Fedora-Fr

herrib · 2008-08-22T17:54:23+00:00

La recommandation publiée, qui a motivé beaucoup d'échanges sur ce forum, consistait à éviter les mises à jour. Paul W. Frields vient de poster un message su...

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Les serveurs Fedora: que s'est-t-il passé?

herrib

C'est vrai des paquetages rpm comme des tarballs. Rien ne garantit a priori que le code qu'ils comprennent est exempt de bugs, de parties malicieuses etc ... L'installation d'un rpm se réalise avec les droits root en particulier -comme l'essentiel des tarballs- et l'installation peut corrompre certains programmes (par exemple ls ... commande bien fréquemment utilisée).

La garantie a priori réside dans:

* la signature du paquetage qui permet de prouver que ce dernier a bien été réalisé par telle entité et n'est pas altéré. La signature, pour simplifier, est une fonction tenant compte de la clé privée de celui qui édite le paquetage et du paquetage lui-même -les octets qu'il contient-. Vérifier la signature, ce que rpm / yum font, consiste à exécuter une fonction qui à partir de la signature, du paquetage et de la clé publique correspondant à la clé privé, vérifie que la signature est bien conforme;
* les programmes compris dans le paquetage et le script d'installation.

Le premier point repose sur la confiance que l'on peut accorder à tel ou tel producteur de paquetage; le second point suppose la vigilance de chacun et la relecture du code réalisée par quelques uns.

Rien ne garantit rien. Mais le niveau de sureté est appuyé sur la cohésion et la probité des Linuxiens, développeurs (qui traitent le code), producteurs de paquetages (qui composent leurs paquetages à partir de programmes éprouvés et les certifient en les signant), hébergeurs qui protègent leurs serveurs, utilisateurs qui rapportent les bugs et anomalies de comportement.

Bref, cela reste fragile.

Il reste quelques précautions élémentaires à prendre:

* au préalable, choisir un mot de passe "solide" (non tiré d'un dictionnaire par exemple) pour son compte root et son compte utilisateur (pas le même mot de passe!);
* activer uniquement les services nécessaires au système (ne pas laisser traîner ssh ou ftp par exemple);
* utiliser les dépôts "sûrs": Fedora, Livna, remi ...
* vérifier la signature des paquetages et ne pas installer n'importe quoi n'importe comment,
* activer le firewall et SELinux sur son système,
* travailler en utilisateur et non en root,
* rapporter toutes les anomalies de comportement d'un programme,
* s'informer régulièrement des corrections de bugs et mettre à jour son système en utilisant des dépôts "sûrs".

keitazor

herrib wrote:C'est vrai des paquetages rpm comme des tarballs. Rien ne garantit a priori que le code qu'ils comprennent est exempt de bugs, de parties malicieuses etc ... L'installation d'un rpm se réalise avec les droits root en particulier -comme l'essentiel des tarballs- et l'installation peut corrompre certains programmes (par exemple ls ... commande bien fréquemment utilisée).

La garantie a priori réside dans:

* la signature du paquetage qui permet de prouver que ce dernier a bien été réalisé par telle entité et n'est pas altéré. La signature, pour simplifier, est une fonction tenant compte de la clé privée de celui qui édite le paquetage et du paquetage lui-même -les octets qu'il contient-. Vérifier la signature, ce que rpm / yum font, consiste à exécuter une fonction qui à partir de la signature, du paquetage et de la clé publique correspondant à la clé privé, vérifie que la signature est bien conforme;
* les programmes compris dans le paquetage et le script d'installation.

Le premier point repose sur la confiance que l'on peut accorder à tel ou tel producteur de paquetage; le second point suppose la vigilance de chacun et la relecture du code réalisée par quelques uns.

Rien ne garantit rien. Mais le niveau de sureté est appuyé sur la cohésion et la probité des Linuxiens, développeurs (qui traitent le code), producteurs de paquetages (qui composent leurs paquetages à partir de programmes éprouvés et les certifient en les signant), hébergeurs qui protègent leurs serveurs, utilisateurs qui rapportent les bugs et anomalies de comportement.

Bref, cela reste fragile.

Merci pour ces explications Herrib.

Néanmoins, le but de l'intrusion (si j'ai bien compris) était de s"emparer de la passephrase qui sert justement à générer les clés privées/publiques. Donc, si le gars avait pû s'en emparer, il aurait très bien pû aussi en profiter pour injecter un code dans un paquetage et le re-signer pour qu'il (le paquetage) paraisse "propre" et d'origine.

@+

Did

Merci Herrib pour la traduction 😉

Quand tu dis :

* activer le firewall et SELinux sur son système,

Après ces intrusions, je me repose la question suivante : SELinux est-il vraiment nécessaire pour un poste bureautique/familial ?

Autre question : peut-on parler de virus dans ce cas-là ?

Zombux

@herrib Merci pour le traduction 😉

Tiny-Fedora

Après la mise à jour rien d'anormal :-p

Ch3wbi

J'ai pas réussie a installer Fedora 8 a cause des mises a jours de NetworkManager (au nombre de ). Bon je suis passé sur Ubuntu mais ma Fedora me manque.

Sinon c'est pitoyable car je voit aucun interet, des fanboy Ubuntu qui croivent que la victoire final est proche ?

* Dois-je faire le pas vers la 9, reprendre la 8 ou attendre la 10. C'esty pas qu'ubuntu n'est pas bien, mais Fedora est ma distribution de coeur et je prefere aidé cette distribution plutôt que celle de Caronical. (J'ai une carte nvidia et d'aprés les dires que j'avait lue a la sortie de f9, j'avait prit la décision d'attendre un peu.) Si ce messsage gene, j'éditerai et je créerait un nouveau topic, mais je pense que juste un petit ps sera mieux que créer un topic Troll.

** Merci Tiny-fedora, j'utilise la derniere version des pilotes de Nvidia, ca dois etre bon. J'espere bientôt vopus retrouver dans la rubrique erreur. Je rigole bien sure. Sinon vous pourez m'expliquer ou me diriger vers un lien pour rédiger une documentation. Je voudrait rajouter une doc pour installer un scanner et une webcam eyetoy. Le passage du site sur ez est une bonne idée car avec une forum punbb + un médiawiki et un ez ca fait beaucoup. J'ai jamais réussi a utiliser ce cms, je fait confiance a l'admin pour faire quelque chose de beau et je le felicite de son effort.

[MODO] OUI OUVRE UN AUTRE FIL.
Je ne vois pas le rapport entre tes difficultés d'installation et les déboirs des serveurs de fedora/RH.
Merci aux autres de faire également preuve d'un peu de discipline et de ne pas répondre à ce genre de post HS.

Tiny-Fedora

Si ta carte nvidia est une geforce 5 ou au dela, c'est bon 😉 (fedora 9)
http://doc.fedora-fr.org/wiki/Carte_graphique_NVIDIA_:_installation_des_pilotes

theclown

la vache trop fort la communautée de fedora , les méchants n on même pas eu le tempt de faire grand chose !
Je suis bien heureux d être sous fedora :-D

herrib

keitazor wrote:Néanmoins, le but de l'intrusion (si j'ai bien compris) était de s"emparer de la passephrase qui sert justement à générer les clés privées/publiques. Donc, si le gars avait pû s'en emparer, il aurait très bien pû aussi en profiter pour injecter un code dans un paquetage et le re-signer pour qu'il (le paquetage) paraisse "propre" et d'origine

On ne connaît pas le but de l'intrusion et on ne peut donc préjuger de ce que les intrus cherchaient ... Les paquetages étant gérés apparemment sur l'un des système compromis, l'enquête a évalué le risque de corruption de ces paquetages. Le reste est dans le communiqué (la passphrase n'était pas sur le serveur et dès lors, la signature n'a pas pu être utilisée de façon abusive).

Herbivor wrote:Ça fait plaisir cette annonce :-D
Tiny-Fedora wrote:@ ramon.dekker: Des employés de microsoft :hammer: :lol:
:lol:

C'est ridicule et déplacé. Je rappelle que ce forum a pour règle de base le respect de tous et des marques. Par ailleurs, ce type de post n'apporte absolument rien à un sujet qui devrait être traité avec gravité: la sécurité des systèmes et notamment du système de gestion des paquetages.
Je préférerais donc des contributions pertinentes pour aider la communauté plutôt que des railleries ne conduisant à rien si ce n'est à créer l'impression que les Fedoristes sont une secte.

Did wrote:Quand tu dis :
* activer le firewall et SELinux sur son système,
Après ces intrusions, je me repose la question suivante : SELinux est-il vraiment nécessaire pour un poste bureautique/familial ? Autre question : peut-on parler de virus dans ce cas-là ?

SELinux apporte un contrôle supplémentaire dans la gestion des ressources d'un système, en sus des règles s'appuyant sur les droits sur les fichiers. C'est un complément utile qui peut prévenir un comportement anormal d'un programme, ce dernier tentant d'accéder à des ressources qui ne lui sont ouvertes même s'il présente les droits root.
SELinux est donc, avec un parefeu bien réglé et une gestion efficace des services (n'activer que les services strictement nécessaires; par exemple, ftp n'est pas utile sur un poste de travail, ssh se discute ...).
Peut-on parler de virus? Bof ... Un virus est communément regardé comme un programme qui est conçu pour altérer un système à l'insu de son utilisateur (des programmes qui plantent sans volonté de leurs créateurs ne sont pas réellement des virus même s'ils peuvent avoir des effets catastrophiques) et se réplique. Ici on a affaire à une intrusion dans des systèmes dont certains gèrent les paquetages que nous utilisons. Le risque serait d'altérer ces paquetages; le système yum ferait le reste ...

Emeric

Bonjour,

Je débute sur fedora9 que j'ai installé sur mon ordinateur la semaine derniere, j'ai donc téléchargé le DVD iso le lundi 11 aout pour l'installer le week end qui a suivit, et je me demande si mon iso est corrompu ou pas... qu'en pensez vous ? dois-je désinstaller ce fedora et attendre la fin de la maintenance pour le re-télécharger ? ou est ce bon ?

je vous remercie d'avance

bonne journée

Sven

Il faut vraiment saluer le boulot qui a été fait par la team Fedora... Ils ont su gérer une situation critique et faire en sorte qu'il n'y ait pas trop de casse, et au final on s'en sort bien... MAis juste j'ai pas compris si il est encore recommandé d'attendre pour faire les mises à jour... Non pas que je sois impatient, mais c'est juste pour savoir si on peut s'y mettre ou non :-D

herrib

Emeric wrote:Bonjour,

Je débute sur fedora9 que j'ai installé sur mon ordinateur la semaine derniere, j'ai donc téléchargé le DVD iso le lundi 11 aout pour l'installer le week end qui a suivit, et je me demande si mon iso est corrompu ou pas... qu'en pensez vous ? dois-je désinstaller ce fedora et attendre la fin de la maintenance pour le re-télécharger ? ou est ce bon ? je vous remercie d'avance
bonne journée

L'ISO est normalement non corrompu. Tu peux cependant le vérifier à l'aide de la signature SHA1sum

50253a35b5ba128c9a57b2a10cbd829813fc5119 Fedora-9-i386-DVD.iso
af25833a3babe1bd943dae16a1c17cf7a9e0b767 Fedora-9-i386-disc1.iso
d4ffbe83cd75bf0153e821af98b7e56f5b4f6c32 Fedora-9-i386-disc2.iso
579702ea19a5e4114186a665735823dd4b5269b6 Fedora-9-i386-disc3.iso
368e98bf95708d040f83be975c0ede372f32d44b Fedora-9-i386-disc4.iso
67426850ce065a048d0a04eecb003b383b6f5830 Fedora-9-i386-disc5.iso
c01ccd2d3811ab1f04cacba63e51690b34629f95 Fedora-9-i386-disc6.iso
3b1df20ece05d64c34dd9c64400975b74eded0f2 Fedora-9-i386-netinst.iso

Le guide dans la documentation explique comment procéder.

Sven wrote:MAis juste j'ai pas compris si il est encore recommandé d'attendre pour faire les mises à jour... Non pas que je sois impatient, mais c'est juste pour savoir si on peut s'y mettre ou non :-D

Les serveurs sont à nouveau pleinement fonctionnels et tous les contrôles appliqués aux rpm n'ont rien détecté. Les mises à jour peuvent donc reprendre.

Tiny-Fedora

Sven, j'ai updaté hier et aucun problème 😉

kowalsky

Sven, j'ai updaté hier et aucun problème wink

Si il y avait un problème, comment pourrait tu le voir ?

Si c'est une attaque planifié de longue date, dans le but corrompre
pleinement les systèmes infecté, à part à sniffer le trafic réseau
entrant/sortant depuis une autre machine, c'est tout...
et encore, l'attaque peut se reveiller dans 15 ou 100 jours...

Tu peux analyser les binaires mais bon...

Pour l'instant les seuls au courant sont les gens de Fédora/RedHat et
bien sur, l'éventuel pirate.

[edit ortho]

herrib

Mouais ... On peut douter de tout.

Les mesures de précaution élémentaire sont mentionnées dans ce fil et peuvent permettre de réduire les risques.

Le communiqué indique par ailleurs que les paquetages Fedora n'ont pas été touchés lors de l'intrusion; bien sûr, on peut encore douter mais à moins de lire tous les codes sources et de construire son système en Linux From Scratch, un minimum de confiance est requis.

Maintenant, les adeptes de la sécurité des systèmes apprendront à paramétrer leur firewall, utiliser la batterie d'outils système, lsof, iftop, ...des détecteurs d'intrusion (snort) ... Mais l'utilisateur commun devra se contenter de la confiance qu'il fonde dans la communauté et veiller au respect de quelques principes salutaires.

Sven

Merci pour les info Herrib
Justement ça peut être une occasion pour l'utilisateur lambda de se documenter un petit peu (a) , si tu avais des ressources à me proposer je serais pas contre ^^
En tout cas, j'ai fait mon update du dernier kernel et du kmod, pour l'instant j'ai pas spécialement de comportement bizarre à déplorer, mais je vais peut être éviter d'aller consulter mes comptes etc sur cet ordi, on sait jamais au cas où /// Paranoia inside \\ :-P

kiko

Merci à la team pour leur efficacité...

C'est "grâce" à ce genre de situation qui me fait encore plus "aimer" le Libre...Meme si l'intrusion est là, tout est mis en oeuvre pour rectifier le tir...
Le Libre est vraiment un gage de "Sécurité" 😉
Il ne faut pas non plus oublier que c'est grâce/à cause au/du piratage que l'on développe des sécurités pour les différents systèmes.
Il y aura toujours du piratage et des intrusions...il ne faut jamais dire jamais...mais bien se prémunir comme le dit si bien herrib... 😉
Donc, pas de paranoia.... 🙂

Tiny-Fedora

kowalsky wrote:Sven, j'ai updaté hier et aucun problème wink

Si il y avait un problème, comment pourrait tu le voir ?

Si c'est une attaque planifié de longue date, dans le but corrompre
pleinement les systèmes infecté, à part à sniffer le trafic réseau
entrant/sortant depuis une autre machine, c'est tout...
et encore, l'attaque peut se reveiller dans 15 ou 100 jours...

Tu peux analyser les binaires mais bon...

Pour l'instant les seuls au courant sont les gens de Fédora/RedHat et
bien sur, l'éventuel pirate.

[edit ortho]

Qu'est-ce qu'un pirate voudrais bien faire de moi? Je ne pratique aucun transfert d'argent... s'il m'espionne tant mieux pour lui, j'ai pas des secrets gourvenementaux à livrer :-p... La seule chose que ce pirate pourrait tirer c'est la satisfaction de faire chier un « pauvre » linuxien/fedorarista! 8-)

edit: Et puis SELinux ma protège :-D Mais il bloque virt-manager ^^

herrib

Tiny-Fedora wrote:Qu'est-ce qu'un pirate voudrais bien faire de moi? Je ne pratique aucun transfert d'argent... s'il m'espionne tant mieux pour lui, j'ai pas des secrets gourvenementaux à livrer :-p... La seule chose que ce pirate pourrait tirer c'est la satisfaction de faire chier un « pauvre » linuxien/fedorarista! 8-)

Simplement utiliser ton système pour masquer un accès à un autre système; ou encore utiliser ton système pour une tentative d'attaque Denial of Service (de nombreux ordinateurs bombardent un serveur de requêtes, en même temps, provoquant l'effondrement de ce serveur).

Mille autres choses possibles (dont exploiter la puissance de calcul pour casser des algorithmes, stocker des données usurpées etc ...) qui te rendent de facto complice.

Personne ne peut accepter quelque intrusion que ce soit sur son système (tu admettrais qu'un parfait inconnu rentre chez toi sans ton accord?); personne ne peut accepter qu'il soit fait usage de son système sans son consentement.

Raily

herrib wrote:Personne ne peut accepter quelque intrusion que ce soit sur son système (tu admettrais qu'un parfait inconnu rentre chez toi sans ton accord?); personne ne peut accepter qu'il soit fait usage de son système sans son consentement.

+1.
Tout est dit, rien à ajouter. 8-)

« Page précédente Page suivante »