Forum Linux.debian/ubuntu Mise à jour du kernel

Posté par  .
Étiquettes :
0
2
juin
2007
Bonjour,


J'ai un serveur web sous Debian 4 , je l'ai paramétré de la manière suivante:

1)Mise en place iptables :

iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT DROP

- Les port 80 et 53 sont autorisés en entreé / sortie
-autorisation des requétes ICMP
-Modification du port par défaut du SSH

2)Mise à jour automatique des patchs de sécurité Debian
3) Mise en place rkhunter & Chkrootkit
4)Mise en place de SNORT

Plusieurs collègues , me conseillent d'installer les composants suivants , afin de renforcer la sécurité:

- installe grsec
- compilation du kernel avec la dernière version 2.6.21


Ma question est la suivante:

1) sachant que mon Kernel est en 2.6.18 :

-comment migrer de la version 2.6.18 vers la version 2.6.21?
-est ce que cette mise à jour de kernel ne va pas planter les autres produits installés sur le serveur (apache2/mysql5/php5) ?

Merci pour vos réponses

  • # arg

    Posté par  (site web personnel) . Évalué à 1.

    Pourquoi avoir la dernière version du kernel ? Sauf si t'as besoin de la dernière feature qui vient de sortir cela ne t'apportera rien de plus pour la sécurité. Si une faille est découverte dans le kernel 2.6.18 les dévellopeur debian la corrigeront et mettrons une mise a jour du kernel dans apt.
    Donc laisse ce kernel qui est stable au lieu de risquer de rendre instable ton serveur pour rien. Debian stable c'est une distribution où tout les paquets ont un suivit au niveau des bugs et des faille de sécurité.

    • [^] # Re: arg

      Posté par  . Évalué à 2.

      J'ai mis tellement de temp a ecrire mon poste que tu as repondu sans que je le vois :D Mais on est d'accors.

    • [^] # Re: arg

      Posté par  . Évalué à 1.

      Bonjour,

      Je suis d'accord avec toi .

      Mais cette remarque faisait suite aux conseils de mes collègues.

      Vos réponses confirment mon sentiment initial => je reste avec le noyau de la debian stable.

      Merci

  • # juste un avis

    Posté par  . Évalué à 2.

    Le plus simple serais de trouver un paquet "kernel-image-2.6.21-blabla.deb" (chez debian testing, unstable ou ailleur) et de l'installer via dpkg. Sinon il faudra le compiler toi meme.

    Mais securiser un noyau n'est pas seulement installer sa derniere version ! Le dernier noyau de debian stable est peut etre (sans doute?) plus securisé que le 2.6.21 .
    Enfin si tu veux sortir du noyau officiel de Debian etch, il te faudra mettre a jour ton noyau a chaque fois qu'un nouveau noyau sort. C'est pas difficile mais c'est une charge en plus.

    Donc je dirais laisse la version de Debian stable pour le moment sur ton site. Entrene toi a configurer ton noyau chez toi là oû ça craint pas. Pis installe un vrais noyau quand tu sera sûr de ton coup (le mieu est d'avoir un noyau interdisant le chargement des modules).

    Pour la 2e question je dirais nan. Mais tu en saura plus en te lançant dans la compil de noyaux.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.