OpenBSD w wersji 4.3
- Dodano: 1 maja 2008
- Wprowadził: lamprez
- Komentarze: 18
Zespół programistów pod przewodnictwem Theo de Raadta opublikował nową wersję (4.3) OpenBSD zaliczającego się do grona najbezpieczniejszych systemów operacyjnych.
Najnowsza wersja oznaczona numerkiem 4.3 wprowadza kilka znaczących upsrawnień:
- wsparcie dla maszyn wieloprocesorowych na architekturze Sparc64, MVME188, MVME188A
- dodano sterowniki dla kilku kart sieciowych, m.in.: BCM5906/BCM5906M, BCM5755, Cassini+ 10/100 Gigabit Ethernet, MCP73, MCP77, MCP79, Broadcom AirForce IEEE 802.11b, Agere/LSI ET1310, Agere/LSI ET1011
- dodano wsparcie dla kontrolera SMBus w południowym mostku dla VIA VT8237S
- dodano nowy sterownik dla pomiaru wydajności dla procesorów AMD64
- dodano demona implementującego protokół SNMP wraz z narzędziem do jego kontroli
- dodano narzędzie wyświetlające informacje o urządzeniach korzystających z magistrali PCI
- narzędzie eeprom pozwala wyświetlić teraz drzewko urządzeń OpenPROM
- dodano wsparcie systemu X11 dla kart z rodziny Sgi
- dodano wsparcie DMA dla urządzeń korzystających z pamięci Flash
- dodano opcje automatycznego odmontowywania systemu plików dla urządzeń USB
- błędne wpisy w
fstabsą teraz ignorowane - plik konfiguracji firewalla
pf.confpozwala teraz na dodawanie dodatkowych zależnych plików z konfiguracją
W najnowszej wersji OpenBSD dodano też aktualizacji sztandarowych projektów rozwijanych przez programistów OpenBSD (OpenNTPD, OpenBGPD, OpenSSH, OpenOSPFD). OpenSSH w nowej wersji wspiera chroot.
OpenBSD można zamówić na trzech płytach CD za 50 euro. Przesyłka oprócz samego systemu zawiera instrukcję instalacji, naklejki z logo systemu oraz wersje OGG i MP3 piosenki firmującej wydanie: „Home to Hypocrisy”, nawiązującej do niedawnych zatarczek deweloperów OpenBSD z RMS. Oto fragment:
That man is a false leader. He is a hypocrite. There may be some people who listen to him. But we don’t listen to people who do not follow their own stupid rules.
System bez dodatków można ściągnąć z FTP. Deweloperzy przepraszają, że nie udostępnili przez sieć naklejek, tłumacząc to nie zaimplementowaniem na czas protokołu naklejkowago (Sticker Transfer Protocol). Może następnym razem się powiedzie.
Więcej informacji: http://kerneltrap.org/OpenBSD/OpenBSD_4....3_Released
Znalazłeś literówkę? Zgłoś ją używając formularza!
Jeśli uważasz, że ten nius jest nieobiektywny, przedstawia nieprawdziwe wydarzenie, jest spamem lub nie spełnia standardów serwisu, napisz raport.
Niusy na podobny temat:
Komentarze są prywatnymi opiniami dodających je osób. Prosimy o zachowanie kultury wypowiedzi. Komentarze obraźliwe oraz obniżające poziom serwisu będą usuwane. Więcej w regulaminie komentowania.
18 komentarzy
Wszystkie autorskie niusy w serwisie publikowane są na licencji Creative Commons Uznanie autorstwa 2.5 Polska.
Jakis czas temu przypomnialem sobie o istnieniu OpenBSD i podjechalem
na ich strone. Prawie z krzesla spadlem jak przeczytalem "only two
holes". Ktos mnie oswieci jaka byla ta druga? Pewnie ssh, bo przeciez
legendarne bezpieczenstwo domyslnej instalacji tego systemu polega
na tym, ze tam praktycznie nic poza ssh nie jest uruchamiane
Przeczytaj: Luka bezpieczeństwa w OpenBSD. Chodziło o IPv6.
"Only two"? Doprawdy? :] Zamieszczę bez tłumaczenia:
źródło
There have actually been a number of local and remote root holes in the
default install of OpenBSD during that time frame..the only sense in which their claim is true is that they don't count root holes except in the head of the CVS tree. If a release from a year ago had the hole, but the current tree does not, they don't count it.
For example, a couple of years ago there was a telnetd exploit discovered
after OpenBSD had disabled telnetd by default in OpenBSD-current, but a
recent prior release had shipped with telnetd enabled. That allowed them to rationalize not counting it as a remote hole. There are a number of other similar examples.
Pamiętam ten spór ze Stallmanem. Czytałem przez dwa dni prawie cały wątek gdzieś w połowie stycznia (sam list pojawił się miesiąc wcześniej). Swoją stroną warto poczytać, wszystko jest w sieci:
http://www.sigmasoft.com/~openbsd/archives/html/o…
Tak mnie RMS wkurzył swoją postawą, że prawie chciałem napisać pod rms@gnu.org i wyrazić swoje niezadowolenie. Ale stwierdziłem, że najpierw przeczytam wszystko do końca, bo przecież czytałem archiwum po fakcie. Na koniec doszedłem do wniosku, że nie będę do niego pisał, za to trochę przewartościowały się niektóre moje poglądy.
Odtąd faktycznie widzę, że licencja BSD wymaga jedynie zachowania not autorskich i uczciwego wyjaśnienia (w dokumentacji i/lub materiałach reklamowych) o używaniu kodu źródłowego na tej licencji.
Natomiast GPL daje cztery wolności:
http://www.sigmasoft.com/~openbsd/archives/html/o…
Zaś co poniektórzy widzą dwie z nich jako wymogi (czytaj: ograniczenia):
http://www.sigmasoft.com/~openbsd/archives/html/o…
Dlatego tym bardziej cieszę się, że twórcy OpenBSD podchodzą spokojnie do narzekania RMS na drzewo 'ports'. Które zresztą nie stanowi podstawy tej dystrybucji, nie jest domyślnie instalowane (jest jedynie jeden plik z archiwum 'ports' na płycie dystrybucyjnej), a tak naprawdę jest dawane użytkownikom tylko dla ich wygody. Resztę każdy musi rozważyć sam: czy umożliwienie użytkownikom instalacji oprogramowania w ten sposób jest? – czy też nie jest? – promowaniem zamkniętego oprogramowania.
Bo to wytykał RMS deweloperom OpenBSD w swoim spokojnym, mentorsko-prorockim, czarno-białym tonie. Niestety, nie odpowiedział też kilka razy na bezpośrednio stawiane pytania lub robił to wymijająco, no i tym niestety spowodował obniżenie mojego mniemania na jego temat.
Legendarne bezpieczeństwo tego systemu polega na tym że po instalacji nie daje zajrzeć zwykłem userowi do katalogu roota ( FreeBSD ) lub wykonywać kompilację apache by postawić go w chroocie (Debian) , lub ściągać 100 MB poprawek zaraz po instalacji nowej wersji systemu ( OpenSuse , Ubuntu i spółka ) . Legendarne bezpieczeństwo tego systemu to również to że system jest "przewidywalny" – znacie to słowo ??? poza Debianem lub może Slackware i to nie jeżeli idzie o kernel – temat się nie zdarza .
Przejrzyjcie teksty odnośnie odrzuconych poprawek , sterowników itp w kernelu 2.4 … jak zobaczycie to 90% odrzuconych zmian dla kernela 2.4 zostało wrzucone do 2.6 – myślicie że nagle wszystkie stały się sprawdzone i stabilne. Bezpieczeństwo Linuksa to tak naprawdę świadomi użytkownicy a nie soft na wysokim poziomie. Jakby tak wymienić teraz zwykłeym userom windows na linuks to by się okazało że po dwóch dniach pracy wszyscy pracowali by na koncie roota … wyobrażacie sobie jak łatwo jest umieścić kod w themesie dla Firefoksa ????? to by się porobiła masakra . Zastanawiam się jak Szybko powstał by mechanizm analogiczny z UAC dla Visty.
P.S. Wersja Firefoxa dla OpenBSD nawet w środowisku roota dzięki patchowi Pana Bernd Ahlersa działą w odizolowanej przestrzeni i w przypadku wykorzystania ważnych z punktu widzienia bezpeiczństwa funkscji systemowych po prostu nastąpi crach przeglądarki a nie wykoannie kodu .
Pozdrawiam wszystkich
Już istnieje, a nazywa się sudo
Bzzt, wrong. Sudo to cos jak windowsowe "run as", ktore bylo juz bodajze w Windows 2000. UAC nie ma linuksowego odpowiednika.
"Zastanawiam się jak Szybko powstał by mechanizm analogiczny z UAC dla Visty."
Tak się składa, że to MS zgapił to z Linuksa :]
Poza tym naprawdę działanie na koncie zwykłego usera w Linuksie nie jest nieprzyjemne (w windzie jest), a używanie konta roota jest cholernie skomplikowane (znaczy dojście do tego jak się zalogować).
"Two REMOTE holes in 10 years". Czyli jak wypieprze z dowolnego
distro linucha wszelkie wynalazki majace pootwierane porty poza
sshd to mimo to uzyskam system znaczaco mniej bezpieczny niz
OpenBSD (w sensie remote)?
Jeśli jeszcze doinstalujesz PaX'a, SELinuxa lub systrace i ProPolice, to może będzie to coś porównywalnego.
Natomiast siła systemów BSD polega właśnie na tym, że żeby uzyskać bezpieczny system nie musisz nic deinstalować. Defaultowa instalka jest dość bezpieczna, a potem dokładnie wiesz co doinstalowałeś i po co. W ten sposób konfiguracja jest znacznie łatwiejsza do zaudytowania niż idąc z drugiej strony.
Niestety dystrybucje Linuksa coraz bardziej przypominają Windows — instalują tony softu, bez względu na to, czy będzie potrzebny czy nie.
Nie bardzo rozumiem po co doinstalowywać PaX'a SELinuksa i inne skoro są domyślnie zainstalowane i nawet domyślnie uaktywnione.
SELinux domyślnie instalowany ??
Ciekawe czy w jakim distro; Novell preferuje AppArmora tak samo jak Slack; Debian ma defaultowo wyłączone;
PaX chyba nie jest już rozwijany (przynajmniej wg Wikipedii)
RH używa Exec Shield.
@Tomasz Chiliński: Nie chodzi nawet o SELinuksa. Zreszta bezposredniego odpowiednika SELinuksa w zadnym z BSD nie ma, bo nie ma po co, SELinux nie jest zbyt dobrym wzorem do nasladowania. Jest za to (we FreeBSD) modularna infrastruktura Mandatory Access Control.
Sila systemow BSD, jesli chodzi o bezpieczenstwo, polega na jakosci kodu i ilosci dziur w porownaniu do Linuksa. Kiedy jeszcze mi sie chcialo – 2005 – zrobilem sobie zestawienie praktycznie eksploitowalnych dziur w Linuksie (kernelu, glibcu i innych obowiazkowych elementach Linuksa, ktore poza Linuksem uzywane nie sa) i FreeBSD. W linuksie wygladalo to tak:
– Linux Kernel Binary Format Loaders Privilege Escalation
– Linux Kernel Page Fault Handler Privilege Escalation
– A signedness error in /proc
– A signedness error in drivers/char/n_tty.c
– An error within the handling of the OUTS instruction on 64-bit platforms
– Table sizes in nls_ascii.c are incorrectly set to 128 instead of 256
– A signedness error in sysfs when writing to a sysfs file can be exploited to overwrite kernel memory
– Some signedness errors in drivers/block/scsi_ioctl.c
– Linux Kernel sys_epoll_wait() Function Integer Overflow
– Some unspecified errors have been reported in the ISO9660 filesystem
– A signedness error in the bluez_sock_create() function
– An information leak exists in the ext2_make_empty() function
– Linux Kernel ELF Core Dump Privilege Escalation Vulnerability
– Linux Kernel pktcdvd and raw device Block Device Vulnerabilities
– An error in the mmap() function
– Linux Kernel IA32 Compatibility execve() Buffer Overflow
– Linux Kernel XDR Encode/Decode Buffer Overflow
– A boundary error in sendmsg() when copying 32bit msg_control
– An error in the raw_sendmsg() function
– A boundary error in /drivers/i2c/i2c-core.c
– insecure permissions being set on /dev/input by udev
Dwadzieścia jeden poważnych błędów, co daje średnio jeden błąd co trzy tygodnie. Na kilka z nich (uselib(), epoll(), ELF coredump i parę innych) można bez problemu znaleźć gotowe exploity.
We FreeBSD:
– devfs Ruleset Bypass
– i386_get_ldt() Kernel Memory Disclosure Vulnerability
– Kernel Memory Disclosure
– ifconf() Function Kernel Memory Disclosure
– amd64 Direct Hardware Access
– sendfile Kernel Memory Disclosure
Sześć. Przy czym warto zauważyć, że nie ma wśród nich ani jednego, który umożliwiałby łatwe i szybkie podniesienie uprawnień, jak w przypadku linuksowego epoll czy uselib.
A, i w przypadku Linuksa wszystkie watpliwe, albo wymagajace dziwnego sprzetu (dziury w konkretnych driverach albo architekturach) odsialem; we FreeBSD zostawilem wszystko jak jest.
No jak juz mowisz o jakosci kodu, to warto
moze jeszcze zarzucic "wc -l" na oba kernele
no i wspomniec o tym, ze im wiecej ludzi
z czyms grzebie tym wiecej smiecia wylazi
na swiatlo dzienne.
Aha, i przypominam, zaczalem watek pijac
do komunikatu na stronie OpenBSD ktory
wyrazie zaweza zabawe do REMOTE.
@jarek: To naprawde nie wina BSD, ze Linux zawiera kupe smiecia. Poza tym nie ma jakiejs konkretnej zaleznosci miedzy iloscia patrzacych ludzi i jakoscia kodu – z jednej strony owszem, ludzie wypatruja, z drugiej strony ludzie wprowadzaja nowe bledy.
@jarek: A, zapomnialbym. Powyzsze zestawienie nie zawiera bledow w sterownikach i kodu specyficznego dla dziwnych architektur; to, co zostaje, jest ~ podobne objetoscia (liczba linii) do BSD.
> to by się okazało że po dwóch dniach pracy wszyscy pracowali by na koncie roota
Hmm Wiele lat pracowałem normalnie na koncie root'a dopóki nie miałem neta.
A teraz nawet pliki które rzadko edytuję mają ograniczone prawa (np rw-r–r– root root) nawet mp3
oczywiście po to żeby nie szukać tydzień czasu kopii zapasowej bądź odzyskiwać dane przez dwa tygodnie (albo i lepiej…).
Wielokrotnie było wałkowane że na win$#^%! nie da się za bardzo pracować na ograniczonym koncie.
> Wielokrotnie było wałkowane że na win$#^%! nie da się za bardzo > pracować na ograniczonym koncie.
Wielokrotnie bylo walkowane, ze to linuksiarski FUD.