Cet OS appartient à la famille des systèmes BSD (aux côtés de FreeBSD, NetBSD, DragonFlyBSD) qui, au delà des disparités techniques, diffèrent du système GNU/Linux par leur licence. Celle-ci est parfaitement libre mais elle n'intègre pas de clause de copyleft comme la licence GPL. Une firme produisant du code propriétaire est ainsi autorisée à inclure du code BSD dans ses logiciels.
Le projet OpenBSD se concentre sur la réalisation d'un système extrêmement sécurisé, et pratique intensivement l'audit du code. Il intègre massivement la cryptographie et pratique une politique de sécurité par défaut qui oblige l'administrateur à autoriser explicitement l'ouverture de certains ports pour éviter aux débutants de faire des erreurs et de laisser béantes des failles potentielles de sécurité. Quelques nouveautés de la version 3.7 :
* Support de deux nouvelles plare-formes (OpenBSD/Zaurus et OpenBSD/SGI).
* De nombreuses cartes WiFi et adaptateurs USB voient leur support amélioré.
* Le démon FTP est sécurisé par une séparation des privilèges.
* Le démon NTP s'ajuste lors de son lancement.
* Le démon bgpd qui gère les tables de routage du réseau s'intègre mieux avec le protocole CARP qui s'occupe de la redondance des serveurs.
* Le gestionnaire des packages est profondément revu et ses performances améliorées.
A noter que du 21 au 28 Mai se tiendra à Calgary (Canada) la réunion annuelle des développeurs OpenBSD (environ 60 personnes du monde entier y assisteront). Ce Hackathon est un événement important pour l'avancement du projet car beaucoup de travail est effectué lors de cette réunion (le mot d'ordre est d'ailleurs "Shut up and hack").
Le site KernelTrap propose un article intéressant sur l'avis de plusieurs membres du team OpenBSD au sujet du Hackathon et sur les directions de travail qui sont envisagées.
Aller plus loin
- Les changements d'OpenBSD 3.7 en français (3 clics)
- Les changements d'OpenBSD 3.7 en version longue (3 clics)
- KernelTrap sur le Hackathon OpenBSD (3 clics)
# trop bien cte distrib
Posté par johnf . Évalué à -6.
dommage que cela reste par ailleurs reservé quelque peu à une elite, ca aurait ete bien de le rendre un peu plus sympa à l'install...
[^] # Re: trop bien cte distrib
Posté par micha_mosk . Évalué à -1.
Dommage que ce soit aussi, apparemment, réservé à une certaine élite.
[^] # Re: trop bien cte distrib
Posté par levoyou . Évalué à -4.
[^] # Re: trop bien cte distrib
Posté par sebast . Évalué à 0.
A chaque fois ça fou la merde dans les forums.
Ok, il a faitune vilaine faute, et alors ????
T'es pas content, ben tu fermes les yeux.
Aller, je suis ready pour avoir mon -10 !
# Release Songs
Posté par _cb (site web personnel) . Évalué à 6.
ftp://ftp.openbsd.org/pub/OpenBSD/songs/song37.ogg(...)
http://www.openbsd.org/lyrics.html(...)
[^] # Re: Release Songs
Posté par JaguarWan . Évalué à 1.
[^] # Re: Release Songs
Posté par Nim . Évalué à 9.
Pour ceux qui ne connaitrait pas le rapport entre The Wizard of Oz et cet album, il y a une expérience sympa à faire : lancez le film du magicien d'Oz sans le son et au 3eme rugissement du lion de la MGM (que vous voyez faute de l'entendre) lancez l'album des Floyds. C'est pas toujours probant mais il y a nombre de détails troublants ...
[^] # Re: Release Songs
Posté par be_root . Évalué à 3.
Baba-cool Sofware Development
Heuh, la porte ?
Ouais, la porte !
Ok, je sors...
Oh poussez pas !
Il se prend pour Napoléon, son état empire.
[^] # Re: Release Songs
Posté par reno . Évalué à 1.
Je dis curieusement car toutes les versions précédentes m'ont toujours bluffé par leur qualité.. Je les ai même sur mon baladeur MP3!
# Une chanson, une chanson...
Posté par Beurt . Évalué à 1.
Pour la 3.7 ce sera The Wizard of OS: http://www.openbsd.org/lyrics.html#37(...) , à vos écouteurs !
[^] # Re: Une chanson, une chanson...
Posté par Beurt . Évalué à 0.
# reiserfs ?
Posté par GEDsismik (site web personnel) . Évalué à -2.
A quand la lecture (voire écriture) sur reiserfs dans les BSD ???
[^] # Re: reiserfs ?
Posté par Guillaume POIRIER . Évalué à 4.
C'est en route!
[^] # Re: reiserfs ?
Posté par gnumdk (site web personnel) . Évalué à 3.
Mais c'est vrai que ca serait la seul condition pour avoir un BSD chez moi, le support de xfs, pour l'instant, j'ai FreeBSD au taf mais sur mon pc, c'est hors de question si j'ai pas accès à mes données...
[^] # Re: reiserfs ?
Posté par bastien (site web personnel) . Évalué à 6.
Autant que les systèmes d'exploitation issus du monde libre aient du mal à lire/écrire sur des types de partitions au format propriétaire (NTFS par exemple), ça me parait logique, les spécifications de celles-ci n'étant pas disponible.
Mais, je suppose que les spécifications de reiserfs sont diffusées, or apparement OpenBSD ne les lit pas. De même, malgré le peu d'expérience que j'ai sur les systèmes *BSD, le format de partitions qu'ils proposent par défaut (en tout cas sur FreeBSD, UFS non ?) n'est pas accessible en écriture sous GNU/Linux. (j'espère que je ne dis pas de bétises).
Je comprends pas pourquoi, vu que pour les développeurs ça doit être plus facile à programmer, et c'est aussi, je pense, dans l'intérêt de tous ces systèmes.
C'est qu'il manque de dévellopeurs ? C'est le résultat d'une 'guerre' de licences ? (j'espère que ça ne va pas jusque là :) ) ? Ce n'est juste pas une priorité ? Quelqu'un sait t-il ?
[^] # Re: reiserfs ?
Posté par Xavier Teyssier (site web personnel) . Évalué à 5.
Oui, mais non. Dans le cas du NTFS, les developpeurs ont déjà dit avoir toutes les docs necessaires, c'est juste le temps qui manque.
Quand au support d'autres types de partitions, s'ils se font attendre, je suppose que c'est pour la même raison : il n'y a pas assez de dev, et comme ce n'est pas une priorité, ça reste de côté...
[^] # Re: reiserfs ?
Posté par reno . Évalué à 2.
[^] # Re: reiserfs ?
Posté par Fabien Penso (site web personnel, Mastodon) . Évalué à -9.
[^] # Re: reiserfs ?
Posté par push . Évalué à 1.
[^] # Re: reiserfs ?
Posté par Yohann (site web personnel) . Évalué à 1.
[^] # Re: reiserfs ?
Posté par Xavier Teyssier (site web personnel) . Évalué à 1.
# Commentaire supprimé
Posté par Anonyme . Évalué à 6.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: Sortie d'OpenBSD 3.7
Posté par Guillaume POIRIER . Évalué à 4.
Permet-moi de ne pas partager ton point de vue.
Ton débutant sous Linux, il ne sait pas par quel bout prendre la plupart des problèmes auxquel il doit faire face, et veut avant toute chose avoir un truc qui marche. Rien que la connection à internet, que tu mets en avant pour accéder à la documentation, c'est un truc qui peut rapidement devenir un cauchemard (par exemple, s'il est coincé avec un winmodem, etc...
Je n'aime pas dire ça, mais je trouve que ton commentaire est élitiste et inutile.
tu ne peux pas demander à un débutant d'avoir les connaissances d'un administrateur réseau, cible de choix d'OpenBSD.
Je ne suis pas en train de prétendre qu'on ne peut pas utiliser OpenBSD comme machine de bureau, mais plutôt que tout comme c'est inutile de conduire un 4x4 en centre ville, c'est déraisonnable de mettre un débutant complet devant OpenBSD sous prétexte que c'est super sécurisé.
Tu remarquera d'ailleurs que des distributions Linux existent déjà avec la philosophie OpenBSD, et que la plupart disposent d'une installation minimale ou/et de type "serveur" limitant les programmes installés par défaut.
Pour conclure, je dirais qu'une des plus grandes contributions d'OpenBSD au libre, c'est d'avoir fait prendre conscience aux gens comme toi et moi que la sécurité se joue autant à la conception qu'au déploiement des systèmes.
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 6.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: Sortie d'OpenBSD 3.7
Posté par gnumdk (site web personnel) . Évalué à 4.
> Web ou un serveur de mail n'est pas une tâche aussi anodine
C'est bien pour ca que je pense qu'un firewall sur un pc n'a rien à y faire. Je suis horrifier de voir des distribution Linux installer plein de services réseaux lors d'une install par défaut, on se croierait sous Windows!
Apres, on va me dire que sans firewall, ils existent des techniques pour prendre la main sur une machine qui n'a aucun services réseaux(en attaquant la couche ip de l'OS j'imagine), mais à ce moment la, je répond que meme avec un firewall, il existe des technique pour faire la meme chose: en s'attaquant au firewall. Donc bon, pour un pc de bureau, la parano a des limites.
[^] # Re: Sortie d'OpenBSD 3.7
Posté par Gniarf . Évalué à 2.
sales cons.
[^] # Re: Sortie d'OpenBSD 3.7
Posté par erik_lallemand . Évalué à 3.
Pour moi, un débutant veut pouvoir envoyer et recevoir des mails et basta. Un débutant ne sait pas ce que c'est qu'un serveur de mails et il trouve ca casse-pieds de recevoir 3 tonnes d'explications pour pouvoir envoyer des emails. Sur sa boite mail sur internet, il a juste à rentrer son login/password et c'est tout.
[mode=cynique]
Enfin... moi je parle d'utilisateurs débutants d'ordinateurs. Vous parliez peut-être d'administrateurs débutants?
[/mode]
[^] # Re: Sortie d'OpenBSD 3.7
Posté par gnumdk (site web personnel) . Évalué à -1.
Il se fout de la gueule de OpenBSD en disant que si on *bloque* *tous* les ports, ben apres t'as l'air fin pour aller chercher de la doc sur le net. C'etait donc de l'humour, enfin je pense, et apparement ca n'a pas été compris.
Apres, reste à savoir si le *tous* les ports sous OpenBSD vaut en entrée uniquement ou aussi en sortie :)
[^] # Re: Sortie d'OpenBSD 3.7
Posté par gnumdk (site web personnel) . Évalué à -1.
Sinon, pour répondre à Linuce à ce moment la, meme en bloquant les ports en entré pour un débutant, tu te retrouves rapidement avec des problemes: genre mldonkey par exemple.
Et configurer une firewall pour un débutant, c'est loin d'être évidant. Suffit de voir avec la SP2 de XP, si ca marche pas, les gens virent le firewall, ils vont pas voir plus loin...
[^] # Ports ouverts ou fermés ?
Posté par Beurt . Évalué à 3.
Mais je n'ai pas trouvé le GUI clair et ergonomique qui permette aux neus-neus, comme moi, de ne pas passer des heures à configurer son firewall avec la peur d'y retoucher ensuite tellement c'était un calvaire.
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 3.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: Ports ouverts ou fermés ?
Posté par herodiade . Évalué à 6.
Pour rester dans le sujet: c'est peut être l'occasion de tester le firewall d'OpenBSD (pf), dont la syntaxe est vraiment très claire (plus qu'iptables, je trouve).
Un exemple de firewall complet qui n'autorise que le web et le ssh en entrée depuis l'exterieur (l'interface externe est ici tun0) et qui autorise et NAT le traffic du lan ; bref un exemple classique d'une passerelle SOHO simple (ce qui interesse généralement les débutants):
# on nat vers l'exterieur
nat on tun0 inet from any to any -> (tun0)
# on autorise le ssh et http en entrée ("in") pour tout le monde
pass in quick proto tcp from any to any port { ssh, www }
# on autorise en entrée tout ce qui n'arrive pas sur l'interface ext
# (autrement dit tout ce qui vient du lan)
pass in quick on ! tun0 all
# on autorise tout en sortie ("out"). "keep state" signifie en gros:
# on autorise aussi les réponses à nos requettes.
pass out quick all keep state
# on bloque le reste du traffic entrant
block in all
Ça vaut bien toutes les GUI du monde, une telle syntaxe, non ? ;)
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 5.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: Ports ouverts ou fermés ?
Posté par herodiade . Évalué à 2.
Celui qui veut monter un lan avec une passerelle, il doit bien savoir ce qu'est une adresse ip et un lan quand même !
Le béotien complet administrant uniquement son propre poste de travail peut faire, sans chercher à comprendre:
echo "pass out quick all keep state" > /etc/pf.conf
echo "block in all" >> /etc/pf.conf
echo "pf=YES" >> /etc/rc.conf.local
Et il a un firewall sur son poste de travail.
Celà dit, pour une utilisation en workstation, il risque de trouver OpenBSD un peu rugeux sur d'autres aspects ;)
[^] # Re: Sortie d'OpenBSD 3.7
Posté par herodiade . Évalué à 6.
> Et dire que c'est pourtant la base même.
En fait OpenBSD laisse aussi plein de ports ouverts par défault (le propos de la dépèche pourrait laisser penser l'inverse).
Cependant ce n'est pas "la base même" d'une bonne sécurité à mon avis.
Ce qui est important c'est plutôt que ce qui est ouvert est très robuste et controlé: audité, sans cesse ré-audité, adjoint de techniques de mitigation des problèmes potentiels, de protections de la VM (propolice, W^X ...), politiques de developpement et de style ultra strictes, parti pris du minimalisme, tris des developpeurs sur le volet etc. ; la preuve en est le slogan sur le site d'Open : "Only one remote hole in the default install, in more than 8 years!", en dépit desdits ports ouverts.
Bref, et c'est un peu ce qui est propre aux BSD par rapport aux distributions GNU/Linux (même Gentoo), les devs travaillent vraiment à partir de et sur les sources: s'ils ne les écrivent pas toutes eux-mêmes (par exemple quand ils intégrent sendmail ou bind dans leurs cvs) il les relisent, ajoutent quasi systèmatiquement des sécurisations dans le code importé (strlcpy/strlcat, privsep, chrootage ...) etc.
Ce processus ne concerne que le système de base (il y a déjà de quoi faire un serveur web, mail ou un firewall celà dit), pas les ports et packages (qui eux sont souvent maintenus à la façon linuxienne, en patchant suffisament pour que ça marche, et en testant ensuite).
[^] # Re: Sortie d'OpenBSD 3.7
Posté par matt756 . Évalué à 2.
Mais je crois que tout le monde ici confond un peu ports ouverts et daemon qui fonctionnent...
Le firewall d'OpenBSD n'est pas activé par defaut, ça a déjà été discuté sur les mailings lists et il n'en est pas question.
OpenBSD ne bloque absolument pas les ports, les services d'une faible utilité pour un système de base sont tout simplement desactivés : rien à voir avec "bloquer" un port.
C'est à relativiser, ce slogan ne concerne que les failles distantes (en excluant ssh) dans l'installation par defaut, et sur la branche de développement. Mais de toute façon, les failles de sécurité découvertes dans OpenBSD sont bien moins nombreuses que les autres BSD (je ne parle même pas de linux...). Et alors que la plupart des autres systèmes peuvent rencontrer des failles de secu, elles ne sont souvent que des "reliability fix" sous OpenBSD.
[^] # Re: Sortie d'OpenBSD 3.7
Posté par ouah (site web personnel) . Évalué à 0.
C'est plutôt emmerdant, parce que du coup il reste plus qu'apache par défaut, et évidemment le "Only one remote hole" se trouvait dans apache.
Franchement, ce slogan "Only one remote hole" est ridicule et ils feraient mieux de le virer.
[^] # Re: Sortie d'OpenBSD 3.7
Posté par ouah (site web personnel) . Évalué à 1.
Pour mémoire, le fameux exploit de Gobbles s'appelait sshutup-theo :)
[^] # Re: Sortie d'OpenBSD 3.7
Posté par herodiade . Évalué à 2.
http://www.openbsd.org/cgi-bin/cvsweb/~checkout~/src/etc/inetd.conf(...)
ça en fait encore quelques uns quand même (identd, daytime, ...).
Mais en effet, j'ai repris l'expression approximative du post en amont ("ports ouverts") ; "il y a des services qui écoutent sur le réseau dans l'installation de base" serait plus aproprié. Bref, il y a des services réseau actifs par défaut.
C'est à relativiser, ce slogan ne concerne que les failles distantes (en excluant ssh) dans l'installation par defaut, et sur la branche de développement.
Distantes, bien sûr, c'est ce que dit le "remote" du slogan. Ssh n'est pas exclu vu que la faille dont il est question c'était justement dans openssh. Le fait que ça ne concerne que la branche de dev, j'étais pas au courant ; tu en es sûr ? (ça me semble un peu douteux en fait...).
[^] # Re: Sortie d'OpenBSD 3.7
Posté par matt756 . Évalué à 2.
4 serveurs inetd (ident, comsat, daytime et time) et sendmail (uniquement en localhost), ça ne fait vraiment pas beaucoup de services réseau dans une install de base. sshd et ntpd étant activés seulement si on le désire à l'install.
Exact, le but de toute façon sera toujours d'avoir un système pleinement utilisable par defaut, pas une box coupée du monde... OpenBSD n'active pas ce qui n'est pas indispensable, c'est tout... Après pour une utilisation desktop, dites moi de quoi de plus il y a besoin ? X bien entendu, et quelques autres daemons disponibles dans les ports, mais pour un système pleinement utilisable, il n'y a pas besoin de rajouter autre chose... c'est la la grande force d'OpenBSD.
Pour la faille, exact, je confondais avec la faille de FoZzy qui elle est locale. Mais les patchs de securité sur les branches stables sont toujours backportés à partir de -current sur laquelle est fait tout le travail. Mis à part certains rares cas (petites erreurs humaines), -current est souvent plus et plus vite à jour (voir l'article de FoZzy dans Hackerz Voice lorsque sq faille a été découverte).
Mais bon c'est toujours pareil, ce slogan on lui fait dire un peu ce que l'on veut. Quoi qu'il en soit, cela fait plus de 10 ans qu'OpenBSD montre la route à suivre...
[^] # Re: Sortie d'OpenBSD 3.7
Posté par patrick_g (site web personnel) . Évalué à -1.
et sur la qualité et la propreté du code ? j'ai souvent entendu dire qu'OpenSSH était très très gruiiik ?
[^] # Re: Sortie d'OpenBSD 3.7
Posté par TuxPierre . Évalué à 2.
La version OpenBSD a l'air "clean" mais l'autre n'est qu'une version adaptée. Ex : pour la génération de nombres pseudo aléatoires, OpenSSH utilise les appels systèmes OpenBSD (et d'après ce qu'il se dit, il possède un générateur plutot robuste !!). Problème : pour les versions portables, il faut s'adapter au système sur lequel on le porte.
Deuxième problème en vue : OpenSSh s'appuie sur OpenSSL. Si jamais une faille est trouvée dans cette librairie, il y a de forte chance pour que cela se répercute sur OpenSSH.
source : http://www.miscmag.com/articles/full-page.php3?page=105(...) dans la section Implementation OpenSSH.
[^] # Re: Sortie d'OpenBSD 3.7
Posté par matt756 . Évalué à 1.
Pour OpenSSH, les deux versions permettent à mon avis d'avoir quelque chose de plus propre et plus robuste, que ce soit dans OpenBSD ou ailleurs.
La version principale est faite pour OpenBSD, et ensuite elle est adaptée aux autres systèmes.
D'une part ça peut inciter les autres à aller dans le sens D'OpenBSD (/dev/random, strlcpy, strlcat, ...), et ensuite un code designé pour une seule plateforme est beaucoup plus simple à auditer.
[^] # Re: Sortie d'OpenBSD 3.7
Posté par herodiade . Évalué à 8.
J'ai entendu dire ça ... mais toujours par des developpeurs NetBSD. Quand on connait les rapports conflictuels (c'est peut dire !) des communautés Net et Open, on reste très sceptique sur les propos des afficionados d'un système sur l'autre système. Après je ne suis pas qualifié pour juger de sa qualité malheureusement.
OpenSSH est developpé au coeur d'Open (dans le cvs principal + les ajouts de -portable, mais c'est secondaire). Ce qui signifie qu'il bénéficie d'une politique de developpement solide (très éloignée du "oh, un patch qui marche, hop je le commit"), à savoir les exigences imposés aux devs OpenBSD:
- relecture et validation quasiment systèmatique de tout code par un ou plusieurs autres developpeurs avant commit. Ces developpeurs, avec le temps, sont devenus des spécialistes de l'audit sécurité et de la relecture.
- respect de normes de codage ultra strictes (style(9) mais aussi utilisation de fonctions protégées et banissement des fonctions sensibles comme sprintf/strcpy/strcat/... etc.) sous peine de rejet du commit.
- filtrage sérré des contributeur: seuls ceux qui ont faire leurs preuves, par exemple en trouvant et corrigeant pleins de bugs, en produisant du code très propre ..., sont susceptibles d'être acceptés.
- relecture, grep -r, et modification/protection du code chaque fois qu'une nouveau type générique de faille est découvert, ou par séries thématique (eg, problèmes sur les manips de chaines, sur la gestion des signaux, sur le test des codes de retours de snprintf(3), ...), l'arbre des sources étant régulierement nettoyé de ces "oddities" ou de méthodes de programmations dont on découvre qu'elles étaient imprafaites.
- fonctionnement et tests en environnement protégé (eg. /etc/malloc.conf -> AJFG, propolice etc.) pour detecter rapidement les possibles debordements de mémoire.
- évolution très conservatrice et incrémentale (commits par petits patches, refus des ajouts de fonctionalités trop hardies ...).
- design devant permettre un fonctionnement sécurisé (séparation des privilèges pour les daemons, pas d'IPv6 mappé en IPv4, ...).
Donc il est improbable que le code soit sale ; d'autant que le soft tourne sur un paquet de machines (Linux, *BSD, Cisco et autres unix) depuis longtemps déjà ; les problèmes de sécurité remontent vite dans ces conditions, et ils ont été peut nombreux (on peut imaginer qu'OpenSSH est dans la ligne de mire de la plupart des hackers en herbe, vu son utilité stratégique et sa grande diffusion).
[^] # Re: Sortie d'OpenBSD 3.7
Posté par patrick_g (site web personnel) . Évalué à 2.
Je comprends mieux la politique sécurité d'OpenBSD et je vois maintenant ce qui différencie ce système des autres.
[^] # Re: Sortie d'OpenBSD 3.7
Posté par Anonyme . Évalué à 3.
[^] # Re: Sortie d'OpenBSD 3.7
Posté par Krunch (site web personnel) . Évalué à 2.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.