Solaris : quid de la sécurité et de l’open source ?

Sun a fusionné ses stratégies de sécurité dans Solaris 10. L’occasion de
faire le point sur ce sujet brûlant et sur l’évolution de l’éditeur dans le
monde de l’open source

Hasard du calendrier ou volonté délibérée ? Au moment où Microsoft lance Windows Vista, sur lequel le géant du logiciel a fortement investi sur la sécurité, Sun annonce une nouvelle stratégie sur son Unix Solaris 10, dont il vient de rendre la dernière version 11.06 disponible.

Le système a toujours été connu pour sa robustesse. Mais il est moins connu en revanche que l’Unix de Sun était sur ce plan disponible en deux versions : Solaris et Trusted Solaris.

Ce dernier, estampillé multi-niveaux, était destiné aux environnements ultra-sensibles : défense, agences gouvernementales de renseignement, finance, etc. Au moment où les systèmes d’exploitation du marché évoluaient vers une meilleure sécurisation de leurs environnements, Sun avait déjà adopté cette approche.

Depuis février 2000 et Solaris 8, en revanche, l’éditeur a fait évoluer cette stratégie en migrant les modules et extensions de Trusted Solaris dans les nouvelles versions de son Unix. Et jusqu’à aboutir aujourd’hui à un Solaris 10 unique, dans lequel Trusted est totalement intégré et ne demande qu’à être activé.

Comme nous le confirme Bruno Gillet, Solution Architect de Sun, « Toutes les fonctionnalités de Trusted, issues de 13 années de développements, ont été intégrées dans Solaris 10 et OpenSolaris durant les six dernières années. Elles sont supportées par défaut mais elles restent à activer. »

Cette migration permet aujourd’hui de disposer d’un OS qui affiche sa compatibilité CAPP et RBACPP (pour RBAC ‘Role Based Access Control’ qui permet la délégation maîtrisée de droits de sécurité), LSPP est en cours et devrait venir prochainement, ce qui donnera une configuration aux normes canadiennes EAL4+.

Cette nouvelle version dispose en particulier de la mise en oeuvre des privilèges en totale transparence pour les applications, ainsi que le SMF (Service Management Facilities) pour définir le profil d’un service dans un repository, avec affection de droits et privilèges.

Sans oublier bien évidemment les containers qui permettent une compartimentation logique et transparente du système, au niveau physique comme au niveau logique ; ainsi que les zones, ces instances système qui partagent le même kernel sans qu’il soit nécessaire d’introduire la notion de machine virtuelle.

OpenSolaris

Ce très au niveau de sécurité est également disponible dans le projet OpenSolaris. L’occasion pour nous d’évoquer la stratégie open source de Sun sur son OS.

Sun a ouvert à la communauté quelque 10 millions de lignes de code de son OS. Certes tout n’est pas disponible en open source, il manque en particulier bon nombre de drivers (pilotes) qui appartiennent aux sociétés qui les ont développées. Rien cependant de réellement bloquant pour faire aboutir le projet.

Le communauté OpenSolaris compte 18.800 membres, dont près de 10 % originaires de Sun, ce qui démontre l’engagement de l’éditeur. 259 soumissions ont été faites par la communauté, dont 138 ont déjà été intégrées.

Le projet OpenSolaris évolue parallèlement à Solaris 10, au point que, nous l’avons vu, le communauté contribue réellement à l’évolution de Solaris 10. Les contributions retenues, par exemple, sont intégrées dans la base de données après revues du design et du code par les équipes de Sun.

Enfin, côté projets en cours, on retiendra le projet Crosbow pour la virtualisation du réseau, l’intégration du serveur Xorg, les containers pour les applications Linux et la virtualisation Xen.

On le voit, Sun a respecté ses engagements et même si le système de licence est différent de celui retenu par d’autres communautés, celle qui anime OpenSolaris a bien adhéré aux processus de l’open source.