http://www.zdnetasia.com/news/software/0,39044164,62033273,0(...)
Novell vient de virer leurs développeurs AppArmor, souhaitant voir le gros du boulot aux mains de la "communauté", ha ha. Free beers everyone !
Ubuntu et Mandriva on "parié" sur AppArmor dans leurs dernières distro. J'espère pour eux qu'ils ont les ressources nécessaires pour poursuivre ce boulot titanesque qui fait doublon avec celui de Red Hat sur SeLinux. On est rebelz ou on ne l'est pas, après tout.
# Re:
Posté par IsNotGood . Évalué à 2.
Red Hat n'est pas seul sur SeLinux. SeLinux a été développé par la NSA :
http://www.nsa.gov/selinux/
SeLinux est upstream dans Linux.
M'enfin, dans les distributions c'est Red Hat qui fait le plus de boulot. Et de loins. Il y a peut-être Debian qui va utilisé SeLinux. Je ne sais pas où ça en est actuellement, mais le développeur principale qui fait l'intégration dans Debian (et était un énorme contributeur à SeLinux dans Red Hat tout en contribuant en pointillé à Debian) s'était plaint de certaines "lourdeurs" pour faire l'intégration dans Debian.
Si quelqu'un a plus d'info fraiche, je suis intéressé (simple curiosité).
[^] # Re: Re:
Posté par IsNotGood . Évalué à 1.
Russell Coker.
[^] # Re: Re:
Posté par satan . Évalué à 2.
[^] # Re: Re:
Posté par IsNotGood . Évalué à 1.
Malgrés des moyens assez massifs, FC2 est sorti avec SeLinux désactivé par défaut. Pour FC3 un nouveau modèle de règle a été créé par Red Hat (targeted alors qu'il y a toujours strict et que maintenant il y a aussi un addon mls (auquel j'entend rien pour être honnète)).
Red Hat a fait un travail énorme, c'est clair. Mais il faut reconnaitre qu'il n'y a pas que Red Hat sur SeLinux. M'enfin c'est le seul distributeur qui fournit SeLinux activé par défaut. C'est significatif.
# Heuu
Posté par Snarky . Évalué à 4.
.
PS: Je m'excuse sincèrement auprès de l'auteur de pas connaitre les 10 000 applications sous Linux ainsi que leurs fonction précises...
[^] # Re: Heuu
Posté par IsNotGood . Évalué à 3.
C'est quoi ?
> S'koi AppArmor ?
C'est un système de sécurité au niveau noyau.
Par exemple ça permet de dire que le programme /usr/sbin/httpd a seulement le droit de lire dans /var/www même s'il est lancé sous le compte root.
# Re: AppArmor is teh lulz
Posté par netsurfeur . Évalué à 7.
Désolé, mais je ne comprends pas le titre...
Qu'est-ce que ça signifie ?
En quelle langue ?
[^] # Re: AppArmor is teh lulz
Posté par IsNotGood . Évalué à 1.
Je crois que c'est du satanisme.
# Novell se désengage de AppArmor ?
Posté par IsNotGood . Évalué à 5.
J'ai été très très surpris d'apprendre que Novell vire des développeurs de AppArmor. Novell ne manque pas de moyen et fait des distributions pour les grosses boites et les administrations qui sont sensibles sur la sécurité.
J'ai été très très supris puis je me suis rappelé que RHEL 5 (sur IBM je ne sais plus quoi) avait obtenu la certification EAL4+ option machin (un truc dans ce goût). RHEL 5 (sur une bécane IBM car la certification est pour le couple OS/bécane) avait obtenu la certification de sécurité la plus élevée (il y a plusieurs niveau dans EAL4+). Et je me suis aussi rappelé qu'un développeur a dit que ça serait impossible sans SeLinux (OK, c'est un pro-SeLinux).
Et "bing", je me suis rappelé que AppArmor a été refusé pour l'inclusion dans Linux.
J'ai cherché des articles/analyses sur AppArmor et suis tombé sur ça :
* Security Anti-Pattern: Status Quo Encapsulation :
http://securityblog.org/brindle/2006/03/25/security-anti-pat(...)
* Top-down vs. Bottom-up Policy Development :
http://securityblog.org/brindle/2006/04/02/top-down-vs-botto(...)
* Security Anti-Pattern: Path based access control :
http://securityblog.org/brindle/2006/04/19/security-anti-pat(...)
* On AppArmor :
http://securityblog.org/brindle/2006/08/20/on-apparmor/
C'est long à lire, mais diablement instructif tout en étant très accessible.
Pour faire court, AppArmor c'est naze. Sa conception est naze, AppArmor restera naze.
Donc peut-être que Novell a vu que AppArmor ne lui permettrait pas d'avoir certaines certifications et préfère abandonner AppArmor (mais l'air de rien).
Imaginons que j'ai fait la bonne interprétation.
Ubuntu utilise AppArmor, mais Ubuntu n'a pas pénétré les entreprises et a peut-être accèpté AppArmor car il est facile à intégrer. Une solution de facilité. Mais notons que Debian bosse sur SeLinux (même si je ne suis pas sûr que ça avance).
Mandriva utilise aussi AppArmor (bizarre . Et Mandriva est implenté dans les intreprises et Mandriva n'a pas de solution de rechange (compiler le noyau avec SeLinux est loins d'être suffisant). J'avais un peu pesté lorsque j'ai apris que Mandriva prenait AppArmor car j'étais perçuadé que c'était encore un vieux réflexe anti-Red Hat et car ça "divise la communauté" (SeLinux est upstream, AppArmor a été refusé).
Ben maintenant Mandriva va être le dindon de la farce. Surtout qu'il me semble que Mandriva utilisait RSBAC...
> On est rebelz ou on ne l'est pas, après tout.
Comme tu le dis.
[^] # Re: Novell se désengage de AppArmor ?
Posté par IsNotGood . Évalué à 1.
C'est EAL4+ LSPP.
> un développeur a dit que ça serait impossible sans SeLinux
LSPP demande le modèle MLS. SeLinux le permet
[^] # Re: Novell se désengage de AppArmor ?
Posté par Bruce Le Nain (site web personnel) . Évalué à 4.
>>Novell will continue updating AppArmor and using and it in its Suse Linux Enterprise Server software, but the development mechanism has changed since Novell released AppArmor as open-source software in 2006. Some companies outsource programming work to India, but with active open-source software projects, there's even lower-cost options.
Ce n'est pas un abandon, c'est surtout une histoire de gros sous, ça coûte moins cher de faire développer un produit opensource par des développeurs indiens.
Tu dis, en référence à ce qu'a dit un développeur "impartial" dans des articles de 2006
>>Pour faire court, AppArmor c'est naze. Sa conception est naze, AppArmor restera naze.Donc peut-être que Novell a vu que AppArmor ne lui permettrait pas d'avoir certaines certifications et préfère abandonner AppArmor (mais l'air de rien).
Dans ce cas, tu devrais te dépêcher de modifier l'article de Wikipedia qui dit que :
>>While there has been considerable debate about which approach is better, there is no strong evidence as of yet that one approach is preferable to the other. The discussion about the advantages and disadvantages of either method often revolve around which approach is more aligned with existing UNIX/Linux access control mechanisms, but UNIX and Linux use a combination of path-based and inode-based access control. Note also that existing access control mechanisms remain in place with either system.
D'ailleurs, si tu lis la page de discussion sur SELinux, tu verras une forte discussion sur les NPOV (Neutral Point Of View) http://en.wikipedia.org/wiki/Talk:Security-Enhanced_Linux#NP(...)
>>The technical advantages and drawbacks of each approach can easily and more usefully be discussed without specific reference to the other by discussing design tradeoffs ("the designers of methods Q wanted to have property X even if that made property Y harder to achieve") and specific examples ("method Q can handle specific example A, but not specific example B"). Of course, statements of such tradeoffs and examples should be based on references to the literature, not the imagination of the Wikipedia contributors.
et aussi j'aime beaucoup :
>>The last paragraph in the preceding section "AppArmor was created in part as an alternative to SELinux, which critics claim is difficult for administrators to set up and maintain. Unlike SELinux, which is based on applying labels to files, ..." seems fairly biased as well. Which critics are we talking about? Which administrators found it difficult? I could not find a reference on the AppArmor website that said it was created as an alternative to SELinux. Why are path-based controls easier to manage than file-based?
En conclusion : Il y a encore beaucoup de discussions, sur la validité d'un choix de sécurité par les chemins ou par les inodes, cependant :
1) arrêtons de nourrir les trolls basés sur l'imagination, fournissons de véritables éléments de comparaison
2) arrêtons les délires sur les contre-projets de projets
3) >>> "On est rebelz ou on ne l'est pas, après tout." Arrêtons ces phrase sans intérêt dignes de jeunes de 13 ans.
[^] # Re: Novell se désengage de AppArmor ?
Posté par IsNotGood . Évalué à 1.
> >>Novell will continue updating AppArmor
Mouaif, la parole de Novell....
Et pourquoi Novell ne vire pas tous ses développeurs Linux, OOo, etc dans ce cas ?
Mais, et c'est un fait, AppArmor a été refusé pour l'inclusion dans Linux. C'est une décision de spécialistes. Il n'a pas été refusé car le code n'était pas propre, etc. Il a été refusé car, toujours pour faire court, AppArmor sucks. Non qu'il ait des bugs, mais il n'est pas une bonne réponse aux problèmes de sécurité, il a trop de problèmes de conception.
> Dans ce cas, tu devrais te dépêcher de modifier l'article de Wikipedia
Sur Wikipedia, et je respecte ça n'en doute pas, toutes les voix comptes. Sur lkml, il n'y a que ceux qui ont fait leur preuve (c-à-d du code notamment) qui sont écouté.
Wikipedia n'est pas de l'avis de Linux, OK, faut faire avec, pas de problème. D'autant plus que l'article de Wikipedia donne un pointeur sur la discussion sur la lkml qu'il y a eu autour de AppArmor.
> Il y a encore beaucoup de discussions, sur la validité d'un choix de sécurité par les chemins ou par les inodes
Chez les spécialistes, je ne crois pas. La communauté de spécialiste autour de SeLinux est bien plus importante que pour AppArmor. Ce n'est pas un hazard.
Si ta question est "Pour l'utilisateur/administrateur final, vaut-il mieux AppArmor ou SeLinux ?", je n'ai pas de réponse.
Tout dépend d'un faisceau de chose.
AppArmor est plus simple, mais ne fait pas de flow control (ou c'est très limité). AppArmor ne peut pas être utilisé dans ce cas. Mais celui qui n'a pas besoin de ça s'en fout et peut utiliser AppArmor.
AppArmor ne peut pas faire de MLS. C'est utilisé par des adminstrations américaines. Donc pour ces dernières AppArmor ne peut être utilisé.
SeLinux est plus compliqué à mettre en oeuvre. J'utilise une distribution avec SeLinux. Que SeLinux soit compliqué, je m'en fous. Il est activité, je n'y touche pas. AppArmor ne m'apporterait rien et en plus il est moins "puissant" que SeLinux.
SeLinux commence son stade de simplification d'administration par l'utilisateur. C'est un début. A l'avenir il sera peut-être aussi simple de faire de chose simple avec SeLinux qu'avec AppArmor.
Mais, je crois définitivement que la conception d'AppArmor est moins bonne que SeLinux sur le plan sécurité. C'est mon avis et je ne suis pas un spécialiste. Mais j'ai pris la peine de m'informer (voir les liens que j'ai donné, que tu devrais aussi lire au-lieu de te limite à wikipedia).
> 1) arrêtons de nourrir les trolls basés sur l'imagination, fournissons de véritables éléments de comparaison
Voir les liens que j'ai donné.
> 2) arrêtons les délires sur les contre-projets de projets
???
> 3) >>> "On est rebelz ou on ne l'est pas, après tout." Arrêtons ces phrase sans intérêt dignes de jeunes de 13 ans.
Va lire les liens que j'ai donné au-lieu de faire un blocage sur une phrase.
[^] # Re: Novell se désengage de AppArmor ?
Posté par Bruce Le Nain (site web personnel) . Évalué à 2.
Je les ai lus, j'ai juste trouvé l'avis partial et tranché. Certes technique, mais un peu comme les spécialistes sur les OGM.
>>Voir les liens que j'ai donné.
Oui, mais une personne spécialiste du sujet aura toujours un avis bien argumenté, on peut faire la même avec les OGM. Tu donne quatre liens de la même personne, c'est ce que j'ai dit. Je ne dit pas que tu as tort, je dis juste qu'on a un seul point de vue, c'est comme si tu ne prenais que le point de vue de Sarko pour défendre ou critiquer le communisme.
De plus, les liens datent de mars 2006, parfois les choses évoluent et des erreurs se corrigent. Si j'ai lu wikipedia, c'est que je pense que c'est un carrefour d'opinions relativement mis à jour (la preuve, le fait que le développeur soit viré a été intégré à l'article), et c'est souvent plus la page de discussion qui m'intéresse que l'article en lui même.
> 2) arrêtons les délires sur les contre-projets de projets
C'est à propos du réflexe primaire anti-red-hat auquel tu as fait allusion
3) Va lire les liens que j'ai donné au-lieu de faire un blocage sur une phrase.
Je les ai lu, ce qui ne m'empêche pas de trouver cette phrase débile, qui n'est pas de toi, mais que tu as approuvée.
[^] # Re: Novell se désengage de AppArmor ?
Posté par IsNotGood . Évalué à 2.
Je crois qu'il ne faut pas tout mélanger et tu fais "insulte" aux spécialites des OGM. Beaucoup sont contre certaines exploitations car ils sont très bien placé pour en évaluer les risques. L'avis d'une entreprise qui fait des OGM n'est pas forcément un avis de spécialiste mais un avis du marketing qui veut faire du pognon.
Si MS donne son avis sur les brevets, ce n'est pas un avis de spécialiste sur les brevets mais un avis sur les brevets d'une boite qui veut faire du pognon avec les brevets. C'est très différent même si MS a des spécialistes en brevets.
Enfin, un "spécialiste" a une démarche scientifique, argumenté de façon rigoureuse. Il se base sur des faits et non des croyances. Et lorsqu'il utilise des croyances (pour faire des projections dans l'avenir par exemple) il dit que ce sont des croyances et non des faits démontrés scientifiquement.
> je dis juste qu'on a un seul point de vue
Il est beaucoup partagé. Mais OK, les liens donnés son l'avis d'une personne.
> c'est comme si tu ne prenais que le point de vue de Sarko pour défendre ou critiquer le communisme.
Sarko n'est pas un spécialiste du communisme. On parle de sécurité, je donne l'avis d'un spécialiste en sécurité. Certe, ce n'est pas un spécialiste de AppArmor. Mais Sarko n'est pas un politologue (une personne avec une démarche scientifique) mais un politique.
> De plus, les liens datent de mars 2006, parfois les choses évoluent et des erreurs se corrigent.
Peut-être pas aussi vite...
> Si j'ai lu wikipedia, c'est que je pense que c'est un carrefour d'opinions relativement mis à jour (la preuve, le fait que le développeur soit viré a été intégré à l'article), et c'est souvent plus la page de discussion qui m'intéresse que l'article en lui même.
Je ne remet pas en cause wikipedia. C'est une excellente source d'information. Incontournable.
> C'est à propos du réflexe primaire anti-red-hat auquel tu as fait allusion
C'est pour une distribution qui a une certaine tradition dans ce domaine.
[^] # Re: Novell se désengage de AppArmor ?
Posté par IsNotGood . Évalué à 1.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.