Forum Astuces.divers Utiliser Skype en toute sécurité

Posté par  (site web personnel) .
Étiquettes :
3
23
sept.
2010

Parfois, on a pas le choix, et on doit utiliser des logiciels qu'on déteste, comme Skype.

Et on aimerait bien pouvoir se protéger de ce binaire complètement fermé, mais comment ? Ma solution consiste à créer un second utilisateur sur le système (un compte séparé de notre compte principal) qui permettra de restreindre les accès des logiciels dont on a pas confiance.

Une fois ceci réalisé, rien de plus simple pour exécuter skype me direz-vous :

sudo -u sandbox ./skype

(…)

Forum Linux.redhat Fedora 12, nouveau, et Xorg qui ne se lance pas

Posté par  .
Étiquettes :
0
25
mai
2010
Bonjour à tous !

1re demande d'aide sur un problème épineux, que je n'arrive pas à résoudre.
Je suis passé il y a quelques temps de Fedora 10 à Fedora 12 et là ... c'est le drame. Pas moyen de démarrer une sessions Xorg. Par défaut il y a les drivers nouveau, ça ne marche pas. Les drivers binaires Nvidia, idem. Je suis donc repassé en drivers nouveau, avec l'intention de les faire fonctionner. J'ai également penser que ma carte (…)

Forum Linux.général Confiner un processus

Posté par  .
Étiquettes :
3
24
mai
2010
Bonjour à tous,

Je recherche une solution simple et efficace pour confiner des processus. Idéalement, la solution, en dehors de l'isolation, permettrait :
  • une consommation de ressources supplémentaires faible
  • une administration aisée
  • éventuellement de pouvoir limité le processus en termes de consommation, mémoire, disque, cpu

Étant donné que mes besoins sont assez légers - en gros isoler un serveur Web, un serveur de base de données... - j'aurais tendance à disqualifier Xen et autres KVM. J'ai ainsi retenu :

Nouvelle version 2.6.34 du noyau Linux

Posté par  (site web personnel) . Modéré par Nÿco.
81
17
mai
2010
Noyau
La sortie de la version stable 2.6.34 du noyau Linux vient d'être annoncée par Linus Torvalds. Le nouveau noyau est, comme d'habitude, téléchargeable sur les serveurs du site kernel.org.

Le détail des évolutions, nouveautés et prévisions est dans la seconde partie de la dépêche (qui est sous licence CC BY-SA).

Les distributions GNU/Linux sécurisées

Posté par  (site web personnel) . Modéré par patrick_g.
33
2
avr.
2010
Sécurité
L'écosystème des distributions GNU/Linux est saturé. Le site Distrowatch en recense plus de 300 et ce chiffre est sans doute une sous-estimation.
On trouve bien entendu les "grandes" que tout le monde connaît (Red Hat/Fedora, Debian GNU/Linux, Ubuntu, Mandriva Linux, etc) mais il existe une multitude de petits projets spécialisés, de forks plus ou moins amicaux, d'expérimentations diverses et variées.
Certaines de ces distributions ont choisi de se spécialiser dans le secteur de la sécurité et il m'a semblé intéressant de regarder d'un peu plus près ce qu'elles avaient à proposer.

Il n'est pas question ici des live-CD spécialisés qui permettent de vérifier la sécurité d'un réseau ou d'un poste local (du type Network Security Toolkit ou bien HoneyWall). Ces distributions sont incontestablement intéressantes mais ce n'est pas le sujet de cette dépêche. Ce qui va être examiné ce sont les distributions installables qui veulent proposer une sécurité au dessus de la moyenne. Seront également examinés certains patchs ou paquets spéciaux pour des distributions préexistantes.
La niche écologique de ces distributions spéciales, ou de ces variantes, c'est la promesse d'une sécurité supérieure par le biais de diverses améliorations techniques.

Dans la suite de la dépêche nous examinerons donc :
  • OpenWall
  • EnGarde Secure Linux
  • Grsecurity/Pax
  • NetSecL
  • Bastille Unix
  • Hardened Gentoo/Hardened Debian

Forum Linux.général restore systeme dans un .img + boot via xen

Posté par  .
Étiquettes :
0
5
mar.
2010

hello,

j'ai un systeme qui tourne sur la machine A et je veux la virtualiser sur une machine B qui tourne avec debian/XEN:

Depuis B:

    dd if=/dev/zero of=/home/disks/test2.img bs=1024k count=6000  
    mkfs.ext3 -F /home/disks/test2.img  
    mount -o loop /home/disks/test2.img /media/externe  

On importe les données a chaud

    rsync -azuv --exclude=/proc --exclude=/lost+found --exclude=/mnt --exclude=/sys root@MACHINE_A:/  .  
    mkdir proc  
    mkdir lost+found  
    mkdir mnt  
    mkdir sys  

quand je monte l'image je vois bien le systeme:

    debian:/# ls /media/externe  
    total 92  
    drwxr-xr-x  21 root root  4 mar
(…)

Nouvelle version 2.6.33 du noyau Linux

Posté par  (site web personnel) . Édité par Benoît Sibaud. Modéré par baud123.
118
25
fév.
2010
Noyau
La sortie de la version stable 2.6.33 du noyau Linux vient d'être annoncée par Linus Torvalds. Le nouveau noyau est - comme d'habitude - téléchargeable sur les serveurs du site kernel.org.

Le détail des évolutions, nouveautés et prévisions est dans la seconde partie de la dépêche (qui est sous licence libre CC BY-SA).

PS : Je tiens à remercier tout particulièrement Frédéric Weisbecker, premier contributeur en terme de patchs sur le noyau 2.6.33, qui a accepté de donner un peu de son temps pour répondre à mes questions. Vous trouverez un entretien en fin de dépêche.

PS 2 : Merci aussi aux relecteurs/correcteurs de cette (longue) dépêche.

Journal Un autre type de faille locale

Posté par  .
Étiquettes :
44
19
fév.
2010
En 2007, le développeur de grsecurity, Brad Spengler, a dévoilé un nouveau type de brèche dans les systèmes Linux. À cette époque, la mise en avant de cette faille n'a pas fait grand bruit car comme pour la découvrir, il aurait fallu déployer de trésors d'inventivité pour pouvoir l'exploiter. Il ne s'est néanmoins pas découragé et a posté le 16 juillet 2009 un autre exploit du même genre.

Le problème qu'il a soulevé a été assez vite (…)

Test de la Fedora 12 (Constantine)

Posté par  (site web personnel) . Modéré par j.
Étiquettes :
8
25
déc.
2009
Fedora
La distribution Fedora 12 (Constantine) est sortie il y a quelques semaines comme annoncé sur LinuxFr.org, et j'ai réalisé un test de cette dernière avec les captures d'écran d'usage.

J'ai pour l'occasion téléchargé les versions i386 et x86_64 sur mes portables Lenovo 3000 (Intel Core 2 Duo T7300 avec 2 Go de RAM et carte vidéo Nvidia 8xxx mobile) et mon Toshiba Qosmio G40 (4Go de RAM et carte vidéo nvidia).

Fedora 12 contient une belle liste de nouveautés : KDE 4.3.3, GNOME 2.28, noyau 2.6.31, Firefox 3.5.6 (3.5.4 avant les mises à jour), XFCE 4.6.1, SELinux sandbox et GCC 4.4.2

Je vous invite donc à consulter ce petit survol des nouveautés à la sauce FRLinux (petit rappel, comme pour la plupart des distributions testées, le but est de fournir un avis rapide sur une distribution pour l'utilisateur ou le décideur pressé).

Nouvelle version 2.6.32 du noyau Linux

Posté par  (site web personnel) . Édité par Benoît Sibaud. Modéré par patrick_g.
93
3
déc.
2009
Noyau
La sortie de la version stable 2.6.32 du noyau Linux vient d'être annoncée par Linus Torvalds. Le nouveau noyau est, comme d'habitude, téléchargeable sur les serveurs du site kernel.org.
Ce noyau 2.6.32 est particulièrement important car il sera intégrée dans la prochaine version Ubuntu avec support à long terme (Ubuntu 10.04 LTS) et dans la prochaine version Debian 6.0 "Squeeze".

Le détail des évolutions, nouveautés et prévisions est dans la seconde partie de la dépêche (placée sous licence libre CC BY-SA).

Journal Sortie de Setup 0.1-alpha0

Posté par  (site web personnel) .
Étiquettes :
39
27
nov.
2009
Bonjour,

Aujourd'hui, j'ai le plaisir de vous annoncer que des mois de travail portent enfin leurs fruits. Après un début purement théorique, le gestionnaire de paquets que je développe pour le moment sort enfin à la lumière du soleil.

Cette version n'est pas du tout stable, et n'est là que pour montrer que le travail avance, mais peut déjà être testée, et appréciée. Certaines fonctionnalités critiques sont encore absentes (désinstallation, mise à jour), mais l'installation marche déjà correctement.

Qu'est-ce (…)

Faille locale dans les fonctions pipe_*_open() du noyau Linux

Posté par  (site web personnel) . Modéré par rootix.
38
5
nov.
2009
Sécurité
Une situation de compétition (race condition) a été trouvée le 14 octobre dans les fonctions pipe_read_open(), pipe_write_open() et pipe_rdwr_open() du noyau Linux par Earl Chew, bug vieux de plus de dix ans. Deux jours plus tard, Earl a écrit un patch corrigeant le bug (commité le 21 octobre, il fait partie de la version 2.6.32-rc6).

L'histoire pourrait s'arrêter là, mais Eugene Teo de Red Hat a découvert cinq jours plus tard que le bug est une faille de sécurité. La faille est facile à exploiter avec la boîte à outils de Brad Spengler. Comme les dernières failles du noyau Linux (vmsplice(), tun_chr_pool() et perf_counter), la faille est liée au déréférencement d'un pointeur NULL. Brad Spengler a écrit un exploit (pouvoir passer root à partir d'un compte utilisateur) fonctionnant sur, au moins, Debian Etch, Fedora (6, 10 et 11), et RedHat (5.3 et 5.4). L'exploit contourne les protections SELinux dans le cas de Fedora 10 et RedHat 5.4. Il devrait publier son exploit dans les prochains jours.

Pour se protéger (ou vérifier si votre système est vulnérable ou non), assurez-vous que la valeur de /proc/sys/vm/mmap_min_addr ne soit pas nulle. Debian Sid, Mandriva Linux 2010.0, Fedora 12, Ubuntu (Ibex et supérieurs) et les noyaux patchés avec grsecurity ne sont pas vulnérables. Alors que Debian Lenny et Squeeze ont une valeur nulle par exemple (il est prévu de changer ça à partir de Debian 5.0.4). Comme l'option mmap_min_addr a été introduite dans Linux 2.6.23, Debian Etch (qui utilise un noyau 2.6.18) est vulnérable : vous pouvez utiliser les paquets etchhalf pour installer un noyau 2.6.24. Des correctifs pour RedHat sont déjà disponibles.

Xorg 7.5, xserver 1.7, xdc2009, passé, présent et avenir

Posté par  . Modéré par Florent Zara.
86
14
oct.
2009
Serveurs d’affichage
La dernière dépêche sur LinuxFr.org concernant le serveur X date d'au moins un an et, malgré les nombreux journaux, il est parfois utile de faire un rappel des faits. Xorg est une partie vitale de l'infrastructure libre, et il est intéressant de noter toutes ses évolutions, parfois moins visibles que celles du noyau, mais tout aussi capitales.

Depuis la sortie de Xorg 7.4, un chemin considérable a été parcouru. Entre l'intégration de XRandR 1.3 et ses déformations de projection, en passant par MPX pour le multi-pointage, sans parler des évolutions diverses, remaniement de code et autre intégration, le travail effectué est considérable. Il est surtout intéressant de noter, pour les plus courageux et curieux d'entre vous, qu'on nous promet enfin des versions à date fixe et un cycle de développement bien encadré, permettant au plus grand nombre de tester et stabiliser les fonctionnalités de cette partie vitale de votre système libre.

Avec un peu de retard, mais en français, voici des informations sur la nouvelle version de Xorg (7.5) et du xorg-server (1.7), ainsi que quelques nouvelles sur l'avancement des pilotes et ce que l'on peut attendre, dans un futur plus ou moins proche.

Journal Qui à dit que les léopard des neiges ne mangaient pas d'/home ?

Posté par  .
Étiquettes :
11
13
oct.
2009
Bon d'accord ce n'est pas sur un gnu/linux, ni un vendredi que sa se passe mais sur un bsd-like (un *nix quoi), Mac OSX snow leopard plus précisément.

Il paraîtrait que si l'on essaye de se connecter sur un compte invité (guest), puis que l'on se reconnecte sur son compte utilisateur tout sont /home/$USER est soudain effacé, et non pas le /home/guest !


[Bug Todo List]

Remove the evil joke|command 'rm /home/$(whoami)' from the login prompt!

[/Bug Todo Liste]


A (…)

Faille dans le noyau 2.6.31 : Brad remet le couvert

Posté par  (site web personnel, Mastodon) . Modéré par Bruno Michel.
27
19
sept.
2009
Noyau
Brad Spengler a décidé de faire parler de lui cette année :-) Il a écrit le 16 septembre dernier un exploit pour le noyau 2.6.31 tout chaud, à peine sorti du four (le 9 septembre). Il a d'abord posté des vidéos sur Youtube puis, le 18 septembre, le code de son exploit.

La faille se situe dans perf_counter, fonctionnalité introduite dans Linux 2.6.31. Elle n'impacte donc que cette version. La faille a été corrigée le 15 septembre (perf_counter: Fix buffer overflow in perf_copy_attr()), la veille de la première vidéo.

Malgré les corrections apportées à SELinux (ex: Security/SELinux: seperate lsm specific mmap_min_addr), cet exploit arrive à contourner SELinux en utilisant, encore une fois, le mode unconfined_t. Ce mode est utilisé pour les applications ne pouvant pas être confinées dans SELinux, comme par exemple WINE.