Les utilisateurs d'OpenBSD auront pu constater récemment des difficultés à se connecter sur le site, ainsi que des retards dans la mise à jour des miroirs CVS.

La cause en est simple : la ligne DSL installée chez Theo de Raadt n'offre plus un service correct (pas loin de 80% de paquets perdus, pour commencer) et son fournisseur fait la sourde oreille aux réclamations.

Compte tenu du ton employé par Theo pour ce genre de correspondance, ce n'est pas si surprenant (même s'il s'agit tout de même d'un manque de respect du client).

Aussi, pour faire comprendre à l'ISP que cette situation exaspère beaucoup de personnes, nous invitons tous les amis d'OpenBSD à contacter poliment l'ISP, et de lui demander de faire évoluer la chose. Plus de précisions, ainsi que les adresses des personnes à contacter, dans le message de Theo sur misc@ dont l'url figure ci-dessous.

Merci de votre soutien.

(Vu sur www.deadly.org)
OpenBSD a ete porté sur ultrasparc (en sparc 64 bits). Ce port est basé sur le port de NetBSD qui est déjà assez vieux (1999). Le portage a commencé en août 2001. Des snapshots sont disponibles, mais ils ne sont pas encore dans un état assez stable pour pouvoir être utilisés en production.

Le numéro d'octobre de LOGIN: propose OpenBSD 2.9 dans une version spéciale (patches + clavier en mode azerty pour l'installation) ainsi que Atheos 0.3.6 (a free desktop operating system under the GPL license). Le CD contient également Anjuta (IDE C/C++), Kdevelop pour FreeBSD, la demo du jeu Kohan et d'autres softs...

Coté magazine, on trouve notamment des articles sur les OS presents sur le CD, un dossier sur la surveillance des réseaux en entreprise, un éclaircissement sur la stratégie d'IBM à propos de Linux et concernant la programmation : Perl, Python, PHP, Rebol...

Ci-joint un lien vers le nouveau logo de la future version d'OpenBSD, la 3.0. Pour rappel, OpenBSD 3.0 devrait être prêt comme à l'accoutumée 6 mois après la sortie de la version actuelle (2.9) c.à.d. le 1er décembre 2001. Beaucoup de goodies dans cette version. Pour vous mettre l'eau à la bouche, quelques nouveautés:
- ALTQ (gestion de la bande passante) est directement integré dans le kernel
- PF, le nouveau firewall embarqué, est plus simple à contrôler que IPF et il est integré au kernel (donc plus rapide ? avis aux experts...)
- SBLive! est maintenant supportée
- Suppression des logiciels (y compris dans la ports collection) dont la licence n'est pas 100% "free"

Les CDs OpenBSD 3.0 peuvent d'ores et déjà être pré-commandés. Les CDs, au nombre de 3 désormais, sont bootables sur 6 architectures: i386, alpha, macppc, hp300, sparc, sparc64 (non vous n'avez pas la berlue, les ultrasparcs sont maintenant supportées).

Outre les nouveautés que j'ai cité auparavant (voir nouvelle précédente):

- XFree 4.1.0
- Gcc 2.95.3 + patches
- Perl 5.6.1 + patches
- KTH Kerberos 1.0.8
- OpenSSH 3.0
- Dernière image du code IPv6 de KAME
- Changements très importants de la FAQ Web et des pages de man.

Alors que la nouvelle release d'OpenBSD (la 3.0) sort en CD le 1er décembre (les nouvelles releases sortent toujours le 1er décembre et le 1er juin, comme ça, au moins c'est clair !!), les miroirs FTP sont déjà à jour :-)

Alors tous à vos downloads et à vos installs !

Dans la série des interview de KernelTrap, cette semaine on a droit à une interview de Theo de Raadt le créateur de OpenBSD. Il nous parle de OpenBSD, de sa philosophie, de IPF, des "soft updates" face aux systèmes de fichiers journalisés et du cycle de développement de OpenBSD.

Cette interview précède de peu la sortie officielle d'OpenBSD 3.0

Bon ce n'est pas Linux, mais l'article est plutot intéressant.

Trouvé sur BSDVault, cet article explique comment utiliser OpenSSH pour acceder aux services POP, SMTP, NNTP à distance si ils sont habituellement bloqués.

Merci à GCU-Squad pour la news.

Note du modérateur: ceci est appliquable aussi à tout Unix qui a ssh installé.

OpenBSD 3.0 était sorti le 1er décembre. On peut maintenant le commander! Les développeurs d'openBSD codent sur leur temps libre. La meilleure façon de les remercier est d'acheter le jeu de 3 CD.
Notez la présence de XFree86-4.1.0 et celle d'openSSH-3.0, pour ce qui est très à jour. Pour ce qui est moins à jour, gcc en est encore à la version 2.95.3. Ce n'est pas plus mal: gcc3 sur Linux et gcc2 sur openbsd pour tester la compatibilite du code avec les deux compilateurs.

Traditionnellement, MySQL a un comportement erratique sous grande charge sur plateforme OpenBSD. L'utilisation CPU peut alors facilement atteindre les 90% et le serveur peut se geler (freeze), le redémarrage restant dès lors l'unique solution. Ces symptomes sont dus aux threads pth utilisés sous OpenBSD et non à MySQL.

Le problème a été résolu dans le -current (post OpenBSD 3.0) en utilisant les threads natifs de l'OS et non plus les threads pth. Ainsi un serveur MySQL bien chargé utilise en moyenne 60 à 70% de CPU avec ces derniers alors qu'après modification (-current), il tourne autour de ...7% !!!

Le howto donné en lien explique très bien comment faire pour baisser la consommation CPU de MySQL. Mais attention, vous aurez comme résultat un OpenBSD 3.0 avec un peu de current dedans. Potentiellement, ceci pourrait causer des problèmes avec d'autres applications.

Darren Reed distribue désormais un OpenBSD avec IPFilter (ipf+ipnat) remis dedans (il avait été enlevé suite à des problèmes de licence).

IPFilter est le filtre de paquets IP (qui gère le NAT aussi) présent dans tous les OpenBSD antérieurs au 3.0. Il est considéré comme mature et stable.
Les nouvelles versions d'OpenBSD (>= 3.0) utilisent pf, un filtre de paquet qui dispose aussi de fonctionnalités NAT, développé au sein d'OpenBSD, et qui est aussi stable et fonctionnel (quelques fonctions supplémentaires par rapport à IPFilter) mais encore jeune.

Le point intéressant derrière cette nouvelle est que pour une fois ça n'a pas dégénéré en trolls et flames sur les listes de diffusions et forums Usenet d'OpenBSD.

Sur OpenBSD, l'authpf introduite (le 1er avril ;-) la notion d'authentification dans son module de filtrage. En gros :

On se connecte (en ssh) sur le firewall. Le pare-feu rajoute des règles, par système et/ou par utilisateur. Si l'utilisateur se déconnecte, le pare-feu lui retire les règles ajoutées.

Imaginons les applications possibles en combinant avec :

* Un serveur Samba/Netatalk
* Un AP pour un réseau en 802b11

Et le top du top serait remplacer l'authentification SSH pour SSL, des volontaires ?

(article honteusement copié d'OpenBSD journal)

Les CDs de la version 3.1 d'OpenBSD seront disponibles plus tôt que prévu. Ils peuvent être désormais réservés en ligne et les livraisons se feront à partir du 19 mai (au lieu du 1er Juin). Une branche 3.1 est désormais disponible sur le CVS (depuis quelque temps déjà !). Theo De Raadt a d'ailleurs appelé les utilisateurs à tester les snapshots disponibles sur les serveurs FTP du projet.

Les CDs sont au nombre de 3 avec un 4ème disponible en iso pour architecture mvme68k.

Une faille de sécurité a été découverte au niveau du programme de mail d'OpenBSD.



Traduction partielle de la page de securiteam :

Le programme /usr/bin/mail accepte les séquences d'échappement lorsqu'il s'éxécute en mode « non interactif »



C'est donc lors d'une exécution par cron que cette faille peut être exploitée. L'utilisateur malveillant peut insérer des séquences d'échappement et ainsi mettre le système en péril.

La version 3.1 d'OpenBSD signe l'arrêt des mises à jours de sécurité pour la branche 2.9-STABLE à partir du 1er juin.

Il est donc recommandé aux utilisateurs de systèmes en 2.9 d'upgrader vers une version plus récente, de preférence la 3.1, qui doit sortir le 19 mai.

Les serveurs rexecd et rlogind ne font désormais plus partie d'OpenBSD. Les clients sont toujours là, pour l'instant.
Les protocoles associés aux r-commandes étant tout sauf sûrs, ils sont supprimés. C'est un pas de plus sur le chemin de la transition complète vers ssh.
Il ne reste plus qu'à se débarrasser des autres protocoles en clair ... Pour un monde meilleur !

Pour tous les mordus de BSD, voici un nouveau site plutot sympa... Il a un peu l'allure de LinuxFR mais parle de OpenBSD, FreeBSD, NetBSD, Darwin et BSDi. C'est en anglais, donc désolé pour les franco-français allergiques à la langue de Shakespeare...

Au menu, on trouvera des tas de news, des liens vers les site des différents BSD, vers de la doc, des discussions, etc...

Une chose amusante : les differentes adresses (openbsd|freebsd|netbsd)forums.org pointent toutes vers bsdforums.org

pf, le pare feu d'OpenBSD, accepte désormais des règles de filtrage basée sur l'uid et le gid associés à un socket.

Ainsi, on peut réserver l'accès au port 22 à un groupe d'utilisateurs seulement. Ou limiter au groupe daemon l'attente de connection sur un port ou un autre !

Il ne manque plus que l'ouverture de port réservée à un processus dont le code objet correspond à une certaine somme de contrôle ! ;)

OpenBSD 3.1 est sortie comme prevu aujourd'hui !

OpenBSD est ( comme vous le savez :-) un système d'exploitation de type UNIX, libre bien sur, basé sur 4.4BSD. Son objectif est la sécurité avant tout.

Pour ce qui est des grandes nouveauté, SSH1 + SSH2 gérés, 1000 packages, des mans en +, des majs ( XFree86 4.2.0 , gcc 2.95.3 patché ..)

Les isos ne sont pas fournies de base, cependant, vous pouvez commander les CDs (plus ou moins la principale source de revenu des codeurs ), ou alors faire votre propre iso très facilement.

Plateformes supportées : i386, sparc, sparc64, hp300, amiga, mac68k, macppc, mvme68k, alpha, vax.

Une nouvelle version du patch "Stephanie" de sécurisation du noyau OpenBSD est sortie, mise à jour pour OpenBSD 3.1

Cette version inclut entre autres les mécanismes suivants :

- Trusted Path Execution : limitation des interactions utilisateur-logiciel
- Access Control Lists : gestion fine des droits d'accès
- Binary Integrity Verification : vérification de checksums MD5 à la volée
- Privacy : limitation des informations qu'un utilisateur peut obtenir sur les processus ne lui appartenant pas
- Restricted Symbolic Links : comme dans Openwall
- Real-time logging of execve() calls : comme son nom l'indique, journalisation temps réel des appels à "execve"
- ld.so environment protection : nettoyage de certaines variables d'environnement pour les utilisateurs lambda

Bref pas mal de choses intéressantes et modulaires (vous pouvez vous y mettre petit à petit). Ce n'est pas parce qu'OpenBSD se prétend "Secure by default" qu'on ne peut pas rajouter une couche...

Un compte-rendu et l'analyse d'une mise en place d'un pot de miel (honeypot) avec OpenBSD 3.0 vient d'etre publié. L'auteur l'a rédigé en une trentaine d'heure et a laissé ouverte la porte qui permet d'exploiter "la seule faille distante découverte en 6 ans" d'OpenBSD.
Un jeune pirate s'est retrouvé "collé" dedans comme l'indique le rapport. Mais là où cela se complique, c'est que l'anonymat du pirate a été très mal conservé dans le rapport (notamment à cause de captures d'écran maladroites).
La nouvelle a été commentée sur /. et les contributeurs se sont fait une joie de divulguer nom, prénom, photos, addresse (avec plan et photos de la maison), numéro de téléphone, contacts ICQ/AIM, addresses emails, posts sur alt.hacking du dénommé omegakidd. Quelqu'un lui a même téléphoné pour lui demander s'il était bien au courant d'être le "crétin le plus connu de slashdot".
En effet, on se demande qui cela peut bien être...

MicroBSD est un noyau BSD qui est conçu pour être peu gourmand en mémoire et sécurisé. Il possède néammoins un nombre important de fonctionalités (firewall, détection d'intrusion, VPN, SMTP, WWW, DNS, FTP, ...). En outre, il existe pour un nombre conséquent d'architectures (x86/Alpha/Sun/PPC). On peut aussi ajouter que son installation semble aisée (voir l'article sur BSD Newsletter). Bref, c'est le système idéal pour vos passerelles et firewalls!

Sur la page du projet, j'ai même vu qu'ils étaient en train d'implémenter un système MAC (Mandatory Access Control) comme dans Linux SE. Ce qui permettra de résoudre convenablement le problème des 'buffer overflows', entre autres.

Un système à suivre de près, donc.

G.O.B.I.E (Graphic OpenBSD Installation Engine) est un projet d'installeur graphique pour OpenBSD, réalisé par des étudiants français. L'installeur ne fait pour l'instant pas partie du projet OpenBSD officiel. Il est développé en C/GTK+-1.2 et serait potentiellement portable pour NetBSD voire FreeBSD.

Il semblerait que ce projet ait été mal vu par certains utilisateurs d'OpenBSD.

NDM : sauf erreur de ma part, nulle mention de la licence de ce projet sur le site, et il n'y a rien à télécharger pour l'instant...

À partir du premier décembre, la branche stable d'OpenBSD-3.0 ne sera plus maintenue par l'équipe d'OpenBSD. En effet, la 3.2 est sur le point de sortir et seule les deux dernières versions sont maintenues.

Il est fortement conseillé de passer à une version plus récente, de préférence à la toute proche 3.2.

Afin d'essayer de diversifier les moyens de financer le projet OpenBSD, un "magasin virtuel" a été crée sur cafepress.com par tedu pour tester de nouveaux goodies : mugs, mousepads, polaires et même des caleçons !

Tous les profits seront entièrement reversés au projet.

Enfin, il est à signaler que OpenBSD 3.2 sera disponible dès le 1er novembre.