L'article est très positif concernant les améliorations en terme de sécurité qu'apporte cette version. Parmi les améliorations on peut citer :
- l'intégration de OpenSSH 3.5 avec activation de la séparation de privilèges par défaut
- la diminution du nombre de programmes setuid exposés de 40 à 9
- la protection de la pile sur certaines architectures dont i386
- la protection de la "heap" sur certaines architectures dont sparc et alpha
- l'intégration de systrace
OpenBSD 3.2 sera dans les bacs à partir du 1er novembre.
Aller plus loin
- Lire l'article (3 clics)
- Changelog de la version 3.2 (image manquante) (3 clics)
- systrace (2 clics)
# Re: Evaluation de OpenBSD 3.2 (snapshot)
Posté par nicolas garnier . Évalué à 1.
Les autres journalistes devrait prendre exemple sur lui.
# Re: Evaluation de OpenBSD 3.2 (snapshot)
Posté par antm . Évalué à 1.
[^] # Re: Evaluation de OpenBSD 3.2 (snapshot)
Posté par Matho (site web personnel) . Évalué à 1.
Tu t'eclates dessus jusqu'au jour ou un de tes copains te vois...
# Viva systrace...
Posté par _PinG _ . Évalué à 1.
En plus, systrace permet de détecter les règles, il suffit de lancer l'appli, de la faire tourner, systrace vas voir ce que l'appli fait, et vas vous proposer une liste de règle pour l'appli. Bref, c'est super simple d'emploi, super puissant, et surtout super secure...
Pour le moment, ca n'existe que pour OpenBSD et NetBSD (MicroBSD aussi je croit), mais le port Linux est quasiement terminé, ils ne leur reste plus que quelques bugs à corriger.
Vivement que le port Linux soit 100% fonctionnel.
Liens :
*/ systrace 4 Linux : http://www.citi.umich.edu/u/provos/systrace/linux.html(...)
*/ exemple de règles systrace générées (ici, pour mplayer) : http://www.citi.umich.edu/u/provos/systrace/usr_local_bin_mplayer(...)
[^] # Re: Viva systrace...
Posté par DPhil (site web personnel) . Évalué à 1.
Sans vouloir lancer un gros Troll poilu, les objectif d'OpenBSD et ceux de Debian sont à peu près les mêmes:
- sécurité et stabilité du système
cependant, on peut remarquer que l'équipe OpenBSD est plus inventive et plus réactive quand même, ils testeraient moins les softs ?
[^] # Re: Viva systrace...
Posté par _PinG _ . Évalué à 1.
*/ En attendant, tu peux utiliser les capacités kernel (un peut plus bas) sous Linux pour coder, c'est franchement pas mal.
*/ systrace sous Linux arrive... très bientôt... Vu le peut de temps qu'il a fallu à l'équpe a mis pour porter systrace sous Linux 2.4.19, je pensse qu'ils vont pas tarder à boucler ;)
[^] # Re: Viva systrace...
Posté par rootix . Évalué à 1.
Quelqu'un m'a dit cet après-midi qu'OpenBSD est plus compliqué à configurer que "Linux", j'ai un peu sursauté. La seule partie d'OpenBSD difficile est la phase de création des partitions. Mais après, franchement, on se retrouve dans un système clean ou tout est bien rangé. Le firewall est bien plus simple à configurer que celui de Linux. J'attend une distribution Linux qui arrive à son égal ou celui de ses confrères.
Y a une distrib qui a compris les avantages des BSD, je vous laisse deviner laquelle.
[^] # Re: Viva systrace... et viva capabilities
Posté par _PinG _ . Évalué à 1.
"Je veux plus rien pouvoir faire sauf binder un socker sur un port <1024..."
Il vas perdre tous ses droits root, sauf celui de binder un socket sur un port privilégié. Il est toujours root, mais n'en a plus les droits... Et il ne peut même plus revenir sur ces droits une fois fixés. De plus, les droits se transmettent dans le cas d'un fork (ca c'est normal), mais surtout dans le cas d'un execve (ca c'est super pratique niveau sécu)... Mais le process apparaitras quand même root dans un 'ps'. Malheureusement, trops peut de programmes utilisent ca de nos jours... Et c'est bien domage. pure-ftpd utilise ca sous Linux il me semble.
Il existe une version portable (bibliothèque + appels systèmes POSIX) et des extensions Linux qui rajoutent des capacitées (une granularitée en quelque sorte)
Infos :
*/ générales : capget(2) et capset(2)
*/ Version portable : cap_set_proc(3) et cap_get_proc(3)
*/ la bibliothèque libcap : ftp://ftp.kernel.org/pub/linux/libs/security/linux-privs(...)
*/ Extensions Linux : capsetp(3) et capgetp(3)
*/ headers : /usr/src/linux/include/linux/capability.h (contiens les define des capacités POSIX et des extensions Linux, avec en prime des explications détaillées en commentaires.)
# Le truc le plus fun
Posté par falbala . Évalué à 1.
https://https.openbsd.org/images/poster8.jpg(...)
# A noter l'existance d'un BSD peut connu : MicroBSD
Posté par _PinG _ . Évalué à 1.
Plutot que de faire une liste floue, voici un extrait de leurs "FEATURES" :
* Posix1e Audit Controls & logging (Working)
* FTPD Security Hardening (Working)
* Human-time Resource Limitations (Working)
* Signal Logging (Working)
* TCP/IP Speedups (Working)
* RFC 1323 TCP/IP Mods
* Mandatory Access Controls (In Progess)
* Systrace facilities (Working)
* Network Level ACLS
* File System level ACLS (Working)
* Binary integrity verification (Working)
* Trusted Path Execution (Working)
* ld.so environment stripping (Working)
* Restricted symlinks (Broken)
* Application/Users Access Controls
* Application Stack Hardening & Protection (Completed)
* Full State-full packet inspection (Working)
* IPV4/IPV6 capable (Included, Working)
* PF Packet Filter (Included, Working)
* Invisible Bridged Firewall Capable (Working)
* NAT, Reverse NAT, FTP proxy support, one to one NAT (Included, Working)
* IPSec VPN (Working)
* ISAKMP (Working)
* Privacy Sub-System (Completed, Working)
* IDS Sub-system Module (Completed, Available, Not Included)
* Anti-Virus Protection Module (Working)
* Fully Automated Update system (Future)
* Web Based Management System (Future)
* Console Based Management GUI (Future)
* Multiple Authentication Mechanisms (LDAP/SQL/PAM/RADIUS) (In Progess)
* No System User Accounts
* Fully modular design
* Capable of running on disk, /cdrom or Compact Flash
* Optimized kernel for handling large traffic flows
* Embedded Systems Designs
* Small Foot Print. No unneccesary bloat. under 10 megs or less
* No unnecessary daemons, services.
* Each build is specific to a task
* Easy to Install via our ftp server, cdrom and floppy disk (NOW)
* Other specific features will be added specific to different builds
www.microbsd.net (tout est en double langue : portogrec et anglais... Alors cherchez les news/docs en anglais, à moins que vous ne pratiquiez aussi bien le portogrec que le Gothique du yorkshire du 12ème siècle ;) )
[^] # Re: A noter l'existance d'un BSD peut connu : MicroBSD
Posté par j . Évalué à 1.
[^] # Re: A noter l'existance d'un BSD peut connu : MicroBSD
Posté par _PinG _ . Évalué à 1.
will remember next time ;)
profite de ce thread (ou alors créé un post sur OSA, ca resteras plus longtemps ;)) pour parler de MicroBSD... C'est plus interessant d'en parler que de lire les Manuels ;)
[^] # Re: A noter l'existance d'un BSD peut connu : MicroBSD
Posté par DPhil (site web personnel) . Évalué à 1.
C'était pas déjà le but d'OpenBSD ?
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.