DEDIBOX-NEWS.COM

Mouaip ... sauf qu'il n'y a aucune comparaison possible entre les applications et le noyau.

Les applications sont mises à jour par le gestionnaire de package de la la distribution, en fonction des suivis assurés par les mainteneurs de cette distribution. Quand je veux avoir une machine à jour, j'utilise apt/yum/urpmi/ce que vous voulez. Pas besoin de fouiller les sites web ou de souscrire à une liste généraliste qui envoie 60 alertes/jour.

Si j'installe un logiciel hors distribution, alors j'en assume la pleine et entière responsabilité.

Seulement le noyau dedibox est fournit par dedibox. Ce n'est pas le noyau de base. Puisqu'il font l'effort de recompiler ce noyau suite à l'alerte (en même temps pour les nouvelles installations, ils n'ont pas le choix), une petite annonce ne coûte pas grand chose, et elle ne les engage pas à faire la mise à jour pour les utilisateurs.

Autre solution : Dedibox ne fournit pas de noyau personnalisé. Juste une machine vide. Dans ce cas je comprendrais l'absence d'annonce (mais ça risque de leur coûter beaucoup plus en support au final).

Le "débrouillez-vous" n'a aucun sens dans le cadre d'une gestion de parc globale, même si le contrat ne parle que de matériel. Si demain une vraie grosse faille commence à faire prendre un vrai risque au réseau Dedibox (la faille actuelle reste d'un niveau de risque limité), alors on aura une annonce rapidement

Je pense qu'il faut rester humble en matière de sécurité, on peut tenir les discours que l'on veut, on est pas à l'abri de se faire avoir un jour pas comme un autre ...

il y a des failles tous les jours certes, mais concernant le noyau cela touche tout le monde.
et si ensuite on découvre qu'un petit malin a mis tout le parc dedibox down en exploitant la faille en série, de SD-1 à SD-15000.

Faudrait d'abord avoir un compte sur toutes ces box...

Bonjour à tous,

J'ai suivi la manip :

wget ftp://ftp.dedibox.fr/pub/dedibox/kernel/r8-1/C7-X86-32bits/kernel-image-2.6.24.2-c7-r8-1.deb
dpkg -i kernel-image-2.6.24.2-c7-r8-1.deb
update-grub
reboot

mais après le reboot, impossible de me reconnecter en SSH. Je ne suis pas sur que le serveur ait bien redémarré.
Bref, je suis dans la panade.

Précision : après avoir redémarré en mode rescue, j'ai remis l'ancien fichier menu.lst (update-grub créé apparemment une sauvegarde appelée menu.lst~), mais la dedibox ne veut toujorus pas redémarrer.

Quelques conseils seraient plus que bienvenus.

D'avance, merci.

Dernière modification par Xris (2008-04-15 16:16:28)

Faut prendre le 2.6.24.2 !

AdminAlex a écrit:

Pour éviter les futures failles :
Empêchez l'exécutions de binaires/scripts sur les partitions user comme : /home et /tmp
Si cela est possible ne vous gênez pas
Ps : options utiles : noexec,nosuid,nodev.
Ps2 : Bien entendu si vous avez installé la box avec une seule partition c’est dommage.

C'est ce que je fais sur mes machines, seulement sur Debian, lors de l'install de packages, certains scripts peuvent être lancés dans /tmp.
Exemple pour mysql-server de Dotdeb.

AdminAlex a écrit:

Oui effectivement très bonne remarque.
Tu peux bidouiller dans ce cas la un truc du style :

mount -o remount,exec /tmp/ && chmod 770 /tmp/
apt-get instal [...]
mount -o remount /tmp && chmod 777 /tmp

Ou bien plus propre :
/etc/apt/apt.conf:
<<<
APT::ExtractTemplates::TempDir "/var/tmp";
<<<
ou encore
DPkg::Pre-Invoke {"mount -o remount,exec /tmp";};
DPkg::Post-Invoke {"mount -o remount /tmp";};

Tu peux aussi jouer avec les ACL (default o:rw- ).

Merci pour ces solutions
Je vais surement adopter la deuxième (et utiliser quelque chose dans le genre /var/lib/apt car /var/tmp est protégé lui aussi )

AdminAlex a écrit:

Avec plaisir .... mais je vois que je suis pas le seul parano

Si tu veux la prochaine fois on fé un concours de sshd_config

Alex.

Ce serait intérressant ca, un sshd_conf de parano, vu que j'ai pas mal la flemme de rechercher des "trucs" sur ca