Fedora plus secure que Debian

Salut à tous,

Voilà un titre pour faire un beau troll !!
Derrière ce titre un brin aguicheur, se cache on constat que j’ai fais.

Aujourd’hui il existe un patch réputé permettant d’augmenter la sécurité d’un noyau Linux. Il s’agît du patch GrSecurity/PaX.

Pour profiter pleinement de l’apport de ce patch, il convient également de compiler les sources avec des options spéciales à GCC (Stack protector, Fortify, PIE,…).

Ceci dit, qui a envie de recompiler toutes les sources d’Apache, OpenSSH,…sur sa distro ?
Autant passer sous Gentoo !

Sauf que…
Il y a pourtant une distribution qui a fait le choix de proposer par défaut des paquets compilés avec les flags GCC. Il s’agît de Fedora.

Il y a bien ça et là des projets pour Debian(wiki.debian.org/Hardening) qui visent à apporter ces avancés sous Debian.
Mais ces projets restent encore marginaux et peu maintenus.

Je suis étonné que dans un projet comme Debian, qui a une bonne réputation pour la sécurité, toutes ces améliorations aient été oubliées…

Reste une question: Debian a prévu d’intégrer ces amélioration dans ses paquets ?

Ces patchs ont un coût en terme de performances. Je pense que la raison est là…

C’est aussi l’interprétation que j’en faisais.

Mais le coût en terme de performance est très faible.
Des développeurs Debian ont fait cette analyse (d-sbd.alioth.debian.org/www/ partie gauche écran)

Il y a ~ 2% de ressource CPU supplémentaire consommée.
Je vais essayer de retrouver le lien.

Ce qui est étonnant, c’est qu’en fait, un sous-projet Debian (Debian: Secure by default d-sbd.alioth.debian.org/www/ ) avait entamé ce travail.
Mais il n’a pas reçu un réel support du projet Debian.

juste en passant…

…j’ai lu une interview ou linus torvalds disait utiliser fedora sous bureau gnome …