6,50 F: - 104 L 19275 France Métro : 6,50€ - DOM 7€ - TOM 950 XPF - BEL : 7,50€ - PORT. CONT. : 7,50€ - CH : 13,80CHF - CAN : 13$CAD - MAR : 75MAD AVRIL 2008 NUMÉRO 104 Gestion des services avec OpenSolaris OpenSolaris, évolution majeure des systèmes Solaris, apporte son p. 59 lot d’innovations. Parmi elles, le Service Management Facility (SMF) crée la notion de « service » dans Solaris, et change profondément la façon dont le système et ses démons démarrent par rapport à GNU/Linux. Partez à la découverte des SMF par la pratique… IPv6 p. 32 Configurez votre système pour l’accès au réseau IPv6 avec Freenet6 LDAP p. 66 Manipulez simplement et efficacement les données LDAP avec ldapvi VIRTUALISATION p. 43 Configurez le réseau pour la machine virtuelle QEMU/KVM SÉCURISATION DE CLIENTS LÉGERS PERL 5.10 p. 26 Explorez les nouveautés de Perl 5.10 en partie issues du Après le guide publié dans le développement de Perl 6 numéro 102, nous revenons sur FRAMEWORK PIM p. 90 LTSP5, son utilisation avancée et la sécurité de l’infrastructure avec Découvrez l’infrastructure et le framework KDE Akonadi de le gestionnaire de connexions gestion d’informations personnelles (PIM) sécurisées LDM. JAVA, JVM ET J2EE p. 82 p. 48 Améliorez les applications en production en maîtrisant la gestion de mémoire en Java Administration et Numérodéveloppement 104 1 Avril 2008 sur systèmes UNIX Numéro 104 2 Avril 2008 GNU/LINUX MAGAZINE NUMÉRO 104 Edito « Il était une fois...», euh non, trop classique, 04 KERNEL CORNER « Il y a longtemps, dans une lointaine galaxie...», 04> Noyau 2.6.25 : sécurité, mémoire, spinlocks trop Lucas, « Au commencement... », hum, trop et KVM biblique. Essayons autre chose... Nous sommes à la fin des années 70 (des années 12 HACKS/CODES 1970, on ne sait jamais, vous êtes peut-être en train de lire ce texte en 2084), et il se passe des choses en 12> Perles de Mongueurs : vérification et mise en Californie... plein de choses. Les anciens jettent les forme de script ou de module bases, les principes et les concepts. La racine des BSD apparaît et croît rapidement. Bientôt le tronc est assez solide et la magie opère... le fork ! 14 ACTUALITÉ Le fork est une chose formidable et terrible. C’est à la fois un moteur de 14> FOSDEM 2008 : une édition d’exception ! changement et une épée de Damoclès qui menace chaque projet open source. 26> Les nouveautés de Perl 5.10 – première Le carburant de ce moteur est constitué de licences « libres » avec ou sans partie Copyleft (l’histoire des *BSD le prouve). Vous pouvez forker n’importe quel projet. Prenez les sources, changez 32 UNIX/USER trois lignes de code, ouvrez un site Web et annoncez votre fork... Et ? Rien. Apportez donc de vrais changements profonds dans le code, des 32> Surfer sur IPv6 avec Freenet6 améliorations et des optimisations. Qu’avez-vous fait exactement ? Vous 35> Grokking Docutils et reStructuredText venez d’aider le projet original, soit en fournissant du code, soit en le menaçant de sombrer dans l’oubli à votre profit et donc en le faisant 43> Configuration du réseau avec QEMU/KVM réagir (ou pas). Linux ne forke pas ou n’a pas encore forké. Est-ce normal ? Oui, car le 48 SYSADMIN développement est bien structuré. Linux n’a pas besoin de forker (et les 48> Utilisation avancée et sécurisation des clients développeurs kernel ont bien trop à faire). Il n’en va pas de même pour les BSD légers dont la progression ne cesse de s’accélérer. Pour preuve, jetez un coup d’œil à PC-BSD dont la version 1.5 vient d’être mise à disposition. Il s’agit d’un fork 56> Monter son propre miroir Debian de FreeBSD visant le desktop de l’utilisateur final avec comme arguments : 59> SMF : gestion des services sous OpenSolaris Compiz, système de gestion de paquets Push-Button Installer (PBI, le nom parle de lui-même), desktop KDE, etc. 66> ldapvi, un éditeur LDAP pour les barbus Les BSD prennent de plus en plus de place, car ils sont disponibles en plusieurs « parfums ». Ajoutez à cela les capacités actuelles des machines 70 DÉVELOPPEMENT dans le domaine de la virtualisation et vous aurez une image assez nette de 70> Créez votre compilateur : c’est pas mon type ce qui vous attend. 82> La mémoire des JVM et serveurs J2EE Donc, entre nous, juste comme ça, en passant... gardons un œil ouvert sur ces 90> Akonadi : un framework pour la PIM autres OS du bien... Rendez-vous le 26 avril prochain pour le numéro 105 plein de surprises... comme à chaque fois. Retrouvez les bons d’abonnement et de commande en pages : 95, 97 et 98 GNU /Linux Magazine Directeur de publication : Impression : est édité par Diamond Editions Arnaud Metzler VPM Druck Allemagne IMPRIMÉ en Allemagne - PRINTED in Germany B.P. 20142 - 67603 Sélestat Cedex Rédacteur en chef : Distribution France : Dépôt légal : A parution /N° ISSN : 1291-78 34 Tél. : 03 88 58 02 08 Denis Bodor (uniquement pour les dépositaires de presse) Commission Paritaire : 09 08 K78 976 Fax : 03 88 58 02 09 Relecture : MLP Réassort : Périodicité : Mensuel Dominique Grosse E-mail : Plate-forme de Saint-Barthélemy- Prix de vente : 6,50 € [email protected] Secrétaire de rédaction : d’Anjou. Service commercial : Véronique Wilhelm Tél. : 02 41 27 53 12 [email protected] Conception graphique : Plate-forme de WWW.GNULINUXMAG.COM Sites : www.gnulinuxmag.com Fabrice Krachenfels Saint-Quentin-Fallavier. www.ed-diamond.com Responsable publicité : Tél. : 04 74 82 63 04 La rédaction n’est pas responsable des textes, illustrations et photos qui lui sont communiqués par leurs auteurs. La reproduction totale ou partielle des articles publiés dans Linux Magazine France est interdite Tél. : 03 88 58 02 08 Service des ventes : sans accord écrit de la société Diamond Editions. Sauf accord particulier, les manuscrits, photos et dessins Distri-médias : adressés à Linux Magazine France, publiés ou non, ne sont ni rendus, ni renvoyés. Les indications de prix et Service abonnement : d’adresses figurant dans les pages rédactionnelles sont données à titre d’information, sans aucun but publicitaire. Tél. : 03 88 58 02 08 Tél. : 05 61 72 76 24 Numéro 104 3 Avril 2008 KERNEL CORNER 2.6.25 Éric Lacombe, [email protected] Noyau 2.6.25 : sécurité, mémoire, spinlocks et KVM Nous vous proposons de découvrir les nouveautés du noyau 2.6.25, dans cette nouvelle édition du Kernel Corner. Exceptionnellement cependant, ce dossier spécial est étalé sur deux numéros de GLMF. La première partie que nous allons aborder à présent regroupe les nouveautés touchant majoritairement le cœur du noyau, avec un très bref développement sur l’importante faille de sécurité qui affectait Linux jusqu’au 10 février dernier. SÉCURITÉ ET NOUVEAUTÉS Éric Lacombe – [email protected], [email protected] La faille de vmsplice() SMACK : Simplified Mandatory Access Control Kernel Une vulnérabilité majeure dans le cœur du noyau Linux affectant la primitivevmsplice() a été corrigée le 10 SMACK est un mécanisme de contrôle d’accès février 2008 après la mise à disposition sur Internet mandataire implémenté via l’interface fournie par d’un exploit permettant de devenir root sur une machine les LSM (Linux Security Module). Les mécanismes affectée. La particularité de cette vulnérabilité est de contrôle d’accès par défaut des systèmes de type le fait qu’elle soit présente depuis la version 2.6.17 Unix sont discrétionnaires. La spécification des droits du noyau jusqu’à la version 2.6.24.1 incluse, et que d’accès pour un fichier donné est en effet laissé à l’exploit fonctionne quelle que soit l’architecture sans la discrétion du propriétaire de ce fichier. Dans le requérir une situation particulière !!! cas d’un contrôle d’accès mandataire, c’est-à-dire obligatoire, le système est soumis à une politique L’exploit a été rendu possible par la conjonction globale, à laquelle chaque sujet du système (les de plusieurs bugs noyau. De plus, alors qu’il ne processus) ne peut déroger lors de l’accès à un objet semblait y avoir qu’une vulnérabilité de type fuite (processus, fichier, socket, IPC, etc.). d’information, l’étude de l’exploit a montré qu’un La spécification d’une politique mandataire de dépassement de buffer pouvait en découler. Pour en contrôle d’accès peut être très complexe, comme nous rajouter une couche, alors que certains développeurs pouvons le voir avec SELinux. SMACK propose un noyau pensaient que le dépassement de buffer mécanisme pour répondre à des situations où un pouvait être stoppé par l’option noyau CONFIG_CC_ contrôle d’accès mandataire est à envisager, tout en STACKPROTECTOR, une étude plus approfondie de conservant une mise en œuvre simple. Il n’a pas la l’exploit a montré qu’il ne s’agissait pas d’un simple prétention cependant d’être aussi complet que SELinux dépassement de buffer. En effet, le dépassement (par exemple, les politiques de type RBAC – Role mis en œuvre dans l’exploit n’affecte pas l’adresse Based Access Control – ne sont pas couvertes). de retour de fonction dans la pile, mais emploie une technique plus complexe mettant en place un Voyons d’un peu plus près ce que met en place mapping de la page virtuelle zéro du processus de SMACK. Afin de garantir le respect d’une politique l’exploit, afin d’autoriser un déréférencement de de contrôle d’accès globale, la plupart des mécanismes l’adresse 0, et cela au sein du noyau. Ce dernier associent, à chaque sujet et chaque objet du système, récupère ainsi depuis l’espace utilisateur des une étiquette.