[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [gulliver] Bonjour a tous


From Sebastien Tanguy <seb at death-gate dot fr dot eu dot org>
Subject Re: [gulliver] Bonjour a tous
Date Tue, 03 Jun 2003 22:42:40 +0200

Jean-Yves Burlett <jean-yves at burlett dot org> writes:
> On Saturday 31 May 2003 12:35, Sebastien Tanguy wrote:
>> Voire, on peut même se passer de Apache et utiliser un serveur plus
>> adapté et plus léger.
> Comme AOLserver par exemple, qui pulse plutôt bien.

Je pensais plutôt à thttpd, personnellement, vu qu'il fait l'essentiel
des fonctionnalités nécessaires dans une petite taille.

(en plus, avantage d'être en licence BSD-like contre du MPL)

>> Ils chrootent le Apache par défaut,  sous OpenBSD ? 
>
> Oui. Et ça marche avec php, il faut dupliquer PEAR et certains .so ...
> Mais comme php ça suce, personne ne regrettera. </troll>

Oui, comme  c'est pas spécialement  utilisé par le système,  tout cela
peut être stocké  dans l'arborescence du serveur. Par  contre, pour du
CGI et/ou du Perl, ça reste une autre histoire.

>> Et  puis, c'est  un  peu  dommage aussi  qu'ils  tournent avec  une
>> version aussi antique de Bind
> Bon, Christophe a déjà répondu, c'est du bind9 désormais. Sinon, maradns est 
> pas mal.

Marrant, ils sont donc audité le code  de Bind ? Il me semblait que la
version 9 était une horreur dans le genre.

>> Oh, et puis,  vouloir à tout prix utiliser du  chroot en justifiant la
>> sécurité, c'est quand même un peu se mettre des oeillères.  Même si ça
>> permets de limiter  les dégâts dans un premier temps,  il faut être un
>> peu naïf pour croire qu'on ne peut pas du tout sortir d'un chroot.
>
> C'est juste un speed bumper de plus contre les hackers. 

Oui, c'est  ce que je pense  aussi. Mais cela reste  limité. Cela peut
aider à ralentir la prise en main  du système, mais si ce n'est pas le
cas,  si le  but est  juste d'exécuter  du code  et faire  tourner son
propre processus (prendre  le cas de vers récents,  genre SQL Slammer,
je  pense, qui  sont  bien dans  ce cas,  et  qui servent  juste à  se
multiplier et  faire des requêtes réseaux),  le chroot ne  sert plus à
rien.

> Si tu suis les ML, il est  très bien admis que le chroot possède ses
> limitations (surtout dès qu'on peut écrire dedans).

Oui, et il  y a aussi des versions dérivées  qui sont normalement plus
efficaces (par exemple, sous FreeBSD, jail).

> Ceci dit, c'est pas une raison pour ne pas le faire. 
> Idem pour systrace. 

Tout  dépend des contraintes  et le  rapport entre  la sécurité  et la
facilité de  mettre à jour l'environnement  complet. Typiquement, pour
un serveur web  complet, je ne suis pas convaincu  par le chroot, mais
d'un autre  côté le plus gros  risque de toutes  les manières reposera
sur les applications qui tourneraient par dessus.

> Maintenant, si tu veux troller, parle de sendmail :)

Nan, c'est pas  drôle, sous OpenBSD, il écoute  pas sur les interfaces
réseaux externes...


seb.
-- 
``If you want to travel around the world and be invited  to speak a
  lot of different places, just write a Unix Operating System''
                                (Linus T.)

---- Liste gulliver ----
Se désinscrire, mailto:gulliver-unsubscribe at listes dot gulliver dot eu dot org
GULLIVER,       http://gulliver.eu.org/