La version 3.8 de ce système d'exploitation, qui sortira le 1er novembre 2005, apportera de nombreuses nouvelles fonctionnalités, avec entre autres:
- Un nouveau framework pour le support du RAID
- hostapd, un démon permettant le logging, le monitoring et un meilleur roaming des points d'accès WiFi. Il permet aussi de se protéger contre certaines attaques spécifique au WiFi
- une nouvelle implémentation de malloc utilisant mmap permettant de mitiger encore plus efficacement les buffer overflow et les erreurs de programmation
- une bibliothèque standard C maintenant entièrement en ANSI C
- diverses améliorations de la pile IP pour se prémunir des attaques basées sur ICMP
- de nouveaux pilotes, des nouvelles fonctionnalités pour OpenBGPd (ospfd et bgpd) et OpenSSH 4.2
Une interview récente de trois développeurs concernant les améliorations et la sécurisation de la pile IP est disponible sur security focus.
Aller plus loin
- OpenBSD (1 clic)
- OpenBSD Journal (2 clics)
- T-Shirts (2 clics)
- Interview de trois développeurs (3 clics)
# ...
Posté par M . Évalué à 9.
C'est surtout la randomisation de la stack, du mmap et le fait que la memoire soit directement munmapé apres le free qui permettent de detecter plus facilement les erreurs de programmation : le programme devrait segdefaulter des qu'il accede a une zone memoire non alloué.
Par contre la grande question est de savoir ce que ca vaut niveau performance. Sous Linux il y a deja des bibliotèques tel que electric-fence qui font a peu pres la meme chose.
[^] # Re: ...
Posté par j . Évalué à 10.
http://www.securityfocus.com/columnists/359/2(...)
et ici :
http://undeadly.org/cgi?action=article&sid=20050824190317(...)
Tu y trouveras la réponse à ta question concernant les performances :)
[^] # Re: ...
Posté par Victor STINNER (site web personnel) . Évalué à 10.
Pas de chiffre, mais apparement le patch malloc=>mmap a été pensé de telle manière à ne pas être trop couteux. Je trouve ça normal que OpenBSD tourne "un peu moins vite" que Linux vu la quantité de tests fait en plus. J'avais d'ailleurs vu un benchmark bête et méchant où OpenBSD était vraiment mauvais. Il faut en comprendre que OpenBSD utilise des algorithmes moins avancés (p-e O(n²) plutôt que O(n) par exemple) mais sûrement plus sécurisés. La sécurité a un prix, maintenant à vous de savoir si vous êtes prêt à vous faire voler vos données ou non (ou simplement que votre serveur soit pénétré) :-)
Haypo
[^] # Re: ...
Posté par Sylvain Briole (site web personnel) . Évalué à 2.
Personnellement je me souviens de ceux là :
http://bulk.fefe.de/scalability/(...)
Je ne sais pas trop mais j'espère qu'OpenBSD s'est amélioré depuis, parce qu'il avait certaines lacunes à l'époque.
[^] # Re: ...
Posté par Krunch (site web personnel) . Évalué à 6.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: ...
Posté par Vanhu . Évalué à 10.
Je n'ai plus en tete les algos exacts qui étaient en cause lors de ce test (qui n'est au passage PAS un test de conditions réeles d'utilisation), mais il me semble que, sur certains points, il a effecftivement mis en évidence certains algos pas du tout optimaux utilisés dans OpenBSD, et qui n'apportaient rien en terme de sécurité par rapport a d'autres algos plus performants.
C'est un peu comme si quelqu'un disait qu'il utilise un bubblesort au lieu d'un quicksort (voire au lieu d'un algo encore plus efficace en fonction du contexte) pour des raisons de sécurité, c'est n'importe quoi !!!
Maintenant, effectivement, ca arrive que des algos plus performants soient plus complexes a mettre en oeuvre, ou necessitent des "approximations", et que le tout puisse avoir un impact en terme de sécurité, mais faut pas non plus toujours tout excuser derriere le "securite avant tout" !!!
Je dirais meme que, dans certains cas, le fait d'utiliser un algo vraiment pas optimal peut faciliter les possibilités de DoS, et génère donc des problèmes de sécurité !!!
A +
VANHU.
[^] # Re: ...
Posté par lasher . Évalué à 3.
Cela dit, ils n'avaient pas totalement tort, vu que dans le test, ce dernier disait qu'il n'avait eu que des problèmes à l'install (si ça arrive, on peut dire que c'est la faute de l'OS, mais on peut aussi se demander si ce n'était pas un problème situé entre la chaise et le clavier).
[^] # Re: ...
Posté par ZeroHeure . Évalué à 1.
J'ai encore dans mes petites docs 5 _longs_ posts de toi, absolument limpides, expliquant le fonctionnement de Reiserfs 3. Tu devrais venir plus souvent par ici!
"La liberté est à l'homme ce que les ailes sont à l'oiseau" Jean-Pierre Rosnay
[^] # Re: ...
Posté par iouri . Évalué à 5.
> de mitiger encore plus efficacement les buffer overflow et les
> erreurs de programmation
> C'est surtout la randomisation de la stack, du mmap et le fait que la
> memoire soit directement munmapé apres le free qui permettent de
> detecter plus facilement les erreurs de programmation : le
> programme devrait segdefaulter des qu'il accede a une zone
> memoire non alloué.
Suis-je le seul à trouver ce post hilarant ? Au début, j'ai cru que c'était une blague, façon tRoU dU cULz hiDEoUt.
Mais non, y a même des gens qui comprennent !
[^] # Re: ...
Posté par Sylvain Sauvage . Évalué à 9.
1. on le comprend ;
2. on ne s'était pas aperçu de son côté, euh, cryptique.
[^] # Re: ...
Posté par spotty . Évalué à -2.
http://www.w3perl.com/fun/management/pipotron.html :-)
a. ceux qui parle pour ne pas être compris ne font que du bruit.
b. si on maîtrise vraiment un sujet, on peut l'expliquer simplement.
# Nouvelles fonctionalités:
Posté par herodiade . Évalué à 9.
Ça permet de faire des passerelles IPsec redondantes, avec failover et reprise immédiate du service (la haute dispo. quoi).
En complément le nouvel outil ipsecctl qui simplifiera la configuration d'IPsec, avec une syntaxe à la pf.conf.
Très interessants aussi, l'aggregation d'interfaces avec trunk, et le framework de management raid bioctl:
http://marc.theaimsgroup.com/?l=openbsd-misc&m=112630095818062(...)
Au rayon des petites changements sympas: la swap est encryptée par defaut, le shell par defaut (y compris pour root) est maintenant ksh ;), l'installation est maintenant 100% possible sur IPv6, le support de la localisation (au delà de C/POSIX) et des fonctions w* dans la libc, et évidement un milliard de nouveaux trucs dans pf et pfctl.
Pour des infos complémentaires sur hostapd:
http://undeadly.org/cgi?action=article&sid=20051008150710&m(...)
Une liste plus détaillée des nouveautées se trouve ici:
http://openbsd.org/38.html(...)
[^] # Re: Nouvelles fonctionalités:
Posté par Julien CARTIGNY (site web personnel) . Évalué à 2.
[^] # Re: Nouvelles fonctionalités:
Posté par Krunch (site web personnel) . Évalué à 2.
STFW http://openbsd.org/i386.html#hardware(...)
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: Nouvelles fonctionalités:
Posté par herodiade . Évalué à 8.
Si ton environnement te le permet, tu pourrai te rabattre sur IPsec (et ça tombe bien, il y a eu un gros refactoring d'isakmpd, l'ajout de sasyncd, ipsecctl etc.).
Pour les chipsets 802.11g bien supportée: les Ralink RT25* et les atheros (attention, chipsets AR5210, AR5211, AR5212 uniquement). Ma préférence va aux ralink, qui sont plus facile à trouver, très bon marché, et parceque Ralink joue vraiment le jeux avec les logiciels libres (envoient des cartes aux devs, fournissent toutes les specs, etc.).
Il y a d'autres chipsets supportés (atmel, admtek, intel, ...), mais ces deux là fonctionnent très bien autant en mode bss, ibss, hostap que monitor et n'ont pas de problèmes de licence concernant la redistribution des firmwares. Ces deux chipsets supporteront probablement WPA2 lorsqu'il sera intégré, puisqu'ils le supportent déjà sur d'autres OS.
Pour trouver les cartes correspondants aux chipsets indiqués:
atheros: http://customerproducts.atheros.com/customerproducts/(...)
ralink: http://ralink.rapla.net/(...)
# Oui mais
Posté par benp . Évalué à -10.
[^] # Re: Oui mais
Posté par neriki (site web personnel) . Évalué à 9.
http://www.forbes.com/intelligentinfrastructure/2005/06/16/linux-bs(...)
[^] # Re: Oui mais
Posté par imalip . Évalué à 2.
[^] # Re: Oui mais
Posté par fry . Évalué à 3.
http://www.lesbian.mine.nu/ ;)
[^] # Re: Oui mais
Posté par gde . Évalué à 3.
ça je ne suis pas complètement sûr, ce serait pas plutôt "We do what we do because we hate everybody" ?
ceci dit, peut-être que les deux sont compatibles :)
[^] # Re: Oui mais
Posté par spotty . Évalué à -2.
http://www.forbes.com/intelligentinfrastructure/2005/06/16/l(...)
[^] # Re: Oui mais
Posté par Anthony F. . Évalué à 1.
http://www.pcbsd.org/
# Mauvaise date !
Posté par j . Évalué à 6.
Le fichier calendar.openbsd vient d'être modifié à ce sujet.
[^] # Re: Mauvaise date !
Posté par panda panda . Évalué à 4.
Joyeux Anniversaire quand meme a OpenBSD.
Et a dans dix ans.
# Entreprises française faisant du service openBSD
Posté par CyrrusSmith (site web personnel) . Évalué à 4.
Pareil pour les autres BSD.
Si on veut faire la promotion de ce genre de systèmes, il faut pouvoir promettre aux entreprises et aux administrations qu'un service après vente existe. (Même si OpenBSD peut être installé sans avoir été vendu).
[^] # Re: Entreprises française faisant du service openBSD
Posté par herodiade . Évalué à 6.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.