privileges ... élévation

Posté par  . Modéré par Fabien Penso.
Étiquettes : aucune
0
18
oct.
2002
OpenBSD
Après la séparation de privilèges, implémentée par Niels Provos juste avant la grosse faille d'OpenSSH, l'équipe d'OpenBSD implément cette fois ci la ... "élévation de privilège".
Se basant sur systrace(1), on peut maintenant se débarrasser de tous ces programmes s{u,g}id, comme par exemple /usr/bin/login :

"Les applications peuvent s'exécuter entièrement en mode non privilegié. Systrace donne les autorisations nécessaires le temps d'un appel système selon la configuration voulue".

Source : OpenBSD journal

Les nouveaux goodies sont arrivés

Posté par  . Modéré par Fabien Penso.
Étiquettes :
0
18
oct.
2002
OpenBSD
Afin d'essayer de diversifier les moyens de financer le projet OpenBSD, un "magasin virtuel" a été crée sur cafepress.com par tedu pour tester de nouveaux goodies : mugs, mousepads, polaires et même des caleçons !

Tous les profits seront entièrement reversés au projet.

Enfin, il est à signaler que OpenBSD 3.2 sera disponible dès le 1er novembre.

GOBIE, un (potentiel) installateur graphique pour OpenBSD

Posté par  . Modéré par Amaury.
Étiquettes :
0
5
oct.
2002
OpenBSD
G.O.B.I.E (Graphic OpenBSD Installation Engine) est un projet d'installeur graphique pour OpenBSD, réalisé par des étudiants français. L'installeur ne fait pour l'instant pas partie du projet OpenBSD officiel. Il est développé en C/GTK+-1.2 et serait potentiellement portable pour NetBSD voire FreeBSD.

Il semblerait que ce projet ait été mal vu par certains utilisateurs d'OpenBSD.

NDM : sauf erreur de ma part, nulle mention de la licence de ce projet sur le site, et il n'y a rien à télécharger pour l'instant...

OpenBSD 3.0 ne sera bientôt plus maintenu

Posté par  . Modéré par Amaury.
Étiquettes :
0
5
oct.
2002
OpenBSD
À partir du premier décembre, la branche stable d'OpenBSD-3.0 ne sera plus maintenue par l'équipe d'OpenBSD. En effet, la 3.2 est sur le point de sortir et seule les deux dernières versions sont maintenues.

Il est fortement conseillé de passer à une version plus récente, de préférence à la toute proche 3.2.

MicroBSD

Posté par  . Modéré par Fabien Penso.
Étiquettes :
0
6
sept.
2002
OpenBSD
MicroBSD est un noyau BSD qui est conçu pour être peu gourmand en mémoire et sécurisé. Il possède néammoins un nombre important de fonctionalités (firewall, détection d'intrusion, VPN, SMTP, WWW, DNS, FTP, ...). En outre, il existe pour un nombre conséquent d'architectures (x86/Alpha/Sun/PPC). On peut aussi ajouter que son installation semble aisée (voir l'article sur BSD Newsletter). Bref, c'est le système idéal pour vos passerelles et firewalls!


Sur la page du projet, j'ai même vu qu'ils étaient en train d'implémenter un système MAC (Mandatory Access Control) comme dans Linux SE. Ce qui permettra de résoudre convenablement le problème des 'buffer overflows', entre autres.


Un système à suivre de près, donc.

Nouvelle faille OpenBSD

Posté par  . Modéré par Pascal Terjan.
Étiquettes :
1
12
août
2002
OpenBSD
Une nouvelle faille a été découverte dans le noyau de OpenBSD.
Un oubli de verification dans les appels systemes select et poll permet à un attaquant d'ecrire sur la mémoire du noyau, et d'éxecuter des instructions arbitraires.
Les utilisateurs locaux du systeme ont donc la possibilité de passer root sur la machine.
Des patchs sont disponibles pour les version 3.0 et 3.1 d'OpenBSD.

compte-rendu d'un pot de miel avec OpenBSD 3.0

Posté par  . Modéré par Fabien Penso.
Étiquettes :
0
15
juil.
2002
OpenBSD
Un compte-rendu et l'analyse d'une mise en place d'un pot de miel (honeypot) avec OpenBSD 3.0 vient d'etre publié. L'auteur l'a rédigé en une trentaine d'heure et a laissé ouverte la porte qui permet d'exploiter "la seule faille distante découverte en 6 ans" d'OpenBSD.
Un jeune pirate s'est retrouvé "collé" dedans comme l'indique le rapport. Mais là où cela se complique, c'est que l'anonymat du pirate a été très mal conservé dans le rapport (notamment à cause de captures d'écran maladroites).
La nouvelle a été commentée sur /. et les contributeurs se sont fait une joie de divulguer nom, prénom, photos, addresse (avec plan et photos de la maison), numéro de téléphone, contacts ICQ/AIM, addresses emails, posts sur alt.hacking du dénommé omegakidd. Quelqu'un lui a même téléphoné pour lui demander s'il était bien au courant d'être le "crétin le plus connu de slashdot".
En effet, on se demande qui cela peut bien être...

Sortie du patch "Stephanie" pour sécuriser OpenBSD 3.1

Posté par  . Modéré par Amaury.
Étiquettes :
0
21
mai
2002
OpenBSD
Une nouvelle version du patch "Stephanie" de sécurisation du noyau OpenBSD est sortie, mise à jour pour OpenBSD 3.1

Cette version inclut entre autres les mécanismes suivants :

- Trusted Path Execution : limitation des interactions utilisateur-logiciel
- Access Control Lists : gestion fine des droits d'accès
- Binary Integrity Verification : vérification de checksums MD5 à la volée
- Privacy : limitation des informations qu'un utilisateur peut obtenir sur les processus ne lui appartenant pas
- Restricted Symbolic Links : comme dans Openwall
- Real-time logging of execve() calls : comme son nom l'indique, journalisation temps réel des appels à "execve"
- ld.so environment protection : nettoyage de certaines variables d'environnement pour les utilisateurs lambda

Bref pas mal de choses intéressantes et modulaires (vous pouvez vous y mettre petit à petit). Ce n'est pas parce qu'OpenBSD se prétend "Secure by default" qu'on ne peut pas rajouter une couche...

Sortie de OpenBSD3.1

Posté par  . Modéré par Pascal Terjan.
Étiquettes :
0
20
mai
2002
OpenBSD
OpenBSD 3.1 est sortie comme prevu aujourd'hui !

OpenBSD est ( comme vous le savez :-) un système d'exploitation de type UNIX, libre bien sur, basé sur 4.4BSD. Son objectif est la sécurité avant tout.

Pour ce qui est des grandes nouveauté, SSH1 + SSH2 gérés, 1000 packages, des mans en +, des majs ( XFree86 4.2.0 , gcc 2.95.3 patché ..)

Les isos ne sont pas fournies de base, cependant, vous pouvez commander les CDs (plus ou moins la principale source de revenu des codeurs ), ou alors faire votre propre iso très facilement.

Plateformes supportées : i386, sparc, sparc64, hp300, amiga, mac68k, macppc, mvme68k, alpha, vax.

Un parefeu qui filtre sur les utilisateurs

Posté par  . Modéré par Fabien Penso.
Étiquettes :
0
14
mai
2002
OpenBSD

pf, le pare feu d'OpenBSD, accepte désormais des règles de filtrage basée sur l'uid et le gid associés à un socket.



Ainsi, on peut réserver l'accès au port 22 à un groupe d'utilisateurs seulement. Ou limiter au groupe daemon l'attente de connection sur un port ou un autre !



Il ne manque plus que l'ouverture de port réservée à un processus dont le code objet correspond à une certaine somme de contrôle ! ;)

Les r-serveurs disparaissent d'OpenBSD

Posté par  . Modéré par Fabien Penso.
Étiquettes :
0
14
mai
2002
OpenBSD
Les serveurs rexecd et rlogind ne font désormais plus partie d'OpenBSD. Les clients sont toujours là, pour l'instant.
Les protocoles associés aux r-commandes étant tout sauf sûrs, ils sont supprimés. C'est un pas de plus sur le chemin de la transition complète vers ssh.
Il ne reste plus qu'à se débarrasser des autres protocoles en clair ... Pour un monde meilleur !

OpenBSD 2.9 is dead

Posté par  (site web personnel) . Modéré par Fabien Penso.
Étiquettes :
0
2
mai
2002
OpenBSD
La version 3.1 d'OpenBSD signe l'arrêt des mises à jours de sécurité pour la branche 2.9-STABLE à partir du 1er juin.

Il est donc recommandé aux utilisateurs de systèmes en 2.9 d'upgrader vers une version plus récente, de preférence la 3.1, qui doit sortir le 19 mai.

Un trou dans le logiciel mail sous OpenBSD

Posté par  . Modéré par Benoît Sibaud.
Étiquettes :
0
20
avr.
2002
OpenBSD
Une faille de sécurité a été découverte au niveau du programme de mail d'OpenBSD.



Traduction partielle de la page de securiteam :

Le programme /usr/bin/mail accepte les séquences d'échappement lorsqu'il s'éxécute en mode « non interactif »



C'est donc lors d'une exécution par cron que cette faille peut être exploitée. L'utilisateur malveillant peut insérer des séquences d'échappement et ainsi mettre le système en péril.

OpenBSD 3.1 plus tôt que prévu

Posté par  . Modéré par Fabien Penso.
Étiquettes :
0
17
avr.
2002
OpenBSD
Les CDs de la version 3.1 d'OpenBSD seront disponibles plus tôt que prévu. Ils peuvent être désormais réservés en ligne et les livraisons se feront à partir du 19 mai (au lieu du 1er Juin). Une branche 3.1 est désormais disponible sur le CVS (depuis quelque temps déjà !). Theo De Raadt a d'ailleurs appelé les utilisateurs à tester les snapshots disponibles sur les serveurs FTP du projet.

Les CDs sont au nombre de 3 avec un 4ème disponible en iso pour architecture mvme68k.

Pare-feu avec authentification

Posté par  . Modéré par Franck Yvonnet.
Étiquettes :
0
4
avr.
2002
OpenBSD
Sur OpenBSD, l'authpf introduite (le 1er avril ;-) la notion d'authentification dans son module de filtrage. En gros :

On se connecte (en ssh) sur le firewall. Le pare-feu rajoute des règles, par système et/ou par utilisateur. Si l'utilisateur se déconnecte, le pare-feu lui retire les règles ajoutées.

Imaginons les applications possibles en combinant avec :

* Un serveur Samba/Netatalk
* Un AP pour un réseau en 802b11

Et le top du top serait remplacer l'authentification SSH pour SSL, des volontaires ?

(article honteusement copié d'OpenBSD journal)

Un fork d'OpenBSD avec IPFilter

Posté par  . Modéré par Fabien Penso.
Étiquettes :
0
23
jan.
2002
OpenBSD
Darren Reed distribue désormais un OpenBSD avec IPFilter (ipf+ipnat) remis dedans (il avait été enlevé suite à des problèmes de licence).

IPFilter est le filtre de paquets IP (qui gère le NAT aussi) présent dans tous les OpenBSD antérieurs au 3.0. Il est considéré comme mature et stable.
Les nouvelles versions d'OpenBSD (>= 3.0) utilisent pf, un filtre de paquet qui dispose aussi de fonctionnalités NAT, développé au sein d'OpenBSD, et qui est aussi stable et fonctionnel (quelques fonctions supplémentaires par rapport à IPFilter) mais encore jeune.

Le point intéressant derrière cette nouvelle est que pour une fois ça n'a pas dégénéré en trolls et flames sur les listes de diffusions et forums Usenet d'OpenBSD.

IP Filter n'est pas un logiciel libre

Posté par  . Modéré par Val.
Étiquettes :
0
25
mai
2001
OpenBSD
IP Filter est le pare-feu utilisé par les systèmes OpenBSD, FreeBSD et NetBSD. Son auteur, Dareen Reed, a récemment inclu à sa licence une clause qui oblige à lui demander une autorisation pour utiliser des versions modifiées du logiciel.

La licence disait jusqu'içi:
"Redistribution and use in source and binary forms are permitted provided that this notice is preserved and due credit is given to the original author and the contributors."

La note suivante a été ajoutée:
"Yes, this means that derivative or modified works are not permitted without the author's prior consent."

Cette note a surpris de nombreux utilisateurs comme Theo de Raadt (OpenBSD) qui n'approuve pas cette nouvelle interprétation de la licence. OpenBSD distribue d'ailleurs une version modifiée de IP Filter. Les modifications effectuées seraient nécessaires pour le faire fonctionner correctement sur ce système.
Quant à Dareen Reed, il affirme qu'il n'a rien changé et que ces conditions existaient depuis toujours.

Note du modérateur: Limitez les trolls svp, c'est une réelle question sur cette licence "modifiée", et mattez un peu l'article du haut sur Linux Weekly News ;-)

OpenBSD 3.0 dispo

Posté par  . Modéré par oliv.
Étiquettes :
0
19
déc.
2001
OpenBSD
OpenBSD 3.0 était sorti le 1er décembre. On peut maintenant le commander! Les développeurs d'openBSD codent sur leur temps libre. La meilleure façon de les remercier est d'acheter le jeu de 3 CD.
Notez la présence de XFree86-4.1.0 et celle d'openSSH-3.0, pour ce qui est très à jour. Pour ce qui est moins à jour, gcc en est encore à la version 2.95.3. Ce n'est pas plus mal: gcc3 sur Linux et gcc2 sur openbsd pour tester la compatibilite du code avec les deux compilateurs.

Travailler à la maison grâce à OpenSSH

Posté par  (site web personnel) . Modéré par Fabien Penso.
Étiquettes :
0
19
déc.
2001
OpenBSD
Bon ce n'est pas Linux, mais l'article est plutot intéressant.

Trouvé sur BSDVault, cet article explique comment utiliser OpenSSH pour acceder aux services POP, SMTP, NNTP à distance si ils sont habituellement bloqués.

Merci à GCU-Squad pour la news.

Note du modérateur: ceci est appliquable aussi à tout Unix qui a ssh installé.

performances MySQL sous OpenBSD

Posté par  . Modéré par Fabien Penso.
Étiquettes :
0
10
déc.
2001
OpenBSD
Traditionnellement, MySQL a un comportement erratique sous grande charge sur plateforme OpenBSD. L'utilisation CPU peut alors facilement atteindre les 90% et le serveur peut se geler (freeze), le redémarrage restant dès lors l'unique solution. Ces symptomes sont dus aux threads pth utilisés sous OpenBSD et non à MySQL.

Le problème a été résolu dans le -current (post OpenBSD 3.0) en utilisant les threads natifs de l'OS et non plus les threads pth. Ainsi un serveur MySQL bien chargé utilise en moyenne 60 à 70% de CPU avec ces derniers alors qu'après modification (-current), il tourne autour de ...7% !!!

Le howto donné en lien explique très bien comment faire pour baisser la consommation CPU de MySQL. Mais attention, vous aurez comme résultat un OpenBSD 3.0 avec un peu de current dedans. Potentiellement, ceci pourrait causer des problèmes avec d'autres applications.

Sortie d'OpenBSD 3.0

Posté par  (site web personnel) . Modéré par Fabien Penso.
Étiquettes :
0
26
nov.
2001
OpenBSD
Alors que la nouvelle release d'OpenBSD (la 3.0) sort en CD le 1er décembre (les nouvelles releases sortent toujours le 1er décembre et le 1er juin, comme ça, au moins c'est clair !!), les miroirs FTP sont déjà à jour :-)

Alors tous à vos downloads et à vos installs !

Interview de Theo de Raadt ( créateur et mainteneur d'OpenBSD )

Posté par  . Modéré par Amaury.
Étiquettes :
0
26
nov.
2001
OpenBSD
Dans la série des interview de KernelTrap, cette semaine on a droit à une interview de Theo de Raadt le créateur de OpenBSD. Il nous parle de OpenBSD, de sa philosophie, de IPF, des "soft updates" face aux systèmes de fichiers journalisés et du cycle de développement de OpenBSD.

Cette interview précède de peu la sortie officielle d'OpenBSD 3.0

Guide de la mise en place d'un routeur/parefeu sous OpenBSD

Posté par  (site web personnel) . Modéré par Fabien Penso.
Étiquettes :
1
8
nov.
2001
OpenBSD
Vu sur gcu-squad, un très bon guide (en anglais malheuresement) détaillant pas à pas la mise en place d'un routeur/pare-feu sous OpenBSD 2.9. Le guide est centré sous la mise en place utilisant DSL et PPPoE, mais cette mise en place peut s'appliquer sans problèmes aux autres utilisateurs et même (peut-être) aux autres BSDs avec un minimum de modifications.



update: un autre document de Virginie aussi complet que les précédents est disponible. A lire.

logo OpenBSD 3.0

Posté par  . Modéré par oliv.
Étiquettes :
0
29
oct.
2001
OpenBSD
Ci-joint un lien vers le nouveau logo de la future version d'OpenBSD, la 3.0. Pour rappel, OpenBSD 3.0 devrait être prêt comme à l'accoutumée 6 mois après la sortie de la version actuelle (2.9) c.à.d. le 1er décembre 2001. Beaucoup de goodies dans cette version. Pour vous mettre l'eau à la bouche, quelques nouveautés:
- ALTQ (gestion de la bande passante) est directement integré dans le kernel
- PF, le nouveau firewall embarqué, est plus simple à contrôler que IPF et il est integré au kernel (donc plus rapide ? avis aux experts...)
- SBLive! est maintenant supportée
- Suppression des logiciels (y compris dans la ports collection) dont la licence n'est pas 100% "free"