KubuntuBlog

Security is not a product, it's a process. Bruce Schneier

Aller au contenu | Aller au menu | Aller à la recherche

jeudi 8 février 2007

Est-ce bien raisonnable ?

Je n'en suis pas sur. Mais bon, l'occasion fait le larron.

Le transport a été ... sportif ! J'espère que les amortisseurs ne s'en souviendrons pas :)

Baie Baie

En tout cas je sais dans quoi je vais faire la baie de brassage et le stockage de serveur :)

Merci au généreux donnateur, il se reconnaitra.

Partenariat entre Canonical et Linspire

La société Canonical (que vous connaissez bien) et la société Linspire viennent d'annoncer conjointement un accord technique.

Linspire édite une distribution linux commerciale éponyme (ainsi qu'une version libre nommée Freespire). Son but est exclusivement le desktop et est actuellement sur base Debian. On peux aussi noter qu'ils sponsorisent (ou ont sponsorisé) plusieurs developpements libre comme Nvu.
Elle dispose aussi d'un logiciel d'installation qui se veux la manière la plus facile d'installer sous Linux[1]

L'accord comporte deux points :

  • Linspire abandonne sa base debian pour basculer sur les paquets Ubuntu
  • Ubuntu intègre la technologie CNR dans sa distribution

L'intégration se fera à partir de la 7.04 Feisty Fawn.

Pour plus de détails :

Notes

[1] perso, après avoir lu la description, je ne vois pas ce que ça amène de plus qu'un synaptic

avrDefender : un petit jeu à deux balles

article déplacé vers [http://blog.dinask.eu/2007/02/avrdefender-un-petit-jeu-deux-balles.html|http://blog.dinask.eu/2007/02/avrdefender-un-petit-jeu-deux-balles.html|fr]

Ubuntu est-elle prête pour le serveur ?

Je dispose chez moi d'un serveur perso. Il héberge quelques applications web, sert de sauvegarde centralisée et fait la passerelle entre le réseau filaire et wifi.
Celui-ci utilise une Ubuntu Dapper LTS en version serveur. Outre la durée de maintenance annoncée (5 ans pour la version serveur), j'ai choisit une ubuntu pour mon serveur afin de garder une cohérence sur mon parc. N'ayant qu'une seule sorte de distribution, l'administration est plus simple.

Or récemment, il a été victime d'une intrusion. En résumé, l'attaquant est passé par une faille de cacti pour installer un bot irc. Ma machine devenant alors un zombie. Si vous voulez plus de détails, vous pouvez lire mon billet Réagir à une intrusion sur un système linux

Regardons la chronologie des événements :

  • 28/12/2006 : faille critique découverte dans cacti. Elle permet l'exécution de code arbitraire
  • 06/01/2007 : publication par l'équipe de développement de patchs corrigeant cette faille. Ceux-ci sont disponibles pour les deux dernières versions dont la 0.8.6h de dapper
  • 08/01/2007 : création d'un bug dans Launchpad
  • 02/02/2007 : exploitation de la faille sur mon serveur.

Avant toute chose sachez que mon serveur est tenu à jour la nuit par un processus cron. La conclusion est simple, le paquet n'est pas tenu corrigé des mises à jours de sécurité, fussent-elles critiques !

Et bien, ceci est normal. En effet cacti fait parti de Universe et ne fait donc pas parti des paquets officiellement maintenus.

Be advised that neither the Universe or Multiverse repositories contain officially supported packages. In particular, there may not be security updates for these packages.

A noter qu'à l'heure ou j'écris, la correction ne semble pas appliquée dans Edgy[1], mais l'est dans Feisty[2]. Voir la liste des mises-à-jour

A titre de comparaison regardons debian (bug #404818 pour avoir l'historique):

  • version testing : la correction est faite dans le paquet 0.8.6i, mise à jour : 17/01
  • version stable : le patch pour la 0.8.6c n'est pas fourni par l'équipe de cacti. Mais le patch est backporté de la 0.8.6i. On peux le voir dans le diff sur cmd.php, mise à jour 17/01

Alors oui, j'aurais du le savoir, j'aurais du suivre les mises-à-jour pour mes logiciels Universe et les faire moi-même[3]. Mais je n'ai pas envie de faire un boulot d'administrateur réseau et de veille sécurité quand je suis chez moi. Je veux juste que ça marche sans trop de problèmes.

J'aurais pu aussi me passer des softs dispos dans Universe. Mais chez moi ils représentent 48 paquets sur 389 soit plus de 12%. De plus dans ces paquets Universe, on trouve Bacula, WebSvn, trac, phpMyAdmin, cacti ... Des logiciels qui sont en 1ère ligne et dont je ne veux pas me passer.

Si vous voulez faire le test chez vous[4] :

for p in $(dpkg-query -W --showformat='${Package} '); \
do \
   echo -ne "$p\t"; \
   apt-cache show --no-all-versions $p|grep "Section:"|sed 's/Section://'; \
done |tee /tmp/list
wc -l /tmp/list
grep -i universe /tmp/list | wc -l

Donc pour répondre au titre un brin provocateur de ce billet : pour mon utilisation ou je recherche un minimum d'administration pour un maximum de sécurité : NON, Ubuntu Server ne me convient plus.
KUbuntu me satisfait pleinement sur le desktop, mais je crains qu'elle ne soit pas encore à la hauteur pour les serveurs persos, sauf si vous acceptez de suivre et de patcher vous-même les failles de sécurité pour les softs qui ne sont pas dans main.

Lors de la ré-install de mon serveur pour le remettre sur le réseau, je choisirai une debian qui assure la sécurité de beaucoup plus de paquets.

Notes

[1] Des paquets sont disponibles pour Edgy dans le bug mentionné ci-desus. Pour dapper ils ne sont pas encore prêts

[2] resynchro avec les paquets debian

[3] dans l'attaque que j'ai subi, interdire l'execution dans /tmp comme préconisé par NiKo aurait pu servir, mais ca ne protège pas d'autres méthodes

[4] un simple dpkg-query -W --showformat='${Package} ${Section}' devrait suffir, mais l'information Universe n'apparaît alors pas dans la section.