[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: SOS lpr


From Sebastien Tanguy <seb at death-gate dot fr dot eu dot org>
Subject Re: SOS lpr
Date 07 Nov 2001 20:32:48 +0100

>>>>> Ludovic Boisseau <ludal at tuxfamily dot org> writes:
[...]

 > Je  n'ai jamais  dit ça.  J'ai  juste dit  qu'il n'y  avait pas  de
 > problème de  dépendance. J'imagine que  la dpkg fait  cohabiter les
 > GLIBCs  pour que tout  cela tienne  la route,  mais je  n'ai jamais
 > regardé de  près. Tout ce  que je sais,  c'est que là où  ça bloque
 > avec RedHat, ça passe avec Debian.

Bof,  la Debian  «?versionne?» ses  libc,  et la  plupart des  paquets
mettent   en   dépendance  (automatiquement,   via   les  scripts   de
construction) la version exacte de la libc utilisée. Je n'ai pas assez
utilisé de Redhat (surtout récemment) pour juger sur ce point.

 >> C'est amusant, j'ai installé trois debian sur des petites machines
 >> à  la TA  car on  m'avait dit  que du  bien de  la Debian  sur des
 >> petites  configs:  Il  m'a  été  impossible  de  configurer  SSHd:
 >> Segmentation Fault.... lors d'une connexion.

Oulah, j'ai bien  dû installer une vingtaine de  Debian à divers stade
et les utilisant  ensuite très régulièrement (y compris  et surtout en
ssh),  certaines avec  des slinks,  d'autres avec  des potatos  et les
dernières avec des Woody, ma  machine personnelle à moi que j'ai étant
sous Sid, et j'ai *jamais* eu ce  type de problème. Il y a eu quelques
passages difficiles  dans la vie  de la Debian instable  (problèmes de
version  de   la  libssl,  changement  dans  les   règles  par  défaut
d'acceptation des connexions...), mais pas de segfault ainsi de ssh.

 >> A priori, il y  a un problème sur la libc qui  n'a été detecté par
 >> les dépendances  (si quelqu'un peut  me conseiller sur  la manière
 >> dont je peux résoudre le problème).

 > Perso, concernant SSH, je l'ai recompilé... Je n'ai donc pas recontré ce
 > problème. Désolé. Je te conseille néanmoins la recompil à la main, avec
 > un "./configure --help" bien senti pour avoir accès à toutes les
 > options. Sachant que SSH est un produit lié à la sécurité, il vaut mieux
 > récupérer les sources plutôt que les binaires. Simple mesure de
 > précaution...

Et je suppose que cette compilation, tu l'as effectuée sur une machine
installée de manière  propre et qui n'aurait jamais  accédé au réseau,
que tu as ensuite audité le code de la libc et du compilateur de cette
machine pour enfin compiler ssh en binaire statique ?

Non ? Et bien, c'est dommage, alors ...

C'est Kernighan  ou Ritchie qui  avait introduit une backdoor  dans le
`login'  d'un des  premiers  Unix  ... C'était  quoi  déjà la  méthode
utilisée ? Et  puis c'était quoi ? Les TCP-wrappers  ou un autre outil
dont le  site FTP d'origine avait  été « cracké »  pour introduire des
sources compromises de ces outils  ? Ou la faille entre sourceforge et
apache ...

Enfin, bref, IMHO,  ça veut pas dire grand  chose, vouloir compiler ce
genre d'outil à tout prix par « sécurité » ...

D'ailleurs, sur ce point, les  redhateries ont un avantage, il semble,
c'est le  support de la signature  des paquets par PGP/GPG,  ce que ne
supporte pas (encore) dpkg (il n'y a que des signatures MD5).

[...]
 >> Personnellement je commence à utiliser Webmin pour la majorité des
 >> opérations courantes (comptes  utilisateurs, DNS, DHCP, aliases de
 >> mail, quotas disques).
 > Oui, voila, pour ce genre de truc... L'administration quotidienne,
 > etc...

J'ai vu  les résultats d'un  «?après?» Webmin ou linuxconf,  j'ai déjà
tenté d'utiliser le premier, j'ai toujours détesté le second. Bref, je
suis  un vieux  crouton  à ce  niveau,  et je  préfère  me farcir  les
fichiers   de    config   des   différentes    applis.    Ces   applis
d'administrations sont sympathiques, mais n'offrent que des patrons de
configuration. De plus, leur  développement étant indépendant de celui
des distributions, parfois se  cachent des erreurs insidieuses sur tel
ou  tel point  qui font  qu'on est  obligé de  toutes les  manières de
mettre les mains dans le cambouis...

Sans compter que le jour où tu  veux tester « insérer nom d'appli 3D »
avec « dernier driver de la carte  graphique à la mode » qui te vautre
pour une raison  ou une autre complètement le  système (si possible en
mélangeant  quelques fichiers  binaires  entre eux  pour compléter  le
tout), que  le fsck au reboot  te tends la tronçonneuse  pour finir le
boulot, tu es déjà *super*  content de pouvoir arriver à remonter /usr
en read-only pour pouvoir accès à  vi (coucou Rodolphe ! :-), et c'est
pas  Webmin ou  Linuxconf qui  vont aider  pour retrouver  tel  ou tel
fichier ou pour faire tel ou tel correctif.

Mais sinon, j'aime beaucoup  le concept de la console d'administration
de Windows 2000, sinon ... *g*


Ah j'oubliais, mais un outil comme  Webmin, ça fait un service de plus
qui  tourne,  donc un  trou  potentiel  de  sécurité. Serveur  ou  pas
serveur, c'est  donc un  problème potentiel. Pour  une station/machine
personnelle, la meilleure sécurité (ou celle qui coûte le moins cher),
c'est de ne  pas avoir de services accessibles  de l'extérieur. Pas de
SMTP, pas de Web(min), X en -nolisten tcp, etc ...

 >> Pourquoi continuer à  ce prendre la tête avec  des commandes alors
 >> qu'on peut cliquer sur  "ajouter un utilisateur" (surtout quand ca
 >> marche) ?

 - lancer le navigateur web
 - trouver dans mes 590 bookmarks  celui qui correspond au serveur web
 - clickety-clik, oui, ok, c'est du SSL, laisse moi passer, maintenant !
 - s'authentifier
 - trouver le bouton (ou la catégorie, d'abord) ajouter un utilisateur
 - remplir les champs
 - « oki »

Contre:

 - lancer un terminal
 - su -
 - « mot de passe »
 - adduser {le nom de l'utilisateur}
 - Répondre aux questions
 - exit

Mouaips, pas convaincu, quand même, moi ...



Cordialement,
seb, vieux trolleur, défendant son pain.
-- 
: pour aller lui : exposer notre point de vue.  
Dans le Morbihan, je crois... À moins que ce ne soit le Finistère-sud.
Enfin, bref, dans les «Environs de Rennes» ;-)
               -+- S.E. in Gl(i)P: « A la conquète du monde... » -+-