OpenBSD fête ses 10 ans !

Posté par (page perso) . Modéré par Jaimé Ragnagna.
Tags :
0
14
oct.
2005
OpenBSD
Le premier commit d'OpenBSD a eu lieu il y a 10 ans, le samedi 14 octobre 1995 à 16:36 MST. Le projet OpenBSD fournit un système d'exploitation de type UNIX libre. Les principaux efforts sont dirigés vers la portabilité, la standardisation, la sécurité proactive et la cryptographie intégrée.

La version 3.8 de ce système d'exploitation, qui sortira le 1er novembre 2005, apportera de nombreuses nouvelles fonctionnalités, avec entre autres:
  • Un nouveau framework pour le support du RAID
  • hostapd, un démon permettant le logging, le monitoring et un meilleur roaming des points d'accès WiFi. Il permet aussi de se protéger contre certaines attaques spécifique au WiFi
  • une nouvelle implémentation de malloc utilisant mmap permettant de mitiger encore plus efficacement les buffer overflow et les erreurs de programmation
  • une bibliothèque standard C maintenant entièrement en ANSI C
  • diverses améliorations de la pile IP pour se prémunir des attaques basées sur ICMP
  • de nouveaux pilotes, des nouvelles fonctionnalités pour OpenBGPd (ospfd et bgpd) et OpenSSH 4.2

Une interview récente de trois développeurs concernant les améliorations et la sécurisation de la pile IP est disponible sur security focus.

Aller plus loin

  • # ...

    Posté par . Évalué à 9.

    une nouvelle implémentation de malloc utilisant mmap permettant de mitiger encore plus efficacement les buffer overflow et les erreurs de programmation
    C'est surtout la randomisation de la stack, du mmap et le fait que la memoire soit directement munmapé apres le free qui permettent de detecter plus facilement les erreurs de programmation : le programme devrait segdefaulter des qu'il accede a une zone memoire non alloué.

    Par contre la grande question est de savoir ce que ca vaut niveau performance. Sous Linux il y a deja des bibliotèques tel que electric-fence qui font a peu pres la meme chose.
    • [^] # Re: ...

      Posté par . Évalué à 10.

      Il y a plus de détails ici :

      http://www.securityfocus.com/columnists/359/2(...)

      et ici :

      http://undeadly.org/cgi?action=article&sid=20050824190317(...)

      Tu y trouveras la réponse à ta question concernant les performances :)
      • [^] # Re: ...

        Posté par (page perso) . Évalué à 10.

        Email de Theo de Raadt :
        To some of you, this will sound like what the Electric Fence toolkit used to be for. But these features are enabled by default. Electric Fence was also very slow. It took nearly 3 years to write these OpenBSD changes since performance was a serious consideration. (Early versions caused a nearly 50% slowdown).

        Pas de chiffre, mais apparement le patch malloc=>mmap a été pensé de telle manière à ne pas être trop couteux. Je trouve ça normal que OpenBSD tourne "un peu moins vite" que Linux vu la quantité de tests fait en plus. J'avais d'ailleurs vu un benchmark bête et méchant où OpenBSD était vraiment mauvais. Il faut en comprendre que OpenBSD utilise des algorithmes moins avancés (p-e O(n²) plutôt que O(n) par exemple) mais sûrement plus sécurisés. La sécurité a un prix, maintenant à vous de savoir si vous êtes prêt à vous faire voler vos données ou non (ou simplement que votre serveur soit pénétré) :-)

        Haypo
        • [^] # Re: ...

          Posté par (page perso) . Évalué à 2.

          J'avais d'ailleurs vu un benchmark bête et méchant où OpenBSD était vraiment mauvais.

          Personnellement je me souviens de ceux là :
          http://bulk.fefe.de/scalability/(...)

          Je ne sais pas trop mais j'espère qu'OpenBSD s'est amélioré depuis, parce qu'il avait certaines lacunes à l'époque.
          • [^] # Re: ...

            Posté par (page perso) . Évalué à 6.

            D'après des gens sur la mailing list OBSD, fefe est partial et son benchmark n'est pas représentatif d'une utilisation réelle mais il soulève quand même quelques problèmes. Mais apparement ça a été corrigé depuis http://diehard.n-r-g.com/stuff/openbsd/benchmark/(...)

            pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

        • [^] # Re: ...

          Posté par . Évalué à 10.

          La conclusion "algorithme moins optimal mais plus sécurisé" me parait un peu hative et douteuse, quand meme !!!

          Je n'ai plus en tete les algos exacts qui étaient en cause lors de ce test (qui n'est au passage PAS un test de conditions réeles d'utilisation), mais il me semble que, sur certains points, il a effecftivement mis en évidence certains algos pas du tout optimaux utilisés dans OpenBSD, et qui n'apportaient rien en terme de sécurité par rapport a d'autres algos plus performants.

          C'est un peu comme si quelqu'un disait qu'il utilise un bubblesort au lieu d'un quicksort (voire au lieu d'un algo encore plus efficace en fonction du contexte) pour des raisons de sécurité, c'est n'importe quoi !!!

          Maintenant, effectivement, ca arrive que des algos plus performants soient plus complexes a mettre en oeuvre, ou necessitent des "approximations", et que le tout puisse avoir un impact en terme de sécurité, mais faut pas non plus toujours tout excuser derriere le "securite avant tout" !!!

          Je dirais meme que, dans certains cas, le fait d'utiliser un algo vraiment pas optimal peut faciliter les possibilités de DoS, et génère donc des problèmes de sécurité !!!

          A +

          VANHU.
          • [^] # Re: ...

            Posté par . Évalué à 3.

            D'ailleurs c'est tellement vrai que l'équipe de NetBSD en a profité pour corriger certains des défauts mis en valeur par le test, là où certains dév. d'OpenBSD ont grogné et prétexté la mauvaise foi de fefe.

            Cela dit, ils n'avaient pas totalement tort, vu que dans le test, ce dernier disait qu'il n'avait eu que des problèmes à l'install (si ça arrive, on peut dire que c'est la faute de l'OS, mais on peut aussi se demander si ce n'était pas un problème situé entre la chaise et le clavier).
      • [^] # Re: ...

        Posté par (page perso) . Évalué à 1.

        Tiens Jedi ça fait longtemps...
        J'ai encore dans mes petites docs 5 _longs_ posts de toi, absolument limpides, expliquant le fonctionnement de Reiserfs 3. Tu devrais venir plus souvent par ici!

        "La liberté est à l'homme ce que les ailes sont à l'oiseau" Jean-Pierre Rosnay

    • [^] # Re: ...

      Posté par . Évalué à 5.

      > une nouvelle implémentation de malloc utilisant mmap permettant
      > de mitiger encore plus efficacement les buffer overflow et les
      > erreurs de programmation

      > C'est surtout la randomisation de la stack, du mmap et le fait que la
      > memoire soit directement munmapé apres le free qui permettent de
      > detecter plus facilement les erreurs de programmation : le
      > programme devrait segdefaulter des qu'il accede a une zone
      > memoire non alloué.

      Suis-je le seul à trouver ce post hilarant ? Au début, j'ai cru que c'était une blague, façon tRoU dU cULz hiDEoUt.
      Mais non, y a même des gens qui comprennent !
      • [^] # Re: ...

        Posté par . Évalué à 9.

        À la seconde lecture, effectivement. Le pire, c'est quand on se rend compte que :
        1. on le comprend ;
        2. on ne s'était pas aperçu de son côté, euh, cryptique.
  • # Nouvelles fonctionalités:

    Posté par . Évalué à 9.

    Une super fonctionalité de 3.8, c'est sasyncd, l'équivalent de pfsyncd mais pour les SA IPsec.

    Ça permet de faire des passerelles IPsec redondantes, avec failover et reprise immédiate du service (la haute dispo. quoi).

    En complément le nouvel outil ipsecctl qui simplifiera la configuration d'IPsec, avec une syntaxe à la pf.conf.

    Très interessants aussi, l'aggregation d'interfaces avec trunk, et le framework de management raid bioctl:
    http://marc.theaimsgroup.com/?l=openbsd-misc&m=112630095818062(...)

    Au rayon des petites changements sympas: la swap est encryptée par defaut, le shell par defaut (y compris pour root) est maintenant ksh ;), l'installation est maintenant 100% possible sur IPv6, le support de la localisation (au delà de C/POSIX) et des fonctions w* dans la libc, et évidement un milliard de nouveaux trucs dans pf et pfctl.

    Pour des infos complémentaires sur hostapd:
    http://undeadly.org/cgi?action=article&sid=20051008150710&m(...)

    Une liste plus détaillée des nouveautées se trouve ici:
    http://openbsd.org/38.html(...)
    • [^] # Re: Nouvelles fonctionalités:

      Posté par (page perso) . Évalué à 2.

      Est ce que tu sais si l'implémentation de wpa est fini (hostap, madwifi et wpa_supplicant) ? Connais tu les cartes / chipset bien supportées pour le wifi (avec WPA2: TKIP et AES) ?
      • [^] # Re: Nouvelles fonctionalités:

        Posté par (page perso) . Évalué à 2.

        Non, toujours pas d'implémentation de WPA.
        STFW http://openbsd.org/i386.html#hardware(...)

        pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

      • [^] # Re: Nouvelles fonctionalités:

        Posté par . Évalué à 8.

        Non le WPA2 ne sera pas encore supporté en 3.8. C'est le gros point noir du moment ches OpenBSD à mon avis.

        Si ton environnement te le permet, tu pourrai te rabattre sur IPsec (et ça tombe bien, il y a eu un gros refactoring d'isakmpd, l'ajout de sasyncd, ipsecctl etc.).

        Pour les chipsets 802.11g bien supportée: les Ralink RT25* et les atheros (attention, chipsets AR5210, AR5211, AR5212 uniquement). Ma préférence va aux ralink, qui sont plus facile à trouver, très bon marché, et parceque Ralink joue vraiment le jeux avec les logiciels libres (envoient des cartes aux devs, fournissent toutes les specs, etc.).

        Il y a d'autres chipsets supportés (atmel, admtek, intel, ...), mais ces deux là fonctionnent très bien autant en mode bss, ibss, hostap que monitor et n'ont pas de problèmes de licence concernant la redistribution des firmwares. Ces deux chipsets supporteront probablement WPA2 lorsqu'il sera intégré, puisqu'ils le supportent déjà sur d'autres OS.

        Pour trouver les cartes correspondants aux chipsets indiqués:
        atheros: http://customerproducts.atheros.com/customerproducts/(...)
        ralink: http://ralink.rapla.net/(...)
  • # Oui mais

    Posté par . Évalué à -10.

    Oui mais c'est moins mieux que Ubuntu qui vient de sortir !
  • # Mauvaise date !

    Posté par . Évalué à 6.

    L'anniversaire d'OpenBSD est le 18 Octobre (date de l'import CVS) et non le 14.

    Le fichier calendar.openbsd vient d'être modifié à ce sujet.
    • [^] # Re: Mauvaise date !

      Posté par . Évalué à 4.

      A ta decharge ils n'etaient pas vraiment d'accord sur la date a la base.
      Joyeux Anniversaire quand meme a OpenBSD.

      Et a dans dix ans.
  • # Entreprises française faisant du service openBSD

    Posté par (page perso) . Évalué à 4.

    Connaissez vous des entreprises françaisees, ou francophones faisant du service avec OpenBSD, ou autres BSD, du genre instalation, maintenance de serveurs etc...

    Pareil pour les autres BSD.

    Si on veut faire la promotion de ce genre de systèmes, il faut pouvoir promettre aux entreprises et aux administrations qu'un service après vente existe. (Même si OpenBSD peut être installé sans avoir été vendu).

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.