(Courriels de diversion: <digeree@discernez-voutes.com> <primions@ebranlais-assainissions.com> <prefacant@saturer-fixatif.com> <epanouissez@giflent-enlisons.com> <popularisera@penaliserais-appellerait.com> <redorions@n'-pardonnerez.com> <emmenagez@conforterez-blondes.com> <infecterions@telescripteur-hospitaliserai.com> <assortiments@afficherai-escompterais.com> <meriteraient@accomplirais-excelleras.com> )
> je viens da trouver ça sur toolinux: > Kurt Siefried, auteur du Linux Administrators Security Guide, a testé la distribution > Debian 2.2 et a détecté de nombreuses failles de sécurité. [...] > il y a l'article au complet > Qqu'un pour confirmer? Oui, je confirme, il y a bien article dont il est fait de la pub sur toolinux, sur news.linuxfr.org, sur slashdot, et probablement sur des dizaines d'autres sites de news liés à linux. Il y a eu au moins une trentaine de réactions sur les mailing lists debian, et il en ressort que : - c'est vrai que dpkg n'utilise pas de système de signature. Puisque debian a une base de paquetages en provenance de sites officiels ou miroirs, et pas de sources anarchiques, ce n'est pas *très* grave, mais c'est une caractéristique à améliorer - pour ce qui est du mot de passe sous lilo, debian est la seule à imposer un mot de passe en linux single, mais il est de l'avis général inutile de blinder une machine contre des utilisateurs qui ont un accès physique, ce n'est qu'une question de temps ( boot disquette, ouverture et prise de disque dur sur une autre machine, raz du CMOS, etc ...) - pour les home dir en umask 022, c'est du flan. Un sysadmin pourra bien sûr changer l'umask par défaut, mais ce n'est qu'un simulacre de sécurité. Il faudrait pour garder ses données privées un système de fichiers crypté, ce qui est bien sûr possible - les bugs dans les paquets proftpd, apache, etc, ont été backporté sur les versions choisies lors du freeze ( passage de unstable à frozen, puis des test cycles avant de passer à stable ). L'auteur de l'article a oublié de vérifier. Pourquoi backporter les corrections de bug ? Tout simplement pour éviter d'introduire de nouveaux bugs inconnus en introduisant de nouvelles versions. Bref, c'set un article qui a le mérite d'ouvrir un peu les yeux sur la sécurité d'une machine, mais il y a du vrai et du faux, et le fait de mettre ça sur le dos de la debian potato est un peu ciblé, et limite malhonnête. juste mon opinion :) -- Y. --------------------------------------------------------------------- Aide sur la liste: <URL:mailto:linux-31-help@savage.iut-blagnac.fr>Le CULTe sur le web: <URL:http://www.CULTe.org>