IBM va investir 1 milliard de dollars dans Linux et le libre

[strike]Enorme[/strike] Bonne nouvelle pour le monde du libre (article en 3 parties, pensez à cliquer sur les numéros en bas de l’article) :

ictjournal.ch/News/2013/09/1 … Linux.aspx

Ca touchera le monde des serveurs mais c’est quand même très bon pour nous ! Toutes les optimisations qui seront apportées au noyau seront potentiellement des améliorations pour chaque utilisateur d’une distribution basée sur Linux.

Mais surtout ça va aussi financer des logiciels libres !

:041 IBM :041

Certes mais, a contrario, est-ce que ça ne va pas aussi attirer les emmerdeurs qui s’amusent à propager les virus et autres trojan ?
Jusqu’à maintenant, nous ne sommes pas assez nombreux pour assouvir leur ego mais si, grâce à IBM, les distribs Linux, toutes confondues, représentent un pourcentage plus conséquent, ça va ptet les exciter ?

Tu prends le problème à l’envers Ricardo : côté serveurs, GNU/Linux est déjà clairement majoritaire.
Mais à ce niveau, la sécurité est elle aussi en béton armé.

Côté utilisateur lambda (c’est-à-dire nous), Linux représente un pourcentage ridiculement faible du marché (~1%, chiffre balancé au pif, sans source, mais à mon avis vaguement représentatif à une ou deux vaches près).
Et ce n’est pas la décision d’IBM qui changera quoi que ce soit au déploiement de Linux chez les utilisateurs.

Si et c’est une très bonne chose.

Le problème avec les distributions Linux actuellement est le même que pour MacOS. On a un système de base qui se dit très sécurisé, mais le manque d’expérience en matière de vers/troyens/virus/etc. à destination du grand public fait que les protections ne sont en réalité pas très élaborées, et donc le système est proportionnellement plus vulnérable.

Mettez 100 hackers au défi de pénétrer Windows 8, ainsi que 100 pour Debian et 100 pour MacOS. Il y a toutes les chances que Windows 8 résiste le plus à la majorité des attaques utilisées par les vers/troyens et que Debian se fasse déglinguer. Ca fait 20 ans que Microsoft capitalise sur son expérience dans le domaine de la sécurité à tous les niveaux. Debian ne se fait réellement attaquer que sur des couches relatives aux serveurs. En revanche nous ne savons pas grand chose des faiblesses du système sur des logiciels grand public. Le noyau est bien sécurisé, mais sûrement pas les logiciels qui l’entourent.

Je ne parle même pas des failles de sécurité introduites par l’utilisateur. Quand je vois des sessions X en root c’est 10 fois pire que d’utiliser Windows 8 avec un compte administrateur, qui lui ne vous laissera par exemple jamais supprimer un répertoire système, contrairement à Debian.

De plus les sécurités avancées comme SELinux ou AppArmor sont à mettre en place par l’administrateur, donc non seulement elles ne sont pas activées par défaut mais en plus il faut savoir correctement les configurer pour ne pas laisser de failles.

Il n’y a pas de parefeu activé par défaut, alors que c’est le cas sous Windows. Là-encore c’est une porte grande ouverte aux vers. Il suffit qu’une faille de sécurité soit trouvée sur un service et toutes les installations de Debian par défaut seront vulnérables de facto.

Il n’y a également aucun logiciel de type antivirus ou antimalwares d’activé (voire existant…). Donc si un vers s’introduit dans le système, rien ne viendra vous alerter pour vous dire qu’une activité suspecte a été détectée.

Enfin le fait de pouvoir facilement passer root (il suffit d’un simple mot de passe ou de corrompre un script de démarrage) permet une escalade de privilèges à un vers bien pire que sous Windows. Windows est conçu de façon à séparer au maximum les comptes administrateurs des droits du système. Sous Linux être root vous donne autant de pouvoir que si vous étiez le système, donc à partir du moment où vous avez réussi à être root vous pouvez devenir totalement invisible et si l’administrateur n’effectue pas des contrôles d’intégrité de ses fichiers systèmes et de la chaîne de démarrage régulièrement depuis un autre périphérique de démarrage voire depuis une machine tierce, il peut très bien ne jamais s’en apercevoir. Les rootkits sous bien plus dangereux sous Linux que sous Windows à cause de ça.

Vouloir se protéger en faisant l’autruche en disant “moins je suis visible et moins j’ai de chances de me prendre un virus”, c’est reculer pour mieux sauter et c’est la pire des choses à faire. Si le système de sécurité est bien conçu on n’a pas à craindre les malwares.
C’est précisément le jour où les distributions Linux seront répandues qu’on verra si leur sécurité est bonne. Le noyau quant à lui est effectivement très bien sécurisé puisque c’est le coeur des serveurs.
Ceci dit ça ne vaut pas un UNIX…

[quote]Tu prends le problème à l’envers Ricardo : côté serveurs, GNU/Linux est déjà clairement majoritaire.
Mais à ce niveau, la sécurité est elle aussi en béton armé.[/quote]

La structure de Windows est bien plus mauvaise que celle de Linux, mais toutes les couches de sécurité supplémentaires ajoutées au fil des années a rendu Windows plus difficile à pénétrer en profondeur. Si vous trouvez une faille importante dans Linux, vous avez accès à tout, ce qui sera beaucoup moins vrai sous Windows. Une seule faille peut suffire à mettre à terre tout un système Linux quand il faudra souvent plusieurs failles sous Windows pour réussir à faire la même chose.

Explication convaincante, tu as certainement raison.

[quote=“Cluxter”]
La structure de Windows est bien plus mauvaise que celle de Linux, mais toutes les couches de sécurité supplémentaires ajoutées au fil des années a rendu Windows plus difficile à pénétrer en profondeur.[/quote]
La structure de Windows est bien plus intelligente que celle de Linux, le noyau monolithique c’est la facilité de mise en oeuvre.
C’est le système Windows avec ces multiples DLL et autres Patchs qui devient instable, parce que la stabilité de l’ensemble dépends de la rigueur de multiples entités alors que le noyau Linux est livré une fois stabilisé (enfin normalement :slightly_smiling:)
La volonté de Richard Stallman de fournir Mach indique bien que cette approche est plus “intelligente”, mais les délais abyssaux que prennent ses développement démontrent l’extrême complexité de cette architecture; on peut juste espérer que les concepteurs essayent justement de prévenir les dérives du système de Microsoft.

Il faut relativiser l’importance de cette annonce.
Déjà coté emploi IBM a drastiquement réduit ses effectifs depuis de nombreuses année, et même s’ils ouvrent dans le sud, ça ne les empêchent pas de faire un plan de départ dans le nord. Donc finalement on se retrouve avec des vases communiquant.
D’un autre coté le “nouvelles” ressources qui vont être misent en place ne va pas être sur des projets libre, ce seras avant tout sur la panoplie d’outil IBM, en lien plus ou moins étroit avec les AIX. Pour info ces derniers utilisent le format RPM pour leurs paquets.
Donc finalement l’investissement est intéressant pour l’activité de la région, mais pour le libre en lui même j’en suis beaucoup moins sur :violin:

Je pensais plus à l’aspect sécurité en fait. La gestion des droits fait partie intégrante de l’architecture *NIX, ce qui n’est pas vrai sous Windows. Ou en tout cas ça n’était pas le cas, je ne sais pas exactement ce qu’il en est aujourd’hui, ça fait 5 ans que j’ai basculé sous Debian, je n’utilise Windows plus qu’au boulot. Mais il me semble qu’on rajoute des droits et que par défaut il n’y a pas de sécurité intégrée aux fichiers comme c’est le cas sous Linux/UNIX.

Depuis Vista, il y a une gestion plus complexe des droits sur les fichiers, et c’est beaucoup plus chiant que sous Linux (enfin plus pénible à changer, la ligne de commande pour ça c’est le pied !!)

IBM a toujours investi dans le développement sous linux.
Là c’est juste que c’est mis en avant histoire de faire de la pub, mais bon tant mieux, pas de quoi se plaindre hein :stuck_out_tongue:

Jamais autant me semble-t-il !

IBM est membre platnium de la linux fondation, ça signifie qu’ils donnent 500 000$/an à la fondation.
En plus de cela, ils contribuent un peu au noyau git.kernel.org/cgit/linux/kerne … thor&q=ibm

Ça ne fait être pas 200 000 000$/an, mais c’est pas une annonce beaucoup plus impressionnante que ça (sachant qu’ils ne lâcheront pas AIX pour autant).

youtube.com/watch?v=7MdNCgXbz2Q

[quote]
De plus les sécurités avancées comme SELinux ou AppArmor sont à mettre en place par l’administrateur, donc non seulement elles ne sont pas activées par défaut mais en plus il faut savoir correctement les configurer pour ne pas laisser de failles.[/quote]
C’est des systèmes méprisables …

Un parefeu pour augmenter la sécurité ? Pourquoi pas un cure-dent pour guérir le cancer ?
Un parefeu n’a rien à voir avec la sécurité, dans 98% des cas.

[quote]
Il n’y a également aucun logiciel de type antivirus ou antimalwares d’activé (voire existant…). Donc si un vers s’introduit dans le système, rien ne viendra vous alerter pour vous dire qu’une activité suspecte a été détectée.[/quote]
Ouais, enfin tout les PC dos ont ce genre de soft parcque sinon “ton PC est vulnérable aux virus”, et tout les PC dos se font ****.

[quote]
Enfin le fait de pouvoir facilement passer root (il suffit d’un simple mot de passe ou de corrompre un script de démarrage) permet une escalade de privilèges à un vers bien pire que sous Windows. Windows est conçu de façon à séparer au maximum les comptes administrateurs des droits du système. Sous Linux être root vous donne autant de pouvoir que si vous étiez le système, donc à partir du moment où vous avez réussi à être root vous pouvez devenir totalement invisible et si l’administrateur n’effectue pas des contrôles d’intégrité de ses fichiers systèmes et de la chaîne de démarrage régulièrement depuis un autre périphérique de démarrage voire depuis une machine tierce, il peut très bien ne jamais s’en apercevoir. Les rootkits sous bien plus dangereux sous Linux que sous Windows à cause de ça.[/quote]
Le système du root est très bien, il n’est pas conçu pour vérifier la santé mentale de l’utilisateur.

Pour reprendre une citation qui résume très bien ce domaine :

Quant à la news, c’est moins une révolution qu’une continuité bénéfique

Parce que ?

[quote]Un parefeu pour augmenter la sécurité ? Pourquoi pas un cure-dent pour guérir le cancer ?
Un parefeu n’a rien à voir avec la sécurité, dans 98% des cas.[/quote]
Parce que ?

Parce que tu penses que si demain Linux représente 90% de parts de marchés on n’aura pas besoin de ce genre de protections ? Même MacOS, qui est une base UNIX et extrêmement verrouillée de tous les côtés, en a besoin.

[quote]Le système du root est très bien, il n’est pas conçu pour vérifier la santé mentale de l’utilisateur.

Pour reprendre une citation qui résume très bien ce domaine :

[quote=“Doug Gwyn”]
“UNIX was not designed to stop its users from doing stupid things, as that would also stop them from doing clever things.”
[/quote][/quote]
Ce n’est pas avec ce genre d’attitudes qu’on démocratisera Linux. Je ne me plaçais pas d’un point de vue poweruser de PC qui sait coder les yeux fermés mais d’un point de vue “je suis un type qui veut un système d’exploitation correct pour utiliser son ordinateur sans avoir besoin de savoir ce qu’est un kernel”. 95% des gens quoi.
Ca serait un peu comme si un pilote de rallye disait “pas besoin de clignotants sur les voitures”.

Bienvenu dans l’informatique nazi.
Donc toi, t’es le numéro 12851, tu restes dans ton 2m² sinon on te tue.

J’veux dire, relax, le libre c’est aussi la possibilité de customiser son système, et ne pas avoir à modifier 150k rules pour ce faire est bon.
Et je dois qu’interdire l’accès à tout et n’importe quoi augmente la sécurité, d’autant plus que la majorité des serveurs actuels n’ont qu’une tâche ou un service à gérer.

[quote=“Cluxter”]

[quote]Un parefeu pour augmenter la sécurité ? Pourquoi pas un cure-dent pour guérir le cancer ?
Un parefeu n’a rien à voir avec la sécurité, dans 98% des cas.[/quote]
Parce que ?[/quote]
Heu, mpff, si t’as du mal à comprendre, tu peux acheter un livre sur les bases du réseau …

J’vais cependant faire un résumer sur le sujet suivant : "mettre une policy input à DENY est débile"
De base, je pars dans l’idée que les policy sont ACCEPT, sans autre règle.

  1. Le trafic entrant ne passe le kernel que si une application est en écoute sur le port (un serveur est lancé avec un accept(2), ou le paquet fait parti d’une connexion déjà initiée
  2. L’administrateur est au courant des serveurs installés sur la machine, il l’est a configurer et ne souhaites donc pas qu’ils soient injoignable
  3. Les clients qui initient des connexions doivent pouvoir avoir des réponses sur la connexion

À ce point, tu devrais déjà avoir compris que mettre une policy input à DENY est débile, parcque tu ne peux que bloquer :

  • du trafic désiré (par un serveur que tu as installé, ou par un client)
  • du trafic déjà bloqué par le kernel (parcque personne n’est en écoute)

Bon, histoire de pousser un peu plus loin, nous allons étudier la grande résistance de la configuration suivante :

  • policy input DENY
  • policy output ACCEPT
  • rule input ACCEPT (established)

Je suis un méchant, je cherche à transmettre des trucs avec la machine.
Deux cas:

  • Je ne suis pas déjà sur la machine
  • Je suis déjà sur la machine

Dans le premier cas, avec les deux configurations, tu ne pourras joindre qu’un gentil processus déjà placés sur le serveur (rappel: le méchant n’est pas sur la machine, cette dernier est clean). Un parefeu ne peut protéger les gentils processus contre eux même, il est inutile.

Dans le deuxième cas, étudions le comportement le plus efficace, rationnel et logique à déployer pour, mettons, faire un botnet, ou dump le disque sur un serveur “pirate”.

  1. Initier la connexion depuis l’extérieur
  2. Initier la connexion depuis l’intérieur

Alors je sais pas toi, mais moi, concepteur de botnet, je ne vais pas scanner quelque 3.5milliards d’IP de façon à savoir lesquels sont en lignes et corrompus, avant de lancer mon attaque “pirate”.
Je pense qu’il est quand même “un peu” plus simple de mettre en place l’algorithme suivant :

  • Le client corrompu, lorsqu’il le peut, créé une connexion vers un serveur “pirate” et lui dit “coucou, je suis à tes ordres, que puis-je faire pour toi ?”.

Et dans ce cas précis, ben le méchant passe tes règles de parefeu.

[quote]
Ce n’est pas avec ce genre d’attitudes qu’on démocratisera Linux. Je ne me plaçais pas d’un point de vue poweruser de PC qui sait coder les yeux fermés mais d’un point de vue “je suis un type qui veut un système d’exploitation correct pour utiliser son ordinateur sans avoir besoin de savoir ce qu’est un kernel”. 95% des gens quoi.
Ca serait un peu comme si un pilote de rallye disait “pas besoin de clignotants sur les voitures”.[/quote]
Donc pour toi, la démocratisation de Linux passe par un esclavage massif ?
Je préfère rester dans “un groupe d’élite” qui respectent un minimum les droits humains.
Les relations informatiques ne sont pas compliqués, elles sont même binaire. Dans toute relation informatique, on trouve un maître, et un esclave.
Dans beaucoup de systèmes (ios, android, dos, macos ?), le maître est rarement l’humain …

Avoir une opinion comme la tienne est, franchement, écoeurante …

Ca y est, on l’a atteint le point Godwin.

SELinux ou AppArmor c’est de l’informatique xénophobe si je comprends bien ?

Oui, relax !
Et s’il faut passer par 150k rules pour sécuriser un système, c’est qu’il est pourri à la base. On est bien d’accord ?

Donc sous prétexte que la majorité des serveurs n’ont qu’une tâche à gérer, on n’a pas le droit d’implémenter un système de protection ultra strict ? Même pour protéger des codes nucléaires ? (tant qu’à faire dans le point Godwin)

Pas bête dis donc. Oh et puis tant qu’à faire je vais me désinscrire du forum puisque de toute façon tout est dans les livres. Il sert à rien en fait ce forum…

[quote]J’vais cependant faire un résumer sur le sujet suivant : “mettre une policy input à DENY est débile”

Et dans ce cas précis, ben le méchant passe tes règles de parefeu.[/quote]
T’as déjà entendu parler de failles de sécurité ?
Si une partie du kernel est corrompue le parefeu constitue une sécurité supplémentaire. Ce n’est pas forcément une garantie, mais ça peut ralentir une attaque, la compliquer, voire la rendre impossible dans certains cas.
Tu te bases sur un cas précis pour en faire une généralité.

Rappelle-moi, qui soutient les pilotes propriétaires de nVidia ?
choic-d-une-nouvelle-carte-graphique-t45115.html#p453924

De plus vouloir démocratiser Linux c’est précisément permettre à tout le monde d’avoir un système libre et pouvoir mettre les mains dans le cambouis un jour s’il le faut. On n’est pas obligé d’avoir un master dans tous les domaines qu’on utilise au quotidien. Mais tu dois être certainement très fort et bien au dessus de toute cette populasse ignarde et tellement débile.

Qu’est-ce que je disais.

Dans ton cas en effet on voit bien qu’une certaine idéologie s’est emparée de toi et tu sembles difficilement voir les choses autrement que par son filtre.

Désolé de te déranger dans tes solides convictions. Oh et puis non en fait, même pas désolé :character-cookiemonster:

Bref, j’ai bien rigolé avec ton post. Ca me rappelle moi quand j’avais 13 ans et que je n’étais encore qu’un petit con.

EDIT : question subsidiaire : si SELinux ou AppArmor c’est de l’informatique nazie comme tu le dis si bien, est-ce que je dois être considéré comme un antisémite si j’installe ou utilise un de ces deux logiciels ?? :text-imwithstupid:

Y a d’l’ambiance ici…

Quand on voit le niveau de connaissance de certains ça laisse rêveur…

Internet ça permet à tout le monde (= tout ceux qui ont internet) de s’exprimer surtout quand ils ne savent pas de quoi ils parlent (mais toujours sans la moindre nuance).

Tu te bases sur le kernel pour te protéger d’une faille du kernel ?
Y’a que moi que ca choque ?

Utiliser un matériel que tu as acheté me semble bon.

C’est toi qui le dit.
Quant à moi, je me fécilite d’utiliser un système qui me permet de faire plus de chose que le trio google-facebook-youtube.

Une idéologie ?
Peut-être, mais qui reste basé sur des observations (comme toute bonne propagande religieuse, non ?)

Moi aussi, j’me rappelle quand t’avais 13 ans, et que t’était qu’un p’tit con. J’ai l’impression que c’était hier :laughing:
Haa, le temps passe vite …

C’est toi que le dit.
Pour ma part, ca ne me gène pas.
Et puis, c’est légal.
Au final, je m’en fout.

[quote=“haleth”][quote]
De plus vouloir démocratiser Linux c’est précisément permettre à tout le monde d’avoir un système libre et pouvoir mettre les mains dans le cambouis un jour s’il le faut. On n’est pas obligé d’avoir un master dans tous les domaines qu’on utilise au quotidien. Mais tu dois être certainement très fort et bien au dessus de toute cette populasse ignarde et tellement débile.
[/quote]
C’est toi qui le dit.
Quant à moi, je me fécilite d’utiliser un système qui me permet de faire plus de chose que le trio google-facebook-youtube.[/quote]
Bon je m’ennuis comme un rat mort. Les LSM d’une manière générale sont des sécurités très fines au niveau administration système (ça s’applique sur un logiciel déjà écris) et ça permet d’avoir des réglages d’une extrême finesse. Toutes les distribution un peu sérieuse travaillent dessus (soit SELinux, soit AppArmor dans le cas d’ubuntu). Comment ça marche et pourquoi on s’en sert ?

C’est une série de règles basées sur des attributs de fichier ou sur les chemins (ça dépend du LSM) qui vont définir en fonction de l’utilisateur et de l’objet sur le quel il travail si oui ou non il a le droit de faire une action donnée. Le gros du boulot c’est de définir le comportement normal ou pas de chaque application (et c’est là dessus que les distributions travaillent).

« On s’en fout ça sert à rien »… ouai… Regardons ensemble :

# ls -l /bin/ping -rwsr-xr-x 1 root root 36K avril 12 2011 /bin/ping
Ping te donne les droits root ! Quand tu le lance, avec n’importe quel utilisateur, tu lance un processus qui a les droits root ! Si tu arrive à prendre le contrôle de ce processus (ping est sûr mais pour des logiciels plus complexe c’est pas aussi trivial de se protéger des divers attaques¹). Il utilise les droits root uniquement parce qu’il ouvre une socket en mode RAW. Avoir des droits plus fins permettrait de ne lui donner que ce droit (c’est possible sans LSM pour ce cas particulier grâce aux capabilities(7) voir CAP_NET_RAW, qui sont pour la plus part des gros trous de sécurité (mais pas CAP_NET_RAW)).

Le grand principe de sécurité c’est la séparation des privilèges. Unix a était conçu ainsi, mais ce n’est même pas lié à unix, tout OS tend vers la réduction des droits et l’augmentation des privilèges au besoin et dans des proportions les plus basses possibles. Le remettre en cause et tenter de faire un parallèle avec l’Allemagne des années 30/40 ou autre n’a pas de sens. Tu ne trouvera pas d’OS qui ne suit pas cette voie (Windows compris). Pour linux, on parle des LSM, mais les cgroups (et LXC), les capsicum implémentées par FreeBSD et implémentées sous linux via seccomp font la même choses.

Tout cela n’a rien à voir avec le fait que tu peut faire ce que tu veux de ta machine, cet amalgame même les utilisateurs de windows ne le font pas.

Par ailleurs la principale sécurité sous linux c’est le fait que nous ne sommes pas très nombreux sur desktop. Les utilisateurs sont vraiment susceptibles de prendre une série de pièges assez facilement. Si nos dépôts sont sûr combien de personnes exécutent des scripts trouvés sur le net ? Copie-colle des commandes directement de la page HTML à leur terminal ? Xorg est reconnu pour être une famille de faille à part entière (va voir les CVE à se sujet, OpenBSD ne le lance plus en root), firefox a des problèmes (les mots de passes enregistrés ne sont protégés que si tu utilise un mot de passe global et sont mal protégé si tu as un mot de passe global), il faut vraiment en énumérer ?…

Alors oui linux sur serveur ça déchire et c’est inattaquable, tiens c’est sur serveur qu’on utilise le plus SELinux et des netfilters (notamment pour éviter les DDOS).

Tu semble avoir peur de ne plus maitriser ton système à cause de la complexité des LSM, ce n’est là qu’un problème d’interface. Il n’y a rien de bien pratique pour le moment pour s’en servir, mais regarde l’exemple de systemd, il est largement plus sophistiqué que les init classique (l’init SystemV ou le rc.local), mais il est plus simple que le systemV et un peu plus compliqué que le rc.local. Tu peut aussi regarder l’exemple de d’iptables qui peut paraître compliqué et d’ufw qui est une surcouche simple (et qui ne te limite pas dans ce que tu fais, tu peut même utiliser l’un comme tremplin pour apprendre l’autre).


Tu as vraiment besoin d’être hautain, présomptueux et violent pour discuter, comme ça ? Que tu ai un avis c’est une chose, mais pourquoi prendre les autres pour des imbéciles ? Avoir un système ouvert c’est bien, avoir l’esprit ouvert c’est mieux.