Sur OpenBSD, l'authpf introduite (le 1er avril ;-) la notion d'authentification dans son module de filtrage. En gros :
On se connecte (en ssh) sur le firewall. Le pare-feu rajoute des règles, par système et/ou par utilisateur. Si l'utilisateur se déconnecte, le pare-feu lui retire les règles ajoutées.
Imaginons les applications possibles en combinant avec :
* Un serveur Samba/Netatalk
* Un AP pour un réseau en 802b11
Et le top du top serait remplacer l'authentification SSH pour SSL, des volontaires ?
(article honteusement copié d'OpenBSD journal)
Ce 1er mai est sorti une nouvelle version d'OpenBSD, le BSD orienté sécurité de Theo de Raadt (NdM: et son équipe).
Au programme de cette nouvelle version, l'intégration de la technologie de protection de pile ProPolice au compilateur (activée par défaut), l'intégration de W^X (prononcer W xor X pour ceux qui ne parlent pas C couramment) interdisant les pages mémoires à la fois modifiables et exécutables pour limiter les exploitations de débordement de tampon (malheureusement pas encore disponible sur x86, mais ce sera au programme de la prochaine version), et plein d'autres choses.
Comme tous les trimestres, FreeBSD nous livre un compte rendu des différents projets qui gravitent autour de FreeBSD.
Ce rapport couvre la période avril-juin 2007. On y retrouve les projets sponsorisés par Google dans le cadre du Google Summer Of Code, les développements de l'OS, les conférences, et les projets dérivés.
Voici un état des lieux des avancées principales de FreeBSD. Ne maîtrisant pas forcément tous les sujets, certains sont plus succincts que d'autres, voire non présentés.
Rebonjour Journal,
Je vais essayer d'arrêter de te solliciter aujourd'hui, mais bon, je crois que je vais (re?)lancer un marronier.
J'ai cherché sur le réseau (Google & co.) la réponse à toutes mes questions, angoisses, mais faut dire que j'ai du mal avec les mots-clefs à fournir à la bête pour avoir des réponses pertinentes.
Aux prises avec mon histoire de portable à faibles capacités (voir mon autre journal du jour), je navigue dans le doute, entre les *BSD et
(…)
Le BSD nouveau est arrivé
La nouvelle version de NetBSD est arrivée, au menu des bufixes et le support de nouveaux périphériques. La prochaine release majeure la 1.5 devrait arriver bientôt.
Demain le serveur FTP le plus sollicité du monde va chauffer, en effet FreeBSD 4.3 va sortir !
Parmi les nouveautés : possibilité d'écrire sur les DVD Rams, un driver pour la Meastro3 (mon portable va être content !). OpenSSL 0.9.6 et OpenSSH 2.3.0
Pas mal de fixes niveau sécurité, notamment celui qui permettait de lire des données sans en avoir les droits sur les partoches ext2fs.
Ci-joint un lien vers le nouveau logo de la future version d'OpenBSD, la 3.0. Pour rappel, OpenBSD 3.0 devrait être prêt comme à l'accoutumée 6 mois après la sortie de la version actuelle (2.9) c.à.d. le 1er décembre 2001. Beaucoup de goodies dans cette version. Pour vous mettre l'eau à la bouche, quelques nouveautés:
- ALTQ (gestion de la bande passante) est directement integré dans le kernel
- PF, le nouveau firewall embarqué, est plus simple à contrôler que IPF et il est integré au kernel (donc plus rapide ? avis aux experts...)
- SBLive! est maintenant supportée
- Suppression des logiciels (y compris dans la ports collection) dont la licence n'est pas 100% "free"
G.O.B.I.E (Graphic OpenBSD Installation Engine) est un projet d'installeur graphique pour OpenBSD, réalisé par des étudiants français. L'installeur ne fait pour l'instant pas partie du projet OpenBSD officiel. Il est développé en C/GTK+-1.2 et serait potentiellement portable pour NetBSD voire FreeBSD.
Il semblerait que ce projet ait été mal vu par certains utilisateurs d'OpenBSD.
NDM : sauf erreur de ma part, nulle mention de la licence de ce projet sur le site, et il n'y a rien à télécharger pour l'instant...
Muguet rime avec sécurité. Réglé comme une horloge le
projet OpenBSD annonce aujourd'hui, exactement six mois après la précédente, la sortie officielle de la version 3.9 de son OS.
Renommés pour leur quête inlassable de la sécurité et pour leur intransigeance envers la liberté et la propreté du code, les développeurs de ce système d'exploitation dérivé d'Unix nous proposent plusieurs
évolutions fort intéressantes.
Les récents problèmes de
financements du projet semblent également avoir conduit à un effort encore plus soutenu de communication et de promotion à destination du monde extérieur. On peut ainsi lire sur le net plusieurs articles et interviews intéressants qui permettent de se faire une idée plus juste des atouts particuliers de ce système.
NdM :
Merci également à Landry Breuil et Louis Nyffenegger pour leur proposition d'article.
L'équipe de developpement d'OpenBSD est connue entres autres pour sa réactivité. Aussi des patches apparaissent régulièrement, bien entendu il est de votre responsabilité d'administrateur de les appliquer sur votre système.
Une nouvelle section de la FAQ vient juste de faire son apparition où l'on vous guide dans cette tache.
Darwin, le noyau de MacOS X en OpenSource et basé sur BSD a maintenant un logo : un mélange d'ornithorynque et d'un diable (logo des BSD). Il s'appelera Hexley.
BeOS a repris une des propositions pour son logo : un orque. Une des raisons est que les orques mangeraient des manchots :)
Apres IPF, c'est maintenant au tour des logiciels de D.J.Bernstein de quitter les Ports d'openBSD: qmail et djbdns. Il y a un long débat sur la mailing list (cf. lien).
En gros, la raison est une nouvelle fois l'inflexibilité de DJB: il exige que ses programmes soient installées dans /package, et veut controler personellement tous les patches avant leur eventuelle intégration. Ca n'est rien de nouveau, mais les "Ports Maintainers" trouvent que cela donnerait trop de travail, donc exit. Quel gachis...
Un article qui a quelques mois déjà, mais qui à mon sens constitue un bon départ pour monter un firewall.
Les règles de base y sont expliquées, ainsi que la façon de rajouter ipfw (il faut recompiler le noyau de FreeBSD pour ça).
A noter que le site en question (bsdvault.net) regorge de tutoriaux assez bien faits. Le site est principalement axé FreeBSD, mais on trouve aussi des articles sur NetBSD.
On se souvient tous des inquiétudes suscitées par la nouvelle licence Apache à l'automne ; un gros travail sur le texte avait permis de rassurer la plupart des acteurs du logiciel libre, bien qu'elle reste incompatible avec la GPL (comme la version 1.1). On se souvient également de Mandrake, Debian, RedHat et OpenBSD annonçant leur refus d'intégrer XFree86 4.4 à leurs distributions pour d'autres problèmes de licence.
C'est aujourd'hui au tour de Theo de Raadt, leader et fondateur d'OpenBSD, d'annoncer qu'il n'intégrera pas de code sous licence Apache 2.0 dans OpenBSD. Ce qui signifie que la version d'Apache fournie par OpenBSD sera désormais un fork basé sur les versions sous licence Apache 1.1. Theo ne donne pas plus d'explications quant aux raisons pour lesquelles il juge la nouvelle licence inacceptable, mais se dit lassé des licences libres de plus en plus complexes et contenant de plus en plus de clauses restrictives.
Vous sous demandez sans doute ce que vaut la dernière mouture de FreeBSD. Celà tombe bien elle a été testée. simultanément sur Duron 700 et PIII 800 pour les CPU et Voodoo GeForce pour les cartes graphiques. En prime la compatibilité Linux a été elle aussi mise à l'épreuve avec Quake III et NetPerf. Bref, un test très complet à lire absolument !
