Re: Confiner l'installation d'un binaire propriétaire
On Wed, Jul 10, 2013 at 08:59:59PM +0200, admini wrote:
> et bien, d'un point de vu sécuritaire, c'est au contraire, plus
> simple à gérer. les stacks sont identiques, il faut bien sur mettre
> à jour tous les jails et le serveur hébergeur. moyennant un reboot
> bien entendu. mais le boulot est le même si les serveurs font
> tourner la même version d'apache. en cas de découverte d'une faille,
> tous les serveurs apache doivent être mis à jour.
Ok, donc pas d'intérêt par rapport à une éventuelle
vulnérabilité dans la stack,
> l'autre avantage du jail au stack indépendant (c'est le cas sous
> BSD, et très probablement sous debian), c'est qu'on peut firewaller,
> donc gérer les politiques de sécurité de façon totalement
> indépendante pour chacun des jail, flager les options du stack (QoS,
> Vlans, interface virtuelle pour les SAN...) selon les besoins de
> chacun.
mais une configuration plus simple dans la mesure où on
configure n fois un système simple, au lieu de 1 fois
un système complexe. Ça se défend.
> d'ailleurs, les failles de sécurité touchant le stack de BSD .... à
> part ces fameuses backdoors de FBI dans IPsec, pour peu que
> quelqu'un se serve encore de ca dans le monde libre, j'en connais
> pas.
Le fait qu'on n'en connaisse pas ne veut pas dire qu'il n'y
en a pas :-) Garantir une absence de vulnérabilité, c'est
très, très difficile.
> l'autre avantage du jail, est la perfe. [...]
C'est clair, pas de problème là dessus (je suis moi-même
nettement plus fan de LXC que de Xen pour la même raison).
Y.
Reply to: