Partage
  • Partager sur Facebook
  • Partager sur Twitter

Solaris vs BSD vs Linux

pour une université de 40 000 élèves

    24 février 2010 à 23:30:38

    Salut,

    Je fais mes études aux US dans une université de 40 000 élèves et les ordis avec des installations types UNIX sont toutes sur Solaris. Alors voila, je voulais savoir pourquoi ? Pourquoi Solaris plutôt qu'une BSD ou un bon p'tit Linux bien stable ?

    Je vais l'avouer, j'ai fais très peu de recherche sur le sujet (et j'en suis pas fière), mais la plupart des articles que j'ai pu trouvé soit sont assez longs, soit assez techniques...

    Est ce que vous pensez qu'un autre sytème type UNIX serait plus adapté pour une grosse université ?


    Cheers,

    Arcaon


    EDIT:
    Les ordis sous Solaris sont ceux de l'école de computer science principalement ;)
    Aussi, je me demandais si il n'y avait pas une histoire de support.
    • Partager sur Facebook
    • Partager sur Twitter
    Anonyme
      24 février 2010 à 23:41:32

      Citation : arcaon

      Aussi, je me demandais si il n'y avait pas une histoire de support.


      AMHA, c'est ta réponse. :)

      Citation : arcaon

      Est ce que vous pensez qu'un autre sytème type UNIX serait plus adapté pour une grosse université ?


      Bah, du moment que les sysadmins savent ce qu'ils font...
      • Partager sur Facebook
      • Partager sur Twitter
        25 février 2010 à 0:34:53

        Citation : arcaon

        Alors voila, je voulais savoir pourquoi ? Pourquoi Solaris plutôt qu'une BSD ou un bon p'tit Linux bien stable ?


        Plus sécurisé (RBAC, ZFS)
        Meilleur gestion des services (SMF, FMD)
        Quasiment impossible a "casser" (BE, ZFS)
        (Open)Solaris a des années d'avance sur pas mal de domaine par rapport aux autres OS ;)
        (C'est flagrant quand on l'utilise..)

        Puis si c'est des machines Sun en UltraSPARC (c'est pas précisé), c'est le top niveau performance.
        • Partager sur Facebook
        • Partager sur Twitter
        Anonyme
          25 février 2010 à 9:08:55

          kedare, je comprends bien que tu adores Solaris et que tu trouve donc que c'est le meilleur système, mais franchement si tu pouvais développer tes arguments, ça serait bien pour tout le monde. :) Je crois voir où tu veux en venir pour certains, mais je ne suis déjà pas d'accord avec toi sur le fait que ça représente forcément une amélioration.

          Non parce que lâcher des acronymes et dire que c'est « meilleur », « plus sécurisé » et « impossible à casser» ...
          • Partager sur Facebook
          • Partager sur Twitter
            25 février 2010 à 9:42:05

            Bonjour,

            Je débute en ordinnateurs alors je vous remercie d'etre un peu patient avec moi, il se peut que je fasse de grosses boulettes en parlant de techniques. Toutefois, je m'essaye à la comparaison puisqu'apres tout: tout le monde à le droit à mon avis.

            Citation : kedare

            Citation : arcaon

            Alors voila, je voulais savoir pourquoi ? Pourquoi Solaris plutôt qu'une BSD ou un bon p'tit Linux bien stable ?


            Plus sécurisé (RBAC, ZFS)
            Meilleur gestion des services (SMF, FMD)
            Quasiment impossible a "casser" (BE, ZFS)
            (Open)Solaris a des années d'avance sur pas mal de domaine par rapport aux autres OS ;)
            (C'est flagrant quand on l'utilise..)

            Puis si c'est des machines Sun en UltraSPARC (c'est pas précisé), c'est le top niveau performance.



            OpenSolaris est un produit formidable dont la force commerciale est plus developpée qu'un UNIX libre. Sun paye effectivement une grande force commerciale et nous pouvons aussi la constater sur les forums ou des "BSD fanboys" postent 3 arguments sans aucune explication.

            Oracle/Sun est le plus gros des points forts de Solaris, à l'instar de Microsoft pour Windows. Cette force commerciale/force de lavage de cerveau (rayez la mention inutile), ouvre bien des portes d'entreprises telles que BMW ou des unniversités telles que Purdue qui encore aujourd'hui sont propulsées par des systemes archaiques répondant à peu de besoins, que ce soit en terme de sécurité ou de fonctionnalité. Sun et Microsoft sont des multinationnales qui mettent le client en confiance, alors que les logiciels libres classiques ont souvent la route barrée par un tas de préjugés.

            ZFS est le systeme de fichiers qui permet le plus de fonctionnalités "out of the box" (OOTB). Il est comparable à un Reiser4 avec un certain nombre de plugins. Toutefois, ZFS est libre et est donc utilisable sous BSD comme sous Linux (hors du noyau, via FUSE), c'est pourquoi je ne comprends pas vraimment pourquoi c'est mieux de l'avoir sous Solaris que sur un autre OS. Mais bon, il suffit de dire "Quasiment impossible a "casser" (BE, ZFS)" pour s'en servir en tant qu'argument commercial.

            Question sécurité, Solaris a beaucoup de point faibles mais ceux-ci ont un impact mineur puisqu'il suffit généralement aux "décideurs" que Sun/Oracle ou un de ses fanboy dise "Plus sécurisé (RBAC, ZFS)" pour que Solaris devienne le meilleur OS (comme ca, aussi facilement).

            Nous avons bien le choix entre plusieurs frameworks RBAC sous GNU/Linux. Nous avos choisis GrSec puisque cette solution inclue beaucoup d'options de securité qui ne sont bien entendu pas forcément disponnible sous Solaris.

            Le Stack-Smashing Protector (également appelé SSP, et autrefois connu sous le nom de ProPolice) est une extension au compilateur GCC qui permet de minimiser les dommages qui peuvent être dus à des attaques de type dépassement de tampon. En particulier, il fournit une protection de la pile (stack-smashing).

            Le Position-Independent Code (PIC) ou Position-Independent Executable (PIE) est une instruction machine qui s'execute correctement quelle que soit la mémoire dans laquelle elle réside. Le PIC est couramment utilisé pour les bibliothèques partagées, de sorte que le code même bibliothèque peut être chargé dans un emplacement dans chaque espace d'adressage programme où il ne sera pas un chevauchement d'autres utilisations de la mémoire (par exemple, d'autres bibliothèques partagées). Alors que certains systèmes fonctionnent uniquement des exécutables PIC, on peut les utiliser pour des raisons de sécurité *minimale*. Grace à PaX (GrSec) ou Exec Shield, Linux peut utiliser l'espace d'adressage aléatoire pour empêcher les pirates d'utiliser des exploits qui s'appuient sur la connaissance de l'offset du code exécutable dans le binaire (typiquement les attaques libc).

            L’Address Space Layout Randomization (ASLR) ou randomisation de l'espace d'adressage est une technique permettant de placer de façon aléatoire les zones de données dans la mémoire virtuelle. Il s'agit en général de la position du tas, de la pile, des bibliothèques. Ce procédé permet de limiter les effets des attaques de type dépassement de tampon par exemple.

            GrSec permet également la protection du chroot, rendant les "cages" plus sécurisées qu'avec un Linux non patché ou Solaris.

            En terme de fonctionnalité, l'userland Solaris est formidable. Néanmoins, on constate l'avance qui se creuse progressivement entre l'userland Solaris et celui de GNU.

            J'espere que je ne vous ai pas trop ennuyé et que vous avez bien compris pourquoi un Linux bien monté est plus sécurisé qu'un Linux de base ou un Solaris.

            Comme je vous l'ai dit, je débute en ordinnateurs donc il y est possible que j'ai dit une betise xD
            • Partager sur Facebook
            • Partager sur Twitter

            “Il y a deux manières de construire une architecture logicielle: l'une est de la faire si simple qu'il n'y a évidemment aucune faille, l'autre est de la faire si compliqué qu'il n'y a aucune faille évidente" – C.A.R. Hoare, The 1980 ACM Turing Award Lecture

            Consulting

            Anonyme
              25 février 2010 à 9:55:08

              A mon avis la réponse est simple aussi : contrat exclusif avec Solaris au moment de l'installation du système avec un support intéressant.

              Et puis quand on est formé à Solaris on est plus à l'aise avec et on s'en sert pour la stabilité !
              • Partager sur Facebook
              • Partager sur Twitter
                25 février 2010 à 10:00:46

                Les contrats de support proposés pour Solaris ont l'air formidables. Toutefois, je ne les connais pas bien ... Le rapport qualité/prix est-il meilleur que les contrats d'installation, de maintenance et de support que certains proposent pour des GNU/Linux bien montés?
                • Partager sur Facebook
                • Partager sur Twitter

                “Il y a deux manières de construire une architecture logicielle: l'une est de la faire si simple qu'il n'y a évidemment aucune faille, l'autre est de la faire si compliqué qu'il n'y a aucune faille évidente" – C.A.R. Hoare, The 1980 ACM Turing Award Lecture

                Consulting

                Anonyme
                  25 février 2010 à 10:52:35

                  Citation : is_null

                  J'espere que je ne vous ai pas trop ennuyé et que vous avez bien compris pourquoi un Linux bien monté est plus sécurisé qu'un Linux de base ou un Solaris.


                  Tu as bien expliqué pourquoi Solaris ne valait peut-être pas autant que ça le coup. Par contre, es tu au courant que Linux n'est pas le seul à proposer de tels mécanismes de sécurité et que quelques systèmes(1) proposent certains d'entre eux par défaut ?

                  Sans oublier que ce genre d'amélioration, ce n'est rien d'autre qu'une petite sécurité en plus.

                  Citation : is_null

                  Comme je vous l'ai dit, je débute en ordinnateurs donc il y est possible que j'ai dit une betise xD


                  Tu es ma foi bien documenté, pour un "débutant en ordinateurs" :)

                  Qui est ce "nous" dont tu parles ?

                  Citation

                  Nous avons bien le choix entre plusieurs frameworks RBAC sous GNU/Linux. Nous avos choisis GrSec puisque cette solution inclue beaucoup d'options de securité qui ne sont bien entendu pas forcément disponnible sous Solaris.



                  1: j'ai pris l'exemple d'OpenBSD, mais c'est parce que c'est ce que je connais.
                  • Partager sur Facebook
                  • Partager sur Twitter
                    26 février 2010 à 2:21:50

                    OKay, ben merci à tout le monde de vos réponse. Le post de is_null m'a donné pas mal de lécture :p
                    • Partager sur Facebook
                    • Partager sur Twitter
                      26 février 2010 à 2:40:24

                      Citation : is_null


                      OpenSolaris est un produit formidable dont la force commerciale est plus developpée qu'un UNIX libre. Sun paye effectivement une grande force commerciale et nous pouvons aussi la constater sur les forums ou des "BSD fanboys" postent 3 arguments sans aucune explication.


                      J'ai donné les noms des fonctionnalités, il suffit de chercher sur Google et de cliquer sur le premier lien pour avoir l'explication la plus complete possible, ca serait trop long de tout décrire ici ;)

                      ZFS
                      SMF
                      FMD
                      BE
                      RBAC
                      • Partager sur Facebook
                      • Partager sur Twitter
                        26 février 2010 à 5:48:52

                        Pourtant il explique que l'on trouve ceci sous linux.
                        Déjà le ZFS est un filesystem, que l'on a sous linux/bsd, donc c'est pas spécifique à Solaris, à moins que Solaris soit magique et le rende plus mieux ?

                        Pour RBAC, pareil on trouve ça sous linux, le plus connu c'est GrSec, et il fut exloqué dans son post.

                        Pour SMF : je cite ton site :

                        Citation : SMF

                        view system-wide service status,
                        manage services, not just their individual processes,
                        access information about misconfigured/misbehaving services,
                        enable and disable services persistently across upgrades and patches,
                        delegate tasks to non-root users securely, and
                        more reliably access the console in repair scenarios.



                        Bizarement, je vois rien d'extraordinaire. Tu peux faire la même chose de base sous linux.

                        Pour FMD, j'aime pas son nom : Fault Management vu que c'est un terme de réseau normalement.
                        Ensuite c'est seulement une sous partie de SMF, donc je vais pas revenir dessus.

                        Pour finir : BE : Le seule avantage est celui-ci

                        Citation : BE

                        Voilà! You've just cloned all the file systems in opensolaris, the original BE, and updated the GRUB menu with a single command.



                        Soit juste avoir une commande au lieu d'en avoir plus. Moins d'options, moins de configuration, moins de personnalisations, moins de sécurité ...

                        C'est tout ?
                        • Partager sur Facebook
                        • Partager sur Twitter
                          26 février 2010 à 9:50:58

                          Il semble que l'importance de la protection de ses piles d'instructions machines (stacks) soit mal comprise.

                          Prenons l'exemple d'une faille mineure dans un site en PHP qui permet d'uploader un script PHP et de l'executer. Il suffit au pirate d'uploader un script (shell) qui génere une interface avec OS tel que c99.php. Toutefois, cela reste une faille mineure puise le pirate est bloqué avec l'utilisateur (uid) et le groupe (gid) du processus qui interprete le PHP!

                          Admettons que je soit un pirate - ce qui nécessiterai des connaissances qui me passent largement au dessus de la tete hihihi mais bon on y croit! - et que j'upload mon shell script sur un serveur Solaris ou Linux vanilla. Je peux:
                          0) m'amuser avec les droits de l'utilisateur qui interprete le php (tel un script kiddie qui met une page "HACK3D BY TURKISH"),
                          1) chercher le dépassement de tampon (stack smashing) pour injecter mon shellcode.

                          Admettons que je sois un lamer - et que j'ai 14 ans - : si le processus PHP tourne sous un utilisateur et un groupe spécifique à ce site grace à FastCGI, je suis tout simplement bloqué et je ne peut vandaliser qu'un site. Si le processus PHP est apache grace à mod_php, je peux theoriquement vendaliser ou au moins recuperer les données de tout les sites PHP sous apache sur le serveur.

                          Admettons que je sois un pirate serieux: on me paye pour une mission d'espionnage ou de sabotage .. peu importe ... je choisis donc la solution 1). J'injecte un shellcode qui me permet d'obtenir un shell avec les permissions root (attaque de type "elevation de privileges"). Ceci fait, j'efface mes traces (un tour dans /var/log etc ...). Et ensuite ...?

                          Et ensuite je suis en root sur ton serveur et tu ne le sais meme pas.

                          Peut-on considérer la prévention de ce genre de faille comme de la "petite sécurité"? Ca dépend. Pour les administrateurs systemes tels que Kedare (Solaris) ou Tuxicomane (qui s'en fout pas mal), c'est un probleme mineur. Neamoins, pour les admninistrateurs systemes dont le standard s'abrege en "sécurité gouvernementale": non, c'est une faille critique.


                          Je voulais parler un peu de l'origine de ProPolice et de BSD, mais je ne releve pas le défi de Tuxicomane qui visiblement a inventé tout cela et nous apprend tellement de chose formidables à son sujet!

                          Citation

                          Qui est ce "nous" dont tu parles ?



                          Nous, les débutants en ordinnateurs, mes copains et moi quoi :p

                          J'ai un copain qui m'a filé cette image pour résumer:

                          http://grsecurity.net/~spender/grsecur [...] influence.png
                          • Partager sur Facebook
                          • Partager sur Twitter

                          “Il y a deux manières de construire une architecture logicielle: l'une est de la faire si simple qu'il n'y a évidemment aucune faille, l'autre est de la faire si compliqué qu'il n'y a aucune faille évidente" – C.A.R. Hoare, The 1980 ACM Turing Award Lecture

                          Consulting

                          Anonyme
                            26 février 2010 à 13:00:01

                            Citation : is_null

                            Peut-on considérer la prévention de ce genre de faille comme de la "petite sécurité"? Ca dépend. Pour les administrateurs systemes tels que Kedare (Solaris) ou Tuxicomane (qui s'en fout pas mal), c'est un probleme mineur. Neamoins, pour les admninistrateurs systemes dont le standard s'abrege en "sécurité gouvernementale": non, c'est une faille critique.

                            Je voulais parler un peu de l'origine de ProPolice et de BSD, mais je ne releve pas le défi de Tuxicomane qui visiblement a inventé tout cela et nous apprend tellement de chose formidables à son sujet!


                            LOL.

                            À propos, je n'ai pas la prétention de me considérer comme un administrateur système.
                            • Partager sur Facebook
                            • Partager sur Twitter
                              26 février 2010 à 17:05:17

                              Citation : Precea


                              Bizarement, je vois rien d'extraordinaire. Tu peux faire la même chose de base sous linux.


                              De base ? Non, sous Linux, il n'y a pas de notion de "dégradé" pour les services, c'est ca marche ou ca marche pas, et si un service plante, tu doit le re-activer a la main, ou il y a moyen de faire en sorte qu'il redémarre automatiquement, seulement si ton service plante au démarrage, ca va le reboot en chaine et te pomper plein de CPU, alors que SMF détecte, si le processus redémarre plus de X fois en X minutes, le passer en mode "maintenance" pour qu'il soit repérable facilement, et éventuellement programmer des actions avec FMD.
                              • Partager sur Facebook
                              • Partager sur Twitter
                              Anonyme
                                26 février 2010 à 19:09:40

                                Citation : kedare

                                Citation : Precea


                                Bizarement, je vois rien d'extraordinaire. Tu peux faire la même chose de base sous linux.


                                De base ? Non, sous Linux, il n'y a pas de notion de "dégradé" pour les services, c'est ca marche ou ca marche pas, et si un service plante, tu doit le re-activer a la main, ou il y a moyen de faire en sorte qu'il redémarre automatiquement, seulement si ton service plante au démarrage, ca va le reboot en chaine et te pomper plein de CPU, alors que SMF détecte, si le processus redémarre plus de X fois en X minutes, le passer en mode "maintenance" pour qu'il soit repérable facilement, et éventuellement programmer des actions avec FMD.


                                Effectivement, pas de base. Mais pour ceux qui veulent faire une bonne partie de ce que tu décris, sous linux : monit.
                                • Partager sur Facebook
                                • Partager sur Twitter
                                  27 février 2010 à 11:20:06

                                  Bon, ok pas aussi poussé sur linux de base, mais tu as des solutions pour le faire, monit en est un.

                                  Après, ton solaris est il toujours en avance de bien des années sur bien des domaines, ou c'est juste que tu connais pas/mal les autres ? Ou que tu es un fanboy ?
                                  • Partager sur Facebook
                                  • Partager sur Twitter
                                    27 février 2010 à 18:44:45

                                    J'utilise Linux depuis pret de 5 ans donc je connais assez ;)
                                    Oui Solaris est clairement en avance sur pas mal de domaine (surtout le ZFS, mais il va y avoir le BRTFS sur Linux qui va être plus ou moins équivalent),
                                    Mais j'utilise quand même Linux car les dépôts de logiciels sur OpenSolaris sont très pauvre :(
                                    • Partager sur Facebook
                                    • Partager sur Twitter
                                      28 février 2010 à 11:49:34

                                      Il ne faut pas trop compter sur btrfs avant quelques temps encore.

                                      Pour plus d'info sur ce système de fichiers (en anglais) :
                                      http://btrfs.wiki.kernel.org/index.php/Main_Page
                                      http://lwn.net/Articles/358940/
                                      • Partager sur Facebook
                                      • Partager sur Twitter

                                      Solaris vs BSD vs Linux

                                      × Après avoir cliqué sur "Répondre" vous serez invité à vous connecter pour que votre message soit publié.
                                      × Attention, ce sujet est très ancien. Le déterrer n'est pas forcément approprié. Nous te conseillons de créer un nouveau sujet pour poser ta question.
                                      • Editeur
                                      • Markdown