Pour tous les afficionados (et les heureux possesseurs) d'un PDA Sharp Zaurus, vous serez heureux d'apprendre qu'un port d'OpenBSD est en cours sur cette plateforme (basée sur processeur ARM). Ceci sous l'impulsion de Dale Rahn (drahn@openbsd.org).
Pour l'instant, seuls les modèles C-860 et C-3000 sont supportés (NdA : pas mon vieux SL-5000D pour l'instant).
À noter aussi que la distribution Linux OpenZaurus pour Zaurus poursuit son développement. La version 3.5.2 vient de sortir et la 3.5.3 est prévue pour mars 2005.
OpenBGPD est une implémentation libre du protocole BGP (Border Gateway Protocol) version 4. Il permet de transformer une machine en routeur et d'être utilisée pour échanger des routes avec d'autres routeurs utilisant BGP.
La première version officielle d'OpenBGPd vient de sortir et pour l'occasion un site Web dédié a été créé.
Sur le même mode qu'OpenSSH ou OpenNTPd, OpenBGPd est un projet venant de l'équipe de développement du système d'exploitation OpenBSD (particulièrement Henning Brauer) et qui a été intégré à la version OpenBSD 3.6 sortie récemment. Ce projet étant aujourd'hui considéré comme stable, il a droit à un site et une release indépendants.
La toute dernière version d'OpenBSD, la 3.6, est sortie ce 29 octobre, c'est-à-dire avec une légère avance sur la date de sortie initialement prévue (1er novembre).
Parmi les nouveautés marquantes, on peut noter :
- le support d'une nouvelle plateforme : OpenBSD/luna88k ;
- un nouveau démon NTP, réécrit
ex nihilo : OpenNTPd ;
- un optimiseur de règles pour le firewall PF ;
- un nettoyage en profondeur des client et serveur DHCP (avec notamment l'ajout de la séparation des privilèges) ;
- (
NdM : ) un démon hotplugd(8), d'usage similaire à celui de Linux ;
- (
NdM : ) Et surtout, le support du SMP sur les plateformes i386 et AMD64.
Bien entendu, cette mouture d'OpenBSD s'accompagne de son cortège de corrections de bugs, de paquets mis à jour et de nouveaux matériels supportés.
NdM : Dans
cette interview, des développeurs OpenBSD décrivent la plupart des nouveautés marquantes de cette version. Notons que le support SMP utilise, pour des raisons de simplicité et donc de sécurité, un
big kernel lock similaire à celui de Linux 2.0 ou de FreeBSD 4.x.
Comme tous les 6 mois, le numéro de version d'
OpenBSD est incrémenté, des nouveaux CD sont vendus et
une nouvelle chanson est disponible.
Les CD sont disponibles depuis le 1er octobre et la nouvelle version pourra être téléchargée par FTP à partir du 1er novembre. Pour les impatients il est déjà possible d'obtenir cette nouvelle version depuis le CVS.
Parmi
les changements depuis la 3.5, on trouve le support SMP pour i386 et amd64, l'intégration du nouveau
ntpd et d'OpenSSH 3.9 qui supporte le multiplexage de sessions SSH, l'apparition de
hotplugd, de nouvelles fonctionnalités pour
bgpd, toujours plus de séparation de privilèges,
une nouvelle architecture supportée,...
Premier mai oblige, OpenBSD 3.5, l'OS orienté sécurité, est sorti.
Parmi les nouveautés, nous pouvons remarquer :
- trois nouvelles architectures supportées (
amd64,
mvme88k et
cats);
- encore moins d'exécutables setuid root et encore plus de séparations de privilèges;
- de nombreuses améliorations de pf dont une réduction de la taille de la table d'états, le chargement atomique des règles, les "sticky address" et le "source tracking";
- l'introduction de
CARP et pfsync pour utiliser des par-feu redondant et à haute disponibilité;
- la suppression de la limitation des 8 Go du chargeur pour i386 (enfin !);
- et un tas de nouveau drivers, de nouvelles optimisations et, bien sur, des bugfixes.
NdM : merci aussi à BokLM
Pour les utilisateurs d'OpenBSD (et tous ceux qui s'intéressent de près aux nouvelles s'y rapportant), une mauvaise nouvelle confirmée depuis quelques jours : le site Deadly.org / OpenBSD Journal est définitivement fermé.
Ce site était la référence pour la communauté OpenBSD pour les nouvelles des développements, publications de docs et autres news se rapportant à ce fameux OS.
Après quelques jours de flottement (la nouvelle étant publié le 1er avril, le doute subsistait), un nouveau site a pris la relève : "the new OpenBSD journal"
Avec la prochaine sortie d'OpenBSD 3.5 (1er mai 2004), il sera possible de gérer de la haute disponibilité de firewalls basés sur le moteur de filtrage PF (moteur de filtrage standard d'OpenBSD, maintenant aussi intégré à FreeBSD 5.X).
Le développeur OpenBSD (Ryan McBride) présente dans l'article suivant cette fonctionnalité basée sur pfsync (réplication de la tables des connexions actives entre firewalls OpenBSD) et CARP (Common Address Redundancy Protocol, équivalent libre du protocole Cisco VRRP).
Le protocole CARP autorise plusieurs machines à partager la même adresse IP et la même adresse MAC. Il est alors possible de créer un cluster de firewalls redondants mais aussi de gérer un cluster de serveurs Web redondants sans oublier un équilibrage de charge :-)
NdM : je vous invite à écouter le dernier titre musical d'OpenBSD, qui est une comédie musicale abordant ce sujet.
On se souvient tous des inquiétudes suscitées par la nouvelle licence Apache à l'automne ; un gros travail sur le texte avait permis de rassurer la plupart des acteurs du logiciel libre, bien qu'elle reste incompatible avec la GPL (comme la version 1.1). On se souvient également de Mandrake, Debian, RedHat et OpenBSD annonçant leur refus d'intégrer XFree86 4.4 à leurs distributions pour d'autres problèmes de licence.
C'est aujourd'hui au tour de Theo de Raadt, leader et fondateur d'OpenBSD, d'annoncer qu'il n'intégrera pas de code sous licence Apache 2.0 dans OpenBSD. Ce qui signifie que la version d'Apache fournie par OpenBSD sera désormais un fork basé sur les versions sous licence Apache 1.1. Theo ne donne pas plus d'explications quant aux raisons pour lesquelles il juge la nouvelle licence inacceptable, mais se dit lassé des licences libres de plus en plus complexes et contenant de plus en plus de clauses restrictives.
En ce samedi pluvieux, il reste une alternative pour échapper à l'hystérie collective des courses de noël : surfer en ligne sur le "port tree" d'OpenBSD.
Ce faisant on découvre des trucs intéressants, que l'on aurait peut-être laissé passer avec un simple "cd /usr/ports ; make search key=$monport".
Openbsdports.org permet de faire ça avec en outre une vue plongeante sur les fameux poissons-mitrailleurs d'OpenBSD ;-)
Pour les geeks quoi...
La nouvelle version d'OpenBSD est là !
Et on peut trouver dedans un nombre assez important de nouveautés intéressantes concernant la sécurité, en plus des corrections de bugs et ajouts de support de nouveaux materiels ...
Note du modérateur : sans parler de la chanson sur Puffy Hood.
OpenBSD 3.4 devrait sortir le 1er Novembre 2003 si l'on en croit l'annonce parue sur le site openbsd.org.
Parmi les améliorations présentes dans le changelog, on retiendra :
o The i386 architecture has been switched to the ELF executable format.
o ld.so(1) on ELF platforms now loads libraries in a random order for greater resistance to attacks.
o Privilege separation has been implemented for the syslogd(8) daemon, making it much more robust against future errors.
o Several other code generation bugs for RISC architectures fixed.
o More license fixes, including the removal of the advertising clause for large parts of the source tree.
o stateful TCP normalization (prevent uptime calculation and NAT detection)
o Latest KAME IPv6
Oreilly Net propose une interview de plusieurs développeurs OpenBSD (Theo de Raadt, Daniel Hartmeier, Jason L. Wright, le français Miod Vallat et Dale Rahn).
On y apprend comment ils ont intégré le projet qui a la réputation d'être assez fermé, sur quelles parties ils travaillent principalement et quels sont leurs objectifs pour les développements futurs.
Enfin une bonne interview qui éclaire un peu mieux le projet OpenBSD, qui peut paraître pour beaucoup moins transparent que les 2 autres (Free et NetBSD).
Ce 1er mai est sorti une nouvelle version d'OpenBSD, le BSD orienté sécurité de Theo de Raadt (NdM: et son équipe).
Au programme de cette nouvelle version, l'intégration de la technologie de protection de pile ProPolice au compilateur (activée par défaut), l'intégration de W^X (prononcer W xor X pour ceux qui ne parlent pas C couramment) interdisant les pages mémoires à la fois modifiables et exécutables pour limiter les exploitations de débordement de tampon (malheureusement pas encore disponible sur x86, mais ce sera au programme de la prochaine version), et plein d'autres choses.
On en sait un peu plus sur l'arrêt de la bourse pour le développement d'OpenBSD par l'armée américaine. Il semble que ces gens ont peur de l'utilisation des logiciels Open Source (et surtout du travail fait en matière de sécurité) par « l'axe du mal. »
Est-ce le début d'une guerre ouverte du gouvernement américain contre l'Open Source sous prétexte de lutte antiterroriste ?
Et vous, qu'en pensez-vous ? Est-ce que le terrorisme est facilité par le mouvement Open Source ?
NdM : La dépêche étant un peu racoleuse, voici les termes exacts du porte-parole du DARPA : « As a result of the DARPA review of the project, and due to world events and the evolving threat posed by increasingly capable nation-states, the Government on April 21 advised the University to suspend work on the "security fest" portion of the project. » A chacun d'en tirer ses propres conclusions.
DARPA, une branche du DoD américain qui subventionne la recherche et le développement et connue pour avoir subventionné le projet qui a donné naissance à Internet, vient de supprimer une subvention au projet OpenBSD qu'elle avait accordée en 2001.
Aucune raison officielle n'a été donnée pour justifier cette suppression. Mais il semblerait que cette action ferait suite à la position anti-guerre de Theo de Raadt, leader du projet OpenBSD.
GlobeTechnology publie une Interview de Theo de Raadt (NdM : leader du projet OpenBSD), avec des explications sur le financement du DARPA, la philosophie d'OpenBSD vis à vis de cette somme d'argent conséquente.
Il exprime aussi sans hypocrisie son point de vue sur la guerre en cours, et la place d'OpenBSD dans le contexte actuel des systèmes « opensource ».
Suite à la présentation de PF (Packet Filter pour OpenBSD) donnée par son auteur Daniel Hartmeier, le site du LinuxForum 2003 a mis en ligne une vidéo de cette conférence (durée : 50 minutes).
La présentation est en anglais (Daniel se comprend sans problèmes) et on peut la suivre facilement avec les slides joints dans la vidéo. Elle est au format RealVideo (SMIL).
Plein de bonnes choses pour les personnes intéressées par les firewalls et plus particulièrement par PF : présentation génerale, suivi des connexions stateful, optimisation du parcours des règles, compte-rendu d'un benchmark de performance...
Une défaillance dans le binaire lprm (utilitaire pour effacer des travaux partis à l'impression) de OpenBSD rend la possiblité d'exploiter le système avec les privilèges du propriétaire de lprm.
Cependant, depuis OpenBSD 3.2, cet utilitaire appartient à l'utilisateur daemon et non root ce qui limite les possibilités.
Des correctifs sont disponibles.
C'est officiel, le projet MicroBSD est mort, à cause, d'après le développeur, de problèmes de copyrights avec Openbsd. Toutes les données concernant le code source et autres sont enlevées du serveur, et les utilisateurs de MicroBSD sont priés d'installer OpenBSD.
propolice, une extension à gcc pour détecter et empêcher les attaques par débordement de tampon (« buffer overflow »), est en cours d'intégration à OpenBSD.
Il n'y a pas encore de mesure précise du coût en terme de performances mais les tests déjà opérés sur d'autres systèmes sont encourageants.
propolice est fondé sur les même idées que StackGuard. Microsoft® Visual C++® .Net propose également un service du même type.
Bien entendu, ce genre de produit n'est qu'un rempart de plus, avec ses propres failles, cela n'empêche pas d'apprendre à écrire du code sûr.
Après ma dépêche de la semaine dernière sur l'intégration d'ALTQ, PF (le système de filtrage de paquets d'OpenBSD) intègre maintenant la répartition de charge ("load balancing" en anglais) au sein de ses règles de redirection et de NAT.
Cela permet de répartir la charge entre n serveurs identiques situés sur un sous-réseau, par exemple dans le cas d'un portail Web fortement chargé. On retrouve "grosso modo" les mêmes fonctionnalités que dans le projet Linux Virtual Server (le High Availability en moins).
Pour le système OpenBSD, 2 composants essentiels du système de gestion TCP/IP viennent de se rejoindre dans la version de développement : ALTQ (gestion de la bande-passante par service : QoS) et PF (Packet Filter, gestion du firewalling et NAT sur OpenBSD).
En effet, il n'est maintenant plus nécessaire d'avoir des configurations séparées pour ces 2 outils : un seul fichier de syntaxe permet de gérer à la fois le filtrage de paquets (PF) et la bande-passante (ALTQ), voir l'URL pour les exemples.
C'est pour l'instant en développement et peu documenté mais c'est très prometteur pour la gestion de son firewall sous OpenBSD.
OpenBSD 3.2 est disponible depuis quelques heures. Pour l'instant seuls quelques FTP sont à jour (openbsd.org et BSDfr.org entre autres). Parmi les nouveautés on notera de grosses améliorations au niveau de la sécurité (amélioration nécessaires pour que OpenBSD puisse mériter sa réputation de système d'exploitaion le plus sûr).
Andreas Schuldei, qui avait lancé le développement d'un port de Debian pour OpenBSD, a décidé d'abandonner.
[ La principale raison de ce développement était d'améliorer la sécurité. Il semblerait que le niveau de sécurité d'une Debian stable est désormais comparable à OpenBSD et que le non-support du format ELF rend le port difficile. ]
Qui plus est, les logiciels de base du système n'ont pas prouvé qu'ils étaient plus sûrs que ceux d'un système GNU/Linux classique.
En revanche, les ports NetBSD et FreeBSD semblent en assez bonne voie. En effet, la glibc a été portée sur FreeBSD, ce qui permettra d'y porter l'ensemble des outils GNU. Le port NetBSD est bien entendu très prometteur pour obtenir une distribution de Debian sur certaines architectures non supportées par Linux.
Note du modérateur : la partie entre crochets a été réécrite (voir commentaires)
