Je pense que la moindre popularité des BSD joue beaucoup : moins de monde, moins de patchs, moins de nouvelles idées, etc. Mais surtout moins d'attaquants, moins de recherche de failles, etc. C'est une bonne chose. Utiliser un système moins connu met à l'abri. Avoir un serveur sous Haïku ou Syllabe ou … Je trouve ça rassurant.
Mais surtout moins d'attaquants, moins de recherche de failles, etc. C'est une bonne chose. Utiliser un système moins connu met à l'abri.
Si c'est ta façon de gérer la sécurité… Perso une personne qui me sort ça au taf c'est soit un avertissement qu'il faut qu'il change de mentalité et passe des cours sur la sécurité pour ne pas sortir des trucs du même style que les logiciels non libres c'est mieux car on ne peut pas auditer le code pour les failles, soit un licenciement pour faute et/ou incompétence.
Heureusement ce n'est pas l'idée qu'on les auteurs de ces OS.
Dis donc sacré déviation danbs ta comparaison! je parlais d'OS libres quand même :-)
Et non ma conception de la sécurité ne se limite pas à ça. Mais pour un site web courant et donc peu connu (ce que j'ai oublié de préciser), tu évites des milliers d'attaques parce que ni les bots ni les kiddies ne savent comment faire avec un système qu'ils ne connaissent pas. Ça n'empêche pas d'avoir des machines "blindées" en frontal. Cela dit, je ne fais plus de sécurité depuis 20 ans, les (tests d') intrusions auxquelles j'ai participé utilisaient sûrement des techniques démodées, mais si au delà du bot ou du script kiddy un type pénètre un système inconnu, je doute qu'il sache s'y démerder pour y faire qq chose et rester caché, on le verra rapidement.
C'est donc toi qui installe d'obscurs logiciels sur les serveurs, télécharge des ISOs à partir d'un nom de domaine qui ressemble à du sha1, achète du matériel dans une langue que personne ne connait et démarre des images Docker faites par un pur inconnu !
They required a dhcp, an internal DNS, an Apache + PHP server for some internal (and a couple of external) websites, a file server accessible via both NFS and Samba an internal SMTP connecting
Donc 7 services réseau non patchés pendant une dizaine d'années ? Que ce soit sur une distrib Linux, Windows, MacOS, *BSD ou autre, c'est tout de même curieux de venir s'en vanter. Même avec une base système et un noyau en béton armé, ça devait être de sacrés passoires.
Dejà il faudrait voir si des failles critiques sur ces composants ont été remontées …. Si ce n'est pas le cas, pas de quoi s'affoler. Ensuite, si des failles critiques ont été remontées, étaint-elles utilisables dans le contexte de ce serveur ?
Je n'i pas le temps de faire la recherche maintenant sur les CVE xBSD. Ah, il y a peut-être eu effectivement un problème avec ssh ces dernières années … a voir si le serveur en question était concerné.
Sur Apache, PHP, Bind, Samba, et OpenVPN tiens aussi, c'est plus que probable qu'il y ai eu des CVEs graves en 10 ans.
Pour le dire autrement, le problème n'est pas l'existence des CVEs ou que l'entreprise s'en sorte bien, c'est qu'une entreprise se fait installer un serveur, et ne fait pas sa maintenance (ou paye une prestation de maintenance) pour faire les mises à jour, à minima de sécurité. Marinelli semble trouver aussi que c'est OK, et c'est un second problème.
Après, tu ne peux pas forcer les entreprises à le faire, au final c'est un choix, choix probablement issu d'un manque d'information et de conseil.
Encore que… Dans une certaine mesure, le RGPD devrait aider à changer ce genre de situation, puisque ce texte dit qu'un défaut manifeste de sécurisation des données est condamnable. Voir service-public.fr, section Assurer la sécurité des données, et ce guide de la CNIL.
Sur Apache, PHP, Bind, Samba, et OpenVPN tiens aussi, c'est plus que probable qu'il y ai eu des CVEs graves en 10 ans.
ce n'est pas du BSD ça. C'est de la mise à jour de softwares (ports sous FreeBSD, pkgsrc sous Netbsd …). Je ne sais pas s'ils ont fait les mises à jour de leurs paquets. Je ne sais pas si ça a été fait, mais tu peux toujours mettre à jour cette partie sans mettre à jour l'OS.
Maintenant je ne défends pas bec et ongles l'intervenant (si la machine n'a eu aucun suivi, c'est effectivement un problème), mais je veux juste souligner que BSD et Linux ce sont deux mondes différents, et qu'on ne peut pas forcément appliquer (ou s'offusquer de la non application) des mêmes règles de chaque côté. Autrement dit, un uptime de 300 jours sur un BSD m'inquiètera moins qu'un uptime de 90 jours sur une machine Linux …
-il aurait fallu un journal au lieu d'un simple lien
-le consultant ne nous donne pas les noms des entreprises qu'il a migrées vers bsd
-freebsd et netbsd ont l'air d'avoir une place très prenante sur ses serveurs, comme si openbsd était relégué aux routeurs/parfeux
j'avais découvert ce bonhomme en surfant sur la sphère bsdiste, et j'admets que c'était plutot une bonne surprise ; maintenant il est vrai que linux va prendre une place prépondérante dans les alternatives, et que demain l'idée d'avoir un bsd entre les mains devienne presque un critère excluant, un peu comme "t'as pas de smartphone ios/android donc tu peux pas au revoir" (déjà entendu)
à priori sa PME d'hébergement, mais ça reste flou : il héberge lui même les serveurs, sous sa responsabilité?
de ma compréhension il dirige une société de conseils pour hébergeurs et presta informatiques. Jme trompe peut etre.
Stefano est une personne très - trop*? - sympathique et positive, mais honnêtement, les arguments avancés ne mettent pas nécessairement linux en défaut. Après, il n'hésite pas à mettre Proxmox en avant.
FreeBSD a cet avantage que c'est effectivement un OS complet battery included, rigoureux, soutenue par une fondation dédiée (!= linux foundation).
L'enshitification de linux, le prosélytisme BSD sur Fediverse et récemment, la stratégie de la FreeBSD fondation pourrait relancer mon intérêt pour cette plate-forme même si le combat en entreprise me paraîtra encore plus compliqué que de suggérer Linux on-prem contre le Cloud.
mes 2 cents.
*je dis trop car il ne faut pas oublier qu'il engage à visage découvert, tout à son honneur, mais l'absence de critiques - qui peuvent déplaire - mais factuelles, me faire dire qu'il y a légère touche de démago.
Posté par tkr .
Évalué à 2 (+1/-0).
Dernière modification le 14 octobre 2024 à 23:26.
les arguments avancés ne mettent pas nécessairement linux en défaut.
Manquerait plus qu'un des OS soit compliqué à utiliser..
FreeBSD a cet avantage que c'est effectivement un OS complet battery included, rigoureux, soutenue par une fondation dédiée (!= linux foundation).
Le problème de BSD, c'est qu'à 99% les gens sous entendent freebsd, alors que net/openBSD semblent prendre une place/attention bien plus conséquente ces dernières années.
L'objectif d'indépendance totale d'openbsd, atteint ces derniers temps, notamment.
L'enshitification de linux
…Précisions? ;)
le prosélytisme BSD sur Fediverse
fédiverse =/= mastodon.
y'a beaucoup moins de posts sur diasp'.
le combat en entreprise me paraîtra encore plus compliqué que de suggérer Linux on-prem contre le Cloud.
C'est presque perdu d'avance : whatsapp fonctionnait sur freebsd, migré depuis sur linux.
Me semble aussi que plusieurs éditeurs d'effets spéciaux avaient leurs serveurs sur freebsd, j'imagine que pour des raisons de simplicité….
J'aurais aimé voir plus d'entreprises utiliser du net/openbsd, et j'ai l'impression qu'aucune de s'en sert.
Me semble aussi que plusieurs éditeurs d'effets spéciaux avaient leurs serveurs sur freebsd
En effet, avec FreeNAS et TrueNAS, principalement, ceci pour profiter facilement de la souplesse de ZFS, avec un rapport prix/performance raisonnable.
Mais comme une partie de la gamme TrueNAS passe sur une base Debian, on peut parier sur un abandon progressif de FreeBSD à moyen terme - pas parce que FreeBSD est moins bien que Debian, mais pour consolider la gamme.
Il y a aussi pas mal de firewalls Netgate pfSense, donc avec FreeBSD sous le capot dans les studios de VFX et d'animation. C'est pas cher et ça fait les services de base (filtrage, passerelle VPN) sans broncher. Là où je bossais dans les effets spéciaux, un moment il y avait un firewall sous OpenBSD géré à la main, qui a été remplacé par un Fortigate propriétaire quand il a fallu avoir plus de 10 règles.
# sources
Posté par vmagnin (site web personnel) . Évalué à 5 (+3/-0).
L'exposé et l'article de blog correspondants :
[^] # Re: sources
Posté par orfenor . Évalué à 2 (+3/-3).
Je pense que la moindre popularité des BSD joue beaucoup : moins de monde, moins de patchs, moins de nouvelles idées, etc. Mais surtout moins d'attaquants, moins de recherche de failles, etc. C'est une bonne chose. Utiliser un système moins connu met à l'abri. Avoir un serveur sous Haïku ou Syllabe ou … Je trouve ça rassurant.
[^] # Re: sources
Posté par BAud (site web personnel) . Évalué à 7 (+5/-0). Dernière modification le 13 octobre 2024 à 13:38.
euh c'est un peu méconnaître l'écosystème BSD :
c'est aussi une culture de la sécurité — plutôt que la seule course à la nouveauté —et d'assurer efficacement les fonctions remplies.
oula /o\ chacun ses choix :D
[^] # Re: sources
Posté par Zenitram (site web personnel) . Évalué à 7 (+7/-2).
Si c'est ta façon de gérer la sécurité… Perso une personne qui me sort ça au taf c'est soit un avertissement qu'il faut qu'il change de mentalité et passe des cours sur la sécurité pour ne pas sortir des trucs du même style que les logiciels non libres c'est mieux car on ne peut pas auditer le code pour les failles, soit un licenciement pour faute et/ou incompétence.
Heureusement ce n'est pas l'idée qu'on les auteurs de ces OS.
[^] # Re: sources
Posté par orfenor . Évalué à 1 (+0/-1).
Dis donc sacré déviation danbs ta comparaison! je parlais d'OS libres quand même :-)
Et non ma conception de la sécurité ne se limite pas à ça. Mais pour un site web courant et donc peu connu (ce que j'ai oublié de préciser), tu évites des milliers d'attaques parce que ni les bots ni les kiddies ne savent comment faire avec un système qu'ils ne connaissent pas. Ça n'empêche pas d'avoir des machines "blindées" en frontal. Cela dit, je ne fais plus de sécurité depuis 20 ans, les (tests d') intrusions auxquelles j'ai participé utilisaient sûrement des techniques démodées, mais si au delà du bot ou du script kiddy un type pénètre un système inconnu, je doute qu'il sache s'y démerder pour y faire qq chose et rester caché, on le verra rapidement.
[^] # Re: sources
Posté par BAud (site web personnel) . Évalué à 2 (+0/-0). Dernière modification le 14 octobre 2024 à 13:37.
moui, ça vaut mieux ;-)
par définition
hmmm, si toi tu connais, qui te dit qu'il ne connaîtrait pas ? (et, quand bien même, il y a toujours quelques points communs…) :p
[^] # Re: sources
Posté par Julien.D . Évalué à 4 (+2/-0).
C'est donc toi qui installe d'obscurs logiciels sur les serveurs, télécharge des ISOs à partir d'un nom de domaine qui ressemble à du sha1, achète du matériel dans une langue que personne ne connait et démarre des images Docker faites par un pur inconnu !
Tu sais que c'est pas bien, j'espère ? 😅
# Services réseau
Posté par cg . Évalué à 9 (+7/-0).
Donc 7 services réseau non patchés pendant une dizaine d'années ? Que ce soit sur une distrib Linux, Windows, MacOS, *BSD ou autre, c'est tout de même curieux de venir s'en vanter. Même avec une base système et un noyau en béton armé, ça devait être de sacrés passoires.
[^] # Re: Services réseau
Posté par totof2000 . Évalué à 5 (+3/-0).
Dejà il faudrait voir si des failles critiques sur ces composants ont été remontées …. Si ce n'est pas le cas, pas de quoi s'affoler. Ensuite, si des failles critiques ont été remontées, étaint-elles utilisables dans le contexte de ce serveur ?
Je n'i pas le temps de faire la recherche maintenant sur les CVE xBSD. Ah, il y a peut-être eu effectivement un problème avec ssh ces dernières années … a voir si le serveur en question était concerné.
[^] # Re: Services réseau
Posté par cg . Évalué à 6 (+4/-0).
Sur Apache, PHP, Bind, Samba, et OpenVPN tiens aussi, c'est plus que probable qu'il y ai eu des CVEs graves en 10 ans.
Pour le dire autrement, le problème n'est pas l'existence des CVEs ou que l'entreprise s'en sorte bien, c'est qu'une entreprise se fait installer un serveur, et ne fait pas sa maintenance (ou paye une prestation de maintenance) pour faire les mises à jour, à minima de sécurité. Marinelli semble trouver aussi que c'est OK, et c'est un second problème.
Après, tu ne peux pas forcer les entreprises à le faire, au final c'est un choix, choix probablement issu d'un manque d'information et de conseil.
Encore que… Dans une certaine mesure, le RGPD devrait aider à changer ce genre de situation, puisque ce texte dit qu'un défaut manifeste de sécurisation des données est condamnable. Voir service-public.fr, section Assurer la sécurité des données, et ce guide de la CNIL.
[^] # Re: Services réseau
Posté par totof2000 . Évalué à 2 (+1/-1).
ce n'est pas du BSD ça. C'est de la mise à jour de softwares (ports sous FreeBSD, pkgsrc sous Netbsd …). Je ne sais pas s'ils ont fait les mises à jour de leurs paquets. Je ne sais pas si ça a été fait, mais tu peux toujours mettre à jour cette partie sans mettre à jour l'OS.
Maintenant je ne défends pas bec et ongles l'intervenant (si la machine n'a eu aucun suivi, c'est effectivement un problème), mais je veux juste souligner que BSD et Linux ce sont deux mondes différents, et qu'on ne peut pas forcément appliquer (ou s'offusquer de la non application) des mêmes règles de chaque côté. Autrement dit, un uptime de 300 jours sur un BSD m'inquiètera moins qu'un uptime de 90 jours sur une machine Linux …
[^] # Re: Services réseau
Posté par Pol' uX (site web personnel) . Évalué à 3 (+1/-0).
Tu veux dire que l'absence de suivi t'inquiète moins sur un BSD que sur un GNU/Linux ?
Adhérer à l'April, ça vous tente ?
[^] # Re: Services réseau
Posté par totof2000 . Évalué à 3 (+1/-0).
Non, je veux dire qu'un BSd avec un uptime important ne signifie pas qu'il n'est pas suivi.
# -
Posté par tkr . Évalué à 0 (+1/-2).
Merci pour le lien, bien que :
-il aurait fallu un journal au lieu d'un simple lien
-le consultant ne nous donne pas les noms des entreprises qu'il a migrées vers bsd
-freebsd et netbsd ont l'air d'avoir une place très prenante sur ses serveurs, comme si openbsd était relégué aux routeurs/parfeux
j'avais découvert ce bonhomme en surfant sur la sphère bsdiste, et j'admets que c'était plutot une bonne surprise ; maintenant il est vrai que linux va prendre une place prépondérante dans les alternatives, et que demain l'idée d'avoir un bsd entre les mains devienne presque un critère excluant, un peu comme "t'as pas de smartphone ios/android donc tu peux pas au revoir" (déjà entendu)
mais merci!
[^] # Re: -
Posté par BAud (site web personnel) . Évalué à 2 (+0/-0). Dernière modification le 13 octobre 2024 à 18:10.
arf, toi ne doutes de rien ô_O
[^] # Re: -
Posté par tkr . Évalué à 1 (+0/-0).
J'ai vu la pres', son blog et l'article de Register en moins de dix minutes, mais j'ai pas trouvé.
Où les boites qu'il a migrées sont nommées? Merci de me préciser, pour ma part je trouve pas.
[^] # Re: -
Posté par tkr . Évalué à 1 (+0/-0).
à priori sa PME d'hébergement, mais ça reste flou : il héberge lui même les serveurs, sous sa responsabilité?
de ma compréhension il dirige une société de conseils pour hébergeurs et presta informatiques. Jme trompe peut etre.
[^] # Re: -
Posté par pas_de_bol . Évalué à 0 (+0/-0).
Stefano est une personne très - trop*? - sympathique et positive, mais honnêtement, les arguments avancés ne mettent pas nécessairement linux en défaut. Après, il n'hésite pas à mettre Proxmox en avant.
FreeBSD a cet avantage que c'est effectivement un OS complet battery included, rigoureux, soutenue par une fondation dédiée (!= linux foundation).
L'enshitification de linux, le prosélytisme BSD sur Fediverse et récemment, la stratégie de la FreeBSD fondation pourrait relancer mon intérêt pour cette plate-forme même si le combat en entreprise me paraîtra encore plus compliqué que de suggérer Linux on-prem contre le Cloud.
mes 2 cents.
*je dis trop car il ne faut pas oublier qu'il engage à visage découvert, tout à son honneur, mais l'absence de critiques - qui peuvent déplaire - mais factuelles, me faire dire qu'il y a légère touche de démago.
[^] # Re: -
Posté par tkr . Évalué à 2 (+1/-0). Dernière modification le 14 octobre 2024 à 23:26.
Manquerait plus qu'un des OS soit compliqué à utiliser..
Le problème de BSD, c'est qu'à 99% les gens sous entendent freebsd, alors que net/openBSD semblent prendre une place/attention bien plus conséquente ces dernières années.
L'objectif d'indépendance totale d'openbsd, atteint ces derniers temps, notamment.
…Précisions? ;)
fédiverse =/= mastodon.
y'a beaucoup moins de posts sur diasp'.
C'est presque perdu d'avance : whatsapp fonctionnait sur freebsd, migré depuis sur linux.
Me semble aussi que plusieurs éditeurs d'effets spéciaux avaient leurs serveurs sur freebsd, j'imagine que pour des raisons de simplicité….
J'aurais aimé voir plus d'entreprises utiliser du net/openbsd, et j'ai l'impression qu'aucune de s'en sert.
[^] # Re: -
Posté par cg . Évalué à 2 (+0/-0).
En effet, avec FreeNAS et TrueNAS, principalement, ceci pour profiter facilement de la souplesse de ZFS, avec un rapport prix/performance raisonnable.
Mais comme une partie de la gamme TrueNAS passe sur une base Debian, on peut parier sur un abandon progressif de FreeBSD à moyen terme - pas parce que FreeBSD est moins bien que Debian, mais pour consolider la gamme.
Il y a aussi pas mal de firewalls Netgate pfSense, donc avec FreeBSD sous le capot dans les studios de VFX et d'animation. C'est pas cher et ça fait les services de base (filtrage, passerelle VPN) sans broncher. Là où je bossais dans les effets spéciaux, un moment il y avait un firewall sous OpenBSD géré à la main, qui a été remplacé par un Fortigate propriétaire quand il a fallu avoir plus de 10 règles.
Envoyer un commentaire
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.