Sur un serveur dédié (chez un hébergeur), principalement Web (http, ftp
etc...), l'hébergeur m'a fourni la machine avec un noyau :
uname -a
Linux se100 2.6.11.7 #1 SMP Thu Apr 14 16:28:00 AST 2005 i686 Intel(R) Celeron(R) CPU 2.40GHz GenuineIntel GNU/Linux
(le 2.6.11.7 n'était pas dans portage à ce moment là)
J'ai ensuite poursuivi mon install de gentoo normalement, à distance.
Par contre, aucun noyau n'est dans mes packages installés, et donc, les
emerge -Dauv world ne me le mettront jamais à jour.
Aussi, j'ai plusieurs questions, dont une très basique.
Déjà, le SMP indiqué, est-ce juste une option de compilation ou est-ce
un noyau spécifique ? Car je voudrai maintenant prendre dans portage le
noyau le plus proche de celui-ci, sans toutefois savoir ce qui a été
installé.
Ensuite, quand j'en saurai plus sur ce noyau, je pourrai faire un emerge
vanilla-sources du noyau à jour dans portage, mais, ensuite, au niveau
des mises à jour, comment gérer ça ?
Je veux dire par là que je ne souhaite surtout pas rebooter cette machine
à chaque fois qu'un nouveau noyau sort, alors comment faire malgré tout
pour avoir quelque chose de sécurisé ?
J'avoue que je nage un peu dans tout ça (pas dans la compilation de noyau
elle même) et que je cherche à mettre en place la meilleure stratégie
avec le meilleur compromis sécurité noyau / reboot nécessaire.
Merci d'avance pour l'expérience que vous m'apporterez.
Sur un serveur dédié (chez un hébergeur), principalement Web (http, ftp etc...), l'hébergeur m'a fourni la machine avec un noyau : uname -a Linux se100 2.6.11.7 #1 SMP Thu Apr 14 16:28:00 AST 2005 i686 Intel(R) Celeron(R) CPU 2.40GHz GenuineIntel GNU/Linux
(le 2.6.11.7 n'était pas dans portage à ce moment là)
J'ai ensuite poursuivi mon install de gentoo normalement, à distance.
Par contre, aucun noyau n'est dans mes packages installés, et donc, les emerge -Dauv world ne me le mettront jamais à jour.
Aussi, j'ai plusieurs questions, dont une très basique. Déjà, le SMP indiqué, est-ce juste une option de compilation ou est-ce un noyau spécifique ?
Option de compilation
Car je voudrai maintenant prendre dans portage le
noyau le plus proche de celui-ci, sans toutefois savoir ce qui a été installé.
Ensuite, quand j'en saurai plus sur ce noyau, je pourrai faire un emerge vanilla-sources du noyau à jour dans portage, mais, ensuite, au niveau des mises à jour, comment gérer ça ? Je veux dire par là que je ne souhaite surtout pas rebooter cette machine à chaque fois qu'un nouveau noyau sort, alors comment faire malgré tout pour avoir quelque chose de sécurisé ?
examiner les changelog et les avis de sécurités par exemple sur http://www.frsirt.com. par rapport aux vulnérabilités auquel ton systéme est sensible. Desolé, il n'y a pas de solution magique.
Mais s'il n'y a pas de nouveau noyau dans gentoo c'est que peut-etre il est securitsé.
J'avoue que je nage un peu dans tout ça (pas dans la compilation de noyau elle même) et que je cherche à mettre en place la meilleure stratégie avec le meilleur compromis sécurité noyau / reboot nécessaire.
Merci d'avance pour l'expérience que vous m'apporterez.
De rien.
Bonjour,
Bonjour,
Sur un serveur dédié (chez un hébergeur), principalement Web (http, ftp
etc...), l'hébergeur m'a fourni la machine avec un noyau :
uname -a
Linux se100 2.6.11.7 #1 SMP Thu Apr 14 16:28:00 AST 2005 i686 Intel(R) Celeron(R) CPU 2.40GHz GenuineIntel GNU/Linux
(le 2.6.11.7 n'était pas dans portage à ce moment là)
J'ai ensuite poursuivi mon install de gentoo normalement, à distance.
Par contre, aucun noyau n'est dans mes packages installés, et donc, les
emerge -Dauv world ne me le mettront jamais à jour.
Aussi, j'ai plusieurs questions, dont une très basique.
Déjà, le SMP indiqué, est-ce juste une option de compilation ou est-ce
un noyau spécifique ?
Option de compilation
Car je voudrai maintenant prendre dans portage le
noyau le plus proche de celui-ci, sans toutefois savoir ce qui a été
installé.
Ensuite, quand j'en saurai plus sur ce noyau, je pourrai faire un emerge
vanilla-sources du noyau à jour dans portage, mais, ensuite, au niveau
des mises à jour, comment gérer ça ?
Je veux dire par là que je ne souhaite surtout pas rebooter cette machine
à chaque fois qu'un nouveau noyau sort, alors comment faire malgré tout
pour avoir quelque chose de sécurisé ?
examiner les changelog et les avis de sécurités par exemple sur
http://www.frsirt.com. par rapport aux vulnérabilités auquel ton systéme
est sensible.
Desolé, il n'y a pas de solution magique.
Mais s'il n'y a pas de nouveau noyau dans gentoo c'est que peut-etre il
est securitsé.
J'avoue que je nage un peu dans tout ça (pas dans la compilation de noyau
elle même) et que je cherche à mettre en place la meilleure stratégie
avec le meilleur compromis sécurité noyau / reboot nécessaire.
Merci d'avance pour l'expérience que vous m'apporterez.
Sur un serveur dédié (chez un hébergeur), principalement Web (http, ftp etc...), l'hébergeur m'a fourni la machine avec un noyau : uname -a Linux se100 2.6.11.7 #1 SMP Thu Apr 14 16:28:00 AST 2005 i686 Intel(R) Celeron(R) CPU 2.40GHz GenuineIntel GNU/Linux
(le 2.6.11.7 n'était pas dans portage à ce moment là)
J'ai ensuite poursuivi mon install de gentoo normalement, à distance.
Par contre, aucun noyau n'est dans mes packages installés, et donc, les emerge -Dauv world ne me le mettront jamais à jour.
Aussi, j'ai plusieurs questions, dont une très basique. Déjà, le SMP indiqué, est-ce juste une option de compilation ou est-ce un noyau spécifique ?
Option de compilation
Car je voudrai maintenant prendre dans portage le
noyau le plus proche de celui-ci, sans toutefois savoir ce qui a été installé.
Ensuite, quand j'en saurai plus sur ce noyau, je pourrai faire un emerge vanilla-sources du noyau à jour dans portage, mais, ensuite, au niveau des mises à jour, comment gérer ça ? Je veux dire par là que je ne souhaite surtout pas rebooter cette machine à chaque fois qu'un nouveau noyau sort, alors comment faire malgré tout pour avoir quelque chose de sécurisé ?
examiner les changelog et les avis de sécurités par exemple sur http://www.frsirt.com. par rapport aux vulnérabilités auquel ton systéme est sensible. Desolé, il n'y a pas de solution magique.
Mais s'il n'y a pas de nouveau noyau dans gentoo c'est que peut-etre il est securitsé.
J'avoue que je nage un peu dans tout ça (pas dans la compilation de noyau elle même) et que je cherche à mettre en place la meilleure stratégie avec le meilleur compromis sécurité noyau / reboot nécessaire.
Merci d'avance pour l'expérience que vous m'apporterez.
De rien.
l'indien
On Wed, 08 Jun 2005 23:02:05 +0200, Shal wrote:
Bonjour,
Bonjour,
Sur un serveur dédié (chez un hébergeur), principalement Web (http, ftp etc...), l'hébergeur m'a fourni la machine avec un noyau : uname -a Linux se100 2.6.11.7 #1 SMP Thu Apr 14 16:28:00 AST 2005 i686 Intel(R) Celeron(R) CPU 2.40GHz GenuineIntel GNU/Linux
(le 2.6.11.7 n'était pas dans portage à ce moment là)
J'ai ensuite poursuivi mon install de gentoo normalement, à distance. [...]
examiner les changelog et les avis de sécurités par exemple sur http://www.frsirt.com. par rapport aux vulnérabilités auquel ton systéme est sensible. Desolé, il n'y a pas de solution magique.
Mais s'il n'y a pas de nouveau noyau dans gentoo c'est que peut-etre il est securitsé.
Sur un serveur, je préconiserai de mettre une Gentoo hardened. Il y aura ainsi moins d'update à faire ;-) Et plein d'options pour sécuriser le kernel...
[...]
On Wed, 08 Jun 2005 23:02:05 +0200, Shal wrote:
Bonjour,
Bonjour,
Sur un serveur dédié (chez un hébergeur), principalement Web (http, ftp
etc...), l'hébergeur m'a fourni la machine avec un noyau :
uname -a
Linux se100 2.6.11.7 #1 SMP Thu Apr 14 16:28:00 AST 2005 i686 Intel(R) Celeron(R) CPU 2.40GHz GenuineIntel GNU/Linux
(le 2.6.11.7 n'était pas dans portage à ce moment là)
J'ai ensuite poursuivi mon install de gentoo normalement, à distance.
[...]
examiner les changelog et les avis de sécurités par exemple sur
http://www.frsirt.com. par rapport aux vulnérabilités auquel ton systéme
est sensible.
Desolé, il n'y a pas de solution magique.
Mais s'il n'y a pas de nouveau noyau dans gentoo c'est que peut-etre il
est securitsé.
Sur un serveur, je préconiserai de mettre une Gentoo hardened.
Il y aura ainsi moins d'update à faire ;-)
Et plein d'options pour sécuriser le kernel...
Sur un serveur dédié (chez un hébergeur), principalement Web (http, ftp etc...), l'hébergeur m'a fourni la machine avec un noyau : uname -a Linux se100 2.6.11.7 #1 SMP Thu Apr 14 16:28:00 AST 2005 i686 Intel(R) Celeron(R) CPU 2.40GHz GenuineIntel GNU/Linux
(le 2.6.11.7 n'était pas dans portage à ce moment là)
J'ai ensuite poursuivi mon install de gentoo normalement, à distance. [...]
examiner les changelog et les avis de sécurités par exemple sur http://www.frsirt.com. par rapport aux vulnérabilités auquel ton systéme est sensible. Desolé, il n'y a pas de solution magique.
Mais s'il n'y a pas de nouveau noyau dans gentoo c'est que peut-etre il est securitsé.
Sur un serveur, je préconiserai de mettre une Gentoo hardened. Il y aura ainsi moins d'update à faire ;-) Et plein d'options pour sécuriser le kernel...
[...]
Christophe PEREZ
Le Wed, 08 Jun 2005 23:59:57 +0200, l'indien a écrit:
Sur un serveur, je préconiserai de mettre une Gentoo hardened.
Ah, justement, je ne sais même pas à quoi correspond un hardened. Concrètement, qu'est-ce que cela veut dire dans mon cas ? Vais-je tomber sur des options de configurations nouvelles ? auquel cas, ça sera un grand risque pour moi de rebooter sous un tel noyau.
Il y aura ainsi moins d'update à faire ;-) Et plein d'options pour sécuriser le kernel...
Hum ! Pour moi, c'est plus inquiétant que rassurant ça...
-- Christophe PEREZ Écrivez moi sans _faute !
Le Wed, 08 Jun 2005 23:59:57 +0200, l'indien a écrit:
Sur un serveur, je préconiserai de mettre une Gentoo hardened.
Ah, justement, je ne sais même pas à quoi correspond un hardened.
Concrètement, qu'est-ce que cela veut dire dans mon cas ?
Vais-je tomber sur des options de configurations nouvelles ?
auquel cas, ça sera un grand risque pour moi de rebooter sous un tel
noyau.
Il y aura ainsi moins d'update à faire ;-)
Et plein d'options pour sécuriser le kernel...
Hum ! Pour moi, c'est plus inquiétant que rassurant ça...
Le Wed, 08 Jun 2005 23:59:57 +0200, l'indien a écrit:
Sur un serveur, je préconiserai de mettre une Gentoo hardened.
Ah, justement, je ne sais même pas à quoi correspond un hardened. Concrètement, qu'est-ce que cela veut dire dans mon cas ? Vais-je tomber sur des options de configurations nouvelles ? auquel cas, ça sera un grand risque pour moi de rebooter sous un tel noyau.
Il y aura ainsi moins d'update à faire ;-) Et plein d'options pour sécuriser le kernel...
Hum ! Pour moi, c'est plus inquiétant que rassurant ça...
-- Christophe PEREZ Écrivez moi sans _faute !
Christophe PEREZ
Le Wed, 08 Jun 2005 23:02:05 +0200, Shal a écrit:
Déjà, le SMP indiqué, est-ce juste une option de compilation ou est-ce un noyau spécifique ?
Option de compilation
Ok, donc si je prends un vanilla-sources, et que j'utilise le config avec un make oldconfig, je devrais retomber sur le même noyau, non ?
examiner les changelog et les avis de sécurités par exemple sur http://www.frsirt.com. par rapport aux vulnérabilités auquel ton systéme est sensible. Desolé, il n'y a pas de solution magique.
Ah ouais, effectivement, lourd...
Mais s'il n'y a pas de nouveau noyau dans gentoo c'est que peut-etre il est securitsé.
Ce n'est pas ça, je n'ai pas du m'expliquer correctement, mais il ne me semble pas que ce soit un noyau gentoo. Je ne sais pas du tout d'où ils l'ont sorti ce noyau. Du coup, je ne sais pas avec quoi le mettre à jour. Je veux dire, quel noyau prendre pour en être au plus proche mais à jour.
-- Christophe PEREZ Écrivez moi sans _faute !
Le Wed, 08 Jun 2005 23:02:05 +0200, Shal a écrit:
Déjà, le SMP indiqué, est-ce juste une option de compilation ou est-ce
un noyau spécifique ?
Option de compilation
Ok, donc si je prends un vanilla-sources, et que j'utilise le config avec
un make oldconfig, je devrais retomber sur le même noyau, non ?
examiner les changelog et les avis de sécurités par exemple sur
http://www.frsirt.com. par rapport aux vulnérabilités auquel ton systéme
est sensible.
Desolé, il n'y a pas de solution magique.
Ah ouais, effectivement, lourd...
Mais s'il n'y a pas de nouveau noyau dans gentoo c'est que peut-etre il
est securitsé.
Ce n'est pas ça, je n'ai pas du m'expliquer correctement, mais il ne me
semble pas que ce soit un noyau gentoo.
Je ne sais pas du tout d'où ils l'ont sorti ce noyau.
Du coup, je ne sais pas avec quoi le mettre à jour. Je veux dire, quel
noyau prendre pour en être au plus proche mais à jour.
Déjà, le SMP indiqué, est-ce juste une option de compilation ou est-ce un noyau spécifique ?
Option de compilation
Ok, donc si je prends un vanilla-sources, et que j'utilise le config avec un make oldconfig, je devrais retomber sur le même noyau, non ?
examiner les changelog et les avis de sécurités par exemple sur http://www.frsirt.com. par rapport aux vulnérabilités auquel ton systéme est sensible. Desolé, il n'y a pas de solution magique.
Ah ouais, effectivement, lourd...
Mais s'il n'y a pas de nouveau noyau dans gentoo c'est que peut-etre il est securitsé.
Ce n'est pas ça, je n'ai pas du m'expliquer correctement, mais il ne me semble pas que ce soit un noyau gentoo. Je ne sais pas du tout d'où ils l'ont sorti ce noyau. Du coup, je ne sais pas avec quoi le mettre à jour. Je veux dire, quel noyau prendre pour en être au plus proche mais à jour.
-- Christophe PEREZ Écrivez moi sans _faute !
l'indien
On Wed, 08 Jun 2005 19:18:05 -0400, Christophe PEREZ wrote:
Le Wed, 08 Jun 2005 23:59:57 +0200, l'indien a écrit:
Sur un serveur, je préconiserai de mettre une Gentoo hardened.
Ah, justement, je ne sais même pas à quoi correspond un hardened. Concrètement, qu'est-ce que cela veut dire dans mon cas ? Vais-je tomber sur des options de configurations nouvelles ? auquel cas, ça sera un grand risque pour moi de rebooter sous un tel noyau.
Il y aura ainsi moins d'update à faire ;-) Et plein d'options pour sécuriser le kernel...
Hum ! Pour moi, c'est plus inquiétant que rassurant ça...
Il ne faut pas croire celà ! La version hardened de Gentoo, c'est la version sécurisée. Quand je dis qu'il y a moins d'updates, c'est que n'arrive dans cette version, en principe, que des packages qui sont blindés au niveau sécurité. Par exemple, gcc rajoute des stubs pour éviter l'execution de code dans la pile ou certains débordements. Idem pour la glibc. Les packages sont donc en principe mis à jour qu'après avoir été bien testé et patchés dans la Gentoo "normale".
Dans le noyau, il y a un packets d'options en plus liées à la sécurité. Il est ainsi possible de définir une politique de sécurité précise. Des exemples en vrac: rendre les pid et les file-descriptor random pour rendre la tache des rootkit plus difficile, on peut empecher certains programmes de faire certaines choses sur les sockets, empêcher un utilisateur d'avoir des informations sur les processes des autres,... En cas de doute, en n'activant pas ces options, le noyau est, dans le pire des cas, similaire à un noyau "classique". En activant judicieusement certaines de ces options, on peut obtenir quelque chose d'assez blindé...
On Wed, 08 Jun 2005 19:18:05 -0400, Christophe PEREZ wrote:
Le Wed, 08 Jun 2005 23:59:57 +0200, l'indien a écrit:
Sur un serveur, je préconiserai de mettre une Gentoo hardened.
Ah, justement, je ne sais même pas à quoi correspond un hardened.
Concrètement, qu'est-ce que cela veut dire dans mon cas ?
Vais-je tomber sur des options de configurations nouvelles ?
auquel cas, ça sera un grand risque pour moi de rebooter sous un tel
noyau.
Il y aura ainsi moins d'update à faire ;-)
Et plein d'options pour sécuriser le kernel...
Hum ! Pour moi, c'est plus inquiétant que rassurant ça...
Il ne faut pas croire celà !
La version hardened de Gentoo, c'est la version sécurisée.
Quand je dis qu'il y a moins d'updates, c'est que n'arrive dans cette
version, en principe, que des packages qui sont blindés au niveau
sécurité.
Par exemple, gcc rajoute des stubs pour éviter l'execution de code dans
la pile ou certains débordements. Idem pour la glibc.
Les packages sont donc en principe mis à jour qu'après avoir été bien
testé et patchés dans la Gentoo "normale".
Dans le noyau, il y a un packets d'options en plus liées à la sécurité.
Il est ainsi possible de définir une politique de sécurité précise.
Des exemples en vrac: rendre les pid et les file-descriptor random pour
rendre la tache des rootkit plus difficile, on peut empecher certains
programmes de faire certaines choses sur les sockets, empêcher un
utilisateur d'avoir des informations sur les processes des autres,...
En cas de doute, en n'activant pas ces options, le noyau est, dans le pire
des cas, similaire à un noyau "classique". En activant judicieusement
certaines de ces options, on peut obtenir quelque chose d'assez blindé...
On Wed, 08 Jun 2005 19:18:05 -0400, Christophe PEREZ wrote:
Le Wed, 08 Jun 2005 23:59:57 +0200, l'indien a écrit:
Sur un serveur, je préconiserai de mettre une Gentoo hardened.
Ah, justement, je ne sais même pas à quoi correspond un hardened. Concrètement, qu'est-ce que cela veut dire dans mon cas ? Vais-je tomber sur des options de configurations nouvelles ? auquel cas, ça sera un grand risque pour moi de rebooter sous un tel noyau.
Il y aura ainsi moins d'update à faire ;-) Et plein d'options pour sécuriser le kernel...
Hum ! Pour moi, c'est plus inquiétant que rassurant ça...
Il ne faut pas croire celà ! La version hardened de Gentoo, c'est la version sécurisée. Quand je dis qu'il y a moins d'updates, c'est que n'arrive dans cette version, en principe, que des packages qui sont blindés au niveau sécurité. Par exemple, gcc rajoute des stubs pour éviter l'execution de code dans la pile ou certains débordements. Idem pour la glibc. Les packages sont donc en principe mis à jour qu'après avoir été bien testé et patchés dans la Gentoo "normale".
Dans le noyau, il y a un packets d'options en plus liées à la sécurité. Il est ainsi possible de définir une politique de sécurité précise. Des exemples en vrac: rendre les pid et les file-descriptor random pour rendre la tache des rootkit plus difficile, on peut empecher certains programmes de faire certaines choses sur les sockets, empêcher un utilisateur d'avoir des informations sur les processes des autres,... En cas de doute, en n'activant pas ces options, le noyau est, dans le pire des cas, similaire à un noyau "classique". En activant judicieusement certaines de ces options, on peut obtenir quelque chose d'assez blindé...
Richard Delorme
Mais s'il n'y a pas de nouveau noyau dans gentoo c'est que peut-etre il est securitsé.
Ce n'est pas ça, je n'ai pas du m'expliquer correctement, mais il ne me semble pas que ce soit un noyau gentoo.
Pour être sûr, tu peux faire un "emerge -s sources" pour voir si le noyau provient d'un paquet gentoo et duquel.
Je ne sais pas du tout d'où ils l'ont sorti ce noyau. Du coup, je ne sais pas avec quoi le mettre à jour. Je veux dire, quel noyau prendre pour en être au plus proche mais à jour.
-- Richard
Mais s'il n'y a pas de nouveau noyau dans gentoo c'est que peut-etre il
est securitsé.
Ce n'est pas ça, je n'ai pas du m'expliquer correctement, mais il ne me
semble pas que ce soit un noyau gentoo.
Pour être sûr, tu peux faire un "emerge -s sources" pour voir si le
noyau provient d'un paquet gentoo et duquel.
Je ne sais pas du tout d'où ils l'ont sorti ce noyau.
Du coup, je ne sais pas avec quoi le mettre à jour. Je veux dire, quel
noyau prendre pour en être au plus proche mais à jour.
Mais s'il n'y a pas de nouveau noyau dans gentoo c'est que peut-etre il est securitsé.
Ce n'est pas ça, je n'ai pas du m'expliquer correctement, mais il ne me semble pas que ce soit un noyau gentoo.
Pour être sûr, tu peux faire un "emerge -s sources" pour voir si le noyau provient d'un paquet gentoo et duquel.
Je ne sais pas du tout d'où ils l'ont sorti ce noyau. Du coup, je ne sais pas avec quoi le mettre à jour. Je veux dire, quel noyau prendre pour en être au plus proche mais à jour.
-- Richard
Christophe PEREZ
Le Thu, 09 Jun 2005 02:11:52 +0200, l'indien a écrit:
Hum ! Pour moi, c'est plus inquiétant que rassurant ça...
Il ne faut pas croire celà ! La version hardened de Gentoo, c'est la version sécurisée. Quand je dis qu'il y a moins d'updates, c'est que n'arrive dans cette version, en principe, que des packages qui sont blindés au niveau sécurité.
Oui, ça j'avais cru comprendre.
Par exemple, gcc rajoute des stubs pour éviter l'execution de code dans la pile ou certains débordements. Idem pour la glibc. Les packages sont donc en principe mis à jour qu'après avoir été bien testé et patchés dans la Gentoo "normale".
Mais cela veut-il dire que c'est toute la gentoo qu'il faut avoir en hardened ?
Dans le noyau, il y a un packets d'options en plus liées à la sécurité. Il est ainsi possible de définir une politique de sécurité précise. Des exemples en vrac: rendre les pid et les file-descriptor random pour rendre la tache des rootkit plus difficile, on peut empecher certains programmes de faire certaines choses sur les sockets, empêcher un utilisateur d'avoir des informations sur les processes des autres,...
Effectivement, ça fait envie... ;-)
En cas de doute, en n'activant pas ces options, le noyau est, dans le pire des cas, similaire à un noyau "classique".
Ça c'est rassurant.
En activant judicieusement certaines de ces options, on peut obtenir quelque chose d'assez blindé...
Ok ! Mais bon, je me vois mal tester directement sur le serveur...
Merci pour toutes ces infos.
-- Christophe PEREZ Écrivez moi sans _faute !
Le Thu, 09 Jun 2005 02:11:52 +0200, l'indien a écrit:
Hum ! Pour moi, c'est plus inquiétant que rassurant ça...
Il ne faut pas croire celà !
La version hardened de Gentoo, c'est la version sécurisée.
Quand je dis qu'il y a moins d'updates, c'est que n'arrive dans cette
version, en principe, que des packages qui sont blindés au niveau
sécurité.
Oui, ça j'avais cru comprendre.
Par exemple, gcc rajoute des stubs pour éviter l'execution de code dans
la pile ou certains débordements. Idem pour la glibc.
Les packages sont donc en principe mis à jour qu'après avoir été bien
testé et patchés dans la Gentoo "normale".
Mais cela veut-il dire que c'est toute la gentoo qu'il faut avoir en
hardened ?
Dans le noyau, il y a un packets d'options en plus liées à la sécurité.
Il est ainsi possible de définir une politique de sécurité précise.
Des exemples en vrac: rendre les pid et les file-descriptor random pour
rendre la tache des rootkit plus difficile, on peut empecher certains
programmes de faire certaines choses sur les sockets, empêcher un
utilisateur d'avoir des informations sur les processes des autres,...
Effectivement, ça fait envie... ;-)
En cas de doute, en n'activant pas ces options, le noyau est, dans le pire
des cas, similaire à un noyau "classique".
Ça c'est rassurant.
En activant judicieusement
certaines de ces options, on peut obtenir quelque chose d'assez blindé...
Ok !
Mais bon, je me vois mal tester directement sur le serveur...
Le Thu, 09 Jun 2005 02:11:52 +0200, l'indien a écrit:
Hum ! Pour moi, c'est plus inquiétant que rassurant ça...
Il ne faut pas croire celà ! La version hardened de Gentoo, c'est la version sécurisée. Quand je dis qu'il y a moins d'updates, c'est que n'arrive dans cette version, en principe, que des packages qui sont blindés au niveau sécurité.
Oui, ça j'avais cru comprendre.
Par exemple, gcc rajoute des stubs pour éviter l'execution de code dans la pile ou certains débordements. Idem pour la glibc. Les packages sont donc en principe mis à jour qu'après avoir été bien testé et patchés dans la Gentoo "normale".
Mais cela veut-il dire que c'est toute la gentoo qu'il faut avoir en hardened ?
Dans le noyau, il y a un packets d'options en plus liées à la sécurité. Il est ainsi possible de définir une politique de sécurité précise. Des exemples en vrac: rendre les pid et les file-descriptor random pour rendre la tache des rootkit plus difficile, on peut empecher certains programmes de faire certaines choses sur les sockets, empêcher un utilisateur d'avoir des informations sur les processes des autres,...
Effectivement, ça fait envie... ;-)
En cas de doute, en n'activant pas ces options, le noyau est, dans le pire des cas, similaire à un noyau "classique".
Ça c'est rassurant.
En activant judicieusement certaines de ces options, on peut obtenir quelque chose d'assez blindé...
Ok ! Mais bon, je me vois mal tester directement sur le serveur...
Merci pour toutes ces infos.
-- Christophe PEREZ Écrivez moi sans _faute !
Christophe PEREZ
Le Thu, 09 Jun 2005 08:05:37 +0200, Richard Delorme a écrit:
Pour être sûr, tu peux faire un "emerge -s sources" pour voir si le noyau provient d'un paquet gentoo et duquel.
Le noyau ne vient d'aucun packet gentoo. Tout au moins, aucun paquets installé dans mon arbre portage.
$ qpkg -I | grep sources 10:38:34 ~ $
Je soupçonne l'hébergeur d'avoir son propre système de déploiement de gentoo, style stage 4, noyau compris. Il a peut-être mis un noyau gentoo, mais ne l'a pas installé par portage.
-- Christophe PEREZ Écrivez moi sans _faute !
Le Thu, 09 Jun 2005 08:05:37 +0200, Richard Delorme a écrit:
Pour être sûr, tu peux faire un "emerge -s sources" pour voir si le
noyau provient d'un paquet gentoo et duquel.
Le noyau ne vient d'aucun packet gentoo. Tout au moins, aucun paquets
installé dans mon arbre portage.
$ qpkg -I | grep sources
10:38:34 chris@se100 ~ $
Je soupçonne l'hébergeur d'avoir son propre système de déploiement de
gentoo, style stage 4, noyau compris. Il a peut-être mis un noyau gentoo,
mais ne l'a pas installé par portage.
Le Thu, 09 Jun 2005 08:05:37 +0200, Richard Delorme a écrit:
Pour être sûr, tu peux faire un "emerge -s sources" pour voir si le noyau provient d'un paquet gentoo et duquel.
Le noyau ne vient d'aucun packet gentoo. Tout au moins, aucun paquets installé dans mon arbre portage.
$ qpkg -I | grep sources 10:38:34 ~ $
Je soupçonne l'hébergeur d'avoir son propre système de déploiement de gentoo, style stage 4, noyau compris. Il a peut-être mis un noyau gentoo, mais ne l'a pas installé par portage.
Je soupçonne l'hébergeur d'avoir son propre système
C'est le cas pour les Debian de ctn1. Les woody livrées étaient avec des kernels patchés maison (enfin... pas fait par eux, mais ils ont appliqué les patches que bon leur semblaient comme grsec,...), mais packagé.
Les sources ne sont pas installées.
Il y a un moyen de savoir sous Gentoo si un package est uniquement installé "binairement"? ou alors en faisant plutot un "| grep kernel" au lieu de "| grep sources"...
-- Miroir de logiciels libres http://www.etud-orleans.fr Développement de logiciels libres http://aspo.rktmb.org/activites/developpement Infogerance de serveur dédié http://aspo.rktmb.org/activites/infogerance (En louant les services de l'ASPO vous luttez contre la fracture numerique)
Je soupçonne l'hébergeur d'avoir son propre système
C'est le cas pour les Debian de ctn1. Les woody livrées étaient avec des
kernels patchés maison (enfin... pas fait par eux, mais ils ont
appliqué les patches que bon leur semblaient comme grsec,...), mais
packagé.
Les sources ne sont pas installées.
Il y a un moyen de savoir sous Gentoo si un package est uniquement
installé "binairement"? ou alors en faisant plutot un "| grep kernel"
au lieu de "| grep sources"...
--
Miroir de logiciels libres http://www.etud-orleans.fr
Développement de logiciels libres http://aspo.rktmb.org/activites/developpement
Infogerance de serveur dédié http://aspo.rktmb.org/activites/infogerance
(En louant les services de l'ASPO vous luttez contre la fracture numerique)
Je soupçonne l'hébergeur d'avoir son propre système
C'est le cas pour les Debian de ctn1. Les woody livrées étaient avec des kernels patchés maison (enfin... pas fait par eux, mais ils ont appliqué les patches que bon leur semblaient comme grsec,...), mais packagé.
Les sources ne sont pas installées.
Il y a un moyen de savoir sous Gentoo si un package est uniquement installé "binairement"? ou alors en faisant plutot un "| grep kernel" au lieu de "| grep sources"...
-- Miroir de logiciels libres http://www.etud-orleans.fr Développement de logiciels libres http://aspo.rktmb.org/activites/developpement Infogerance de serveur dédié http://aspo.rktmb.org/activites/infogerance (En louant les services de l'ASPO vous luttez contre la fracture numerique)
Christophe PEREZ
Le Thu, 09 Jun 2005 20:12:19 +0200, Rakotomandimby (R12y) Mihamina a écrit:
C'est le cas pour les Debian de ctn1. Les woody livrées étaient avec des kernels patchés maison (enfin... pas fait par eux, mais ils ont appliqué les patches que bon leur semblaient comme grsec,...), mais packagé.
Je ne pense pas que celui-ci soit patché.
Les sources ne sont pas installées.
J'ai les sources. Même que je l'avais initialement recompilé tout de suite avec les acl qu'ils avaient omis.
Il y a un moyen de savoir sous Gentoo si un package est uniquement installé "binairement"?
Je ne vois pas trop non.
ou alors en faisant plutot un "| grep kernel" au lieu de "| grep sources"...
Déjà essayé, tu penses bien, mais : $ qpkg -I | grep kernel sys-kernel/linux-headers *
Merci quand même.
-- Christophe PEREZ Écrivez moi sans _faute !
Le Thu, 09 Jun 2005 20:12:19 +0200, Rakotomandimby (R12y) Mihamina a
écrit:
C'est le cas pour les Debian de ctn1. Les woody livrées étaient avec des
kernels patchés maison (enfin... pas fait par eux, mais ils ont
appliqué les patches que bon leur semblaient comme grsec,...), mais
packagé.
Je ne pense pas que celui-ci soit patché.
Les sources ne sont pas installées.
J'ai les sources.
Même que je l'avais initialement recompilé tout de suite avec les acl
qu'ils avaient omis.
Il y a un moyen de savoir sous Gentoo si un package est uniquement
installé "binairement"?
Je ne vois pas trop non.
ou alors en faisant plutot un "| grep kernel"
au lieu de "| grep sources"...
Déjà essayé, tu penses bien, mais :
$ qpkg -I | grep kernel
sys-kernel/linux-headers *
Le Thu, 09 Jun 2005 20:12:19 +0200, Rakotomandimby (R12y) Mihamina a écrit:
C'est le cas pour les Debian de ctn1. Les woody livrées étaient avec des kernels patchés maison (enfin... pas fait par eux, mais ils ont appliqué les patches que bon leur semblaient comme grsec,...), mais packagé.
Je ne pense pas que celui-ci soit patché.
Les sources ne sont pas installées.
J'ai les sources. Même que je l'avais initialement recompilé tout de suite avec les acl qu'ils avaient omis.
Il y a un moyen de savoir sous Gentoo si un package est uniquement installé "binairement"?
Je ne vois pas trop non.
ou alors en faisant plutot un "| grep kernel" au lieu de "| grep sources"...
Déjà essayé, tu penses bien, mais : $ qpkg -I | grep kernel sys-kernel/linux-headers *