Sysadmin BSD ou Sysadmin Linux ?

Posté par  . Modéré par Fabien Penso.
Étiquettes :
0
2
nov.
2000
FreeBSD
Les "security-scripts" de FreeBSD viennent d'être portés pour Linux !

Ces scripts permettent à quiconque de vérifier certains points vitaux de sa box (vérification des suid, des umasks, des root-kits, les logs, les bons droits...), bref que du bonheur (enfin pour une linuxbox).

Sysadmin sous Linux ? ca s'améliore ,-)

Aller plus loin

  • # BSD

    Posté par  . Évalué à 0.

    BSD sauvera Linux des gouffres de la securite

    • [^] # Re: BSD

      Posté par  . Évalué à 0.

      c est koi la principale difference entre
      les BSD et Linux?

      • [^] # Re: BSD

        Posté par  . Évalué à 1.

        the cathedrale vs bazaar ;-)

      • [^] # Re: BSD

        Posté par  . Évalué à 0.

        propositions non ordonnees:
        - runlevels (Linux)
        - anciennete (BSD)
        - audit de code (B)
        - mode de maj (cathedral & bazaar)

        D'une maniere generale, Linux est un kernel avec de multiples et tres differentes distributions. (fork de distrib).

        BSD et un fork de kernel, mais les distrib sont assez identiques.

        Enfin histoire de vous faire troller un max, BSD est meilleur !

        • [^] # Re: BSD

          Posté par  . Évalué à 1.

          Quelques précisions...

          > - runlevels (Linux)
          Le système de runlevel provient de SysV, et Linux l'utilise aussi. Cependant, il est tout à fait concevable de porter un init(8) type SysV sur un système BSD. C'est d'ailleurs le cas dans le projet "Debian GNU/FreeBSD".

          - audit de code (B)
          L'audit systématique n'a eu lieu que dans OpenBSD, pour l'instant, et un projet similaire a été lancé pour Linux il y a peu.

          - mode de maj (cathedral & bazaar)
          Je ne vois pas le lien ici... L'intégralité des sources BSD sont accessibles par CVS, et celles d'une distribution Linux sont tout autant accessibles (certes moins centralisées). Et une modification de code doit forcément passer par un développeur BSD ou le mainteneur de tel paquetage Linux. Pas de différence particulière...

          • [^] # Re: BSD

            Posté par  . Évalué à 0.

            Le projet DEBIAN/BSD a-t-il une réelle existence ou n'est-ce-qu'un vaporware qui a hanté quelques temps les ML Debian ?

            • [^] # Re: BSD

              Posté par  . Évalué à 0.

              Je ne sais pas. Les gens de Debian soufflent alternativement le chaud et le froid a ce sujet : du travail a bien eu lieu, et une version de test etait disponible sur la page du developpeur, mais depuis le printemps le projet semble avoir ete abandonne.
              Or, aux RMLL, cet ete, un developpeur Debian disait clairement que Debian s'occupait de 3 versions (avec comme noyaux Linux, Hurd et FreeBSD)...
              Quid ?
              Y'a-t-il des personnes au courant dans l'assistance ?

      • [^] # Re: BSD

        Posté par  . Évalué à 0.

        Linux est sous GPL c'est bien
        Les *BSD sont sous license BSD, c'est mal parceque c'est une license de merde.

        • [^] # Re: BSD

          Posté par  . Évalué à 0.

          non c'est cool car tu peux reutiliser le produit comme tu veux

          • [^] # Re: BSD

            Posté par  . Évalué à 1.

            The modified BSD license. (Note: on the preceding link, the modified BSD license is listed in the "General" section.)
            This is the original BSD license, modified by removal of the advertising clause. It is a simple, permissive non-copyleft free software
            license with no particular problem. It is compatible with the GNU GPL.

            ***

            The original BSD license. (Note: on the preceding link, the original BSD license is listed in the "UCB/LBL" section.)
            This is a simple, permissive non-copyleft free software license with a serious flaw: the ``obnoxious BSD advertising clause''. The flaw is
            not fatal; that is, it does not render the software non-free. But it does cause practical problems, including incompatibility with the GNU
            GPL.

            We urge you not to use the original BSD license for software you write. However, there is no reason not to use programs that have been
            released under the BSD license.

            ***

            http://www.gnu.org/philosophy/license-list.html#SoftwareLicenses(...)

  • # Et Bastille ???

    Posté par  (site web personnel) . Évalué à 1.

    Je ne connais pas ces cripts donc je ne permettrais pas de les critiquer mais je ne vois pas la différence avec le projet Bastille-Linux qui a justement été développé à ces fins pour Linux.

    Cet ensemble de scripts Perl est très bon et permet de vérifer les droits, les SUID, les binaires sensibles, la conf inetd....

    Voir http://www.bastille-linux.org(...)

    • [^] # Re: Et Bastille ???

      Posté par  . Évalué à 1.

      J'avais cru que Bastille c'estait specifique RedHat un peu comme HardenSuse pour Suse

      • [^] # Re: Et Bastille ???

        Posté par  . Évalué à 0.

        je l'ai utiliser sous debian et ca marche impec

      • [^] # Re: Et Bastille ???

        Posté par  (site web personnel) . Évalué à 1.

        Non, maintenant ça marche pour à peu près toutes les distribs et peut être utilisé sur un système déjà configuré (au départ il fallait utiliser Bastille juste après l'install d'une nouvelle distrib).

  • # YPLUKA

    Posté par  . Évalué à 1.

    Il reste à faire, dans l'ordre d'urgence :

    Faire un distrib avec 0 service lancé par défaut
    Auditer les sources de l'OS et des binaires proposés/installés

    <trol>Refaire la pile IP, êtes-vous sûr de ne pas vouloir un OpenBSD ?</troll>

    • [^] # Re: YPLUKA

      Posté par  . Évalué à 0.

      non ce n'est pas un troll =)

      M

    • [^] # Re: YPLUKA

      Posté par  . Évalué à 1.

      Justement,
      elle n'a pas été récrite la pile IP dans Linux 2.4 ?
      (j'me souvient plus, qq confirme...)

      • [^] # Re: YPLUKA

        Posté par  (site web personnel) . Évalué à 1.

        Una partie a été réecrite : la gestion de règles de filtrages et le NAT (passage de ipchains/ipmasq à netfilter/iptables).

        Ca ne fera que la troisième fois après ipfwadm pour Linux 2.0, ipchains pour les 2.2 et now netfilter pour les 2.4

        Mais d'après ce que j'avais lu, le coeur de la pile n'a pas été réécrit et reste moins performant qu'une pile TCP/IP BSD :-( (mais ça a toujours été la différence entre les Unixes System V et les BSD).
        Qui est-ce qui s'y met ?? (plutot un top développeur vu la complexité du truc).

        • [^] # Re: YPLUKA

          Posté par  . Évalué à 1.

          clair que c'est chaud à faire !
          Même en regardant le code, on y comprend rien !
          Alan Cox à par contre expliquer un jour dans une conférence comment ça marché devant des grandes pontes IBM, c'était impressionant à écouter.
          Il connait son truc Alan, c'est clair !

          Ne connaissant pas BSD, pourquoi ne pas reprendre le code qui gère la stack IP et l'intégre à linux si c'est vraiment mieux ? Pb de licence ?

          • [^] # Re: YPLUKA

            Posté par  . Évalué à 1.

            Quelques raisons :

            1. Licence
            Pour respecter la licence GPL du noyau, les parties de code sous d'autres licences doivent être construites en module uniquement. C'est le cas, par exemple, des modules de compression ppp, qui sont sous licence BSD. La forcer à être un module empêche, par exemple, d'avoir des systèmes diskless où la partition / est montée par NFS, par exemple. Sans compter le travail de modularisation (i.e. faire en sorte que tout fonctionne avec la pile ip en module) qui n'est probablement pas trivial.

            2. Interfaces système
            Les interfaces système entre BSD et Linux (genre splxxx) sont suffisemment différentes et de sémantiques ou quirks subtilement différents pour qu'un tel travail nécessite une très bonne connaissance, et des arcanes du noyau Linux, et des arcanes des noyaux BSD. Ce qui laisse peu de développeurs potentiels.

            3. SMP
            La couche réseau de Linux 2.4 a été revue, entre autres pour diminuer la durée des verrous interprocessus en SMP. Du côté BSD, tant que le support SMP de BSDi n'est pas entièrement intégré à FreeBSD, il n'y a rien qui tienne véritablement la comparaison de ce point de vue. Ce serait donc régresser, en termes de performances SMP, que d'adopter la pile BSD sans modifications en profondeur.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.