randomization (ASLR), ce que ne fait que faiblement Linux par
défaut à partir du noyau 2.6.12. Donc, Debian n'est donc certainement
pas plus à l'abri des overflows avec Xine, MPlayer... et VLC de ton bon
ami Hocevar :) que ne l'est OS X avec QuickTime.
L'ASLR est un bricolage pathétique (...) si on connaît bien le système.
Et bien évidemment, VLC ou mplayer ne sont pas à l'abri de buffers
overflows, mais en n'allant que sur des sites fiables
Alors, que vient faire AppArmor là-dedans? Peut-il prévenir les
overflows? Apparemment, non, mais il peut les empêcher d'accéder aux
fonctions vitales du kernel.
Oui, bien sûr, mais le problème c'est que ces programmes ont souvent besoin
d'accéder aux fonctions vitales du kernel pour fonctionner. Et c'est
dommage, mais ce sont souvent pour ces mêmes fonctions vitales que l'on
découvre régulièrement des exploits assez violents (telle l'exploit de
vmsplice CVE-2008-0600).
Et puis en exploitant les failles de apparmor
(telle CVE-2008-0731), c'est encore plus facile !
En somme, cela signifie que Debian n'a pas encore fait le développement
pour intégrer les logiciels de sécurité qui font appel au LSM, et cela,
malgré qu'ils soient disponibles depuis fort longtemps. C'est pourquoi
je dis que Debian tourne en rond, et est devenu une passoire.
Ne raconte pas n'importe quoi. Debian a fait le nécessaire depuis longtemps
pour le fonctionnement de selinux
À mon avis, Shorewall, le firewall stateful installé par défaut par
Mandrake est aussi supérieur à Firestarter, le firewall stateless
installé le plus souvent par les usagers d'Ubuntu.
Comme te le dit Kevin, les deux ne sont que des zolis interfaces pour la
configuration de netfilter,
Mais alors, pourquoi n'entend pas parler d'exploits à tous les jours sur
les distributions Debian? Exactement pour la raison que TidBits, une
fois encore, donne ici:
«It's not that Mac OS X is inherently more secure against viruses than
current versions of Windows (although it was clearly more secure than
Windows prior to XP SP2); the numerous vulnerabilities reported and
patched in recent years are just as exploitable as their Windows
equivalents. But most security experts agree that malicious software
these days is driven by financial incentives, and it's far more
profitable to target the dominant platform.»
http://db.tidbits.com/article/9511
Il est aussi beaucoup plus facile d'attaquer une plateforme pour laquelle
toutes les installations ou presque sont identiques, vu que l'utilisateur
moyen se contente généralement de garder la configuration par défaut, alors
qu'il est fort difficile de trouver deux configurations de linux
parfaitement identiques.
Yugo wrote:
Debian, par défaut, ne suppose rien de son utilisateur. A quoi sert
d'avoir des trucs comme Apparmor sur une machine individuelle ? A rien du
tout.
Bon, après un bon souper et un bon bol d'air à vélo, je me sens plus en
forme pour répondre à la dernière idiotie d'un grand expert. Ainsi,
AppArmor ne servirait à rien sur les ordinateurs individuels?
Bah, surtout s'il n'est pas configuré !
Pourtant, comme l'indique l'article de TidBits, Quicktime était sensible
aux buffer overflows, et cela, même si OS X utilise l'Address Space
Layout Randomization (ASLR), ce que ne fait que faiblement Linux par
défaut à partir du noyau 2.6.12. Donc, Debian n'est donc certainement
pas plus à l'abri des overflows avec Xine, MPlayer... et VLC de ton bon
ami Hocevar :) que ne l'est OS X avec QuickTime.
L'ASLR est un bricolage pathétique (...) si on connaît bien le système.
Et bien évidemment, VLC ou mplayer ne sont pas à l'abri de buffers
overflows, mais en n'allant que sur des sites fiables
Alors, que vient faire AppArmor là-dedans? Peut-il prévenir les
overflows? Apparemment, non, mais il peut les empêcher d'accéder aux
fonctions vitales du kernel.
Oui, bien sûr, mais le problème c'est que ces programmes ont souvent besoin
d'accéder aux fonctions vitales du kernel pour fonctionner. Et c'est
dommage, mais ce sont souvent pour ces mêmes fonctions vitales que l'on
découvre régulièrement des exploits assez violents (telle l'exploit de
vmsplice CVE-2008-0600).
Et puis en exploitant les failles de apparmor
(telle CVE-2008-0731), c'est encore plus facile !
En somme, cela signifie que Debian n'a pas encore fait le développement
pour intégrer les logiciels de sécurité qui font appel au LSM, et cela,
malgré qu'ils soient disponibles depuis fort longtemps. C'est pourquoi
je dis que Debian tourne en rond, et est devenu une passoire.
Ne raconte pas n'importe quoi. Debian a fait le nécessaire depuis longtemps
pour le fonctionnement de selinux
À mon avis, Shorewall, le firewall stateful installé par défaut par
Mandrake est aussi supérieur à Firestarter, le firewall stateless
installé le plus souvent par les usagers d'Ubuntu.
Comme te le dit Kevin, les deux ne sont que des zolis interfaces pour la
configuration de netfilter,
Mais alors, pourquoi n'entend pas parler d'exploits à tous les jours sur
les distributions Debian? Exactement pour la raison que TidBits, une
fois encore, donne ici:
«It's not that Mac OS X is inherently more secure against viruses than
current versions of Windows (although it was clearly more secure than
Windows prior to XP SP2); the numerous vulnerabilities reported and
patched in recent years are just as exploitable as their Windows
equivalents. But most security experts agree that malicious software
these days is driven by financial incentives, and it's far more
profitable to target the dominant platform.»
http://db.tidbits.com/article/9511
Il est aussi beaucoup plus facile d'attaquer une plateforme pour laquelle
toutes les installations ou presque sont identiques, vu que l'utilisateur
moyen se contente généralement de garder la configuration par défaut, alors
qu'il est fort difficile de trouver deux configurations de linux
parfaitement identiques.
Yugo wrote:Debian, par défaut, ne suppose rien de son utilisateur. A quoi sert
d'avoir des trucs comme Apparmor sur une machine individuelle ? A rien du
tout.
Bon, après un bon souper et un bon bol d'air à vélo, je me sens plus en
forme pour répondre à la dernière idiotie d'un grand expert. Ainsi,
AppArmor ne servirait à rien sur les ordinateurs individuels?
Bah, surtout s'il n'est pas configuré !
Pourtant, comme l'indique l'article de TidBits, Quicktime était sensible
aux buffer overflows, et cela, même si OS X utilise l'Address Space
Layout Randomization (ASLR), ce que ne fait que faiblement Linux par
défaut à partir du noyau 2.6.12. Donc, Debian n'est donc certainement
pas plus à l'abri des overflows avec Xine, MPlayer... et VLC de ton bon
ami Hocevar :) que ne l'est OS X avec QuickTime.
L'ASLR est un bricolage pathétique (...) si on connaît bien le système.
Et bien évidemment, VLC ou mplayer ne sont pas à l'abri de buffers
overflows, mais en n'allant que sur des sites fiables
Alors, que vient faire AppArmor là-dedans? Peut-il prévenir les
overflows? Apparemment, non, mais il peut les empêcher d'accéder aux
fonctions vitales du kernel.
Oui, bien sûr, mais le problème c'est que ces programmes ont souvent besoin
d'accéder aux fonctions vitales du kernel pour fonctionner. Et c'est
dommage, mais ce sont souvent pour ces mêmes fonctions vitales que l'on
découvre régulièrement des exploits assez violents (telle l'exploit de
vmsplice CVE-2008-0600).
Et puis en exploitant les failles de apparmor
(telle CVE-2008-0731), c'est encore plus facile !
En somme, cela signifie que Debian n'a pas encore fait le développement
pour intégrer les logiciels de sécurité qui font appel au LSM, et cela,
malgré qu'ils soient disponibles depuis fort longtemps. C'est pourquoi
je dis que Debian tourne en rond, et est devenu une passoire.
Ne raconte pas n'importe quoi. Debian a fait le nécessaire depuis longtemps
pour le fonctionnement de selinux
À mon avis, Shorewall, le firewall stateful installé par défaut par
Mandrake est aussi supérieur à Firestarter, le firewall stateless
installé le plus souvent par les usagers d'Ubuntu.
Comme te le dit Kevin, les deux ne sont que des zolis interfaces pour la
configuration de netfilter,
Mais alors, pourquoi n'entend pas parler d'exploits à tous les jours sur
les distributions Debian? Exactement pour la raison que TidBits, une
fois encore, donne ici:
«It's not that Mac OS X is inherently more secure against viruses than
current versions of Windows (although it was clearly more secure than
Windows prior to XP SP2); the numerous vulnerabilities reported and
patched in recent years are just as exploitable as their Windows
equivalents. But most security experts agree that malicious software
these days is driven by financial incentives, and it's far more
profitable to target the dominant platform.»
http://db.tidbits.com/article/9511
Il est aussi beaucoup plus facile d'attaquer une plateforme pour laquelle
toutes les installations ou presque sont identiques, vu que l'utilisateur
moyen se contente généralement de garder la configuration par défaut, alors
qu'il est fort difficile de trouver deux configurations de linux
parfaitement identiques.
Yugo wrote:Bon, après un bon souper et un bon bol d'air à vélo, je me sens plus en
forme pour répondre à la dernière idiotie d'un grand expert. Ainsi,
AppArmor ne servirait à rien sur les ordinateurs individuels?
Souvent, le temps à consacrer pour avoir un système qui marche
correctement avec selinux (fedora) ne vaut pas la sécurité apportée.
Autre chose, dans la vraie vie, des fois tu dois faire tourner des softs
codés avec les pieds, genre Matlab (et ce n'est qu'un exemple). Matlab
ne fonctionne pas avec selinux. Tu as 2 solutions : soit tu considères
que cette machine doit être en tank, et tu passes des heures à faire un
selinux aux petits oignons, qui laisse fonctionner le NIS, Matlab, etc,
soit tu désactives selinux. Souvent, c'est le deuxième choix qui est
fait. La bonne vieille histoire de compromis entre simplicité et
sécurité. Bien sûr, pour un serveur, c'est différent...
Ce que je dit pour selinux est certainement valable pour apparmor, même
si je ne l'ai pas testé. Les outils LSM sont trop intrusifs pour qu'une
configuration générique soit réellement satisfaisante. Soit tu laisses
plein de trous, soit l'utilisateur va se sentir limité. Seule une
configuration aux petits oignons fonctionne réellement.
Yugo wrote:
Bon, après un bon souper et un bon bol d'air à vélo, je me sens plus en
forme pour répondre à la dernière idiotie d'un grand expert. Ainsi,
AppArmor ne servirait à rien sur les ordinateurs individuels?
Souvent, le temps à consacrer pour avoir un système qui marche
correctement avec selinux (fedora) ne vaut pas la sécurité apportée.
Autre chose, dans la vraie vie, des fois tu dois faire tourner des softs
codés avec les pieds, genre Matlab (et ce n'est qu'un exemple). Matlab
ne fonctionne pas avec selinux. Tu as 2 solutions : soit tu considères
que cette machine doit être en tank, et tu passes des heures à faire un
selinux aux petits oignons, qui laisse fonctionner le NIS, Matlab, etc,
soit tu désactives selinux. Souvent, c'est le deuxième choix qui est
fait. La bonne vieille histoire de compromis entre simplicité et
sécurité. Bien sûr, pour un serveur, c'est différent...
Ce que je dit pour selinux est certainement valable pour apparmor, même
si je ne l'ai pas testé. Les outils LSM sont trop intrusifs pour qu'une
configuration générique soit réellement satisfaisante. Soit tu laisses
plein de trous, soit l'utilisateur va se sentir limité. Seule une
configuration aux petits oignons fonctionne réellement.
Yugo wrote:Bon, après un bon souper et un bon bol d'air à vélo, je me sens plus en
forme pour répondre à la dernière idiotie d'un grand expert. Ainsi,
AppArmor ne servirait à rien sur les ordinateurs individuels?
Souvent, le temps à consacrer pour avoir un système qui marche
correctement avec selinux (fedora) ne vaut pas la sécurité apportée.
Autre chose, dans la vraie vie, des fois tu dois faire tourner des softs
codés avec les pieds, genre Matlab (et ce n'est qu'un exemple). Matlab
ne fonctionne pas avec selinux. Tu as 2 solutions : soit tu considères
que cette machine doit être en tank, et tu passes des heures à faire un
selinux aux petits oignons, qui laisse fonctionner le NIS, Matlab, etc,
soit tu désactives selinux. Souvent, c'est le deuxième choix qui est
fait. La bonne vieille histoire de compromis entre simplicité et
sécurité. Bien sûr, pour un serveur, c'est différent...
Ce que je dit pour selinux est certainement valable pour apparmor, même
si je ne l'ai pas testé. Les outils LSM sont trop intrusifs pour qu'une
configuration générique soit réellement satisfaisante. Soit tu laisses
plein de trous, soit l'utilisateur va se sentir limité. Seule une
configuration aux petits oignons fonctionne réellement.
On 2008-04-26, Priam wrote:À mon avis, Shorewall, le firewall stateful installé par défaut par
Mandrake est aussi supérieur à Firestarter, le firewall stateless
installé le plus souvent par les usagers d'Ubuntu.
Essaye de te renseigner un minimum quand même.
http://www.shorewall.net/
The Shoreline Firewall, more commonly known as "Shorewall", is a
high-level tool for configuring Netfilter.
http://doc.ubuntu-fr.org/firestarter
Shorewall est construit sur les mécanismes de Netfilter,
<http://www.shorewall.net/shorewall_setup_guide_fr.htm>
Ca ne parle que de debian, cette doc. Alors shorewall, c'est bien
On 2008-04-26, Priam <priam@nowhere.com> wrote:
À mon avis, Shorewall, le firewall stateful installé par défaut par
Mandrake est aussi supérieur à Firestarter, le firewall stateless
installé le plus souvent par les usagers d'Ubuntu.
Essaye de te renseigner un minimum quand même.
http://www.shorewall.net/
The Shoreline Firewall, more commonly known as "Shorewall", is a
high-level tool for configuring Netfilter.
http://doc.ubuntu-fr.org/firestarter
Shorewall est construit sur les mécanismes de Netfilter,
<http://www.shorewall.net/shorewall_setup_guide_fr.htm>
Ca ne parle que de debian, cette doc. Alors shorewall, c'est bien
On 2008-04-26, Priam wrote:À mon avis, Shorewall, le firewall stateful installé par défaut par
Mandrake est aussi supérieur à Firestarter, le firewall stateless
installé le plus souvent par les usagers d'Ubuntu.
Essaye de te renseigner un minimum quand même.
http://www.shorewall.net/
The Shoreline Firewall, more commonly known as "Shorewall", is a
high-level tool for configuring Netfilter.
http://doc.ubuntu-fr.org/firestarter
Shorewall est construit sur les mécanismes de Netfilter,
<http://www.shorewall.net/shorewall_setup_guide_fr.htm>
Ca ne parle que de debian, cette doc. Alors shorewall, c'est bien
Cela va de soi. J'ai déjà écrit mon propre firewall.
Cela va de soi. J'ai déjà écrit mon propre firewall.
Cela va de soi. J'ai déjà écrit mon propre firewall.
