• [^] # Re: ftp.gnu.org compromis

    Posté par . En réponse à la dépêche ftp.gnu.org compromis. Évalué à 3.

    Tout les admins ne savent pas compiler un noyau.

    Ceux là ne méritent pas d'être appellés "admins". Si pour eux l'administration se limite à downloader les patchs sur le site officiel de la distrib, il ya fort à parier qu'ils laisseront une porte ouverte autrement plus grande que le support des modules.

    Les modules offrent des possibilités de paramétrage que n'a pas un noyau complet.

    Et ces mêmes possibilités de paramétrages offrent des possibilités d'exploits aux attaquants éventuels. Il faut savoir ce que l'on veut. Mettre un BeOS en guise de protection critique offre aussi des possibilités de paramétrage que n'a pas un UNIX classique. Pourtant, va savoir pourquoi, personne ne met de BeOS en passerelle... et ce n'est pas lié qu'au manque de support.

    il y a des drivers fourni packager sous forme de module et très rarement sous forme d'un noyau complet.

    Encore une fois, il faut savoir ce que l'on veut. Une machine dont la resistance aux intrusions est critique demande un minimum de travail de la part de l'admin, et ce minimum passe (selon moi) par l'utilisation d'un noyau compilé sur mesure avec juste les bons drivers dedans (inutile de gonfler le noyau avec du code qui ne servira pas avant la prochaine upgrade hardware et qui risque de présenter des vulnérabilités), avec les patchs de sécurité qui vont bien (il n'y a pas si souvent besoin d'en appliquer à un noyau, les applis c'est une autre histoire) etc.

    Si la machine qui te protège est identiqe à celles de centaines d'internautes, elle sera grande ouverte le jour où l'une des autres tombera...