tyrann27 Posté(e) le 20 janvier 2008 Partager Posté(e) le 20 janvier 2008 Hello, Je me posais la question... Est-ce que si je mets une openbsd dans une machine virtuelle, ce sera aussi sécurisé (façon de parler...) que sur une machine physique ? Sans prendre en compte bien de l'OS de ma machine physique... Merci Lien vers le commentaire Partager sur d’autres sites More sharing options...
Compte_supprime_74291 Posté(e) le 20 janvier 2008 Partager Posté(e) le 20 janvier 2008 Déjà, qu'entendre par "OpenBSD" est sécurisée? Aucun service à l'écoute par défaut (comme sur beaucoup de choses), ça, ça devrait rester tel quel... Analité des développeurs sur la propreté du code, c'est intrinsèque à la splendide OpenBSD (ce n'est d'ailleurs pas pour rien qu'on retrouve OpenNTP, OpenSSH et cie dans des tas de dépôts linuxiens)... Séquences TCP très aléatoires (pour éviter certains spoofings), ça devrait fonctionner comme il faut aussi... Protection de la mémoire allouée (non simultanéité de l'écriture et de l'exécution, allouage aléatoire des adresses, ... tout ce qui se fait avec PaX sous linux), ça par contre, ça doit être limité à ce qui est alloué à la machine virtuelle, mais ça devrait fonctionner comme il faut... par contre, peut-être pas en profitant des facilités en hard de certains processeurs (mais en soft, pas de raison que ça ne marche pas, je pense)... Possibilité de bloquer la modification de certains paramètres hors single-user-mode, ça devrait être là sans problème... Un firewall configurable sans devoir prendre une dose massive d'acides et/ou de la GUI pour s'aider, et donc, moins prompt à te croire tranquillou alors que tu écartes les fesses jusqu'à la glotte sans le savoir, ça n'a pas de raison de ne pas être dispo... Après, le souci, c'est la sécurité de l'hôte... tu peux mettre toute OpenBSD blindée que tu veux, si n'importe qui peut physiquement accéder à l'hôte, ou si celui-ci héberge des services faillibles, tu l'as dans l'os dès que le "single-weak-point" est exploité... Bon, après, c'est histoire de compromis... personnellement, même si je respecte beaucoup OpenBSD (qui fait partie de ce que je préfère dans le libre... en plus d'être un grand fan des coups de gueule de Theo de Raadt ), je reste conscient que peu ou prou tout ce qui fait qu'elle est "sekioure", c'est implémentable sous linux (PaX+GRSEC, pour ce qui m'a fait le plus triper dans mes heures gentooistes, est une merveille de paranoïa)... ... et que rien ne vaut mieux qu'un admin consciencieux, parano et inflexiblement fasciste (en toute bienveillance, hein ) pour se sentir relativement à l'abris... Lien vers le commentaire Partager sur d’autres sites More sharing options...
tyrann27 Posté(e) le 20 janvier 2008 Auteur Partager Posté(e) le 20 janvier 2008 Hé bien je pense que j'ai réponse à ma question ! Grand merci pour cette réponse très précise (comme d'habitude) et très longue aussi (comme d'hab aussi ) Lien vers le commentaire Partager sur d’autres sites More sharing options...
theocrite Posté(e) le 21 janvier 2008 Partager Posté(e) le 21 janvier 2008 Ça me semble plus logique de mettre une OpenBSD en hôte et éventuellement virtualiser d'autres OS moins sécure dedans Lien vers le commentaire Partager sur d’autres sites More sharing options...
tyrann27 Posté(e) le 21 janvier 2008 Auteur Partager Posté(e) le 21 janvier 2008 Ben ça aussi j'y ai pensé mais le truc c'est que j'ai l'impression que je vais avoir du mal d'installer virtualbox sur openbsd Lien vers le commentaire Partager sur d’autres sites More sharing options...
lorinc Posté(e) le 22 janvier 2008 Partager Posté(e) le 22 janvier 2008 Déjà, qu'entendre par "OpenBSD" est sécurisée?Aucun service à l'écoute par défaut (comme sur beaucoup de choses), ça, ça devrait rester tel quel... Analité des développeurs sur la propreté du code, c'est intrinsèque à la splendide OpenBSD (ce n'est d'ailleurs pas pour rien qu'on retrouve OpenNTP, OpenSSH et cie dans des tas de dépôts linuxiens)... Séquences TCP très aléatoires (pour éviter certains spoofings), ça devrait fonctionner comme il faut aussi... Protection de la mémoire allouée (non simultanéité de l'écriture et de l'exécution, allouage aléatoire des adresses, ... tout ce qui se fait avec PaX sous linux), ça par contre, ça doit être limité à ce qui est alloué à la machine virtuelle, mais ça devrait fonctionner comme il faut... par contre, peut-être pas en profitant des facilités en hard de certains processeurs (mais en soft, pas de raison que ça ne marche pas, je pense)... Possibilité de bloquer la modification de certains paramètres hors single-user-mode, ça devrait être là sans problème... Un firewall configurable sans devoir prendre une dose massive d'acides et/ou de la GUI pour s'aider, et donc, moins prompt à te croire tranquillou alors que tu écartes les fesses jusqu'à la glotte sans le savoir, ça n'a pas de raison de ne pas être dispo... Après, le souci, c'est la sécurité de l'hôte... tu peux mettre toute OpenBSD blindée que tu veux, si n'importe qui peut physiquement accéder à l'hôte, ou si celui-ci héberge des services faillibles, tu l'as dans l'os dès que le "single-weak-point" est exploité... Bon, après, c'est histoire de compromis... personnellement, même si je respecte beaucoup OpenBSD (qui fait partie de ce que je préfère dans le libre... en plus d'être un grand fan des coups de gueule de Theo de Raadt ), je reste conscient que peu ou prou tout ce qui fait qu'elle est "sekioure", c'est implémentable sous linux (PaX+GRSEC, pour ce qui m'a fait le plus triper dans mes heures gentooistes, est une merveille de paranoïa)... ... et que rien ne vaut mieux qu'un admin consciencieux, parano et inflexiblement fasciste (en toute bienveillance, hein ) pour se sentir relativement à l'abris... pour le randomize des adresses, je ne vois pas en quoi la virtualisation changerait quoi que ce soit : Les contraintes dûes au fait qu'il y ait plusieurs OS qui tournent ensemble, elles se répèrcutent sur la mémoire physique, ie sur l'adresse des pages physiques. L'adressage linéaire, et donc les adresses virtuelles que manipulent les processus, elles, sont toujours définient par l'OS et n'ont aucune contrainte. L'OS peut leur attribuer les valeurs randomizées comme il veut, tant que la correspondance vers les pages physique est correcte. Ça veut juste dire que le registre de pages va avoir une tête à faire peur... Lien vers le commentaire Partager sur d’autres sites More sharing options...
Compte_supprime_74291 Posté(e) le 23 janvier 2008 Partager Posté(e) le 23 janvier 2008 Bah, mon doute concernait les machines virtuelles qui réservent la RAM pour les invités (XEN fait ça, il me semble)... si l'hôte ne randomize pas la pile mémoire, seule la zone réservée à l'invité qui le fait devrait l'être... ... ma deuxième interrogation concernait le fait que ce soit alors géré en utilisant la gestion matérielle des bits NX par de tels invités... Bon, après, ce sont des doutes... je n'en suis pas sûr... je me pose juste la question... Lien vers le commentaire Partager sur d’autres sites More sharing options...
tyrann27 Posté(e) le 23 janvier 2008 Auteur Partager Posté(e) le 23 janvier 2008 C'est des trucs de fou ça Je crois que pour mon utilisation perso ça le fera Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Archivé
Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.