> Ce genre de projet ne pourrait pas apparaître dans n'importe quelle distribution, et ce n'est pas un hasard si Debian a été choisi ici.
En passant, Fedora fait ça.
Il n'y a qu'un projet Fedora (avec Gnome, KDE, XFCE, des tonnes de jeux, etc).
Mais il y a plusieures distributions de Fedora. Une avec Gnome, une autres avec KDE, une autre pour les développements, etc.
Toutes les variantes utilisent les mêmes paquets (mais ne sélectionnent pas les même). Elles peuvent avoir des options d'installations spécifiques (langue, etc).
> Est-ce que tu est assez calé techniquement pour vraiment juger de la qualité d'AppArmor ?
Non. Mais j'ai lu une série de 4 (ou 5) articles sur AppArmor (comparé à SeLinux). Des articles très techniques et parfaitement argumentés. J'ai la flemme de les chercher, désolé.
> A lire les articles sur le net on comprend qu'AppArmor est moins bien/moins sécurisé que SELinux...mais il est aussi beaucoup plus simple.
Ce n'est pas la simplicité de AppArmor qui m'énerve, c'est sa façon simpliste, voire marketing, de faire de la sécurité. Par exemple l'auto-apprentissage est de la connerie. Il implique une mauvaise pratique de la sécurité. C'est séduisant, mais c'est de la connerie.
Unix (et donc Linux) a toujours été le développement de solution juste même si c'est long et difficile. Unix ne cède pas à la facilité comme peut le faire Windows (d'où les anti-virus, d'où les 50 000 options pour "sécuriser", etc).
Avec AppArmor on cède à la facilité pour ne pas dire l'audimat. Cette dérive est inquiétante.
> Peut-être a-il sa place en tant que solution "pas parfaite mais bien suffisante pour la majorité des gens" ?
C'est non (sauf système spécifique avec un admin qui sait ce qu'il fait). Les protections Unix classiques, c'est "pas parfaite mais bien suffisante pour la majorité des gens" ? Mais dans ce cas, es-ce que les gens bidouilles avec les protections classiques où es-ce qu'il font confiance (dans la limite de ses capacité) aux protections classiques ?
Ce n'est pas car on a un système de protection, que pour mieux se protéger le premier venu doit le bidouiller. Comme pour le système de protection classique, ce qui est fournit doit être OK et on n'a pas à y toucher sauf cas exceptionnel. Il est OK car des experts ont bossé dessus. SeLinux c'est parail. SeLinux (avec ses règles) est fait pour marcher de suite et sans bidouiller (sauf cas très particulier).
Ce que fait AppArmor, c'est séduire les gens en disant "Vous allez sécuriser Votre système". Mais ce n'est pas de ça qu'a besoin Linux ni aucun système. Ce type de truc, c'est du Windows avec 50 000 options pour "sécuriser" + un abonnement à un anti-virus. Une fois que t'as installé ton anti-virus et fouillé toutes les options de IE, t'es super content, t'as sécurisé ta bécane. C'est flatteur. Que voit-on dans la pratique ? Ben que compter sur l'utilisateur pour sécuriser une bécane est une très mauvaise idée. Que c'est quelque chose seulement à la porté des admins dans ce scénario.
C'est assurément flatteur de sécuriser sa bécane. Mais c'est trop compliqué et mieux vaut laisser ça à des spécialistes. Et dans ce cas, ces derniers ont besoin d'outils évolués afin qu'ils expriment toute leur compétence et non être limité par un outil ... limité/mal foutu.
J'utilise SeLinux. Désolé, c'est trop fort. Ma bécane a SeLinux et je m'en fous. Je ne m'occupe pas de la sécurité, d'autres le font (SeLinux). C'est ceci qu'il faut pour la grande majorité des gens. Pas d'un outil pour faire "magiquement" de la sécurité.
Certes, mais même si les stats smolt sont pour toutes les distributions, force est de constater que Fedora y fait plus de 99,5 % des stats.
Je le regrette bien.
> Sauf que Linus a décrété que LSM resterait dans le noyau
Et comme j'ai dit, si c'est pour avoir SeLinux et Smack, c'est techniquement logique. Ces derniers étant respectés par les experts en sécurité (et les experts SeLinux respectent Smack et vice versa). Dans une politique à long terme, c'est plus discutable (James Morris l'a très bien expliqué).
> car il pense que les devs spécialistes de sécurité ne sont jamais d'accord entre eux
Mais lesquels ?
Ceux qui comme Linus s'y intéresse quasi jamais ?
Linus a au moins le mérite de le reconnaitre. En passant Linus dit que SeLinux est la première chose qu'il vire sinon rien ne marche (selon lui) et ne manque pas une occasion pour critiquer SeLinux. Mais il a installé une F9 pour sa femme avec SeLinux activé (et en mode enforcing) sans s'en rendre compte...
Quels experts en sécurité ?
Ceux qui se proclament expert car ils trouvent l'interface graphique d'AppArmor séduisante ?
Smack prouve que Linux a des vrais experts en sécurité. Pas des experts qui ne sont que pro SeLinux (ou que pro-AppArmor).
> Linus has also decreed that pathname-based security modules are entirely acceptable for inclusion into the kernel.
On peut trouver une tripoté de grand nom de Linux qui sont contre cette idée. Dont Alan Cox par exemple.
Pour ma part je pense que Linus a manqué de courage en gardant LSM (c'est un demi reproche).
Et actuellement, même si AppArmor a fait beaucoup de bruit, il n'y a pratiquement que SeLinux qui tient la roule : expertise, communauté, niveau d'utilisation/support par les distributions qui ont eux la volonté de l'utiliser (RHEL et Fedora ce n'est pas rien, et Ubuntu va peut-être y venir).
Linus a décidé de laisser la compétition ouverte. M'enfin, pour les systèmes a usage général SeLinux a déjà quasi gagné. Smack sera peut-être utilisé pour l'embarqué et d'autres systèmes spécifiques.
En passant, il serait bien d'éviter l'anti-SeLinux primaire. Je viens d'avoir l'impression que tout ce qui dérange SeLinux te fait plaisir...
Je ne fais pas d'anti-Smack primaire. Par contre je suis clairement anti-AppArmor.
De la dépêche :
> c'est à cette tâche que se sont attelés des ingénieurs de la société Volkswagen.
CAN est aussi utilisé par PSA et BMW. Je le sais car je l'ai vu.
Mais probablement par beaucoup beaucoup d'autres pour ne pas dire tout le monde.
Il y a un autre type de réseau qui marche une peu comme CAN, c'est le réseau VAN. Ce dernier n'est pas temps réel et selon mes derniers infos est utilisé par (seulement ?) PSA et Renault. Notons que PSA et Renault utilise CAN et VAN en même temps dans une voiture. CAN est pour le moteur, les trucs de sécurité, etc. VAN est pour le confort.
L'industrie de l'automobile est énorme et si Linux s'y installe c'est formidable.
Oui.
Ta dépêche est d'excellente qualité.
Je trouvais dommage que tu insistes sur une sorte de combat entre Smack et SeLinux. Tu as probablement remarqué que SeLinux critique très peu Smack et qu'il est même bien jugé. On avait eu des critiques au vitriol pour AppArmor. Ce n'est absolument pas ça pour Smack. Ce qui montre bien que les critiques anti-AppArmor n'était pas un "tout sauf SeLinux".
Enfin il ne faut pas croire que SeLinux est uniquement préoccupé par SeLinux. SeLinux est préoccupé par la sécurité sous Linux (où il reste encore beaucoup a faire dans le desktop). Si Red Hat (et d'autres) prend SeLinux, ce n'est pas pour SeLinux, mais pour avoir un bon niveau de sécurité sous Linux. Donc SeLinux, et plus largement ceux qui veulent un bon niveau de sécurité sous Linux, ne veulent pas de LSM car c'est très pénalisant. SeLinux n'est pas contre Smack. Ce dernier a été très peu critiqué (voire pas du tout). SeLinux est contre LSM (et depuis bien avant Smack ou que AppArmor devienne vaguement populaire).
On a eu un SeLinux vs AppArmor et plus largement un "système de sécurité bien conçu" vs "système de sécurité qui veut seulement être populaire". On n'a pas de SeLinux vs Smack. Mais ta dépêche n'est presque que sous cet angle (pression, Smack car Selinux, etc). Je pense que c'est une erreur d'avoir présenté les choses sous cet angle.
Ceci dit, je ne doute pas de ton honnèteté et je ne pense pas un instant que tu avais des arrières pensées "machiavéliques".
Zut, j'avais mal compris la remarque. Effectivement les stats de smolt ne conserne que Fedora (malheureusement). On peut le confirmer en regardant l'onglet "OS".
J'aurais dû le préciser.
En passant, SeLinux est très certainenement le système de sécurité le plus utilisé. Il a aussi sans problème la plus grosse communauté derrière lui et il est le plus perfectionné.
Bref, il serait très hazardeux de qualifier SeLinux d'échec même s'il n'est pas sur 50 % des postes.
Ce qui est dommage est que SeLinux demande un gros effort pour être exploitable dans une distribution. Cet effort il n'y a pratiquement que Red Hat/Fedora qui l'a fait. Les autres distributions ne sont pas dans un état qui permet d'avoir SeLinux activé par défaut. M'enfin, c'est aussi presque un choix des autres distributions.
> Comme smolt est un outil Fedora et que Fedora pousse SELinux on ne peux pas dire que ce soit représentatif des machines Linux en général.
Certe. Mais RHEL est la distribution entreprise la plus utilisée et elle a SeLinux activé par défaut (depuis RHEL 4). Pour un serveur, SeLinux ne va pas être désactivé à la légère. Donc il ne serait vraiment pas étonnant que plus de 80 % des RHEL aient SeLinux d'activé (et en mode enforcing). Et tout cas très probablement plus de 50 %.
Ce sont des nouvelles fonctionnalités qui ne seront pas en libre.
En passant, MySQL AB n'a pas fait que du logiciel libre. C'est donc limite dans la continuation de l'ancien MySQL.
> bien qu'il essaie(yait ?) de privilégier les formats ouverts.
OOXML un format ouvert... c'est discutable pour ne pas dire faux.
Apparament il suffit d'être documenté pour être un format recommandé par le RGI.
Que OOXML soit documenté est imposé par l'Europe... Bientôt les vieux formats binaires vont être recommandé par le RGI.
> Aujourd'hui il y a de nombreux utilisateurs avec SeLinux et ils n'y pensent quasiment jamais.
Il y a quelques chiffres sur smolts depuis peu. Mais ils me sont pas très claires : http://smolts.org/static/stats/stats.html (onglet selinux)
Disons qu'une bécane sur 4 a selinux en mode "enforcing".
> Il y a un autre projet qui offre des règles simplifiées (désolé, j'ai oublié le nom de ce projet).
Ben tu ne compiles pas sur ces bécances (ce qui t'économise la place des *-devel, gcc, etc).
Autant réclamer que Linux tourne avec 640 Ko de mémoire...
> Le module SMACK (Simplified Mandatory Access Control Kernel) a été ajouté au noyau 2.6.25 afin d'offrir une alternative simplifiée à SELinux.
Au lieux de "alternative simplifiée à SELinux", pourquoi pas un "système simple de protection" ?
> SELinux est un module très puissant mais il est malheureusement assez complexe à configurer et à gérer au quotidien.
Ceci est une sorte d'incompréhension de l'objectif de SELinux.
Maîtriser SeLinux est très très complexe. Mais pour l'utilisateur final et avec une bonne intégration de SeLinux ce n'est pas le cas.
Aujourd'hui il y a de nombreux utilisateurs avec SeLinux et ils n'y pensent quasiment jamais. Enfin c'est une très mauvaise idée de demander à l'utilisateur de bidouiller avec la sécurité.
> En dépit des efforts méritoires de ses promoteurs pour simplifier son utilisation au fil du temps
Ces efforts ne sont pas terminés.
Il y a SeLinux et les règles SeLinux. Fedora utilise les règles NSA qui sont les plus complètes et les plus fines (il y a aussi les règles mls pour le "workflow"). Elles sont complexes car le défit sécurité est complexe. Elles ne le sont pas d'elle même. Il y a un autre projet qui offre des règles simplifiées (désolé, j'ai oublié le nom de ce projet).
SMACK ne prétend pas simplifier SeLinux (et ses règles NSA). Il y a des choses qu'on peut faire avec SeLinux et qu'on ne fera jamais avec SMACK. SMACK a une autre approche, d'autres objectifs.
Au "désespoire" des développeurs SeLinux, SMACK a été intégré. Il faut donc se trainer LSM. M'enfin, il n'y a pas de problème bloquant SMACK qui est bien conçu (contrairement à AppArmor). Linus a fait un choix, techniquement son choix est irréprochable.
> Ces derniers ont exercé une pression afin qu'une solution plus simple apparaisse et SMACK est le résultat de cette pression.
Ces derniers qui ne doivent probablement pas utiliser SeLinux...
Et pression sur qui ?
SMACK n'est pas lié a des pressions. SeLinux n'existerait pas, il y aurait peut-être SMACK. La sortie de SMACK ne remet pas en cause SeLinux (et ses règles NSA).
SeLinux est un projet très ambitieux et il y a des trucs sucks encore. Mais ça s'arrange.
> Les développeurs de SELinux, qui étaient jusqu'à présent les seuls utilisateurs de l'infrastructure LSM, ont opposé une âpre résistance à l'inclusion de SMACK dans le noyau.
Je n'ai pas suivit en détail les discussions. Mais elles ne portaient sur des problèmes techniques qu'a SMACK. Mais plus globalement sur la gestion du projet Linux. Ce que fait SMACK, SeLinux peut le faire. SMACK fait donc un peu doublon avec SeLinux et c'est malheureux.
> Quand je verrai les spécialistes de la sécurité utiliser des arguments rationnels et se mettre d'accord sur un truc les choses changeront peut-être. Mais franchement je m'attends à ce que l'enfer gèle et que les cochons nichent dans les arbres avant que cela n'arrive. Mais bon, je peux toujours espérer.
Si j'ai bonne mémoire, c'était surtout par rapport à AppArmor vs SeLinux. Globalement SMACK et SeLinux pour les aspects techniques sont sur la même longueur d'onde et SMACK ne prétend pas remplacer SeLinux. L'auteur de SMACK a aussi dit qu'il bosserait sur SeLinux si LSM était abandonné.
Linus estime qu'il n'y a pas qu'une approche pour la sécurité et donc qu'il doit garder LSM.
> Toute cette controverse a fait l'objet d'un article détaillé du site Linux Weekly News.
Et la contreverse porte plus sur LSM que sur SMACK vs SeLinux. La contreverse est LSM.
[^] # Re: Laver son linge
Posté par IsNotGood . En réponse à la dépêche Le noyau Linux 2.6.25 est disponible. Évalué à 9.
[^] # Re: C'est pareil avec du GPL only.
Posté par IsNotGood . En réponse au journal Sun/MySQL: fermeture du code source en cours.... Évalué à 4.
Ne mélange pas.
Sun (et avant MySQL AB) a tous les copyrights. Alors GPL-only ou pas, Sun fait ce qu'il veut.
Mais par exemple pour Linux ceux qui ont un copyright est énorme. Il est impossible (sauf théoriquement) de faire une version proprio de Linux.
# Re:
Posté par IsNotGood . En réponse au journal BrDesktop et le concept de distribution. Évalué à 3.
En passant, Fedora fait ça.
Il n'y a qu'un projet Fedora (avec Gnome, KDE, XFCE, des tonnes de jeux, etc).
Mais il y a plusieures distributions de Fedora. Une avec Gnome, une autres avec KDE, une autre pour les développements, etc.
Toutes les variantes utilisent les mêmes paquets (mais ne sélectionnent pas les même). Elles peuvent avoir des options d'installations spécifiques (langue, etc).
http://fedoraproject.org/wiki/CustomSpins
[^] # Re: Coder pour linux
Posté par IsNotGood . En réponse à la dépêche Le noyau Linux 2.6.25 est disponible. Évalué à 2.
[^] # Re: prochaine version avec suspend/hibernate qui fonctionne?
Posté par IsNotGood . En réponse à la dépêche Le noyau Linux 2.6.25 est disponible. Évalué à 3.
C'est pour ça qu'il affiche un visage mignon et souriant en permanence. C'est pour cacher sa nature.
Ballmer doit aujourd'hui montrer le nouveau visage de MS (plus open et blablabla). Mais Ballmer n'est pas mieux que Gates.
[^] # Re: SMACK
Posté par IsNotGood . En réponse à la dépêche Le noyau Linux 2.6.25 est disponible. Évalué à 2.
Non. Mais j'ai lu une série de 4 (ou 5) articles sur AppArmor (comparé à SeLinux). Des articles très techniques et parfaitement argumentés. J'ai la flemme de les chercher, désolé.
> A lire les articles sur le net on comprend qu'AppArmor est moins bien/moins sécurisé que SELinux...mais il est aussi beaucoup plus simple.
Ce n'est pas la simplicité de AppArmor qui m'énerve, c'est sa façon simpliste, voire marketing, de faire de la sécurité. Par exemple l'auto-apprentissage est de la connerie. Il implique une mauvaise pratique de la sécurité. C'est séduisant, mais c'est de la connerie.
Unix (et donc Linux) a toujours été le développement de solution juste même si c'est long et difficile. Unix ne cède pas à la facilité comme peut le faire Windows (d'où les anti-virus, d'où les 50 000 options pour "sécuriser", etc).
Avec AppArmor on cède à la facilité pour ne pas dire l'audimat. Cette dérive est inquiétante.
> Peut-être a-il sa place en tant que solution "pas parfaite mais bien suffisante pour la majorité des gens" ?
C'est non (sauf système spécifique avec un admin qui sait ce qu'il fait). Les protections Unix classiques, c'est "pas parfaite mais bien suffisante pour la majorité des gens" ? Mais dans ce cas, es-ce que les gens bidouilles avec les protections classiques où es-ce qu'il font confiance (dans la limite de ses capacité) aux protections classiques ?
Ce n'est pas car on a un système de protection, que pour mieux se protéger le premier venu doit le bidouiller. Comme pour le système de protection classique, ce qui est fournit doit être OK et on n'a pas à y toucher sauf cas exceptionnel. Il est OK car des experts ont bossé dessus. SeLinux c'est parail. SeLinux (avec ses règles) est fait pour marcher de suite et sans bidouiller (sauf cas très particulier).
Ce que fait AppArmor, c'est séduire les gens en disant "Vous allez sécuriser Votre système". Mais ce n'est pas de ça qu'a besoin Linux ni aucun système. Ce type de truc, c'est du Windows avec 50 000 options pour "sécuriser" + un abonnement à un anti-virus. Une fois que t'as installé ton anti-virus et fouillé toutes les options de IE, t'es super content, t'as sécurisé ta bécane. C'est flatteur. Que voit-on dans la pratique ? Ben que compter sur l'utilisateur pour sécuriser une bécane est une très mauvaise idée. Que c'est quelque chose seulement à la porté des admins dans ce scénario.
C'est assurément flatteur de sécuriser sa bécane. Mais c'est trop compliqué et mieux vaut laisser ça à des spécialistes. Et dans ce cas, ces derniers ont besoin d'outils évolués afin qu'ils expriment toute leur compétence et non être limité par un outil ... limité/mal foutu.
J'utilise SeLinux. Désolé, c'est trop fort. Ma bécane a SeLinux et je m'en fous. Je ne m'occupe pas de la sécurité, d'autres le font (SeLinux). C'est ceci qu'il faut pour la grande majorité des gens. Pas d'un outil pour faire "magiquement" de la sécurité.
[^] # Re: SMACK
Posté par IsNotGood . En réponse à la dépêche Le noyau Linux 2.6.25 est disponible. Évalué à 3.
Je le regrette bien.
[^] # Re: SMACK
Posté par IsNotGood . En réponse à la dépêche Le noyau Linux 2.6.25 est disponible. Évalué à 2.
Et comme j'ai dit, si c'est pour avoir SeLinux et Smack, c'est techniquement logique. Ces derniers étant respectés par les experts en sécurité (et les experts SeLinux respectent Smack et vice versa). Dans une politique à long terme, c'est plus discutable (James Morris l'a très bien expliqué).
> car il pense que les devs spécialistes de sécurité ne sont jamais d'accord entre eux
Mais lesquels ?
Ceux qui comme Linus s'y intéresse quasi jamais ?
Linus a au moins le mérite de le reconnaitre. En passant Linus dit que SeLinux est la première chose qu'il vire sinon rien ne marche (selon lui) et ne manque pas une occasion pour critiquer SeLinux. Mais il a installé une F9 pour sa femme avec SeLinux activé (et en mode enforcing) sans s'en rendre compte...
Quels experts en sécurité ?
Ceux qui se proclament expert car ils trouvent l'interface graphique d'AppArmor séduisante ?
Smack prouve que Linux a des vrais experts en sécurité. Pas des experts qui ne sont que pro SeLinux (ou que pro-AppArmor).
> Linus has also decreed that pathname-based security modules are entirely acceptable for inclusion into the kernel.
On peut trouver une tripoté de grand nom de Linux qui sont contre cette idée. Dont Alan Cox par exemple.
Pour ma part je pense que Linus a manqué de courage en gardant LSM (c'est un demi reproche).
Et actuellement, même si AppArmor a fait beaucoup de bruit, il n'y a pratiquement que SeLinux qui tient la roule : expertise, communauté, niveau d'utilisation/support par les distributions qui ont eux la volonté de l'utiliser (RHEL et Fedora ce n'est pas rien, et Ubuntu va peut-être y venir).
Linus a décidé de laisser la compétition ouverte. M'enfin, pour les systèmes a usage général SeLinux a déjà quasi gagné. Smack sera peut-être utilisé pour l'embarqué et d'autres systèmes spécifiques.
En passant, il serait bien d'éviter l'anti-SeLinux primaire. Je viens d'avoir l'impression que tout ce qui dérange SeLinux te fait plaisir...
Je ne fais pas d'anti-Smack primaire. Par contre je suis clairement anti-AppArmor.
[^] # Re: Coder pour linux
Posté par IsNotGood . En réponse à la dépêche Le noyau Linux 2.6.25 est disponible. Évalué à 3.
De la dépêche :
> c'est à cette tâche que se sont attelés des ingénieurs de la société Volkswagen.
CAN est aussi utilisé par PSA et BMW. Je le sais car je l'ai vu.
Mais probablement par beaucoup beaucoup d'autres pour ne pas dire tout le monde.
Il y a un autre type de réseau qui marche une peu comme CAN, c'est le réseau VAN. Ce dernier n'est pas temps réel et selon mes derniers infos est utilisé par (seulement ?) PSA et Renault. Notons que PSA et Renault utilise CAN et VAN en même temps dans une voiture. CAN est pour le moteur, les trucs de sécurité, etc. VAN est pour le confort.
L'industrie de l'automobile est énorme et si Linux s'y installe c'est formidable.
[^] # Re: SMACK
Posté par IsNotGood . En réponse à la dépêche Le noyau Linux 2.6.25 est disponible. Évalué à 2.
Oui.
Ta dépêche est d'excellente qualité.
Je trouvais dommage que tu insistes sur une sorte de combat entre Smack et SeLinux. Tu as probablement remarqué que SeLinux critique très peu Smack et qu'il est même bien jugé. On avait eu des critiques au vitriol pour AppArmor. Ce n'est absolument pas ça pour Smack. Ce qui montre bien que les critiques anti-AppArmor n'était pas un "tout sauf SeLinux".
Enfin il ne faut pas croire que SeLinux est uniquement préoccupé par SeLinux. SeLinux est préoccupé par la sécurité sous Linux (où il reste encore beaucoup a faire dans le desktop). Si Red Hat (et d'autres) prend SeLinux, ce n'est pas pour SeLinux, mais pour avoir un bon niveau de sécurité sous Linux. Donc SeLinux, et plus largement ceux qui veulent un bon niveau de sécurité sous Linux, ne veulent pas de LSM car c'est très pénalisant. SeLinux n'est pas contre Smack. Ce dernier a été très peu critiqué (voire pas du tout). SeLinux est contre LSM (et depuis bien avant Smack ou que AppArmor devienne vaguement populaire).
On a eu un SeLinux vs AppArmor et plus largement un "système de sécurité bien conçu" vs "système de sécurité qui veut seulement être populaire". On n'a pas de SeLinux vs Smack. Mais ta dépêche n'est presque que sous cet angle (pression, Smack car Selinux, etc). Je pense que c'est une erreur d'avoir présenté les choses sous cet angle.
Ceci dit, je ne doute pas de ton honnèteté et je ne pense pas un instant que tu avais des arrières pensées "machiavéliques".
[^] # Re: SMACK
Posté par IsNotGood . En réponse à la dépêche Le noyau Linux 2.6.25 est disponible. Évalué à 3.
Zut, j'avais mal compris la remarque. Effectivement les stats de smolt ne conserne que Fedora (malheureusement). On peut le confirmer en regardant l'onglet "OS".
J'aurais dû le préciser.
[^] # Re: SMACK
Posté par IsNotGood . En réponse à la dépêche Le noyau Linux 2.6.25 est disponible. Évalué à 3.
Bref, il serait très hazardeux de qualifier SeLinux d'échec même s'il n'est pas sur 50 % des postes.
Ce qui est dommage est que SeLinux demande un gros effort pour être exploitable dans une distribution. Cet effort il n'y a pratiquement que Red Hat/Fedora qui l'a fait. Les autres distributions ne sont pas dans un état qui permet d'avoir SeLinux activé par défaut. M'enfin, c'est aussi presque un choix des autres distributions.
[^] # Re: SMACK
Posté par IsNotGood . En réponse à la dépêche Le noyau Linux 2.6.25 est disponible. Évalué à 2.
Certe. Mais RHEL est la distribution entreprise la plus utilisée et elle a SeLinux activé par défaut (depuis RHEL 4). Pour un serveur, SeLinux ne va pas être désactivé à la légère. Donc il ne serait vraiment pas étonnant que plus de 80 % des RHEL aient SeLinux d'activé (et en mode enforcing). Et tout cas très probablement plus de 50 %.
[^] # Re: À confirmer
Posté par IsNotGood . En réponse au journal Sun/MySQL: fermeture du code source en cours.... Évalué à 5.
En passant, MySQL AB n'a pas fait que du logiciel libre. C'est donc limite dans la continuation de l'ancien MySQL.
# À confirmer
Posté par IsNotGood . En réponse au journal Sun/MySQL: fermeture du code source en cours.... Évalué à 3.
Il me semble avoir lu le contraire ailleurs.
[^] # Re: C'est beau
Posté par IsNotGood . En réponse au journal Des nouvelles (mauvaises) du RGI. Évalué à 1.
OOXML un format ouvert... c'est discutable pour ne pas dire faux.
Apparament il suffit d'être documenté pour être un format recommandé par le RGI.
Que OOXML soit documenté est imposé par l'Europe... Bientôt les vieux formats binaires vont être recommandé par le RGI.
[^] # Re: SMACK
Posté par IsNotGood . En réponse à la dépêche Le noyau Linux 2.6.25 est disponible. Évalué à 3.
Il y a quelques chiffres sur smolts depuis peu. Mais ils me sont pas très claires :
http://smolts.org/static/stats/stats.html (onglet selinux)
Disons qu'une bécane sur 4 a selinux en mode "enforcing".
> Il y a un autre projet qui offre des règles simplifiées (désolé, j'ai oublié le nom de ce projet).
C'est Seedit :
http://seedit.sourceforge.net/
# C'est beau
Posté par IsNotGood . En réponse au journal Des nouvelles (mauvaises) du RGI. Évalué à 5.
RGI va donc ajouter un format qui n'existe pas (la spèc n'est toujours pas sortie) et qui n'est pas implémenté.
C'est ici qu'on voit que si l'Afnor a changé son non en abstention, ce n'est pas uniquement sous la pression de MS.
[^] # Re: grosseur
Posté par IsNotGood . En réponse à la dépêche Le noyau Linux 2.6.25 est disponible. Évalué à 3.
Autant réclamer que Linux tourne avec 640 Ko de mémoire...
[^] # Re: Firefox 2 un choix étrange ?
Posté par IsNotGood . En réponse au journal Test de Mandriva 2008.1 Spring. Évalué à 2.
[^] # Re: Firefox 2 un choix étrange ?
Posté par IsNotGood . En réponse au journal Test de Mandriva 2008.1 Spring. Évalué à 4.
La fin de vie de F8 c'est la sortie de F10 + 2 mois. Donc F8 n'est pas en fin de vie ni même au milieu.
[^] # Re: grosseur
Posté par IsNotGood . En réponse à la dépêche Le noyau Linux 2.6.25 est disponible. Évalué à 4.
$ ll -h /boot/vmlinuz-2.6.24.4-64.fc8-rw-r--r-- 1 root root 1,9M mar 29 14:30 /boot/vmlinuz-2.6.24.4-64.fc8
$ du -s /lib/modules/2.6.24.4-64.fc8/
77960 /lib/modules/2.6.24.4-64.fc8/
$ find /lib/modules/2.6.24.4-64.fc8/ -iname "*.ko" -print | wc -l
1591
$ wc -l /proc/modules
84 /proc/modules
J'utilise un peu plus de 5 % des modules disponibles. Ou plus de 94 % des modules ne me conserne pas (pour ma bécane).
[^] # Re: Firefox 2 un choix étrange ?
Posté par IsNotGood . En réponse au journal Test de Mandriva 2008.1 Spring. Évalué à 1.
Et n'y sera probablement pas. Pourtant la politique de Fedora est de monter en version.
Mats a dit :
> Il me semble tout à fait possible d'intégrer après le mois de juin Firefox dans les distributions majeures comme une mise à jour.
Ben je n'y crois pas. Même pour Fedora.
# SMACK
Posté par IsNotGood . En réponse à la dépêche Le noyau Linux 2.6.25 est disponible. Évalué à 6.
Il n'y a qu'un truc qui m'énerve.
> Le module SMACK (Simplified Mandatory Access Control Kernel) a été ajouté au noyau 2.6.25 afin d'offrir une alternative simplifiée à SELinux.
Au lieux de "alternative simplifiée à SELinux", pourquoi pas un "système simple de protection" ?
> SELinux est un module très puissant mais il est malheureusement assez complexe à configurer et à gérer au quotidien.
Ceci est une sorte d'incompréhension de l'objectif de SELinux.
Maîtriser SeLinux est très très complexe. Mais pour l'utilisateur final et avec une bonne intégration de SeLinux ce n'est pas le cas.
Aujourd'hui il y a de nombreux utilisateurs avec SeLinux et ils n'y pensent quasiment jamais. Enfin c'est une très mauvaise idée de demander à l'utilisateur de bidouiller avec la sécurité.
> En dépit des efforts méritoires de ses promoteurs pour simplifier son utilisation au fil du temps
Ces efforts ne sont pas terminés.
Il y a SeLinux et les règles SeLinux. Fedora utilise les règles NSA qui sont les plus complètes et les plus fines (il y a aussi les règles mls pour le "workflow"). Elles sont complexes car le défit sécurité est complexe. Elles ne le sont pas d'elle même. Il y a un autre projet qui offre des règles simplifiées (désolé, j'ai oublié le nom de ce projet).
SMACK ne prétend pas simplifier SeLinux (et ses règles NSA). Il y a des choses qu'on peut faire avec SeLinux et qu'on ne fera jamais avec SMACK. SMACK a une autre approche, d'autres objectifs.
Au "désespoire" des développeurs SeLinux, SMACK a été intégré. Il faut donc se trainer LSM. M'enfin, il n'y a pas de problème bloquant SMACK qui est bien conçu (contrairement à AppArmor). Linus a fait un choix, techniquement son choix est irréprochable.
> Ces derniers ont exercé une pression afin qu'une solution plus simple apparaisse et SMACK est le résultat de cette pression.
Ces derniers qui ne doivent probablement pas utiliser SeLinux...
Et pression sur qui ?
SMACK n'est pas lié a des pressions. SeLinux n'existerait pas, il y aurait peut-être SMACK. La sortie de SMACK ne remet pas en cause SeLinux (et ses règles NSA).
SeLinux est un projet très ambitieux et il y a des trucs sucks encore. Mais ça s'arrange.
> Les développeurs de SELinux, qui étaient jusqu'à présent les seuls utilisateurs de l'infrastructure LSM, ont opposé une âpre résistance à l'inclusion de SMACK dans le noyau.
Je n'ai pas suivit en détail les discussions. Mais elles ne portaient sur des problèmes techniques qu'a SMACK. Mais plus globalement sur la gestion du projet Linux. Ce que fait SMACK, SeLinux peut le faire. SMACK fait donc un peu doublon avec SeLinux et c'est malheureux.
> Quand je verrai les spécialistes de la sécurité utiliser des arguments rationnels et se mettre d'accord sur un truc les choses changeront peut-être. Mais franchement je m'attends à ce que l'enfer gèle et que les cochons nichent dans les arbres avant que cela n'arrive. Mais bon, je peux toujours espérer.
Si j'ai bonne mémoire, c'était surtout par rapport à AppArmor vs SeLinux. Globalement SMACK et SeLinux pour les aspects techniques sont sur la même longueur d'onde et SMACK ne prétend pas remplacer SeLinux. L'auteur de SMACK a aussi dit qu'il bosserait sur SeLinux si LSM était abandonné.
Linus estime qu'il n'y a pas qu'une approche pour la sécurité et donc qu'il doit garder LSM.
> Toute cette controverse a fait l'objet d'un article détaillé du site Linux Weekly News.
Et la contreverse porte plus sur LSM que sur SMACK vs SeLinux. La contreverse est LSM.
[^] # Re: Firefox 2 un choix étrange ?
Posté par IsNotGood . En réponse au journal Test de Mandriva 2008.1 Spring. Évalué à 5.