Evaluation de OpenBSD 3.2 (snapshot)

Posté par saad le 23 octobre 2002 à 08:31. Modéré par Fabien Penso.

Étiquettes : aucune

oct.

2002

eWeek a publié un article d'évaluation de la version 3.2 (snapshot) de OpenBSD.

L'article est très positif concernant les améliorations en terme de sécurité qu'apporte cette version. Parmi les améliorations on peut citer :
- l'intégration de OpenSSH 3.5 avec activation de la séparation de privilèges par défaut
- la diminution du nombre de programmes setuid exposés de 40 à 9
- la protection de la pile sur certaines architectures dont i386
- la protection de la "heap" sur certaines architectures dont sparc et alpha
- l'intégration de systrace

OpenBSD 3.2 sera dans les bacs à partir du 1er novembre.

Aller plus loin

Lire l'article (3 clics)
Changelog de la version 3.2 (image manquante) (3 clics)
systrace (2 clics)

# Re: Evaluation de OpenBSD 3.2 (snapshot)

Posté par nicolas garnier le 23 octobre 2002 à 09:19. Évalué à 1.

Très bon article de la part de ZiffDavis, ca change !

Les autres journalistes devrait prendre exemple sur lui.
# Re: Evaluation de OpenBSD 3.2 (snapshot)

Posté par antm le 23 octobre 2002 à 09:33. Évalué à 1.

"heap" peut se dire tas.
- [^] # Re: Evaluation de OpenBSD 3.2 (snapshot)
  
  Posté par Matho (site web personnel) le 23 octobre 2002 à 10:32. Évalué à 1.
  
  Les gros heap c'est comme les mobylettes.
  Tu t'eclates dessus jusqu'au jour ou un de tes copains te vois...
# Viva systrace...

Posté par _PinG _ le 23 octobre 2002 à 14:05. Évalué à 1.

Si les setUID/setGID ont tendance à disparaitre, avant qu'il n'y en ait plus un seul, c'est grace à systrace. Systrace est vraiement génial. Pour ceux qui ne connaissent pas, c'est le système des "privilege elevation", cad qu'à un moment donné, un programme donné pourras accéder à tel fichier ou à effectuer tel appel système comme si il étais root, alors que c'est un utilisateur standart... C'est une sorte de firewall/ACL applicatif qui donne des droits d'accès/d'appels systèmes root à un moment donné, tout le reste étant interdit. Par exemple, on peut lancer un serveur web en utilisateur nobody, et dire à systrace qu'il aura le droit de binder un socket en écoute sur le port privilégié 80. à aucun moment, le programme n'est root. Il a juste le droit de faire ca... C'est super puissant, ca peut même marcher pour login (le droit d'exec pam ou d'accéder à /etc/shadow seulement). Il y a même des interfaces graphiques pour gérer les alertes :)
En plus, systrace permet de détecter les règles, il suffit de lancer l'appli, de la faire tourner, systrace vas voir ce que l'appli fait, et vas vous proposer une liste de règle pour l'appli. Bref, c'est super simple d'emploi, super puissant, et surtout super secure...
Pour le moment, ca n'existe que pour OpenBSD et NetBSD (MicroBSD aussi je croit), mais le port Linux est quasiement terminé, ils ne leur reste plus que quelques bugs à corriger.

Vivement que le port Linux soit 100% fonctionnel.

Liens :
*/ systrace 4 Linux : http://www.citi.umich.edu/u/provos/systrace/linux.html(...)
*/ exemple de règles systrace générées (ici, pour mplayer) : http://www.citi.umich.edu/u/provos/systrace/usr_local_bin_mplayer(...)
- [^] # Re: Viva systrace...
  
  Posté par DPhil (site web personnel) le 23 octobre 2002 à 14:24. Évalué à 1.
  
  Ca m'a l'air plutot bien cette fonction, presqu'à me faire regreter d'avoir abandonné mon OpenBSD 2.9 cette semaine pour passer à une Debian qui intègrera cette fonction d'ici la version 6 ou 7.
  
  Sans vouloir lancer un gros Troll poilu, les objectif d'OpenBSD et ceux de Debian sont à peu près les mêmes:
  - sécurité et stabilité du système
  cependant, on peut remarquer que l'équipe OpenBSD est plus inventive et plus réactive quand même, ils testeraient moins les softs ?
  - [^] # Re: Viva systrace...
    
    Posté par _PinG _ le 23 octobre 2002 à 14:57. Évalué à 1.
    
    */ l'équipe Debian n'as pas trop à se soucier du kernel (à part l'intégration), alors que les OpenBSD hackers bossent énormément sur le noyeau par exemple. Et puis les trucs genre systrace sont au niveau du noyeau...
    */ En attendant, tu peux utiliser les capacités kernel (un peut plus bas) sous Linux pour coder, c'est franchement pas mal.
    */ systrace sous Linux arrive... très bientôt... Vu le peut de temps qu'il a fallu à l'équpe a mis pour porter systrace sous Linux 2.4.19, je pensse qu'ils vont pas tarder à boucler ;)
    - [^] # Re: Viva systrace...
      
      Posté par rootix le 26 octobre 2002 à 00:40. Évalué à 1.
      
      ça voudrait dire que chez Debian, ils auraient plus de temps à consacrer que OpenBSD alors mince, c'est OpenBSD qui se développe plus vite et qui est plus performant.
      Quelqu'un m'a dit cet après-midi qu'OpenBSD est plus compliqué à configurer que "Linux", j'ai un peu sursauté. La seule partie d'OpenBSD difficile est la phase de création des partitions. Mais après, franchement, on se retrouve dans un système clean ou tout est bien rangé. Le firewall est bien plus simple à configurer que celui de Linux. J'attend une distribution Linux qui arrive à son égal ou celui de ses confrères.
      Y a une distrib qui a compris les avantages des BSD, je vous laisse deviner laquelle.
- [^] # Re: Viva systrace... et viva capabilities
  
  Posté par _PinG _ le 23 octobre 2002 à 14:51. Évalué à 1.
  
  En attendant systrace sous Linux, utilisez les kernel capabilities... Ce sont des capacitées dont se débarasse un processus root. En gros, il dit :
  "Je veux plus rien pouvoir faire sauf binder un socker sur un port <1024..."
  Il vas perdre tous ses droits root, sauf celui de binder un socket sur un port privilégié. Il est toujours root, mais n'en a plus les droits... Et il ne peut même plus revenir sur ces droits une fois fixés. De plus, les droits se transmettent dans le cas d'un fork (ca c'est normal), mais surtout dans le cas d'un execve (ca c'est super pratique niveau sécu)... Mais le process apparaitras quand même root dans un 'ps'. Malheureusement, trops peut de programmes utilisent ca de nos jours... Et c'est bien domage. pure-ftpd utilise ca sous Linux il me semble.
  
  Il existe une version portable (bibliothèque + appels systèmes POSIX) et des extensions Linux qui rajoutent des capacitées (une granularitée en quelque sorte)
  
  Infos :
  */ générales : capget(2) et capset(2)
  */ Version portable : cap_set_proc(3) et cap_get_proc(3)
  */ la bibliothèque libcap : ftp://ftp.kernel.org/pub/linux/libs/security/linux-privs(...)
  */ Extensions Linux : capsetp(3) et capgetp(3)
  */ headers : /usr/src/linux/include/linux/capability.h (contiens les define des capacités POSIX et des extensions Linux, avec en prime des explications détaillées en commentaires.)
# Le truc le plus fun

Posté par falbala le 23 octobre 2002 à 15:03. Évalué à 1.

Dans une nouvelle release, c'est bien sûr le poster ...

https://https.openbsd.org/images/poster8.jpg(...)
# A noter l'existance d'un BSD peut connu : MicroBSD

Posté par _PinG _ le 23 octobre 2002 à 15:05. Évalué à 1.

Le but est d'avoir un BSD léger, orienté sécurité, et puissant. C'est basé sur FreeBSD et OpenBSD. Ca avance pas mal, et il y a déjas beaucoup de trucs interessants.

Plutot que de faire une liste floue, voici un extrait de leurs "FEATURES" :

* Posix1e Audit Controls & logging (Working)
* FTPD Security Hardening (Working)
* Human-time Resource Limitations (Working)
* Signal Logging (Working)
* TCP/IP Speedups (Working)
* RFC 1323 TCP/IP Mods
* Mandatory Access Controls (In Progess)
* Systrace facilities (Working)
* Network Level ACLS
* File System level ACLS (Working)
* Binary integrity verification (Working)
* Trusted Path Execution (Working)
* ld.so environment stripping (Working)
* Restricted symlinks (Broken)
* Application/Users Access Controls
* Application Stack Hardening & Protection (Completed)
* Full State-full packet inspection (Working)
* IPV4/IPV6 capable (Included, Working)
* PF Packet Filter (Included, Working)
* Invisible Bridged Firewall Capable (Working)
* NAT, Reverse NAT, FTP proxy support, one to one NAT (Included, Working)
* IPSec VPN (Working)
* ISAKMP (Working)
* Privacy Sub-System (Completed, Working)
* IDS Sub-system Module (Completed, Available, Not Included)
* Anti-Virus Protection Module (Working)
* Fully Automated Update system (Future)
* Web Based Management System (Future)
* Console Based Management GUI (Future)
* Multiple Authentication Mechanisms (LDAP/SQL/PAM/RADIUS) (In Progess)
* No System User Accounts
* Fully modular design
* Capable of running on disk, /cdrom or Compact Flash
* Optimized kernel for handling large traffic flows
* Embedded Systems Designs
* Small Foot Print. No unneccesary bloat. under 10 megs or less
* No unnecessary daemons, services.
* Each build is specific to a task
* Easy to Install via our ftp server, cdrom and floppy disk (NOW)
* Other specific features will be added specific to different builds

www.microbsd.net (tout est en double langue : portogrec et anglais... Alors cherchez les news/docs en anglais, à moins que vous ne pratiquiez aussi bien le portogrec que le Gothique du yorkshire du 12ème siècle ;) )
- [^] # Re: A noter l'existance d'un BSD peut connu : MicroBSD
  
  Posté par j le 23 octobre 2002 à 18:02. Évalué à 1.
  
  s/portogrec/portugrec/
  - [^] # Re: A noter l'existance d'un BSD peut connu : MicroBSD
    
    Posté par _PinG _ le 23 octobre 2002 à 18:38. Évalué à 1.
    
    sorry dude ;)
    will remember next time ;)
    
    profite de ce thread (ou alors créé un post sur OSA, ca resteras plus longtemps ;)) pour parler de MicroBSD... C'est plus interessant d'en parler que de lire les Manuels ;)
- [^] # Re: A noter l'existance d'un BSD peut connu : MicroBSD
  
  Posté par DPhil (site web personnel) le 24 octobre 2002 à 16:06. Évalué à 1.
  
  Le but est d'avoir un BSD léger, orienté sécurité, et puissant.
  
  C'était pas déjà le but d'OpenBSD ?

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.