Un journal quasi-bookmark pour signaler une belle initiative visant à renforcer la sécurité du noyau.
Solar Designer (le leader de la distribution Openwall) a annoncé en avril dernier que 5 projets avaient été acceptés dans le cadre du Google Summer of Code.
Mail d'annonce : http://www.openwall.com/lists/announce/2011/04/26/1
L'un de ces étudiants est Vasiliy Kulikov et il travaille sur la sécurisation du noyau. Essentiellement cela consiste à essayer de faire remonter vers la branche principale (celle de Linus) les patchs qui existent déjà dans la nature. Il va essentiellement passer en revue Grsecurity et PaX, évaluer ce qui est susceptible d'intéresser les développeurs de la branche principale et leur proposer les patchs acceptables.
Pour faciliter ce travail une mailing-list spéciale nommé "Kernel-hardening" a été mise en place par Openwall.
Dans son premier mail Solar designer indique que la liste est faite pour discuter des changements avant de les proposer formellement sur la LKML. On peut constater que certains développeurs Linux bien connus suivent déjà cette nouvelle liste puisqu'il y a des mails d'Arnd Bergmann, de Peter Zijlstra, d'Andrew Morton ou encore de Greg Kroah-Hartman.
C'est une bonne nouvelle puisque cette interaction en amont va éviter de se faire bouler en aval sur la LKML en cas de soumission de choses inacceptables.
Vasiliy a déjà passé en revue toutes les fonctions très spéciales de Grsecurity (voir son mail) et aussi celles de PaX. Le second mail est particulièrement intéressant puisqu'il tente d'estimer les chances de chacune des fonctions d'être acceptée dans la branche principale. Évidemment c'est très technique mais c'est instructif de lire ce rapport.
Comme les gens de Grsecurity n'ont jamais vraiment voulu faire ce boulot ingrat de "découpage propre" des fonctions et d'argumentation constructive sur la LKML (voir les multiples flame-wars sur LWN et aussi l'interview de Brad Spengler) c'est intéressant de voir qu'un vrai travail est enfin entrepris pour faire remonter vers la mainline tout ce qui peut l'être.
# On t'a démasqué Chuck...
Posté par Rabbi Jacob Delafon (site web personnel) . Évalué à 10.
patrick_g, lorsqu'il commet un journal bookmark, il y a 10 liens à l'intérieur, c'est très bien expliqué et accessible au plus grand nombre.
patrick_g, c'est le Chuck Norris des journaux.
[^] # Re: On t'a démasqué Chuck...
Posté par Dorian . Évalué à 8.
En fait, je pense que de base, il voulait juste partager le lien, et au fur et à mesure il a écrit tout un vrai journal.
(Encore bravo et merci patrick_g)
« En fait, le monde du libre, c’est souvent un peu comme le parti socialiste en France » Troll
# Super !
Posté par afby . Évalué à 5.
Excellente initiative ! Bon courage à eux :)
# ???
Posté par JGO . Évalué à 2.
En admettant que grsecurity passe à la moulinette de Vasiliy Kulikov, puis intègre la branche principale : qu'adviendra-t-il de grsecurity (le patch) après son intégration ? Brad Spendler aura perdu le contrôle. Va-t-il continuer à améliorer son gros patch, prendre la mouche, ou publier un petit patch s'appliquant à la nouvelle version du noyau ?
[^] # Re: ???
Posté par patrick_g (site web personnel) . Évalué à 7.
La quantité de ligne du patch Grsecurity/PaX va certainement décroitre, puisque plusieurs parties seront intégrées en mainline, mais il va rester beaucoup de choses !
D'abord il est fort improbable (litote) que les devs Linux acceptent toutes les techniques utilisées par Grsecurity/Pax. Linus a déjà eu l'occasion de dire que certains trucs étaient, selon lui, crades et invasifs. Donc tout ça va rester à part.
Ensuite il y a toute la partie RSBAC qui est complètement incompatible puisqu'elle n'utilise pas LSM comme les autres modules de sécurité (SELinux, Smack et les autres).
Je parie une clé à molette que, comme d'habitude, il va cracher sur les devs Linux en disant qu'ils n'ont fait qu'une partie du travail, que Grsecurity/Pax est un tout cohérent alors que Linux n'est qu'un bidule à moitié fini, que Linus et ses sbires se fichent de la sécurité et n'y connaissent rien.
D'ailleurs je note qu'il s'est soigneusement abstenu de répondre à la question posée sur LWN. Évidemment cette non-réponse démontre parfaitement la justesse du commentaire d'Ingo.
Dommage qu'un mec aussi doué soit en même temps un tel narcissique associal.
[^] # Re: ???
Posté par oao . Évalué à 5.
Pour moi : D. Knuth, Dieu et... je cherche un éventuel troisième.
[^] # Re: ???
Posté par UnixJunkie . Évalué à 7.
hopopop tu triches là, ça ne fait qu'un!
[^] # Re: ???
Posté par Marc Dauwn . Évalué à 8.
Non seulement dieu n'a pas écrit son bouquin lui même, mais en plus il est bourré de fautes. Knuth ne mérite pas cela,
bon dieu!!!zut![^] # Re: ???
Posté par j_kerviel . Évalué à 10.
Ce qui est extrêmement rare dans le milieu du Logiciel Libre.
[^] # Re: ???
Posté par JGO . Évalué à 10.
Entre gens bien, je me permets de faire remarquer que l'ortographe « associal » avec deux s traduit une erreur d'étymologie, qui rapprocherait le mot du verbe associer (qui tient ses deux s du latin associare), alors que le mot est construit sur l'adjectif « social » par ajout d'un préfixe « a privatif » tiré du grec.
Un jeune élève pourrait se plaindre d'une « exception » de plus à la règle de prononciation du s entre deux voyelles, mais en fait elle suit naturellement la règle de prononciation des mots composés par préfixage d'un mot commençant par un s : tourne-sol, para-sol, para-sismique, vrai-semblance, etc.
[^] # Re: ???
Posté par Albert_ . Évalué à 2.
Je pense que dans le logiciel libre rend plus visible ce genre de personne.
[^] # Re: ???
Posté par bubar🦥 (Mastodon) . Évalué à 3.
Linus met son grain de sel sur cette nouvelle ML :
http://www.openwall.com/lists/kernel-hardening/2011/06/30/9
ce sel ne manque pas de piquant, et est prévisible (ce qui peut être paradoxal pour du sel)
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.