Sur un serveur dédié (chez un hébergeur), principalement Web (http, ftp
etc...), l'hébergeur m'a fourni la machine avec un noyau :
uname -a
Linux se100 2.6.11.7 #1 SMP Thu Apr 14 16:28:00 AST 2005 i686 Intel(R) Celeron(R) CPU 2.40GHz GenuineIntel GNU/Linux
(le 2.6.11.7 n'était pas dans portage à ce moment là)
J'ai ensuite poursuivi mon install de gentoo normalement, à distance.
Par contre, aucun noyau n'est dans mes packages installés, et donc, les
emerge -Dauv world ne me le mettront jamais à jour.
Aussi, j'ai plusieurs questions, dont une très basique.
Déjà, le SMP indiqué, est-ce juste une option de compilation ou est-ce
un noyau spécifique ? Car je voudrai maintenant prendre dans portage le
noyau le plus proche de celui-ci, sans toutefois savoir ce qui a été
installé.
Ensuite, quand j'en saurai plus sur ce noyau, je pourrai faire un emerge
vanilla-sources du noyau à jour dans portage, mais, ensuite, au niveau
des mises à jour, comment gérer ça ?
Je veux dire par là que je ne souhaite surtout pas rebooter cette machine
à chaque fois qu'un nouveau noyau sort, alors comment faire malgré tout
pour avoir quelque chose de sécurisé ?
J'avoue que je nage un peu dans tout ça (pas dans la compilation de noyau
elle même) et que je cherche à mettre en place la meilleure stratégie
avec le meilleur compromis sécurité noyau / reboot nécessaire.
Merci d'avance pour l'expérience que vous m'apporterez.
On Thu, 09 Jun 2005 10:36:39 -0400, Christophe PEREZ wrote:
Le Thu, 09 Jun 2005 02:11:52 +0200, l'indien a écrit:
Hum ! Pour moi, c'est plus inquiétant que rassurant ça...
Il ne faut pas croire celà ! La version hardened de Gentoo, c'est la version sécurisée. [...]
Oui, ça j'avais cru comprendre.
Par exemple, gcc rajoute des stubs pour éviter l'execution de code dans la pile ou certains débordements. Idem pour la glibc. Les packages sont donc en principe mis à jour qu'après avoir été bien testé et patchés dans la Gentoo "normale".
Mais cela veut-il dire que c'est toute la gentoo qu'il faut avoir en hardened ?
Tu n'es pas obligé, mais c'est mieux, du point de vue sécurité. Et si tu n'utilise pas une glibc hardened, tu ne dois pas activer certaines options du kernel (mais c'est bien documenté dans l'aide de la config du noyau).
[...]
En activant judicieusement certaines de ces options, on peut obtenir quelque chose d'assez blindé...
Ok ! Mais bon, je me vois mal tester directement sur le serveur...
Effectivement, si tu as peur de casser, teste sur un clone, si tu peux, avant de migrer sur le serveur. En tout cas, c'est interressant d'essayer !
[...]
On Thu, 09 Jun 2005 10:36:39 -0400, Christophe PEREZ wrote:
Le Thu, 09 Jun 2005 02:11:52 +0200, l'indien a écrit:
Hum ! Pour moi, c'est plus inquiétant que rassurant ça...
Il ne faut pas croire celà !
La version hardened de Gentoo, c'est la version sécurisée.
[...]
Oui, ça j'avais cru comprendre.
Par exemple, gcc rajoute des stubs pour éviter l'execution de code dans
la pile ou certains débordements. Idem pour la glibc.
Les packages sont donc en principe mis à jour qu'après avoir été bien
testé et patchés dans la Gentoo "normale".
Mais cela veut-il dire que c'est toute la gentoo qu'il faut avoir en
hardened ?
Tu n'es pas obligé, mais c'est mieux, du point de vue sécurité.
Et si tu n'utilise pas une glibc hardened, tu ne dois pas activer
certaines options du kernel (mais c'est bien documenté dans l'aide de la
config du noyau).
[...]
En activant judicieusement
certaines de ces options, on peut obtenir quelque chose d'assez blindé...
Ok !
Mais bon, je me vois mal tester directement sur le serveur...
Effectivement, si tu as peur de casser, teste sur un clone, si tu peux,
avant de migrer sur le serveur.
En tout cas, c'est interressant d'essayer !
On Thu, 09 Jun 2005 10:36:39 -0400, Christophe PEREZ wrote:
Le Thu, 09 Jun 2005 02:11:52 +0200, l'indien a écrit:
Hum ! Pour moi, c'est plus inquiétant que rassurant ça...
Il ne faut pas croire celà ! La version hardened de Gentoo, c'est la version sécurisée. [...]
Oui, ça j'avais cru comprendre.
Par exemple, gcc rajoute des stubs pour éviter l'execution de code dans la pile ou certains débordements. Idem pour la glibc. Les packages sont donc en principe mis à jour qu'après avoir été bien testé et patchés dans la Gentoo "normale".
Mais cela veut-il dire que c'est toute la gentoo qu'il faut avoir en hardened ?
Tu n'es pas obligé, mais c'est mieux, du point de vue sécurité. Et si tu n'utilise pas une glibc hardened, tu ne dois pas activer certaines options du kernel (mais c'est bien documenté dans l'aide de la config du noyau).
[...]
En activant judicieusement certaines de ces options, on peut obtenir quelque chose d'assez blindé...
Ok ! Mais bon, je me vois mal tester directement sur le serveur...
Effectivement, si tu as peur de casser, teste sur un clone, si tu peux, avant de migrer sur le serveur. En tout cas, c'est interressant d'essayer !
[...]
Christophe PEREZ
Le Thu, 09 Jun 2005 23:24:13 +0200, l'indien a écrit:
Tu n'es pas obligé, mais c'est mieux, du point de vue sécurité.
je me disais bien...
Et si tu n'utilise pas une glibc hardened, tu ne dois pas activer certaines options du kernel (mais c'est bien documenté dans l'aide de la config du noyau).
Ouf ! ;-)
Effectivement, si tu as peur de casser, teste sur un clone, si tu peux, avant de migrer sur le serveur.
un pur clone, je n'ai pas, mais bon, je verrai à essayer sur mon propre serveur...
En tout cas, c'est interressant d'essayer !
Certes !
-- Christophe PEREZ Écrivez moi sans _faute !
Le Thu, 09 Jun 2005 23:24:13 +0200, l'indien a écrit:
Tu n'es pas obligé, mais c'est mieux, du point de vue sécurité.
je me disais bien...
Et si tu n'utilise pas une glibc hardened, tu ne dois pas activer
certaines options du kernel (mais c'est bien documenté dans l'aide de la
config du noyau).
Ouf ! ;-)
Effectivement, si tu as peur de casser, teste sur un clone, si tu peux,
avant de migrer sur le serveur.
un pur clone, je n'ai pas, mais bon, je verrai à essayer sur mon propre
serveur...
Le Thu, 09 Jun 2005 23:24:13 +0200, l'indien a écrit:
Tu n'es pas obligé, mais c'est mieux, du point de vue sécurité.
je me disais bien...
Et si tu n'utilise pas une glibc hardened, tu ne dois pas activer certaines options du kernel (mais c'est bien documenté dans l'aide de la config du noyau).
Ouf ! ;-)
Effectivement, si tu as peur de casser, teste sur un clone, si tu peux, avant de migrer sur le serveur.
un pur clone, je n'ai pas, mais bon, je verrai à essayer sur mon propre serveur...
