Cet article explique son installation et sa configuration.
Aller plus loin
- L'article (119 clics)
- Le site officiel (46 clics)
Comprendre et installer SELinux
26
nov.
2001
Security Enhanced Linux est un projet Linux mis en oeuvre par la NSA afin de développer un système Linux plus sécurisé. SELinux est un assortiment de patchs du noyau Linux et d'utilitaires conçu autours d'un système de contrôle d'accès obligatoire.
Cet article explique son installation et sa configuration.
Cet article explique son installation et sa configuration.
# pourquoi une nouvelle distrib ?
Posté par arnaud . Évalué à 1.
Je sais bien qu'il y a une différence de licence mais je ne crois pas que pour la NSA ce soit un critère important.
[^] # Re: pourquoi une nouvelle distrib ?
Posté par bmc . Évalué à 1.
Le fait est que les patches de la NSA pour Linux semblent apporter une sécurité a priori bien plus avancée que ce qu'on peut trouver actuellement sur les OS libres, même les BSD.
Pourquoi Linux ? voir http://www.nsa.gov/selinux/faq.html#I9(...)
En gros, Linux a une base d'utilisateurs et de développeurs plus importante, et peut-être plus "réceptive" que celle d'autres OS.
[^] # Re: pourquoi une nouvelle distrib ?
Posté par Anonyme . Évalué à 1.
D'un autre côté, la base d'utilisateurs et de développeurs est unique sur linux (même s'il y a plusieurs distributions), alors qu'elle est multiple sur les *BSD... il est assez rare de trouver des utilisateurs/développeurs à la fois sur free, net, et openbsd.
[^] # Re: pourquoi une nouvelle distrib ?
Posté par kalahann . Évalué à 1.
D'ailleurs, le port Sparc64 d'openbsd est basé sur le noyau de netBSD. à propos d'open/sparc64: "The orginal port was made for NetBSD by Eduardo Horvath and released for the first time in January 1999. The porting to OpenBSD started in August 2001 and in the end of September the first binary snapshot was released".
2 mois, c'est plutôt correct :o)
En ce qui concerne les applications associées aux patches noyau, je suppose qu'ils peuvent être identiques sur les 2 plateformes (linux et *bsd) assez facilement. Si ce ne sont que des programmes de config...
En ce qui concerne les problèmes de licence, il me semble qu'on ne peut pas inclure de code GPL dans un programme sous licence BSD... Quelqu'un pour confirmer? Toutefois, la NSA a donné ses patchs en licence BSD comme en licence GPL, à voir...
On peut lire à l'adresse: http://www.nsa.gov/selinux/license.html(...)
"All source code found on this site is released under the same terms and conditions as the original sources. For example, the patches to the Linux kernel, patches to many existing utilities, and new programs and libraries available here are released under the terms and conditions of the GNU General Public License (GPL). The patches to some existing utilities and libraries available here are released under the terms and conditions of the BSD license."
[^] # Re: pourquoi une nouvelle distrib ?
Posté par Rin Jin (site web personnel) . Évalué à 1.
http://www.openbsd.org/fr/goals.html(...) :
"Intégrer du code écrit correctement venant de n'importe quelle source avec un copyright acceptable (Licence BSD préférée, GPL acceptée, mais pas de NDA)."
Il semblerait bien que l'on puisse inclure du GPL dans du BSD mais ici, il n'est question que d'openBSD, j'ignore ce qu'il en ai pour d'autre *BSD mais je suppose que ça doit être pareil à peu de chose prés.
[^] # Re: pourquoi une nouvelle distrib ?
Posté par arnaud . Évalué à 1.
mea culpa
[^] # On croit rêver.
Posté par Rafael Pinilla . Évalué à 1.
Je souhaite simplement rappeller que la NSA a été constituée à l'issue de la première guerre mondiale.
Depuis, son budget annuel est, disons, non diffusé, depuis toujours. La NSA recrute, depuis 1950,tout ce que les universités américaines forment de mathématiciens et d'informaticiens brillant.
Depuis les années 80, la NSA ne chiffre plus sa puissance de traitement informatique qu'en "hectares".
<P>
Je jette un voile pudique sur les clés NSA de windows9X.
<P>
La NSA a 50 ans d'avance sur la cryptographie théorique. On ne peut pas gauger exactement leur niveau de compétence, car il se situe à un niveau d'expertise tel que une "simple adaptation d'algorithme" de leur part peut cacher une faille mathématique que seule leur avance en mathématique fondamemtale permet d'exploiter.
<P>
Linux, OpenBSD, OpenSSH, c'est comme un tir qui leur sort par la culasse. Ils ont du mal à contrôler une mouvement si transparent (OpenSource), issu de la communauté.
Pire, les sociétés, les gouvernements, commencent à utiliser *vraiment* ce genre d'outils.
Participer aux discussions sur les fonctionnalités du noyal 2.5, c'est pour eux le meilleur moyen de placer des trous dans un mur qu'ils ne contrôlent pas. Je ne parle pas de backdoor TCP, non, trop simple, tout le monde pourrait auditer et rectifier. Sous le couvert de coller touts les patchs de sécu, il est plus simple de placer un équivalent de ssh à leur sauce. Je parle de trous théoriques dans l'inviolabilités des algorithmes.
<P>
Soyons sérieux un instant.
Je renvois chacun aux premiers chapitres de http://www.oreilly.com/catalog/pgp/(...)
<P>
Pensez vous *vraiment* que la NSA va aider en quoi que ce soit à développer quoi que ce soit qui aille contre les interêts qui l'ont créé ?
[^] # Re: pourquoi une nouvelle distrib ?
Posté par Benoît Sibaud (site web personnel) . Évalué à 1.
GNU/Linux a une plus grande notoriété/est plus utilisé. C'est sans doute un critère important pour la NSA qui travaille en fait pour protèger les entreprises et les citoyens américains (vision angélique). A moins qu'ils ne soient fans de la GPL...
Est-ce que le ChangeLog de la NSA fait référence au DMCA ? (j'en doute, la NSA est au-dessus des lois... ou le croit en tout cas)
[^] # Re: pourquoi une nouvelle distrib ?
Posté par gle . Évalué à 1.
* NetBSD a la volonté de faire un système qui ne soit pas facilement "rootable" en évitant au maximum les failles de sécurité. Le mot clé ici est sécurité
* la NSA développe des patches qui transforment Linux en un OS sécurisé. Outre le fait d'éviter les exploits, il s'agit d'instaurer une véritable politique de sécurité pour gérer des contrôles d'accès évolués. A terme, tu dois être en mesure de stocker des documents confidentiels sur ton LinuxSE en ayant l'assurance que le système empêche les personnes non autorisées à accéder à l'information. Le mot clé est ici confidentialité
[^] # Re: pourquoi une nouvelle distrib ?
Posté par Le_Maudit Aime . Évalué à 1.
la réelle différence c'est que se linux et tous les trusted-<votre os préféré> implantent un modèle de sécurité qui est différent de celui des unix classiques.
La dernière version de Solaris commence d'ailleurs à implanter ce genre de chose en standard.
Open BSD (parce que c'est surtout d'open bsd dont on parle quand il s'agit d'un bsd sécurisé), c'est surtout un code qui est sans doute mieux relu, mais cela reste -AMH connaissance, je l'ai installé qu'une seule fois- un unix classique.
[^] # Re: pourquoi une nouvelle distrib ?
Posté par cedric . Évalué à 1.
Je crois que le but de NetBSD est de faire un truc portable, sans aucun but ni de rapidite, ni de securite, maintenant ce n'ai que mon avis.
[^] # Re: pourquoi une nouvelle distrib ?
Posté par kael . Évalué à 1.
--
et les shadocks pompaient,pompaient,.. pompaient...
[^] # Re: pourquoi une nouvelle distrib ?
Posté par Le_Maudit Aime . Évalué à 1.
2- parce que l'équivalent sous bsd de se linux c'est trusted bsd et que trusted bsd ben je sais ou ca en est.
3- j'avais écrit un petit texte dans ces colonnes indiquant les différents modèles de sécurité mais je ne le retrouve pas. Je devais être anonymous à l'époque.
# Trusting NSA ?
Posté par Henri . Évalué à 1.
Ceci dit, malgré une vigilence toujours souhaitable, merci à la NSA pour les contributions, et en avant la sécurité !
[^] # Re: Trusting NSA ?
Posté par Remi Cellier . Évalué à 1.
Perso, je pense qu'il a toujours moyen de coder ça d'une façon illisible ( je me rapelle de certain de mes scripts sed au awk qui sont incompréhensible). Est ce que quelqu'un de super competent fera vraiment un audit de ce code, Et même dans ce cas est-ce sera suffisant pour confiance à la NSA (tout le monde peut faire des erreurs).
En tous cas, c'est bien qu'une intitution comme celle là s'interesse à notre OS, et j'espere qu'on découvrira pas dans 5 ou 10 ans une mauvaise surprise.
[^] # Re: Trusting NSA ?
Posté par Alphonse Oncle . Évalué à 1.
L'affaire Ken Thompson
cf http://www.IDEALX.org/fr/doc/Licences_libres/Licences_libres-17.htm(...)
[^] # Re: Trusting NSA ?
Posté par jojolapin . Évalué à 1.
Et aura-t-il le droit de révéler les éventuelles backdoors trouvées (Digital Millenimum machinchose oblige), ces dernières pouvant très bien être considérées comme des failles de sécurité ?
[^] # Re: Trusting NSA ?
Posté par Michael Rao (site web personnel) . Évalué à 1.
Pourquoi a votre avis le DES utilise une clef de 56 bits ? A l'origine il devait utiliser une clef 64 bits, mais apres negociations entre IBM et la NSA ils on adoptes des clefs 56 bits, car la NSA pensait pouvoir casser des clefs 56 bits mais pas des 64 bits...
La NSA a toujours joulu tout pouvoir controler, alors une distrib basse plus securite qu'il ne peuve pas cracker...
[^] # Re: Trusting NSA ?
Posté par Alain Tésio . Évalué à 1.
La NSA a démarré ce projet suite à des attaques sur des sites de grosses boîtes américaines, ses motivations sur ce coup sont d'aider à faire avancer le schmilblik de la sécurité parce qu'ils pensent que ca profitera à leur économie.
[^] # Re: Trusting NSA ?
Posté par Michael Rao (site web personnel) . Évalué à 1.
A la question "peuvent t'ils mettre une backdoor sans que personne ne remarque ?", la reponse est sans conteste oui.
Quelqu'un peu troujours chercher, il a peu de chance de trouver si elle existe.
A la question "l'on t'il fait", je pense que oui. La NSA a toujours voulu tout controler, alors qu'elle fasse une distrib qu'elle de peu pas penetrer...
A mon avis si vous intallez cette distrib, vous etes en securite par rapport aux autres que la NSA.
[^] # Re: Trusting NSA ?
Posté par jcs (site web personnel) . Évalué à 1.
Je ne pense pas. Il suffit de prendre l'exemple de l'algo de cryptage DES. On s'est longtemps pose des questions sur les S-Box se demandant si la NSA n'avait pas introduit de backdoor dans l'algo. Il faudra attendre le debut des annees 90 pour se rendre compte que les fonctions S-Box ont ete concues pour resister a la cryptanalyse differentielle... Et que DES est plus sur qu'on ne pensait.
[^] # Re: Trusting NSA ?
Posté par hideo . Évalué à 1.
Bref, tant que vous n'étes pas une cible de la NSA tout devrait bien se passer =)
# Hors sujet (ou presque) : kerneli.org
Posté par rahan . Évalué à 1.
Leur nom de domaine n'a semble-t-il pas ete mis a jour.
Le projet est-il mort ou je me fourvoie ?
# Ou est réellement l'intéret
Posté par sbruchet . Évalué à 1.
Et surtout est ce que des controles qui sont fait soit même, ne sont il pas plus valable qu'un gros paquet de patch appliqué provennant d'une source dont on est même pas sur comme l'on souligner certain commentaire précedent ?
[^] # Re: Ou est réellement l'intéret
Posté par bmc . Évalué à 1.
Si par contre il y a de nombreux utilisateurs simultanés de la machine, et que tu ne les connais pas tous, ou que tu ne leur fais pas confiance, ça devient très vite beaucoup plus complexe. En effet, ils doivent pouvoir faire ce qu'ils ont à faire sur la machine, et auront donc fatalement des droits sur certaines parties du système (le système de fichiers, des exécutables, de la RAM, etc...)
Le principe qui sous-tend la publication de ces patches est donc légitime, reste à savoir si l'implémentation est bien sûre (pas de backdoors ou autres cadeaux).
[^] # Re: Ou est réellement l'intéret
Posté par Alphonse Oncle . Évalué à 1.
# Oui mais
Posté par Yoan Blanc . Évalué à 1.
Le logiciel libre doit-il devenir un instrument de la mainmise américaine sur le marché commercial mondial (la NSA aide régulierement des entreprises américaine sur des appels d'offres internationaux.)
Je trouve cette initiative, bien que techniquement interessante, éthiquement limite...
[^] # Re: Oui mais
Posté par Alain Tésio . Évalué à 1.
A propos d'echelon, ca ne nuit pas spécifiquement au logiciel libre (par définition)
Et puis ca ne sert plus à rien, ce qui veulent vraiment protéger leurs données peuvent le faire, cf. constat d'échec de l'orientation surtout informatique des services américains ces dernières années. La NSA m'inspire plus de pitié que de frayeurs.
La NSA n'a pas besoin de selinux pour "protéger ses données"
Tous les états aident leurs grandes entreprises sur les appels d'offres internationaux, l'echelon de la France on n'en parle pas parce qu'il est beaucoup plus limité.
C'est un projet opensource, j'ai regardé le patch du kernel, il fait 8000 lignes, un audit n'est pas insurmontable.
Je suis plutôt content de ce qu'apporte la NSA ici. C'est en GPL, les développeurs linux peuvent le reprendre dans le kernel officiel si un jour c'est stable et contrôle le projet.
Dès qu'il y a une annonce sur quoi que ce soit qui vient des US on a toujours quelques gauchistes pour critiquer par réflexe, mais là je crois qu'ils ont perdu un occasion de se taire.
[^] # Re: Oui mais
Posté par Alphonse Oncle . Évalué à 1.
Heu pourquoi tu catalogues le post d'au dessus comme celui d'un gauchiste qui critique par reflexe.
T'es sur que tu fais pas le meme genre de chose avec ton commentaire quand tu postes une remarque de ce genre?
Bref je trouve ta derniere phrase gratuite et de trop.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.