Oui, on pourrait améliorer AppArmor (pas taper) ou intégrer Nix par exemple
Parce que personne n'y a pensé ? C'est justement Canonical qui a mis pas mal de billes dans AppArmor depuis pas mal de temps, ils ont peut être une idée de ce qu'on peut arriver à faire ou non avec ? C'est peut être un choix stratégique de leur par, mais bon des LSM on en a 4 ou 5 (apparmor donc mais aussi selinux, smack, tomoy et le plus récemment mergé au noyau landlock). À ma connaissance malgré les années (SELinux a 22 ans), seul selinux est véritablement démarré en mode actif uniquement sur rhel et consort... AppArmor a lui même était créé pour simplifier SELinux. Je ne sais pas si c'est possible ou pas d'améliorer AppArmor, mais je suis certains que si quelqu'un a une idée la communauté et preneuse parce qu'elle n'a pas l'air de s'en sortir (pour le déployer sur du grand publique donc hors de machines à usage plus ou moins dédiées administré par quelqu'un de motivé pour activer et configurer les règles). Perso j'apprécie les principe je suis pas contre les LSM ni un en particulier, mais ça semble complexe de le déployer en grand publique (et j'entends par là qu'il soit lancé en mode restrictif).
Quant à nix, ça fais exactement ce que tu ne veux pas, c'est à dire avoir 37,972 versions de la même bibliothèques pour que chaque logiciel puisse linker avec celle dont il a envie, le tout en prenant un max de place.
Au passage, existe-t-il une étude qui corrobore l'aspect sécurité quand on multiplie les même bibliothèques avec des mises à jour réparties au petit bonheur ?
Et est-ce qu'il en existe une qui corrobore que le principe de moindre privilège n'est pas prépondérant aux mises à jour ?
Tu trouvera rien pour ça amha et d'autant plus quand c'est pour des machines de bureaux.
Mais bon en soit l'un empêche pas l'autre, il n'y a pas de raison de les mettre en opposition. D'autant que si j'ai bien compris ubuntu se dirige vers la fourniture de snap comme d'autres fournissent des rpm et donc de reconstruire et mettre à jour tous leur snap quand ils veulent mettre à jour une bibliothèque.
[^] # Re: Firefox snap
Posté par barmic 🦦 . En réponse à la dépêche Sortie de la version Ubuntu LTS 22.04. Évalué à 7.
Parce que personne n'y a pensé ? C'est justement Canonical qui a mis pas mal de billes dans AppArmor depuis pas mal de temps, ils ont peut être une idée de ce qu'on peut arriver à faire ou non avec ? C'est peut être un choix stratégique de leur par, mais bon des LSM on en a 4 ou 5 (apparmor donc mais aussi selinux, smack, tomoy et le plus récemment mergé au noyau landlock). À ma connaissance malgré les années (SELinux a 22 ans), seul selinux est véritablement démarré en mode actif uniquement sur rhel et consort... AppArmor a lui même était créé pour simplifier SELinux. Je ne sais pas si c'est possible ou pas d'améliorer AppArmor, mais je suis certains que si quelqu'un a une idée la communauté et preneuse parce qu'elle n'a pas l'air de s'en sortir (pour le déployer sur du grand publique donc hors de machines à usage plus ou moins dédiées administré par quelqu'un de motivé pour activer et configurer les règles). Perso j'apprécie les principe je suis pas contre les LSM ni un en particulier, mais ça semble complexe de le déployer en grand publique (et j'entends par là qu'il soit lancé en mode restrictif).
Quant à nix, ça fais exactement ce que tu ne veux pas, c'est à dire avoir 37,972 versions de la même bibliothèques pour que chaque logiciel puisse linker avec celle dont il a envie, le tout en prenant un max de place.
Et est-ce qu'il en existe une qui corrobore que le principe de moindre privilège n'est pas prépondérant aux mises à jour ?
Tu trouvera rien pour ça amha et d'autant plus quand c'est pour des machines de bureaux.
Mais bon en soit l'un empêche pas l'autre, il n'y a pas de raison de les mettre en opposition. D'autant que si j'ai bien compris ubuntu se dirige vers la fourniture de snap comme d'autres fournissent des rpm et donc de reconstruire et mettre à jour tous leur snap quand ils veulent mettre à jour une bibliothèque.
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll