Re: pour ou contre, bien au contraire...
Gilles Mocellin <gilles.mocellin@free.fr> a écrit :
> Ben, c'est plus lourd qu'un aptitude upgrade !
Certes.
Mais vu la puissance actuelle des babasses, hein...
> Admettons que l'on ait à gérer plusieurs machines exposées (en DMZ,
> comme des relais de messagerie, reverse proxies...). Etre obligé
> d'avoir tous les outils pour compiler le noyau sur ces achines, c'est
> pas super. Un intru aurait déjà tout ce qu'il luifaut pour se
> recompiler ce qu'il veut, comme un module noyau.
Ok.
Je peux ajouter un mot ? ;-)
Je ne suis pas du tout dans cette config.
> Il me semble qu'un bon principe de sécurité est d'avoir le strict
> minimum installé, ça réduit la surface d'attaque.
Ok.
Je peux ajouter un autre mot ? :-)))
Avoir un noyau avec tout un tas de modules chargés en mémoire _qui ne
servent à rien_, c'est pas top sécurisé, ça, non ?
Un exemple tout bête, qui me vient à l'esprit à l'instant : les modules
lp et parport chargés par le noyau générique, alors qu'il n'y a pas de
port // sur mon portable.
> Pour contre-balancer ce propos, je disait aussi qu'on peut palier à se
> problème en compilant son noyau ailleurs, en le mettant à dispo dans
> un référenciel apt privé. Comme ça, on l'installe et le met à jour
> comme le noyau debian, simplement avec aptitude upgrade.
Moui, mais je n'en suis pas là non plus.
Maintenant, même sur mes machines de calcul, je recompile le noyau.
Parce que là, pour le coup, avoir le strict minimum me semble évident.
Pas de trucs multimedia ou je ne sais quoi sur une babasse dont le rôle
n'est que de délivrer de la puissance de calcul.
Et je n'ai pas un parc immense non plus.
--
Fred
Reply to: