[gull] Abus réseaux

[Marc SCHAEFER]

Hello,

On Wed, Aug 21, 2024 at 08:56:39AM +0200, felix via gull wrote:
> > Eviter Debian stable, systemd, OpenSSL, etc :)
> 
> Tu veux dire ``Linux stable'',
> (Debian stable utilise Linux LTS, il me semble)

Non, Debian stable: le document cité mentionne le problème du
backporting (que cela soit au kernel, mais aussi aux autres packages
que le kernel bien sûr).

Je ne connais pas d'ailleurs la relation exacte entre le kernel
Linux backporté dans stable, oldstable, LTS et le "kernel LTS" --
dont la durée de vie, sauf erreur, est aujourd'hui inférieure à
ce que Debian semble assurer avec son LTS dans certains cas.
C'est peut-être couplé au début (avec de rares patches spécifiques
Debian), mais fatalement après un certain temps, ça devient
une tâche 100% Debian.

Je dois dire que je n'ai jamais, apparemment, eu de souci avec ça --
au contraire, certains bugs graves (le dernier: xz) sont apparus
sur unstable et testing et jamais sur stable ou oldstable.

Le mail original mentionnait d'ailleurs les 0-days: ceux-ci sont
par définition non patché, quelque soit la version.

> Cela dit, il est vrai que certains choix récents de Debian
> sont discutables (systemd par défaut, entre autres)...

Oui, mais on peut faire sans. J'ai systemd sur mes hosts, mais
jamais dans les conteneurs, par exemple.

Par contre, ce qui est discutable (et semble concerner l'ensemble
des distributions Linux) ce sont les dépendances additionnelles
injectées dans, par exemple, SSH, à cause de systemd.

Quelqu'un gérant un bastion host aurait peut-être intérêt à
recompiler openssh sans tout ça, ou à passer p.ex. à OpenBSD.

On avait déjà mentionné l'affreuse surface d'attaque de systemd
(libs de compression, chiffrement, etc).

Quant à pfsense, j'avais testé dans le passé, mais c'est trop
haut niveau pour moi.  Et sur plateforme apu2, il m'avait
semblé que la performance était inférieure à ce que j'arrivais
à faire avec Debian.