• [^] # Re: Pourquoi une option ?

    Posté par . En réponse à la dépêche Dossier sur le renforcement des fonctions de sécurité du noyau sur Secuobs.com. Évalué à 4.

    Bonsoir,

    à mon avis (de non expert, je note bien), je trouve normal la non-adoption de ces mécanismes de sécurité par défaut dans la plupart des distributions. Si on regarde bien, les configurations par défaut (je parle du noyau là) sont assez génériques et cherchent à répondre à un grand panel de besoins différents. Mon impression jusqu'à présent est que la politique est la suivante : "on donne un noyau qui marche correctement, avec une majorité de configurations (matérielles), sans trop de compromis d'un point de vue performances".

    Si on était amené à faire un sondage auprès des utilisateurs linux, je pense que l'on serait surpris de voir un grand pourcentage de personnes travaillant avec le noyau "basique" proposé par leur distribution favorite, et ce malgré le fait que bon nombre des utilisateurs linux ont souvent un certain bagage informatique qui leur permettrait de se lancer dans une recompilation du noyau.

    Il faut rajouter à ça qu'une simple activation de SELinux ne suffit pas. Il faut chercher à comprendre ce que propose ce mécanisme et comment le configurer correctement, ce qui n'est ni à la portée de tous, ni jugé nécessaire par la majorité des utilisateurs Linux. Ainsi, on risquerait fort de donner une fausse impression de sécurité en posant une configuration "générique" de SELinux par défaut, ce qui est encore plus dangereux que ne rien mettre du tout à mon avis.

    Donc pour répondre à ta question, je pense que c'est un choix réfléchi que de ne pas activer ces options de sécurité par défaut. Comme pour toute chose dans les distributions Linux (celles que je connais du moins), on laisse le choix à l'administrateur de faire ce qu'il veut avec sa machine. S'il est suffisament compétent pour activer et paramétrer SELinux, il le fera de lui-même, et bien mieux que toute configuration préfabriquée.