Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

En finir avec Mint ?

krodelabestiole

maxire a écritMint n'est pas un fork de Ubuntu, c'est une distribution dérivée de Ubuntu avec quelques paquets spécifiques comme Cinnamon et des réglages spécifiques de Apt portant essentiellement sur les priorités de versions à appliquer pour certains paquets.

c'est pas faux.

maxire a écrittout ce qui est mise à jour est pris en compte

par contre ça c'est pas entièrement vrai : par défaut mint propose de mettre à jour certains paquets et pas d'autres (ces derniers sont d'ailleurs par défaut invisibles dans l'update manager).

peut-être que la gestion des paquets n'est effectivement pas si foireuse.

mais de mon côté j'ai eu des mauvaises experiences avec nemo que j'ai été infoutu de débugger, pas de logs, pas de verbose, ça plus leur site, plus les commentaires extrêmement négatifs du mainteneur de debian, font que j'ai lâché l'affaire.

donut

krodelabestiole a écrit
donut a écrittout cela tient de la masturbation intellectuelle ou de la critique gratuite.
pff tu peux te passer de ce type de commentaire stp...
qui pour le coup est franchement gratuit, tout ce qui a été dit jusqu'à présent a été argumenté et sourcé.
par ailleurs si le choix d'un os tient pour toi de la masturbation intellectuelle, tu n'es pas obligé de participer à cette conversation.

Vos sources ce sont des blogueurs qui donnent leur avis, ils ont tout à fait le droit, mais ce ne sont pas des experts en sécurité.
Je dirais qu'au contraire l'amateurisme c'est penser que ton OS est sécurisé parce que tu fais un apt-get upgrade tous les jours.

donut

krodelabestiole a écrit
donut a écritEst-ce que leur site était insuffisamment sécurisé ?
un site suffisamment sécurisé ne tombe pas, ou très partiellement.

Même le forum de Steam s'est fait pirater.... et ce moment, le PSN.

Rufus T. Firefly

CercleEuclidien a écritJe viens de lancer Writer et j'ai vu du vrai noir sur blanc. Je ne me souviens pas d'avoir eu autre chose, même en 12.04. Tu es sûr que ça ne venait pas de ton matériel ? Les polices sont très bien chez moi.

Pareil sur Debian... Jamais vu autre chose que du noir sur fond blanc (sauf en le demandant, bien sûr).

freechelmi

PileOuFace a écrit En revanche, je les trouve bien meilleurs qu'ubuntu en ce qui concerne les attentes de pas mal d'utilisateurs concernant l'ergonomie et l'environnement de travail, c'est d'ailleurs grâce à ça qu'ils ont percé et trouvé leur public.

L'idéal n'aurait il pas été de faire un Cinabuntu ? et donc se concentrer sur les paquets du bureau cinammon ?

krodelabestiole

donut a écritVos sources ce sont des blogueurs qui donnent leur avis, ils ont tout à fait le droit, mais ce ne sont pas des experts en sécurité.
Je dirais qu'au contraire l'amateurisme c'est penser que ton OS est sécurisé parce que tu fais un apt-get upgrade tous les jours.

les seules sources que j'ai citées sont le blog officiel de mint, mon experience propre, et Adrian Glaubitz qui est un développeur de debian, qui s'y connait mieux que moi en gestion des dépôts et trouve visiblement, et avec argumentaire, que le travail chez mint est de l'amateurisme.

en matière de sécurité il n'y rien de blanc ni de noir, mais un debian à jour est probablement largement plus safe qu'un mint qui a un peu tourné et a update ce qu'il a bien voulu par défaut.
ceci dit il serait idiot d'utiliser mint pour un serveur web, et tant que ça reste pour une station de travail, on s'en fout relativement de la sécurité (à moins peut-être d'être pétri de backdoors, de keyloggers ou d'être journaliste).

là où ça me pose un souci personnellement c'est au niveau de la fiabilité dans le temps des mises à jour. j'ai pas envie de perdre du temps à réparer un système cassé :

Secondly, they are mixing their own binary packages with binary packages from Debian and Ubuntu without rebuilding the latter. This creates something that we in Debian call a "FrankenDebian" which results in system updates becoming unpredictable [2]. With the result, that the Mint developers simply decided to blacklist certain packages from upgrades by default thus putting their users at risk because important security updates may not be installed.

là je t'avoue que je pige pas tout les tenants et aboutissants. j'imagine que ça correspond à ces updates invisibles par défaut, et il ne s'agit apparemment pas que de sécurité, mais aussi de stabilité et de fiabilité.

en gros j'ai besoin de faire confiance à une distro. c'est bien cet amateurisme dénoncé par Adrian Glaubitz (peut-être à tord, mais il reste à le démontrer), et que j'ai personnellement observé dans la gestion de leur site (absolument catastrophique) qui me fait douter et me détourner de mint.

PileOuFace

krodelabestiole a écrit là où ça me pose un souci personnellement c'est au niveau de la fiabilité dans le temps des mises à jour. j'ai pas envie de perdre du temps à réparer un système cassé :

Ça n'arrive pas souvent en pratique. Mon PC de bureau est toujours sur l'ancienne Mint 17.3 (Ubuntu 14.04) et un netbook sur LMDE, ce n'est jamais arrivé.
Oui je sais, j'ai mis plus haut que j'avais compris les problèmes de Mint, mais pour le moment j'ai la flemme de tout réinstaller. Ça sera pour plus tard.

freechelmi a écrit
PileOuFace a écrit En revanche, je les trouve bien meilleurs qu'ubuntu en ce qui concerne les attentes de pas mal d'utilisateurs concernant l'ergonomie et l'environnement de travail, c'est d'ailleurs grâce à ça qu'ils ont percé et trouvé leur public.
L'idéal n'aurait il pas été de faire un Cinabuntu ? et donc se concentrer sur les paquets du bureau cinammon ?

Je me suis fait la même réflexion. Ils ont peut-être voulu tout prendre en main pour proposer un produit fini à leur idée, je ne sais pas.
En tout cas, on peut installer Mate ou Cinnamon sur Ubuntu et Debian, même si je suppose qu'il faut configurer un peu derrière pour obtenir la même chose.

CM63

Bonjour,

CercleEuclidien a écritJe viens de lancer Writer et j'ai vu du vrai noir sur blanc. Je ne me souviens pas d'avoir eu autre chose, même en 12.04. Tu es sûr que ça ne venait pas de ton matériel ? Les polices sont très bien chez moi.

De toute façon, Mint est presque identique à Ubuntu, ça devait pas être plus compliqué à corriger qu'installer un paquet et changer une option.

Peux-tu faire un méga zoom de façon à ce que les traits des caractères fassent plusieurs centaines de pixels, faire une copie d'écran et regarder dans un logiciel d'édition d'image si tu as bien 000 comme couleur? Merci de ton aide.

krodelabestiole

donut a écritMême le forum de Steam s'est fait pirater.... et ce moment, le PSN.

et du coup est-ce que l'attaquant a pu glisser une backdoor dans les jeux steam ?
je prends même pas la peine de vérifier...

c'est un boulot différent de sécuriser un forum et de sécuriser une bête plate-forme de téléchargement (va attaquer un site statique).
mais forcément si tu mets phpbb, wordpress et les images de ta distro sur le même serveur, le tout en 777, tu t'exposes, et tu montres par le même coup que tu ne prends pas en compte le b.a.-ba de la sécurité informatique.
c'est extrêmement gênant de la part d'une structure qui propose un os, tu crois pas ?

[supprimé]

CM63 a écritPeux-tu faire un méga zoom de façon à ce que les traits des caractères fassent plusieurs centaines de pixels, faire une copie d'écran et regarder dans un logiciel d'édition d'image si tu as bien 000 comme couleur? Merci de ton aide.

J'ai bien du 000. J'ai sélectionné le noir du "T" dans GIMP.
Edit : le lien n'était pas bon.

donut a écritVos sources ce sont des blogueurs qui donnent leur avis, ils ont tout à fait le droit, mais ce ne sont pas des experts en sécurité.
Je dirais qu'au contraire l'amateurisme c'est penser que ton OS est sécurisé parce que tu fais un apt-get upgrade tous les jours.

Le seul facteur plus important que l'utilisateur dans la sécurité, c'est d'avoir un système maintenu à jour pour échapper aux failles. Autant dire tout de suite que tu te moques de la sécurité sur ton PC, tu as le droit. Mais je trouve ça irresponsable de fournir une sécurité trouée à des utilisateurs, même s'ils ne feront qu'aller sur le Web et stocker des photos avec (ou payer par Internet ? Se connecter à leurs comptes en banque ?).

Quant à ces blogueurs, ils s'y connaissent largement assez pour donner un avis éclairé. Tu n'es pas un expert en sécurité non plus. On n'a pas besoin d'un expert en sécurité. Mint ne s'intéresse que peu à la sécurité, c'est évident.

maxire a écritSi cela avait été le cas vous vous seriez aperçu que Mint utilise les dépôts de Canaonical et que donc tout ce qui est mise à jour est pris en compte.

Pas exactement vrai. Mint utilise des dépôts quasiment identiques, mais pour éviter de casser certaines choses, a blacklisté des mises à jour de sécurité. Ce qui donne des paquets troués. Tous les articles cités en parlent, justement. Au-delà des paquets affectés, ça montre que la sécurité n'est pas la priorité de l'équipe de Mint.

maxire a écritMint n'est pas un fork de Ubuntu, c'est une distribution dérivée de Ubuntu avec quelques paquets spécifiques comme Cinnamon et des réglages spécifiques de Apt portant essentiellement sur les priorités de versions à appliquer pour certains paquets.

C'est justement ce qui me gêne (entre autres). Ces règles empêchent des patchs de sécurité d'arriver aux utilisateurs.

EDIT : OK, en relisant mes sources j'ai appris que le gestionnaire de mises à jour graphique (celui que tout le monde utilise donc) ne mettait pas à jour le kernel, et qu'il fallait passer par la ligne de commande pour ça. Là, c'est du foutage de gueule caractérisé.

maxire a écritJe crois que les attaques contre Mint sont d'assez mauvaise foi bien qu'en partie justifiées (sujet secondaire comme mdm).

Je crois que cette phrase n'est pas logique. "De mauvaise foi" est le contraire de "justifiées".

donut a écrit
krodelabestiole a écrit
donut a écritEst-ce que leur site était insuffisamment sécurisé ?
un site suffisamment sécurisé ne tombe pas, ou très partiellement.
Même le forum de Steam s'est fait pirater.... et ce moment, le PSN.

Sony n'est pas un modèle de sécurité. Je crois qu'ils ont annoncé après le premier hack du PSN qu'ils allaient engager un responsable de la sécurité. Ce qui implique qu'il n'y en avait pas avant.

"Y'a pire ailleurs", c'est l'excuse la plus idiote qu'on peut inventer. Quand on fournit un OS, on le fait correctement.

maxire a écritÀ tous les critiques je voudrais rappeler que la qualité du noyau Linux est également fortement critiquée par les dévelopeurs de Unix Like comme BSD.
Il est vrai que la lecture des sources de Linux fait peur quant à la faible qualité, à la lisibilité du code (les développeurs système vivent réellement dans un autre monde que nous!).

Les devs de Linux savent ce qu'ils font. Ils peuvent prendre des décisions qui ne plaisent pas à BSD, mais Linux est utilisé et patché par des entreprises énormes ; on ne peut pas comparer le professionnalisme des devs Linux avec la petite équipe de Mint. Les failles de Linux sont corrigées rapidement, les patchs arrivent aux utilisateurs, les développeurs font attention à la qualité de leur code.

En parlant du code, justement, ce n'est pas parce que ttu as du mal à le lire qu'il est mal écrit. Si tu n'es pas un dev système avec beaucoup d'expérience (comme ceux qui ont écrit ce code justement), tu n'es pas qualifié pour critiquer. Moi non plus.

De mémoire, les attaques sur Linux portaient surtout sur des options de compilation et des mécanismes permettant de mitiger les failles, qui auraient (d'après Linux) un gros impact sur les performances. On est loin des quelques paquets à "dé-casser" que Mint voulait éviter, et c'est un choix qui se tient, d'autant plus que les utilisateurs du kernel (les distributions dans notre cas) peuvent toujours ajouter ces fonctionnalités à la compilation, et distribuer un noyau renforcé à leurs utilisateurs.

En ce moment, les ransomwares sont à la mode, les hacks sont de plus en plus nombreux, on trouve des malwares créés par des services de renseignement avec des équipes de centaines de personnes et des moyens illimités. Dans le contexte, une distribution qui évite des patchs parce que "c'est pas trop grave puis on veut pas bosser" et qui fournit un système d'exploitation qui se veut sérieux sur un site WordPress qu'ils ont la flemme de sécuriser, ça fait tache.

donut

krodelabestiole a écrit
donut a écritMême le forum de Steam s'est fait pirater.... et ce moment, le PSN.
et du coup est-ce que l'attaquant a pu glisser une backdoor dans les jeux steam ?
je prends même pas la peine de vérifier...

c'est un boulot différent de sécuriser un forum et de sécuriser une bête plate-forme de téléchargement (va attaquer un site statique).
mais forcément si tu mets phpbb, wordpress et les images de ta distro sur le même serveur, le tout en 777, tu t'exposes, et tu montres par le même coup que tu ne prends pas en compte le b.a.-ba de la sécurité informatique.
c'est extrêmement gênant de la part d'une structure qui propose un os, tu crois pas ?

Dans le cas de Steam a part les adresses e-mail et mots de passe (ce qui est déjà pas mal) en effet l'impact fut limité.
Mais il y a eu beaucoup de cas de piratages où ce sont des données bancaires qui sont dérobées, exemple le PSN chez Sony.

Je ne suis pas admin chez Mint, je ne peux donc pas te dire s'ils bossent avec du chmod777 ou pas (j'espère pas).
Mais je me doute qu'ils ont certainement moins de moyens qu'Amazon, Steam ou même Debian.

PileOuFace

CercleEuclidien a écrit EDIT : OK, en relisant mes sources j'ai appris que le gestionnaire de mises à jour graphique (celui que tout le monde utilise donc) ne mettait pas à jour le kernel, et qu'il fallait passer par la ligne de commande pour ça. Là, c'est du foutage de gueule caractérisé.

Cette information me semble inexacte. Je viens de ressortir le netbook de voyages qui n'a pas été allumé depuis quelques semaines, pas mal de mises à jour proposées, y compris au niveau du kernel :

Par contre, ce qui est vrai, c'est que les mises à jour du Kernel sont dans la catégorie 5, donc désactivée par défaut :

Il y a même une section dédiée au kernel : menu Vue => Noyaux Linux

Je viens aussi de tester la mise à jour en ligne de commande, il n'y a rien de plus. L'applet de mise à jour semble donc complète, la question porte plutôt sur les catégories, activées ou non par défaut.

Rufus T. Firefly

PileOuFace a écritPar contre, ce qui est vrai, c'est que les mises à jour du Kernel sont dans la catégorie 5, donc désactivée par défaut

Apparemment c'est du 3.13 qui pourrait passer à 3.19
Ça ressemble plutôt à ça : https://doc.ubuntu-fr.org/ltsenablementstack

PileOuFace

Rufus T. Firefly a écrit
PileOuFace a écritPar contre, ce qui est vrai, c'est que les mises à jour du Kernel sont dans la catégorie 5, donc désactivée par défaut
Apparemment c'est du 3.13 qui pourrait passer à 3.19
Ça ressemble plutôt à ça : https://doc.ubuntu-fr.org/ltsenablementstack

Alors justement, maintenant le Kernel est en 3.19 suite à cette mise à jour.
Je vois que les dépôts (qui sont ceux d'Ubuntu) offrent d'autres Kernels jusqu'en 4.4, mais ce n'est pas proposé automatiquement dans l'utilitaire de mise à jour ni apt-get upgrade.

krodelabestiole

donut a écritje ne peux donc pas te dire s'ils bossent avec du chmod777 ou pas (j'espère pas).

That said, there were already PHP backdoors on the forums and we think we had lax file permissions too.

c'est sur cette page : http://blog.linuxmint.com/?p=2994

[supprimé]

PileOuFace a écrit
CercleEuclidien a écrit EDIT : OK, en relisant mes sources j'ai appris que le gestionnaire de mises à jour graphique (celui que tout le monde utilise donc) ne mettait pas à jour le kernel, et qu'il fallait passer par la ligne de commande pour ça. Là, c'est du foutage de gueule caractérisé.
Cette information me semble inexacte. Je viens de ressortir le netbook de voyages qui n'a pas été allumé depuis quelques semaines, pas mal de mises à jour proposées, y compris au niveau du kernel :

Par contre, ce qui est vrai, c'est que les mises à jour du Kernel sont dans la catégorie 5, donc désactivée par défaut :
http://pix.toile-libre.org/upload/thumb/1471512353.png

Il y a même une section dédiée au kernel : menu Vue => Noyaux Linux
http://pix.toile-libre.org/upload/thumb/1471512360.png

http://pix.toile-libre.org/upload/thumb/1471512364.png

Je viens aussi de tester la mise à jour en ligne de commande, il n'y a rien de plus. L'applet de mise à jour semble donc complète, la question porte plutôt sur les catégories, activées ou non par défaut.

D'accord. En re-relisant l'article de TechRepublic, c'est apt-get dist-upgrade qui met à jour le kernel.

On parle quand même d'un système qui s'adresse aux gens normaux, qui n'iront jamais activer les mises à jour facultatives. Ça reste à peu près le même problème : les mises à jour sont installables mais rien n'est fait par défaut. Je maintiens que c'est se moquer des utilisateurs, d'autant plus que la cible de Mint est la même qu'Ubuntu (les débutants). Une faille non patchée dans le kernel est catastrophique.

Si on continue de recommander Mint, il faudrait au moins informer à chaque fois que ça revient à abandonner la sécurité pour éviter la maintenance. Ça marche, mais ça finira par retomber sur la tête de quelqu'un (ça l'a déjà fait en fait).

PileOuFace

CercleEuclidien a écrit Si on continue de recommander Mint, il faudrait au moins informer à chaque fois que ça revient à abandonner la sécurité pour éviter la maintenance.

Concernant les catégories, ceux qui recommandent Mint peuvent peut-être préciser d'activer les 5 catégories des mises à jour dans l'applet, ça deviendra comme sur Ubuntu. Ça passe juste par : clique-droit sur l'icône des mises à jours => menu Préférences => onglet Niveau => cocher les 4 cases manquantes des niveau 4 et 5
Du coup, les maj de sécurité d'une version de kernel seront également incluses, comme indiqué dans mes copies d'écran ci-dessus.

Alors oui, il faut le faire, mais je ne trouve pas ça pire que la bidouille qu'il fallait mettre en oeuvre avec Ubuntu pour désactiver l'envoie à Amazon des résultats de recherche du Dash, bonjour la confidentialité. Il fallait aussi entrer dans un menu de préférences et décocher une option.

Après installation :

Après modification :

Voici la liste des dépôts "upstream" :

deb http://archive.ubuntu.com/ubuntu trusty main restricted universe multiverse
deb http://archive.ubuntu.com/ubuntu trusty-updates main restricted universe multiverse

deb http://security.ubuntu.com/ubuntu/ trusty-security main restricted universe multiverse
deb http://archive.canonical.com/ubuntu/ trusty partner

Rufus T. Firefly

Il y a un truc que je ne comprends pas très bien.
Chez Debian stable, le noyau est un 3.16 et il le restera jusqu'à la fin du support (2020). Mais il y a régulièrement des mises à jour (correction de bugs et sécurité).
Si j'en juge par ceci :

c'est pareil : le 3.13, noyau de base de 14.04 et 14.04.1, est régulièrement mis à jour.
En revanche ça ne change pas de version du noyau... Ce que même la doc ubuntu recommande, même si ubuntu ne suit pas la recommandation, si par exemple on a installé 14.04.2 par mégarde...

Sur du matériel déjà reconnu le passage à une étape de version LTS ( HWE Hardware Enablement Stack) a peu d’intérêt (les dépôts restent les mêmes) et est même déconseillé pour des machines virtuelles.

Donc sur ce point ça me semble un mauvais procès fait à mint et de plus un mauvais conseil que d'activer les mises à jour du noyau (qui sont non pas des mises à jour, mais des changements de version).

Sur Toile Libre, choisir le lien « Insérer la miniature dans un forum : »

PileOuFace

Rufus T. Firefly a écrit Donc sur ce point ça me semble un mauvais procès fait à mint et de plus un mauvais conseil que d'activer les mises à jour du noyau (qui sont non pas des mises à jour, mais des changements de version).

Du coup, il faudrait clarifier si on peut faire des mises à jour de sécurité du kernel mais sans changer de branche principale, sans activer le niveau 5 des maj dans Mint.

Rufus T. Firefly

J'ai cité une de tes captures d'écran : tu vois bien qu'il y a plusieurs 3.13. Donc des mises à jour ont bien été faites.
Je suppose que les les "mises à jour" du noyau étaient inactivées puisque tu relèves que ça ne t'a pas proposé le 3.19.

« Page précédente Page suivante »