J'aime beaucoup Slackware qui est ma distribution préférée, mais ceci est faux : "Il salue la maintenance de Slackware Linux en terme de sécurité : les failles de sécurité sont corrigés à temps et tous les patches de sécurité sont présents depuis Slackware 8.1 sortie en 2001."
C'est tout simplement faux :
1) Le kernel chez Slackware est figé, seules les très grosses failles comme le machin local vmsplice sont corrigées. Il n'y a pas d'audit comme le font les grosses distributions (debian, RH, etc...).
La solution serait de suivre le kernel upstream, puisqu'à chaque version dans une branche stable les utilisateurs sont "strongly encouraged to upgrade", et que Linus considère qu'un bug peut être aussi un risque de sécurité, même s'il n'y a pas de CVE.
Par exemple, pour Slackware 12.0, la première Slack avec un kernel 2.6, une seule faille a été corrigée (le machin vmsplice) depuis sa sortie.
2) Toutes les slackwares jusqu'à 8.1 sont maintenues, oui, mais attention : PV ne fournit des mises à jours que pour les paquets faciles à mettre à jour et toujours maintenus upstream.
Alors il vous previent quand par exemple mozilla n'est plus supporté, par contre pour des paquets comme xfree, il y a de forte chance qu'il soit plein de trou de sécurité.
Bref Slackware, c'est à l'utilisateur d'assurer la sécurité, de savoir quels paquets sont supportés etc..., de mettre à jour lui même le kernel, surtout pour les vieilles versions et surtout pour une utilisation serveur accessible par le reste du monde.
# FAUX
Posté par ciol13 . En réponse au journal La Faculté de Sciences Physiques de l'Université de Glasgow migre vers Slackware.. Évalué à 3.
C'est tout simplement faux :
1) Le kernel chez Slackware est figé, seules les très grosses failles comme le machin local vmsplice sont corrigées. Il n'y a pas d'audit comme le font les grosses distributions (debian, RH, etc...).
La solution serait de suivre le kernel upstream, puisqu'à chaque version dans une branche stable les utilisateurs sont "strongly encouraged to upgrade", et que Linus considère qu'un bug peut être aussi un risque de sécurité, même s'il n'y a pas de CVE.
Par exemple, pour Slackware 12.0, la première Slack avec un kernel 2.6, une seule faille a été corrigée (le machin vmsplice) depuis sa sortie.
2) Toutes les slackwares jusqu'à 8.1 sont maintenues, oui, mais attention : PV ne fournit des mises à jours que pour les paquets faciles à mettre à jour et toujours maintenus upstream.
Alors il vous previent quand par exemple mozilla n'est plus supporté, par contre pour des paquets comme xfree, il y a de forte chance qu'il soit plein de trou de sécurité.
Bref Slackware, c'est à l'utilisateur d'assurer la sécurité, de savoir quels paquets sont supportés etc..., de mettre à jour lui même le kernel, surtout pour les vieilles versions et surtout pour une utilisation serveur accessible par le reste du monde.