Bonjour tout l'monde.
Un journal pas très détaillé pour dire que malgré les annonces sur la fin prématurée de grecurity, cet ensemble de patchs est toujours vivant, et s'installe (vachement) bien avec Debian.
apt install linux-image-grsec-amd64
reboot
Évidemment des choses vont péter, notamment les programmes qui font du Just-In-Time (pypy, php7, rspamd, etc). Il faut donc utiliser paxctl
pour les régler afin de pouvoir continuer à s'exécuter. Ça affaiblit le niveau de sécurité, mais bon, faut bien que ça marche.
Dernière précision : du fait de la politique de grsecurity de ne pas fournir gratuitement des patches pour la version stable du noyau, ce paquet Debian n'est installable que via l'archive unstable
ou backports
.
Étant sous testing
, et ayant un peu galéré pour éviter de me retrouver pourri par les paquets unstable, je vous colle un peu en vrac ma configuration :
/etc/apt/preferences.d/unstable_priority Package: *
Pin: release a=unstable
Pin-Priority: -10
/etc/apt/preferences.d/grsec_priorityPackage: /^linux-.*-grsec-.*/
Pin: release a=unstable
Pin-Priority: 500
/etc/apt/apt.conf.d/90default_release Apt::Default-Release "testing";
/etc/apt/sources.list.d/unstable.list deb http://ftp.fr.debian.org/debian/ unstable main non-free contrib
Conclusion
C'est cool, ça marche. Je me sens en sécurité. Je sais pas si ça marche vraiment, mais bon, hein, je vais faire confiance :)
# grsecurity
Posté par yeahman . Évalué à 10. Dernière modification le 12 septembre 2016 à 14:52.
Pour ceux qui se demandent ce qu'est grsecurity: https://fr.wikipedia.org/wiki/Grsecurity
TL;DR:
# précision
Posté par lovasoa (site web personnel) . Évalué à 2.
Si je me souviens bien, il n'y a finalement pas de JIT dans php7.
[^] # Re: précision
Posté par Glandos . Évalué à 2.
Ah ? C'est vrai ? En tout cas, ça génère des messages d'erreurs de la part de grsec. Mais c'est vrai que les requêtes sont effectuées correctement quand même. Je n'ai pas testé s'il y avait une régression du coup.
# Confiance
Posté par codeDeSkynet . Évalué à 5.
Pourquoi je devrais faire confiance à un projet qui ajoute plein de code au kernel, en me disant que c'est plus sécurisé ? Ça a moins d'utilisateurs, donc c'est moins testé, et ça m'étonnerait qu'aucun des ajouts ne soit bugué. Est-ce que ça ne donne pas une fausse impression de sécurité ?
[^] # Re: Confiance
Posté par Glandos . Évalué à 9.
C'est vrai.
Mais bon, l'ANSSI le recommande dans plusieurs cas d'utilisations. Et oui, j'ai confiance dans l'ANSSI :)
[^] # Re: Confiance
Posté par Sytoka Modon (site web personnel) . Évalué à 0.
Moi pas toujours. J'ai déjà vu un document qui datait un peu…
[^] # Re: Confiance
Posté par Harvesterify (site web personnel) . Évalué à 0.
Là tu en dis trop ou pas assez.
Mes messages engagent qui je veux.
[^] # Re: Confiance
Posté par codeDeSkynet . Évalué à 1.
Moi aussi, ça me rassure ça. Ça devrait être obligatoire, ce genre de référence, quand on mentionne des outils censés améliorer la sécurité. Sans ça, aucune raison de faire confiance.
[^] # Re: Confiance
Posté par codeDeSkynet . Évalué à 2.
J'aimerais bien que ceux qui downvotent laissent un commentaire disant pourquoi ils le font. Demander des raisons de faire confiance à un programme qui se dit sécurisé, c'est le minimum des précautions. Si on n'exige même pas que ces programmes aient été revus par des gens qui s'y connaissent, pas besoin d'utiliser un noyau renforcé, on se fera de toute façon avoir par un exécutable en pièce jointe.
[^] # Re: Confiance
Posté par stopspam . Évalué à -2.
je t'ai "downvoté" pour l'example.
[^] # Re: Confiance
Posté par pasBill pasGates . Évalué à 5.
Je ne t'ai pas downvoté mais si je devais m'aventurer à deviner pourquoi je dirais que c'est parce que tu demandes des références pour un programme (un patch kernel plutôt…) qui est en fait la référence niveau sécurité sous Linux et qui est très connu.
# Unstbale ou backports
Posté par Novakin . Évalué à 2.
Bonjour,
Question surement stupide mais une raison particulière pour avoir choisi une installation depuis unstable plutôt que depuis backports ?
[^] # Re: Unstbale ou backports
Posté par Emilien (site web personnel) . Évalué à 1.
Par facilité pour les dépendances ou pour avoir la dernière version.
SysAdmin GNU/Linux et joueur assidu de Minecraft | Combattant du #libre
[^] # Re: Unstbale ou backports
Posté par kna . Évalué à 6.
Parce qu'il est en testing et que les dépots backports sont pour stable.
[^] # Re: Unstbale ou backports
Posté par Glandos . Évalué à 2.
Exactement. Je préfère installer des paquets prévu pour une distribution en avance que en retard.
Attention, backports est très bien, mais son utilisation est prévue pour la stable (actuellement Jessie).
[^] # Re: Unstbale ou backports
Posté par Novakin . Évalué à 1.
Ok merci beaucoup pour vos réponses
# Annonces sur la fin prématurée de grecurity ?
Posté par ǝpɐןƃu∀ nǝıɥʇʇɐW-ǝɹɹǝıԀ (site web personnel) . Évalué à 3.
L'aurais-je manqué sur DLFP ?
Un petit lien peut-être ?
« IRAFURORBREVISESTANIMUMREGEQUINISIPARETIMPERAT » — Odes — Horace
[^] # Re: Annonces sur la fin prématurée de grecurity ?
Posté par Glandos . Évalué à 2.
Oh, c'est pas du récent :)
En prenant la page de tag : https://linuxfr.org/tags/grsecurity/public
On tombe sur :
Et puis actuellement, des gens se plaignent parce grsecurity n'est disponible en stable que pour les clients qui paient. Personnellement, je n'ai pas d'avis, c'est juste une manière comme une autre de réagir à l'utilisation de leur code.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.