CULTe : Home | Association | Reunions | Projets | Listes de diffusion | Recherche | Best of Linux-31 | Trombinoscope

(Courriels de diversion: <digeree@discernez-voutes.com> <primions@ebranlais-assainissions.com> <prefacant@saturer-fixatif.com> <epanouissez@giflent-enlisons.com> <popularisera@penaliserais-appellerait.com> <redorions@n'-pardonnerez.com> <emmenagez@conforterez-blondes.com> <infecterions@telescripteur-hospitaliserai.com> <assortiments@afficherai-escompterais.com> <meriteraient@accomplirais-excelleras.com> ) 

> je viens da trouver ça sur toolinux:
>                                               Kurt Siefried, auteur du Linux Administrators Security Guide, a testé la distribution
>                                               Debian 2.2 et a détecté de nombreuses failles de sécurité. 
[...]
> il y a l'article au complet
> Qqu'un pour confirmer?

  Oui, je confirme, il y a bien article dont il est fait de la pub sur
toolinux, sur news.linuxfr.org, sur slashdot, et probablement sur des dizaines
d'autres sites de news liés à linux. Il y a eu au moins une trentaine de
réactions sur les mailing lists debian, et il en ressort que :

  - c'est vrai que dpkg n'utilise pas de système de signature. Puisque
debian a une base de paquetages en provenance de sites officiels ou miroirs,
et pas de sources anarchiques, ce n'est pas *très* grave, mais c'est une
caractéristique à améliorer
  - pour ce qui est du mot de passe sous lilo, debian est la seule à imposer
un mot de passe en linux single, mais il est de l'avis général inutile de
blinder une machine contre des utilisateurs qui ont un accès physique, ce
n'est qu'une question de temps ( boot disquette, ouverture et prise de disque
dur sur une autre machine, raz du CMOS, etc ...)
  - pour les home dir en umask 022, c'est du flan. Un sysadmin pourra bien sûr
changer l'umask par défaut, mais ce n'est qu'un simulacre de sécurité. Il
faudrait pour garder ses données privées un système de fichiers crypté, ce qui
est bien sûr possible
  - les bugs dans les paquets proftpd, apache, etc, ont été backporté sur les
versions choisies lors du freeze ( passage de unstable à frozen, puis des test
cycles avant de passer à stable ). L'auteur de l'article a oublié de vérifier.
Pourquoi backporter les corrections de bug ? Tout simplement pour éviter
d'introduire de nouveaux bugs inconnus en introduisant de nouvelles versions.

  Bref, c'set un article qui a le mérite d'ouvrir un peu les yeux sur la
sécurité d'une machine, mais il y a du vrai et du faux, et le fait de mettre
ça sur le dos de la debian potato est un peu ciblé, et limite malhonnête.

  juste mon opinion :)

-- 
  Y.

---------------------------------------------------------------------
Aide sur la liste: <URL:mailto:linux-31-help@savage.iut-blagnac.fr>Le CULTe sur le web: <URL:http://www.CULTe.org>

Cette page fait partie des archives des listes de diffusion de l'association CULTe.

A l'intention des mechants robots qui parcourent notre site a la recherche d'adresses electroniques a cibler avec des pourriels, voici une liste d'adresses pourries.