Sortie d'OpenBSD 3.7

Posté par (page perso) . Modéré par Christophe Guilloux.
Tags : aucun
0
18
mai
2005
OpenBSD
Comme tous les six mois voici la nouvelle version du système d'exploitation OpenBSD dont la sortie est prévue officiellement pour demain afin de coïncider avec l'anniversaire du leader du projet Theo de Raadt (qui aura 37 ans d'où l'astuce).
Cet OS appartient à la famille des systèmes BSD (aux côtés de FreeBSD, NetBSD, DragonFlyBSD) qui, au delà des disparités techniques, diffèrent du système GNU/Linux par leur licence. Celle-ci est parfaitement libre mais elle n'intègre pas de clause de copyleft comme la licence GPL. Une firme produisant du code propriétaire est ainsi autorisée à inclure du code BSD dans ses logiciels.
Le projet OpenBSD se concentre sur la réalisation d'un système extrêmement sécurisé, et pratique intensivement l'audit du code. Il intègre massivement la cryptographie et pratique une politique de sécurité par défaut qui oblige l'administrateur à autoriser explicitement l'ouverture de certains ports pour éviter aux débutants de faire des erreurs et de laisser béantes des failles potentielles de sécurité. Quelques nouveautés de la version 3.7 :

* Support de deux nouvelles plare-formes (OpenBSD/Zaurus et OpenBSD/SGI).
* De nombreuses cartes WiFi et adaptateurs USB voient leur support amélioré.
* Le démon FTP est sécurisé par une séparation des privilèges.
* Le démon NTP s'ajuste lors de son lancement.
* Le démon bgpd qui gère les tables de routage du réseau s'intègre mieux avec le protocole CARP qui s'occupe de la redondance des serveurs.
* Le gestionnaire des packages est profondément revu et ses performances améliorées.

A noter que du 21 au 28 Mai se tiendra à Calgary (Canada) la réunion annuelle des développeurs OpenBSD (environ 60 personnes du monde entier y assisteront). Ce Hackathon est un événement important pour l'avancement du projet car beaucoup de travail est effectué lors de cette réunion (le mot d'ordre est d'ailleurs "Shut up and hack").
Le site KernelTrap propose un article intéressant sur l'avis de plusieurs membres du team OpenBSD au sujet du Hackathon et sur les directions de travail qui sont envisagées.

Aller plus loin

  • # trop bien cte distrib

    Posté par . Évalué à -6.

    Je suis à 100% pour 100% pour open bsd, vraiment un concept qui me plait.

    dommage que cela reste par ailleurs reservé quelque peu à une elite, ca aurait ete bien de le rendre un peu plus sympa à l'install...
    • [^] # Re: trop bien cte distrib

      Posté par . Évalué à -1.

      Je suis à 100% pour une bonne utilisation de la langue française.
      Dommage que ce soit aussi, apparemment, réservé à une certaine élite.
      • [^] # Re: trop bien cte distrib

        Posté par . Évalué à -4.

        100 % a coté de la plaque.
      • [^] # Re: trop bien cte distrib

        Posté par . Évalué à 0.

        vous me fatiguez avec vos fautes d'ortho !
        A chaque fois ça fou la merde dans les forums.
        Ok, il a faitune vilaine faute, et alors ????
        T'es pas content, ben tu fermes les yeux.
        Aller, je suis ready pour avoir mon -10 !
  • # Release Songs

    Posté par (page perso) . Évalué à 6.

    A ne pas oublier, un petit lien vers la traditionnelle chanson accompagnant les sorties ; celle de la version 3.7 est intitulée "Wizard of OS" !

    ftp://ftp.openbsd.org/pub/OpenBSD/songs/song37.ogg(...)
    http://www.openbsd.org/lyrics.html(...)
    • [^] # Re: Release Songs

      Posté par . Évalué à 1.

      Celle ci fait très Pink Floyd...
      • [^] # Re: Release Songs

        Posté par . Évalué à 9.

        C'est effectivement une chanson indéniablement inspirée par les Floyds et plus particulièrement par leur album Dark Side of the Moon.
        Pour ceux qui ne connaitrait pas le rapport entre The Wizard of Oz et cet album, il y a une expérience sympa à faire : lancez le film du magicien d'Oz sans le son et au 3eme rugissement du lion de la MGM (que vous voyez faute de l'entendre) lancez l'album des Floyds. C'est pas toujours probant mais il y a nombre de détails troublants ...
        • [^] # Re: Release Songs

          Posté par . Évalué à 3.

          Ouaiiiis
          Baba-cool Sofware Development

          Heuh, la porte ?
          Ouais, la porte !

          Ok, je sors...

          Oh poussez pas !

          Il se prend pour Napoléon, son état empire.

    • [^] # Re: Release Songs

      Posté par . Évalué à 1.

      J'ai déja écouté et curieusement celle-ci je n'aime pas..

      Je dis curieusement car toutes les versions précédentes m'ont toujours bluffé par leur qualité.. Je les ai même sur mon baladeur MP3!
  • # Une chanson, une chanson...

    Posté par . Évalué à 1.

    ben ? Je n'en crois pas mes yeux ? On parle de la sortie d'OpenBSD sans parler de l'OpenBSD song qui l'accompagne ???
    Pour la 3.7 ce sera The Wizard of OS: http://www.openbsd.org/lyrics.html#37(...) , à vos écouteurs !
  • # reiserfs ?

    Posté par (page perso) . Évalué à -2.

    Ouaip, c'est un bon OS mais un peu lent.

    A quand la lecture (voire écriture) sur reiserfs dans les BSD ???
    • [^] # Re: reiserfs ?

      Posté par . Évalué à 4.

      Y'a eu un journal à ce sujet: http://linuxfr.org/~grom/18084.html(...)
      C'est en route!
      • [^] # Re: reiserfs ?

        Posté par (page perso) . Évalué à 3.

        Et xfs? Y'avais eu un début de projet pour le support xfs sous *BSD, ca n'existe plus, alors le support reiserfs, je me méfie un peu ;)

        Mais c'est vrai que ca serait la seul condition pour avoir un BSD chez moi, le support de xfs, pour l'instant, j'ai FreeBSD au taf mais sur mon pc, c'est hors de question si j'ai pas accès à mes données...
        • [^] # Re: reiserfs ?

          Posté par (page perso) . Évalué à 6.

          Peut être vous pouvez éclaircir un point que je ne comprends pas :
          Autant que les systèmes d'exploitation issus du monde libre aient du mal à lire/écrire sur des types de partitions au format propriétaire (NTFS par exemple), ça me parait logique, les spécifications de celles-ci n'étant pas disponible.

          Mais, je suppose que les spécifications de reiserfs sont diffusées, or apparement OpenBSD ne les lit pas. De même, malgré le peu d'expérience que j'ai sur les systèmes *BSD, le format de partitions qu'ils proposent par défaut (en tout cas sur FreeBSD, UFS non ?) n'est pas accessible en écriture sous GNU/Linux. (j'espère que je ne dis pas de bétises).

          Je comprends pas pourquoi, vu que pour les développeurs ça doit être plus facile à programmer, et c'est aussi, je pense, dans l'intérêt de tous ces systèmes.
          C'est qu'il manque de dévellopeurs ? C'est le résultat d'une 'guerre' de licences ? (j'espère que ça ne va pas jusque là :) ) ? Ce n'est juste pas une priorité ? Quelqu'un sait t-il ?
          • [^] # Re: reiserfs ?

            Posté par (page perso) . Évalué à 5.

            Autant que les systèmes d'exploitation issus du monde libre aient du mal à lire/écrire sur des types de partitions au format propriétaire (NTFS par exemple), ça me parait logique, les spécifications de celles-ci n'étant pas disponible.

            Oui, mais non. Dans le cas du NTFS, les developpeurs ont déjà dit avoir toutes les docs necessaires, c'est juste le temps qui manque.

            Quand au support d'autres types de partitions, s'ils se font attendre, je suppose que c'est pour la même raison : il n'y a pas assez de dev, et comme ce n'est pas une priorité, ça reste de côté...
          • [^] # Re: reiserfs ?

            Posté par . Évalué à 2.

            Et bien c'est comme tout dans le libre, si cela n'interresse pas des developpeurs, cela ne va pas se faire tout seul..
      • [^] # Re: reiserfs ?

        Posté par (page perso) . Évalué à -9.

        Déjà que Linux est en retard par rapport à Windows et à Tiger, si BSD est même pas au même niveau d'avancement que Linux, ils vont avoir du mal à suivre...
  • # Sortie d'OpenBSD 3.7

    Posté par . Évalué à 6.

    > une politique de sécurité par défaut qui oblige l'administrateur à autoriser explicitement l'ouverture de certains ports pour éviter aux débutants de faire des erreurs et de laisser béantes des failles potentielles de sécurité.

    Et dire que c'est pourtant la base même. L'idéal sera un jour que toute les distributions Linux comprennent que par défaut, il faut *bloquer* tous les ports pour ne laisser ouvert que ce que l'utilisateur a sciemment décider d'ouvrir. Car après tout, un novice qui installe Linux, la première chose qu'il fait pour se documenter, c'est de se connecter à Internet pour accéder à de l'aide ou de la documentation.

    « Je vous présente les moines Shaolin : ils recherchent la Tranquillité de l'Esprit et la Paix de l'Âme à travers le Meurtre à Main Nue »

    • [^] # Re: Sortie d'OpenBSD 3.7

      Posté par . Évalué à 4.

      Et dire que c'est pourtant la base même. L'idéal sera un jour que toute les distributions Linux comprennent que par défaut, il faut *bloquer* tous les ports pour ne laisser ouvert que ce que l'utilisateur a sciemment décider d'ouvrir. Car après tout, un novice qui installe Linux, la première chose qu'il fait pour se documenter, c'est de se connecter à Internet pour accéder à de l'aide ou de la documentation.

      Permet-moi de ne pas partager ton point de vue.
      Ton débutant sous Linux, il ne sait pas par quel bout prendre la plupart des problèmes auxquel il doit faire face, et veut avant toute chose avoir un truc qui marche. Rien que la connection à internet, que tu mets en avant pour accéder à la documentation, c'est un truc qui peut rapidement devenir un cauchemard (par exemple, s'il est coincé avec un winmodem, etc...

      Je n'aime pas dire ça, mais je trouve que ton commentaire est élitiste et inutile.

      tu ne peux pas demander à un débutant d'avoir les connaissances d'un administrateur réseau, cible de choix d'OpenBSD.
      Je ne suis pas en train de prétendre qu'on ne peut pas utiliser OpenBSD comme machine de bureau, mais plutôt que tout comme c'est inutile de conduire un 4x4 en centre ville, c'est déraisonnable de mettre un débutant complet devant OpenBSD sous prétexte que c'est super sécurisé.

      Tu remarquera d'ailleurs que des distributions Linux existent déjà avec la philosophie OpenBSD, et que la plupart disposent d'une installation minimale ou/et de type "serveur" limitant les programmes installés par défaut.

      Pour conclure, je dirais qu'une des plus grandes contributions d'OpenBSD au libre, c'est d'avoir fait prendre conscience aux gens comme toi et moi que la sécurité se joue autant à la conception qu'au déploiement des systèmes.
      • [^] # Re: Sortie d'OpenBSD 3.7

        Posté par . Évalué à 6.

        > Ton débutant sous Linux, il ne sait pas par quel bout prendre la plupart des problèmes auxquel il doit faire face, et veut avant toute chose avoir un truc qui marche.

        Le fait de proposer une configuration où les ports sont bloqués par défaut n'empêche pas d'avoir un système qui marche.

        Rien que la connection à internet, que tu mets en avant pour accéder à la documentation, c'est un truc qui peut rapidement devenir un cauchemard (par exemple, s'il est coincé avec un winmodem, etc... Je n'aime pas dire ça, mais je trouve que ton commentaire est élitiste et inutile.

        Le fait de proposer une configuration où les ports sont bloqués par défaut n'entrave en rien la configuration d'un modem pour se connecter à Internet, ou de tout autre périphérique.

        Je n'aime pas dire ça, mais je trouve que ton commentaire est élitiste et inutile.

        Mon commentaire n'est pas élitiste, bien au contraire : il n'y a rien d'élitiste à vouloir proposer un système raisonnablement sécurisé de base pour protéger le débutant en attendant qu'il décide, par l'acquisition supplémentaire de connaissance, d'ouvrir ce qui lui plaît de sa propre initiative.

        Ou alors irais-tu jusqu'à dire que Windows avec le pare-feu activé par défaut est une décision élitiste de la part de Microsoft ? Quand Microsoft ne le faisait pas, j'entendais des gens crâcher dessus sur l'absurdité de leur choix de laisser tout ouvert alors qu'un pare-feu existait.

        En cela, je ne vois pas en quoi Linux avec sa tradition de sécurité issue du monde Unix serait une exception, d'autant qu'il existe une pléthore de système de pare-feu assez simple à utiliser et à comprendre pour le débutant comme l'expert, genre FireStarter. C'est très loin de l'élitisme tout ça. Si j'avais dit "laissons aux neuneus la responsabilité de sécuriser leur système", tu aurais pu dire que je suis élitiste, mais ce n'est pas le cas ici.

        > tu ne peux pas demander à un débutant d'avoir les connaissances d'un administrateur réseau, cible de choix d'OpenBSD.

        Je ne parle pas de OpenBSD mais de distributions Linux qu'on dit de plus en plus adaptés au grand public. Par ailleurs, le fait de proposer une configuration sécurisée par défaut n'empêchera pas un administrateur d'atteindre ses objectifs. Et un "débutant" doit avoir la chance de comprendre que faire tourner un serveur Web ou un serveur de mail n'est pas une tâche aussi anodine en l'état de ses technologies et des abus dont elles peuvent faire l'objet.

        > Je ne suis pas en train de prétendre qu'on ne peut pas utiliser OpenBSD comme machine de bureau, mais plutôt que tout comme c'est inutile de conduire un 4x4 en centre ville, c'est déraisonnable de mettre un débutant complet devant OpenBSD sous prétexte que c'est super sécurisé.

        Tout à fait. Mais comme je parle de distribution Linux et non pas de OpenBSD, je ne comprends pas cette partie de ton commentaire.

        Enfin, tu remarqueras que la plupart des distribtutions Linux fournissent des logiciels préconfigurés pour éviter les configurations par défaut souvent assez "ouvertes". Pourtant ces distributions sont estampillées "user-friendly" et personne ne les étiquette come élitiste.

        « Je vous présente les moines Shaolin : ils recherchent la Tranquillité de l'Esprit et la Paix de l'Âme à travers le Meurtre à Main Nue »

        • [^] # Re: Sortie d'OpenBSD 3.7

          Posté par (page perso) . Évalué à 4.

          > Et un "débutant" doit avoir la chance de comprendre que faire tourner un serveur
          > Web ou un serveur de mail n'est pas une tâche aussi anodine

          C'est bien pour ca que je pense qu'un firewall sur un pc n'a rien à y faire. Je suis horrifier de voir des distribution Linux installer plein de services réseaux lors d'une install par défaut, on se croierait sous Windows!

          Apres, on va me dire que sans firewall, ils existent des techniques pour prendre la main sur une machine qui n'a aucun services réseaux(en attaquant la couche ip de l'OS j'imagine), mais à ce moment la, je répond que meme avec un firewall, il existe des technique pour faire la meme chose: en s'attaquant au firewall. Donc bon, pour un pc de bureau, la parano a des limites.
          • [^] # Re: Sortie d'OpenBSD 3.7

            Posté par . Évalué à 2.

            ça me fait d'ailleurs assez rire de voir comme commentaire systématique à la sortie de Ubuntu (et de quelques distributions plus rares style Xandros) "putain mais y'a pas de firewall par défaut mais putain ce sont des inconscients comment on peut sortir une distribution en 2004/2005 sans un firewall configuré par défaut" etc etc etc

            sales cons.
          • [^] # Re: Sortie d'OpenBSD 3.7

            Posté par . Évalué à 3.

            > Et un "débutant" doit avoir la chance de comprendre que faire tourner un serveur
            > Web ou un serveur de mail n'est pas une tâche aussi anodine

            C'est bien pour ca que (...)

            Pour moi, un débutant veut pouvoir envoyer et recevoir des mails et basta. Un débutant ne sait pas ce que c'est qu'un serveur de mails et il trouve ca casse-pieds de recevoir 3 tonnes d'explications pour pouvoir envoyer des emails. Sur sa boite mail sur internet, il a juste à rentrer son login/password et c'est tout.
            [mode=cynique]
            Enfin... moi je parle d'utilisateurs débutants d'ordinateurs. Vous parliez peut-être d'administrateurs débutants?
            [/mode]
      • [^] # Re: Sortie d'OpenBSD 3.7

        Posté par (page perso) . Évalué à -1.

        J'ai beau relire le poste de Linuce, je comprend le contraire de ce que tu as compris!

        Il se fout de la gueule de OpenBSD en disant que si on *bloque* *tous* les ports, ben apres t'as l'air fin pour aller chercher de la doc sur le net. C'etait donc de l'humour, enfin je pense, et apparement ca n'a pas été compris.

        Apres, reste à savoir si le *tous* les ports sous OpenBSD vaut en entrée uniquement ou aussi en sortie :)
        • [^] # Re: Sortie d'OpenBSD 3.7

          Posté par (page perso) . Évalué à -1.

          Ah nan, j'avais rien compris, c'est pas grave, je vais me foueter avec des horties ...

          Sinon, pour répondre à Linuce à ce moment la, meme en bloquant les ports en entré pour un débutant, tu te retrouves rapidement avec des problemes: genre mldonkey par exemple.

          Et configurer une firewall pour un débutant, c'est loin d'être évidant. Suffit de voir avec la SP2 de XP, si ca marche pas, les gens virent le firewall, ils vont pas voir plus loin...
          • [^] # Ports ouverts ou fermés ?

            Posté par . Évalué à 3.

            Et configurer une firewall pour un débutant, c'est loin d'être évidant
            Je suis un peu moins débutant qu'avant et ça ne m'est toujours pas évident. Cependant je pense comme Linuce que bloquer tous les ports par défaut peut-être une bonne idée. Il faut alors que l'ouverture des ports soit simple si le besoin s'en fait sentir (sans avoir à tout désactiver comme le font certains en pareil cas).
            Mais je n'ai pas trouvé le GUI clair et ergonomique qui permette aux neus-neus, comme moi, de ne pas passer des heures à configurer son firewall avec la peur d'y retoucher ensuite tellement c'était un calvaire.
            • [^] # Re: Ports ouverts ou fermés ?

              Posté par . Évalué à 3.

              > Mais je n'ai pas trouvé le GUI clair et ergonomique qui permette aux neus-neus, comme moi, de ne pas passer des heures à configurer son firewall avec la peur d'y retoucher ensuite tellement c'était un calvaire.

              Malheureusement, pour rejoindre ce que disait GnuNux, face à cette difficulté, c'est vrai que beaucoup de débutants a tendance à désactiver leur pare-feu pour que "ça marche". Cependant, si tu veux quelque chose de simple et facile à utiliser, tu peux regarder du côté de FireStarter [1] qui possède en plus un très bonne documentation (en anglais) sur sa mise en place [2].

              FireStarter est une application X dont le crédo est : « Linux security does not have to be complex, and simplicity does not have to mean sacrificing power ». Tout en restant simple, il permet de raisonnablement bien sécuriser une machine de bureau (mais pas seulement). La cerise sur le gâtal, c'est qu'il permet aussi le partage de sa connection Internet sans connaître la moindre règle iptables (iptables est le logiciel utilisé pour les règles de pare-feu entre autres) : quant on sait combien cette tâche est assez complexe sous Linux au premier abord, on ne peut que apprécier ce genre de facilité, d'autant que beaucoup de novice veulent partager leur connection aussi facilement que sous Windows.

              Par ailleurs, il contient aussi un moniteur qui permet de suivre en temps réel l'état des connection entrantes et sortantes, ce qui généralement éveille assez la curiosité pour chercher à mieux comprendre ce qui se passe.

              Je pense qu'on peut dire que FireStarter est une sorte de ZoneAlarm pour Linux mais en beaucoup plus accessible et beaucoup plus simple à utiliser une fois qu'il est installé conformément à la documentation.

              Bon soyons honnête, il y a débutant et débutant : le gars qui ne sait pas ce qu'est un port, un service ou une adresse IP ne saura probablement pas se servir de FireStarter, mais ces notions là devraient suffire à pouvoir utiliser FireStarter.

              [1] http://www.fs-security.com/(...)
              [2] http://www.fs-security.com/docs.php(...)

              Note qu'il existe probablement d'autres logiciels dans le genre de FireStarter, mais celui-ci est le seul que j'ai essayé et je l'ai trouvé assez simple et bien adapté aux besoins d'un ordinateur personnel ou d'un petit réseau personnel, que je n'ai pas vraiment chercher "mieux" dans la mesure où il comble la plupart des besoins de base (tout en permettant beaucoup plus pour le connaisseur).

              « Je vous présente les moines Shaolin : ils recherchent la Tranquillité de l'Esprit et la Paix de l'Âme à travers le Meurtre à Main Nue »

            • [^] # Re: Ports ouverts ou fermés ?

              Posté par . Évalué à 6.

              Mais je n'ai pas trouvé le GUI clair et ergonomique qui permette aux neus-neus, comme moi, de ne pas passer des heures à configurer son firewall avec la peur d'y retoucher ensuite tellement c'était un calvaire.


              Pour rester dans le sujet: c'est peut être l'occasion de tester le firewall d'OpenBSD (pf), dont la syntaxe est vraiment très claire (plus qu'iptables, je trouve).

              Un exemple de firewall complet qui n'autorise que le web et le ssh en entrée depuis l'exterieur (l'interface externe est ici tun0) et qui autorise et NAT le traffic du lan ; bref un exemple classique d'une passerelle SOHO simple (ce qui interesse généralement les débutants):


              # on nat vers l'exterieur
              nat on tun0 inet from any to any -> (tun0)

              # on autorise le ssh et http en entrée ("in") pour tout le monde
              pass in quick proto tcp from any to any port { ssh, www }

              # on autorise en entrée tout ce qui n'arrive pas sur l'interface ext
              # (autrement dit tout ce qui vient du lan)
              pass in quick on ! tun0 all

              # on autorise tout en sortie ("out"). "keep state" signifie en gros:
              # on autorise aussi les réponses à nos requettes.
              pass out quick all keep state

              # on bloque le reste du traffic entrant
              block in all


              Ça vaut bien toutes les GUI du monde, une telle syntaxe, non ? ;)
              • [^] # Re: Ports ouverts ou fermés ?

                Posté par . Évalué à 5.

                Euh ... Si je dis à un débutant qu'on va "NATer le traffic du lan avec un passerelle SOHO", à ton avis, il va me répondre (au choix) :

                1) Va caguer à la vigne
                2) Tu veux ta joue sur ma main
                3) Ouais vas-y commence, je vais à la plage
                3) Qu'est ce que Ian Solo vient foutre dans ce bordel ?
                4) Obiwan Kenobi

                Bref, tout ça pour dire un gars qui comprend déjà ce que tu dis, rassures-toi, c'est déjà plus un débutant :)

                « Je vous présente les moines Shaolin : ils recherchent la Tranquillité de l'Esprit et la Paix de l'Âme à travers le Meurtre à Main Nue »

                • [^] # Re: Ports ouverts ou fermés ?

                  Posté par . Évalué à 2.

                  Pour rendre l'exemple un peu plus interessant, j'ai pensé au débutant intermédiaire, qui souhaite administrer un petit réseau.

                  Celui qui veut monter un lan avec une passerelle, il doit bien savoir ce qu'est une adresse ip et un lan quand même !

                  Le béotien complet administrant uniquement son propre poste de travail peut faire, sans chercher à comprendre:

                  echo "pass out quick all keep state" > /etc/pf.conf
                  echo "block in all" >> /etc/pf.conf

                  echo "pf=YES" >> /etc/rc.conf.local

                  Et il a un firewall sur son poste de travail.

                  Celà dit, pour une utilisation en workstation, il risque de trouver OpenBSD un peu rugeux sur d'autres aspects ;)
    • [^] # Re: Sortie d'OpenBSD 3.7

      Posté par . Évalué à 6.

      > > une politique de sécurité par défaut qui oblige l'administrateur à autoriser explicitement l'ouverture de certains ports pour éviter aux débutants de faire des erreurs et de laisser béantes des failles potentielles de sécurité.

      > Et dire que c'est pourtant la base même.


      En fait OpenBSD laisse aussi plein de ports ouverts par défault (le propos de la dépèche pourrait laisser penser l'inverse).

      Cependant ce n'est pas "la base même" d'une bonne sécurité à mon avis.

      Ce qui est important c'est plutôt que ce qui est ouvert est très robuste et controlé: audité, sans cesse ré-audité, adjoint de techniques de mitigation des problèmes potentiels, de protections de la VM (propolice, W^X ...), politiques de developpement et de style ultra strictes, parti pris du minimalisme, tris des developpeurs sur le volet etc. ; la preuve en est le slogan sur le site d'Open : "Only one remote hole in the default install, in more than 8 years!", en dépit desdits ports ouverts.

      Bref, et c'est un peu ce qui est propre aux BSD par rapport aux distributions GNU/Linux (même Gentoo), les devs travaillent vraiment à partir de et sur les sources: s'ils ne les écrivent pas toutes eux-mêmes (par exemple quand ils intégrent sendmail ou bind dans leurs cvs) il les relisent, ajoutent quasi systèmatiquement des sécurisations dans le code importé (strlcpy/strlcat, privsep, chrootage ...) etc.

      Ce processus ne concerne que le système de base (il y a déjà de quoi faire un serveur web, mail ou un firewall celà dit), pas les ports et packages (qui eux sont souvent maintenus à la façon linuxienne, en patchant suffisament pour que ça marche, et en testant ensuite).
      • [^] # Re: Sortie d'OpenBSD 3.7

        Posté par . Évalué à 2.

        Je suis en partie d'accord avec toi.
        Mais je crois que tout le monde ici confond un peu ports ouverts et daemon qui fonctionnent...
        Le firewall d'OpenBSD n'est pas activé par defaut, ça a déjà été discuté sur les mailings lists et il n'en est pas question.
        OpenBSD ne bloque absolument pas les ports, les services d'une faible utilité pour un système de base sont tout simplement desactivés : rien à voir avec "bloquer" un port.

        la preuve en est le slogan sur le site d'Open : "Only one remote hole in the default install, in more than 8 years!"

        C'est à relativiser, ce slogan ne concerne que les failles distantes (en excluant ssh) dans l'installation par defaut, et sur la branche de développement. Mais de toute façon, les failles de sécurité découvertes dans OpenBSD sont bien moins nombreuses que les autres BSD (je ne parle même pas de linux...). Et alors que la plupart des autres systèmes peuvent rencontrer des failles de secu, elles ne sont souvent que des "reliability fix" sous OpenBSD.
        • [^] # Re: Sortie d'OpenBSD 3.7

          Posté par (page perso) . Évalué à 0.

          > C'est à relativiser, ce slogan ne concerne que les failles distantes (en excluant ssh) dans l'installation par defaut, et sur la branche de développement.

          C'est plutôt emmerdant, parce que du coup il reste plus qu'apache par défaut, et évidemment le "Only one remote hole" se trouvait dans apache.

          Franchement, ce slogan "Only one remote hole" est ridicule et ils feraient mieux de le virer.
          • [^] # Re: Sortie d'OpenBSD 3.7

            Posté par (page perso) . Évalué à 1.

            rectification, ce n'était pas la faille de juin 2002 dans Apache (qui n'a pu être comptabilisé vu qu'Apache n'est pas activé par défaut), mais bien celle de ssh 1 mois plus tard qui les a conduit à changer leur slogan.

            Pour mémoire, le fameux exploit de Gobbles s'appelait sshutup-theo :)
        • [^] # Re: Sortie d'OpenBSD 3.7

          Posté par . Évalué à 2.

          OpenBSD ne bloque absolument pas les ports, les services d'une faible utilité pour un système de base sont tout simplement desactivés

          http://www.openbsd.org/cgi-bin/cvsweb/~checkout~/src/etc/inetd.conf(...)
          ça en fait encore quelques uns quand même (identd, daytime, ...).

          Mais en effet, j'ai repris l'expression approximative du post en amont ("ports ouverts") ; "il y a des services qui écoutent sur le réseau dans l'installation de base" serait plus aproprié. Bref, il y a des services réseau actifs par défaut.

          C'est à relativiser, ce slogan ne concerne que les failles distantes (en excluant ssh) dans l'installation par defaut, et sur la branche de développement.

          Distantes, bien sûr, c'est ce que dit le "remote" du slogan. Ssh n'est pas exclu vu que la faille dont il est question c'était justement dans openssh. Le fait que ça ne concerne que la branche de dev, j'étais pas au courant ; tu en es sûr ? (ça me semble un peu douteux en fait...).
          • [^] # Re: Sortie d'OpenBSD 3.7

            Posté par . Évalué à 2.

            http://www.openbsd.org/cgi-bin/cvsweb/~checkout~/src/etc/inetd.conf(...)
            ça en fait encore quelques uns quand même (identd, daytime, ...).


            4 serveurs inetd (ident, comsat, daytime et time) et sendmail (uniquement en localhost), ça ne fait vraiment pas beaucoup de services réseau dans une install de base. sshd et ntpd étant activés seulement si on le désire à l'install.

            Bref, il y a des services réseau actifs par défaut.


            Exact, le but de toute façon sera toujours d'avoir un système pleinement utilisable par defaut, pas une box coupée du monde... OpenBSD n'active pas ce qui n'est pas indispensable, c'est tout... Après pour une utilisation desktop, dites moi de quoi de plus il y a besoin ? X bien entendu, et quelques autres daemons disponibles dans les ports, mais pour un système pleinement utilisable, il n'y a pas besoin de rajouter autre chose... c'est la la grande force d'OpenBSD.

            Pour la faille, exact, je confondais avec la faille de FoZzy qui elle est locale. Mais les patchs de securité sur les branches stables sont toujours backportés à partir de -current sur laquelle est fait tout le travail. Mis à part certains rares cas (petites erreurs humaines), -current est souvent plus et plus vite à jour (voir l'article de FoZzy dans Hackerz Voice lorsque sq faille a été découverte).
            Mais bon c'est toujours pareil, ce slogan on lui fait dire un peu ce que l'on veut. Quoi qu'il en soit, cela fait plus de 10 ans qu'OpenBSD montre la route à suivre...
            • [^] # Re: Sortie d'OpenBSD 3.7

              Posté par (page perso) . Évalué à -1.

              >> Quoi qu'il en soit, cela fait plus de 10 ans qu'OpenBSD montre la route à suivre...

              et sur la qualité et la propreté du code ? j'ai souvent entendu dire qu'OpenSSH était très très gruiiik ?
              • [^] # Re: Sortie d'OpenBSD 3.7

                Posté par . Évalué à 2.

                Apparemment le problème de OpenSSH est qu'il y a deux versions : la version OpenBSD et la version "portable" (celle signalée avec un p sur le site officiel).
                La version OpenBSD a l'air "clean" mais l'autre n'est qu'une version adaptée. Ex : pour la génération de nombres pseudo aléatoires, OpenSSH utilise les appels systèmes OpenBSD (et d'après ce qu'il se dit, il possède un générateur plutot robuste !!). Problème : pour les versions portables, il faut s'adapter au système sur lequel on le porte.

                Deuxième problème en vue : OpenSSh s'appuie sur OpenSSL. Si jamais une faille est trouvée dans cette librairie, il y a de forte chance pour que cela se répercute sur OpenSSH.

                source : http://www.miscmag.com/articles/full-page.php3?page=105(...) dans la section Implementation OpenSSH.
              • [^] # Re: Sortie d'OpenBSD 3.7

                Posté par . Évalué à 1.

                Je parle de tout, qualité du code, audit permanent, gestion du projet, ...
                Pour OpenSSH, les deux versions permettent à mon avis d'avoir quelque chose de plus propre et plus robuste, que ce soit dans OpenBSD ou ailleurs.
                La version principale est faite pour OpenBSD, et ensuite elle est adaptée aux autres systèmes.
                D'une part ça peut inciter les autres à aller dans le sens D'OpenBSD (/dev/random, strlcpy, strlcat, ...), et ensuite un code designé pour une seule plateforme est beaucoup plus simple à auditer.
              • [^] # Re: Sortie d'OpenBSD 3.7

                Posté par . Évalué à 8.

                > et sur la qualité et la propreté du code ? j'ai souvent entendu dire qu'OpenSSH était très très gruiiik ?

                J'ai entendu dire ça ... mais toujours par des developpeurs NetBSD. Quand on connait les rapports conflictuels (c'est peut dire !) des communautés Net et Open, on reste très sceptique sur les propos des afficionados d'un système sur l'autre système. Après je ne suis pas qualifié pour juger de sa qualité malheureusement.

                OpenSSH est developpé au coeur d'Open (dans le cvs principal + les ajouts de -portable, mais c'est secondaire). Ce qui signifie qu'il bénéficie d'une politique de developpement solide (très éloignée du "oh, un patch qui marche, hop je le commit"), à savoir les exigences imposés aux devs OpenBSD:

                - relecture et validation quasiment systèmatique de tout code par un ou plusieurs autres developpeurs avant commit. Ces developpeurs, avec le temps, sont devenus des spécialistes de l'audit sécurité et de la relecture.
                - respect de normes de codage ultra strictes (style(9) mais aussi utilisation de fonctions protégées et banissement des fonctions sensibles comme sprintf/strcpy/strcat/... etc.) sous peine de rejet du commit.
                - filtrage sérré des contributeur: seuls ceux qui ont faire leurs preuves, par exemple en trouvant et corrigeant pleins de bugs, en produisant du code très propre ..., sont susceptibles d'être acceptés.
                - relecture, grep -r, et modification/protection du code chaque fois qu'une nouveau type générique de faille est découvert, ou par séries thématique (eg, problèmes sur les manips de chaines, sur la gestion des signaux, sur le test des codes de retours de snprintf(3), ...), l'arbre des sources étant régulierement nettoyé de ces "oddities" ou de méthodes de programmations dont on découvre qu'elles étaient imprafaites.
                - fonctionnement et tests en environnement protégé (eg. /etc/malloc.conf -> AJFG, propolice etc.) pour detecter rapidement les possibles debordements de mémoire.
                - évolution très conservatrice et incrémentale (commits par petits patches, refus des ajouts de fonctionalités trop hardies ...).
                - design devant permettre un fonctionnement sécurisé (séparation des privilèges pour les daemons, pas d'IPv6 mappé en IPv4, ...).


                Donc il est improbable que le code soit sale ; d'autant que le soft tourne sur un paquet de machines (Linux, *BSD, Cisco et autres unix) depuis longtemps déjà ; les problèmes de sécurité remontent vite dans ces conditions, et ils ont été peut nombreux (on peut imaginer qu'OpenSSH est dans la ligne de mire de la plupart des hackers en herbe, vu son utilité stratégique et sa grande diffusion).
                • [^] # Re: Sortie d'OpenBSD 3.7

                  Posté par (page perso) . Évalué à 2.

                  Merci pour ce mail explicatif.
                  Je comprends mieux la politique sécurité d'OpenBSD et je vois maintenant ce qui différencie ce système des autres.
                • [^] # Re: Sortie d'OpenBSD 3.7

                  Posté par . Évalué à 3.

                  pour mettre plonger dans le code de la version portable, je peux dire que c'est pas gruik du tout, bien au contraire, je me suis tout de suite retrouver facilement dans le code alors que je le lisai pour la premiere fois
    • [^] # Re: Sortie d'OpenBSD 3.7

      Posté par (page perso) . Évalué à 2.

      En fait on dirait que celui qui a rédigé la dépèche s'est quelque peu fourvoyé: http://www.holland-consulting.net/tech/ocep/#svcactive(...)

      pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.