Linuxfrench propose un article sur la création d'une iso du premier CD de la derniere version d'OpenBSD qui sort le 1 novembre, la 3.2. C'est simple et ça marche !
Une solution simple pour ceux qui veulent s'essayer à cette magnifique distribution :)
NdM: je rappelle que l'équipe d'OpenBSD ne souhaite pas qu'il y ait d'ISO officielle mais que vous achetiez leur CDs ce qui leur permet de vivre. Je doute qu'ils soient contents de ce genre d'article.
Evaluation de OpenBSD 3.2 (snapshot)
eWeek a publié un article d'évaluation de la version 3.2 (snapshot) de OpenBSD.
L'article est très positif concernant les améliorations en terme de sécurité qu'apporte cette version.
L'article est très positif concernant les améliorations en terme de sécurité qu'apporte cette version.
privileges ... élévation
Après la séparation de privilèges, implémentée par Niels Provos juste avant la grosse faille d'OpenSSH, l'équipe d'OpenBSD implément cette fois ci la ... "élévation de privilège".
Se basant sur systrace(1), on peut maintenant se débarrasser de tous ces programmes s{u,g}id, comme par exemple /usr/bin/login :
"Les applications peuvent s'exécuter entièrement en mode non privilegié. Systrace donne les autorisations nécessaires le temps d'un appel système selon la configuration voulue".
Source : OpenBSD journal
Se basant sur systrace(1), on peut maintenant se débarrasser de tous ces programmes s{u,g}id, comme par exemple /usr/bin/login :
"Les applications peuvent s'exécuter entièrement en mode non privilegié. Systrace donne les autorisations nécessaires le temps d'un appel système selon la configuration voulue".
Source : OpenBSD journal
Les nouveaux goodies sont arrivés
Afin d'essayer de diversifier les moyens de financer le projet OpenBSD, un "magasin virtuel" a été crée sur cafepress.com par tedu pour tester de nouveaux goodies : mugs, mousepads, polaires et même des caleçons !
Tous les profits seront entièrement reversés au projet.
Enfin, il est à signaler que OpenBSD 3.2 sera disponible dès le 1er novembre.
Tous les profits seront entièrement reversés au projet.
Enfin, il est à signaler que OpenBSD 3.2 sera disponible dès le 1er novembre.
GOBIE, un (potentiel) installateur graphique pour OpenBSD
G.O.B.I.E (Graphic OpenBSD Installation Engine) est un projet d'installeur graphique pour OpenBSD, réalisé par des étudiants français. L'installeur ne fait pour l'instant pas partie du projet OpenBSD officiel. Il est développé en C/GTK+-1.2 et serait potentiellement portable pour NetBSD voire FreeBSD.
Il semblerait que ce projet ait été mal vu par certains utilisateurs d'OpenBSD.
NDM : sauf erreur de ma part, nulle mention de la licence de ce projet sur le site, et il n'y a rien à télécharger pour l'instant...
Il semblerait que ce projet ait été mal vu par certains utilisateurs d'OpenBSD.
NDM : sauf erreur de ma part, nulle mention de la licence de ce projet sur le site, et il n'y a rien à télécharger pour l'instant...
OpenBSD 3.0 ne sera bientôt plus maintenu
À partir du premier décembre, la branche stable d'OpenBSD-3.0 ne sera plus maintenue par l'équipe d'OpenBSD. En effet, la 3.2 est sur le point de sortir et seule les deux dernières versions sont maintenues.
Il est fortement conseillé de passer à une version plus récente, de préférence à la toute proche 3.2.
Il est fortement conseillé de passer à une version plus récente, de préférence à la toute proche 3.2.
MicroBSD
MicroBSD est un noyau BSD qui est conçu pour être peu gourmand en mémoire et sécurisé. Il possède néammoins un nombre important de fonctionalités (firewall, détection d'intrusion, VPN, SMTP, WWW, DNS, FTP, ...). En outre, il existe pour un nombre conséquent d'architectures (x86/Alpha/Sun/PPC). On peut aussi ajouter que son installation semble aisée (voir l'article sur BSD Newsletter). Bref, c'est le système idéal pour vos passerelles et firewalls!
Sur la page du projet, j'ai même vu qu'ils étaient en train d'implémenter un système MAC (Mandatory Access Control) comme dans Linux SE. Ce qui permettra de résoudre convenablement le problème des 'buffer overflows', entre autres.
Un système à suivre de près, donc.
Nouvelle faille OpenBSD
Une nouvelle faille a été découverte dans le noyau de OpenBSD.
Un oubli de verification dans les appels systemes select et poll permet à un attaquant d'ecrire sur la mémoire du noyau, et d'éxecuter des instructions arbitraires.
Les utilisateurs locaux du systeme ont donc la possibilité de passer root sur la machine.
Des patchs sont disponibles pour les version 3.0 et 3.1 d'OpenBSD.
Un oubli de verification dans les appels systemes select et poll permet à un attaquant d'ecrire sur la mémoire du noyau, et d'éxecuter des instructions arbitraires.
Les utilisateurs locaux du systeme ont donc la possibilité de passer root sur la machine.
Des patchs sont disponibles pour les version 3.0 et 3.1 d'OpenBSD.
compte-rendu d'un pot de miel avec OpenBSD 3.0
Un compte-rendu et l'analyse d'une mise en place d'un pot de miel (honeypot) avec OpenBSD 3.0 vient d'etre publié. L'auteur l'a rédigé en une trentaine d'heure et a laissé ouverte la porte qui permet d'exploiter "la seule faille distante découverte en 6 ans" d'OpenBSD.
Un jeune pirate s'est retrouvé "collé" dedans comme l'indique le rapport. Mais là où cela se complique, c'est que l'anonymat du pirate a été très mal conservé dans le rapport (notamment à cause de captures d'écran maladroites).
La nouvelle a été commentée sur /. et les contributeurs se sont fait une joie de divulguer nom, prénom, photos, addresse (avec plan et photos de la maison), numéro de téléphone, contacts ICQ/AIM, addresses emails, posts sur alt.hacking du dénommé omegakidd. Quelqu'un lui a même téléphoné pour lui demander s'il était bien au courant d'être le "crétin le plus connu de slashdot".
En effet, on se demande qui cela peut bien être...
Un jeune pirate s'est retrouvé "collé" dedans comme l'indique le rapport. Mais là où cela se complique, c'est que l'anonymat du pirate a été très mal conservé dans le rapport (notamment à cause de captures d'écran maladroites).
La nouvelle a été commentée sur /. et les contributeurs se sont fait une joie de divulguer nom, prénom, photos, addresse (avec plan et photos de la maison), numéro de téléphone, contacts ICQ/AIM, addresses emails, posts sur alt.hacking du dénommé omegakidd. Quelqu'un lui a même téléphoné pour lui demander s'il était bien au courant d'être le "crétin le plus connu de slashdot".
En effet, on se demande qui cela peut bien être...
Nouveau forum sur les différents BSD
Pour tous les mordus de BSD, voici un nouveau site plutot sympa... Il a un peu l'allure de LinuxFR mais parle de OpenBSD, FreeBSD, NetBSD, Darwin et BSDi. C'est en anglais, donc désolé pour les franco-français allergiques à la langue de Shakespeare...
Au menu, on trouvera des tas de news, des liens vers les site des différents BSD, vers de la doc, des discussions, etc...
Une chose amusante : les differentes adresses (openbsd|freebsd|netbsd)forums.org pointent toutes vers bsdforums.org
Au menu, on trouvera des tas de news, des liens vers les site des différents BSD, vers de la doc, des discussions, etc...
Une chose amusante : les differentes adresses (openbsd|freebsd|netbsd)forums.org pointent toutes vers bsdforums.org
Sortie du patch "Stephanie" pour sécuriser OpenBSD 3.1
Une nouvelle version du patch "Stephanie" de sécurisation du noyau OpenBSD est sortie, mise à jour pour OpenBSD 3.1
Cette version inclut entre autres les mécanismes suivants :
- Trusted Path Execution : limitation des interactions utilisateur-logiciel
- Access Control Lists : gestion fine des droits d'accès
- Binary Integrity Verification : vérification de checksums MD5 à la volée
- Privacy : limitation des informations qu'un utilisateur peut obtenir sur les processus ne lui appartenant pas
- Restricted Symbolic Links : comme dans Openwall
- Real-time logging of execve() calls : comme son nom l'indique, journalisation temps réel des appels à "execve"
- ld.so environment protection : nettoyage de certaines variables d'environnement pour les utilisateurs lambda
Bref pas mal de choses intéressantes et modulaires (vous pouvez vous y mettre petit à petit). Ce n'est pas parce qu'OpenBSD se prétend "Secure by default" qu'on ne peut pas rajouter une couche...
Cette version inclut entre autres les mécanismes suivants :
- Trusted Path Execution : limitation des interactions utilisateur-logiciel
- Access Control Lists : gestion fine des droits d'accès
- Binary Integrity Verification : vérification de checksums MD5 à la volée
- Privacy : limitation des informations qu'un utilisateur peut obtenir sur les processus ne lui appartenant pas
- Restricted Symbolic Links : comme dans Openwall
- Real-time logging of execve() calls : comme son nom l'indique, journalisation temps réel des appels à "execve"
- ld.so environment protection : nettoyage de certaines variables d'environnement pour les utilisateurs lambda
Bref pas mal de choses intéressantes et modulaires (vous pouvez vous y mettre petit à petit). Ce n'est pas parce qu'OpenBSD se prétend "Secure by default" qu'on ne peut pas rajouter une couche...
Sortie de OpenBSD3.1
OpenBSD 3.1 est sortie comme prevu aujourd'hui !
OpenBSD est ( comme vous le savez :-) un système d'exploitation de type UNIX, libre bien sur, basé sur 4.4BSD. Son objectif est la sécurité avant tout.
Pour ce qui est des grandes nouveauté, SSH1 + SSH2 gérés, 1000 packages, des mans en +, des majs ( XFree86 4.2.0 , gcc 2.95.3 patché ..)
Les isos ne sont pas fournies de base, cependant, vous pouvez commander les CDs (plus ou moins la principale source de revenu des codeurs ), ou alors faire votre propre iso très facilement.
Plateformes supportées : i386, sparc, sparc64, hp300, amiga, mac68k, macppc, mvme68k, alpha, vax.
OpenBSD est ( comme vous le savez :-) un système d'exploitation de type UNIX, libre bien sur, basé sur 4.4BSD. Son objectif est la sécurité avant tout.
Pour ce qui est des grandes nouveauté, SSH1 + SSH2 gérés, 1000 packages, des mans en +, des majs ( XFree86 4.2.0 , gcc 2.95.3 patché ..)
Les isos ne sont pas fournies de base, cependant, vous pouvez commander les CDs (plus ou moins la principale source de revenu des codeurs ), ou alors faire votre propre iso très facilement.
Plateformes supportées : i386, sparc, sparc64, hp300, amiga, mac68k, macppc, mvme68k, alpha, vax.
Un parefeu qui filtre sur les utilisateurs
pf
, le pare feu d'OpenBSD, accepte désormais des règles de filtrage basée sur l'uid et le gid associés à un socket.
Ainsi, on peut réserver l'accès au port 22 à un groupe d'utilisateurs seulement. Ou limiter au groupe daemon
l'attente de connection sur un port ou un autre !
Il ne manque plus que l'ouverture de port réservée à un processus dont le code objet correspond à une certaine somme de contrôle ! ;)
Les r-serveurs disparaissent d'OpenBSD
Les serveurs
Les protocoles associés aux r-commandes étant tout sauf sûrs, ils sont supprimés. C'est un pas de plus sur le chemin de la transition complète vers
Il ne reste plus qu'à se débarrasser des autres protocoles en clair ... Pour un monde meilleur !
rexecd
et rlogind
ne font désormais plus partie d'OpenBSD. Les clients sont toujours là, pour l'instant.Les protocoles associés aux r-commandes étant tout sauf sûrs, ils sont supprimés. C'est un pas de plus sur le chemin de la transition complète vers
ssh
.Il ne reste plus qu'à se débarrasser des autres protocoles en clair ... Pour un monde meilleur !
OpenBSD 2.9 is dead
La version 3.1 d'OpenBSD signe l'arrêt des mises à jours de sécurité pour la branche 2.9-STABLE à partir du 1er juin.
Il est donc recommandé aux utilisateurs de systèmes en 2.9 d'upgrader vers une version plus récente, de preférence la 3.1, qui doit sortir le 19 mai.
Il est donc recommandé aux utilisateurs de systèmes en 2.9 d'upgrader vers une version plus récente, de preférence la 3.1, qui doit sortir le 19 mai.
Un trou dans le logiciel mail sous OpenBSD
Une faille de sécurité a été découverte au niveau du programme de mail d'OpenBSD.
Traduction partielle de la page de securiteam :
Le programme /usr/bin/mail accepte les séquences d'échappement lorsqu'il s'éxécute en mode « non interactif »
C'est donc lors d'une exécution par cron que cette faille peut être exploitée. L'utilisateur malveillant peut insérer des séquences d'échappement et ainsi mettre le système en péril.
Traduction partielle de la page de securiteam :
Le programme /usr/bin/mail accepte les séquences d'échappement lorsqu'il s'éxécute en mode « non interactif »
C'est donc lors d'une exécution par cron que cette faille peut être exploitée. L'utilisateur malveillant peut insérer des séquences d'échappement et ainsi mettre le système en péril.
OpenBSD 3.1 plus tôt que prévu
Les CDs de la version 3.1 d'OpenBSD seront disponibles plus tôt que prévu. Ils peuvent être désormais réservés en ligne et les livraisons se feront à partir du 19 mai (au lieu du 1er Juin). Une branche 3.1 est désormais disponible sur le CVS (depuis quelque temps déjà !). Theo De Raadt a d'ailleurs appelé les utilisateurs à tester les snapshots disponibles sur les serveurs FTP du projet.
Les CDs sont au nombre de 3 avec un 4ème disponible en iso pour architecture mvme68k.
Les CDs sont au nombre de 3 avec un 4ème disponible en iso pour architecture mvme68k.
Pare-feu avec authentification
Sur OpenBSD, l'authpf introduite (le 1er avril ;-) la notion d'authentification dans son module de filtrage. En gros :
On se connecte (en ssh) sur le firewall. Le pare-feu rajoute des règles, par système et/ou par utilisateur. Si l'utilisateur se déconnecte, le pare-feu lui retire les règles ajoutées.
Imaginons les applications possibles en combinant avec :
* Un serveur Samba/Netatalk
* Un AP pour un réseau en 802b11
Et le top du top serait remplacer l'authentification SSH pour SSL, des volontaires ?
(article honteusement copié d'OpenBSD journal)
On se connecte (en ssh) sur le firewall. Le pare-feu rajoute des règles, par système et/ou par utilisateur. Si l'utilisateur se déconnecte, le pare-feu lui retire les règles ajoutées.
Imaginons les applications possibles en combinant avec :
* Un serveur Samba/Netatalk
* Un AP pour un réseau en 802b11
Et le top du top serait remplacer l'authentification SSH pour SSL, des volontaires ?
(article honteusement copié d'OpenBSD journal)
Un fork d'OpenBSD avec IPFilter
Darren Reed distribue désormais un OpenBSD avec IPFilter (ipf+ipnat) remis dedans (il avait été enlevé suite à des problèmes de licence).
IPFilter est le filtre de paquets IP (qui gère le NAT aussi) présent dans tous les OpenBSD antérieurs au 3.0. Il est considéré comme mature et stable.
Les nouvelles versions d'OpenBSD (>= 3.0) utilisent pf, un filtre de paquet qui dispose aussi de fonctionnalités NAT, développé au sein d'OpenBSD, et qui est aussi stable et fonctionnel (quelques fonctions supplémentaires par rapport à IPFilter) mais encore jeune.
Le point intéressant derrière cette nouvelle est que pour une fois ça n'a pas dégénéré en trolls et flames sur les listes de diffusions et forums Usenet d'OpenBSD.
IPFilter est le filtre de paquets IP (qui gère le NAT aussi) présent dans tous les OpenBSD antérieurs au 3.0. Il est considéré comme mature et stable.
Les nouvelles versions d'OpenBSD (>= 3.0) utilisent pf, un filtre de paquet qui dispose aussi de fonctionnalités NAT, développé au sein d'OpenBSD, et qui est aussi stable et fonctionnel (quelques fonctions supplémentaires par rapport à IPFilter) mais encore jeune.
Le point intéressant derrière cette nouvelle est que pour une fois ça n'a pas dégénéré en trolls et flames sur les listes de diffusions et forums Usenet d'OpenBSD.
OpenBSD 3.0 dispo
OpenBSD 3.0 était sorti le 1er décembre. On peut maintenant le commander! Les développeurs d'openBSD codent sur leur temps libre. La meilleure façon de les remercier est d'acheter le jeu de 3 CD.
Notez la présence de XFree86-4.1.0 et celle d'openSSH-3.0, pour ce qui est très à jour. Pour ce qui est moins à jour, gcc en est encore à la version 2.95.3. Ce n'est pas plus mal: gcc3 sur Linux et gcc2 sur openbsd pour tester la compatibilite du code avec les deux compilateurs.
Notez la présence de XFree86-4.1.0 et celle d'openSSH-3.0, pour ce qui est très à jour. Pour ce qui est moins à jour, gcc en est encore à la version 2.95.3. Ce n'est pas plus mal: gcc3 sur Linux et gcc2 sur openbsd pour tester la compatibilite du code avec les deux compilateurs.
Travailler à la maison grâce à OpenSSH
Bon ce n'est pas Linux, mais l'article est plutot intéressant.
Trouvé sur BSDVault, cet article explique comment utiliser OpenSSH pour acceder aux services POP, SMTP, NNTP à distance si ils sont habituellement bloqués.
Merci à GCU-Squad pour la news.
Note du modérateur: ceci est appliquable aussi à tout Unix qui a ssh installé.
Trouvé sur BSDVault, cet article explique comment utiliser OpenSSH pour acceder aux services POP, SMTP, NNTP à distance si ils sont habituellement bloqués.
Merci à GCU-Squad pour la news.
Note du modérateur: ceci est appliquable aussi à tout Unix qui a ssh installé.
performances MySQL sous OpenBSD
Traditionnellement, MySQL a un comportement erratique sous grande charge sur plateforme OpenBSD. L'utilisation CPU peut alors facilement atteindre les 90% et le serveur peut se geler (freeze), le redémarrage restant dès lors l'unique solution. Ces symptomes sont dus aux threads pth utilisés sous OpenBSD et non à MySQL.
Le problème a été résolu dans le -current (post OpenBSD 3.0) en utilisant les threads natifs de l'OS et non plus les threads pth. Ainsi un serveur MySQL bien chargé utilise en moyenne 60 à 70% de CPU avec ces derniers alors qu'après modification (-current), il tourne autour de ...7% !!!
Le howto donné en lien explique très bien comment faire pour baisser la consommation CPU de MySQL. Mais attention, vous aurez comme résultat un OpenBSD 3.0 avec un peu de current dedans. Potentiellement, ceci pourrait causer des problèmes avec d'autres applications.
Le problème a été résolu dans le -current (post OpenBSD 3.0) en utilisant les threads natifs de l'OS et non plus les threads pth. Ainsi un serveur MySQL bien chargé utilise en moyenne 60 à 70% de CPU avec ces derniers alors qu'après modification (-current), il tourne autour de ...7% !!!
Le howto donné en lien explique très bien comment faire pour baisser la consommation CPU de MySQL. Mais attention, vous aurez comme résultat un OpenBSD 3.0 avec un peu de current dedans. Potentiellement, ceci pourrait causer des problèmes avec d'autres applications.
Interview de Theo de Raadt ( créateur et mainteneur d'OpenBSD )
Dans la série des interview de KernelTrap, cette semaine on a droit à une interview de Theo de Raadt le créateur de OpenBSD. Il nous parle de OpenBSD, de sa philosophie, de IPF, des "soft updates" face aux systèmes de fichiers journalisés et du cycle de développement de OpenBSD.
Cette interview précède de peu la sortie officielle d'OpenBSD 3.0
Cette interview précède de peu la sortie officielle d'OpenBSD 3.0
Sortie d'OpenBSD 3.0
Alors que la nouvelle release d'OpenBSD (la 3.0) sort en CD le 1er décembre (les nouvelles releases sortent toujours le 1er décembre et le 1er juin, comme ça, au moins c'est clair !!), les miroirs FTP sont déjà à jour :-)
Alors tous à vos downloads et à vos installs !
Alors tous à vos downloads et à vos installs !
Guide de la mise en place d'un routeur/parefeu sous OpenBSD
Vu sur gcu-squad, un très bon guide (en anglais malheuresement) détaillant pas à pas la mise en place d'un routeur/pare-feu sous OpenBSD 2.9. Le guide est centré sous la mise en place utilisant DSL et PPPoE, mais cette mise en place peut s'appliquer sans problèmes aux autres utilisateurs et même (peut-être) aux autres BSDs avec un minimum de modifications.
update: un autre document de Virginie aussi complet que les précédents est disponible. A lire.
update: un autre document de Virginie aussi complet que les précédents est disponible. A lire.