[shiroko]

Bien le bonsoir ami contestien

Voila, il y a peu, je me posais la question suivante :

Quel est aujoud'hui le meilleur système d'exploitation (niveau sécurité) pour un serveur qui va accueillie apache, Mysql etc ...

Des choses que n'importe quel serveur Web possède en clair

Je sais que cette question pourrait être le sujet d'un fucking troll, mais voici pourquoi je me pose cette question :

Aujourd'hui, on cherchant sur une BDD de sploit recente, on trouve QUASIMENT tous les kernel Linux. La plupart du temps, c'est du local root exploit. Mais pourquoi tout le monde passe du Debian sur un serveur sachant que la plupart des kernels sont faillibles ?? C'est vrai quoi, avoir un Windows XP bien configuré, bien sécurisé je trouve cela bien moins risqué car les exploits sont bien plus rare ...

Enfin voila

Donc si vous aviez une réponse qui pourrait eclairée ma lanterne, je vous serais bien reconaissant

PS : Les réponses :

- "Car linux c'est gratos"
- "Linux çà ROX, Win çà sux"

Vous les oubliez hein

[Nebelmann]

Si on trouve tant de failles dans le système linux, c'est parce qu'il est ouvert et qu'il est bien plus facile de lire du code C que de l'ASM...
C'est je pense un gage de sécurité, car ces failles trouvées sont bien souvent très vites corrigées, contrairement à MS qui nous sort un service pack toutes les 3 générations virgule sept.

Et comme tu ne peux pas configurer ton windows aussi bien que ton linux, il y a fort à partier que tu laisses des gros trous dedans

[shiroko]

Oui je suis d'acord mais je trouve quand même qu'il est plus simple de rooter un serveur UNIX qu'un serveur qui tourne sur Windows, si tu t'interesse au rooting, tu as déjà du te rendre compte à quel point les gens sont resté bloqué sur les Linux, tu trouves de tout, des backdoor, des log cleaner, des exploits a la pelle, des rootkits etc ...

Sur Windows, tu en trouves mais moins quand même donc je trouve que la tâche est moins aisé en fait

[Zmx]

La plupart du temps, c'est du local root exploit.

ça veux dire qu'il faut que tu es deja un shell pour commencer a pouvoir travailler (local)
Les failles windows tu n'a pas besoin.

[shiroko]

Tu sais, un shell çà va TRES TRES vite à avoir

Les failles windows tu n'a pas besoin

Ba les failles en remote, tu n'as pas grand choses hein, un DOS par ci par là mais rien qui te permet d'avoir un shell (fin je parle de récement hein)

[zours]

Mouais. Donc selon toi les serveurs windows sont au final plus sécurisés que les serveurs linux. C'est étrange, quand même, vu que les entreprises sont petit à petit en train de migrer vers du *nix.

Surtout qu'en général, l'argent n'est pas un problème majeur, elles veulent avant tout des garanties de sécurité. Et malgré toutes les failles dont tu parles, elles choisissent quand même du *nix ? Comme c'est bizarre... Bah peut-être finalement que c'est quand même plus fiable que du windows.

Bon, sinon, au niveau des failles sur les kernels, ouais, y'en a. Avec windows aussi. Mais avec linux, le code est ouvert. C'est plus facile de lire et de trouver une faille. Plus facile aussi de la reboucher. C'est pas pour rien qu'il y a des mises à jour de kernel. Donc, ouais, tu trouves peut-être plein de kernels faillibles, mais ils sont très rapidement rebouchés. Sous windows ? Certainement pas le cas.

Tu sais, un shell çà va TRES TRES vite à avoir

De l'extérieur, avec un serveur correctement configuré, planqué derrière un proxy et/ou une DMZ, et qui, si les choses étaient bien faites, n'ouvrirait que le port nécessaire (http/https par exemple) ? Nan, c'est pas aussi simple.

[_o_]

vu que les entreprises sont petit à petit en train de migrer vers du *nix.

Sources ?
Je serais (réellement) curieux de statistiques à ce niveau là. Je vois tout autant de migration vers Unix (Linux en général, et pour des questions de coût en première motivation) que vers Windows (Ayé, on va bientôt basculer sous Exchange ).

Tu sais, un shell çà va TRES TRES vite à avoir

Quelque soit le système utilisé, c'est plus l'administrateur qui compte que le système. Foutez un admin Windows pour sécuriser une machine Unix, ou inversement, et c'est la catastrophe. Mieux vaut un système moyen sur une install par défaut, mais administré par une personne compétente, plutôt qu'un système blindé qu'un mauvais admin va affaiblir en faisant ce qu'il ne faut pas.

Moi, qui suit clairement Linuxien, je me choisirai probablement une Debian stable. Question d'habitude et d'expérience.

Ceci dit, on oublie quelques systèmes pourtant réputés. Et pour n'en retenir qu'un : OpenBSD.

[Zmx]

Quelque soit le système utilisé, c'est plus l'administrateur qui compte que le système. Foutez un admin Windows pour sécuriser une machine Unix, ou inversement, et c'est la catastrophe. Mieux vaut un système moyen sur une install par défaut, mais administré par une personne compétente, plutôt qu'un système blindé qu'un mauvais admin va affaiblir en faisant ce qu'il ne faut pas.

C'est pas faux ...
Quand je voit des gens mettre les droit a grand coup de "777" parcque "le fichier il etais pas executable" on ne peux que confirmer.
Et je crois que c'est surement plus difficile de pourrir un windows qu'un linux de cette facon...

Bon apres une majorité des "failles" sur les sites sont aussi de la faute des developpeur. Meme avec un admin qui blinde sont serveur, si un dev fait un system(_GET["command"]) dans son code, ça compromet séverement la secu ...

Moralité: faudrais sensibiliser les developpeur a la sécurité

[shiroko]

Ouais il est clair que ce genre de code fait chié n'importe quel OS lol.

Zours, tout le monde part sur du Debian, peut être car tout le monde y est déjà, donc plus d'aide ...

Une personne qui débute va cherche un système le plus documenté possible, et là, il n'y a pas photo, *nix est loin devant, donc ils vont bosser dessus, devenir compétent et finir par ne plus le lacher car sinon, il devrait partir sur du Win qu'ils ne connaissent pas et donc prendre des risques ...

Fin je sais pas mais cette question est chiante quand même xD

Merci pour vos réponses

[offw0rld]

C'est dingue, hier sur tf1, un consultant à montrer qu'il pouvait controller une machine windows, en meme pas 1 minute.

J'aimerai bien voir ça sur *nix

[shiroko]

Lol ba simple sur un serveur mal configuré :

Faille Include
backdoor
shell
uname -a
BDD de sploit
privilège escalation si le sploit éxiste
pose de backdoor
log cleanning
et voila ...

[offw0rld]

Lol ba simple sur un serveur mal configuré :

Faille Include <== Ca ok
backdoor <== php oui
shell <== avec les droits de nobody
uname -a <== ok
BDD de sploit <== ok
privilège escalation si le sploit éxiste <== Vue la simplicité des mises à jours sur unix, la tu reves
pose de backdoor <== A ce niveau la c'est un rootkit que l'on pose
log cleanning <== A condition qu'il ne soit pas envoyé en double sur un autre serveur
et voila ..

Mais puisque c'est aussi simple, prend toi un hebergement gratuit, pose une backdoor, et passe root.

En revanche sur windows, un simple controle activex sur une des nombreuse faille pas patcher de ie, et hop tu passes admin, essai de passer root avec une faille firefox.

[shiroko]

privilège escalation si le sploit éxiste <== Vue la simplicité des mises à jours sur unix, la tu reves

Si tu le dis xD

pose de backdoor <== A ce niveau la c'est un rootkit que l'on pose

Ouais biensur rhooo on va quand même pas tout détaillé, quand je dis backdoor, je parle des toolz qui vont te permettre de revenir donc ici la bkdr et les toolz qui vont te permettre de cacher les bkdr donc les RK

log cleanning <== A condition qu'il ne soit pas envoyé en double sur un autre serveur

Ouais j'en ai jamais vu un seul qui faisait çà, et puis les attaques par rebonds c'est pas fait pour les toutous

[Mr_KaLiMaN]

C'est ici qu'on joue au jeu de celui qui a la plus grosse ? non?

[offw0rld]

Ben non Mr Kaliman, nous débattons simplement.
En ce qui concerne celui qui a la plus grosse, ben c'est moi vu que je tourne sur linux.

Source : http://www.infos-du-net.com/actualite/8413-sexy-linux.html