OpenBSD w wersji 4.3

Zespół programistów pod przewodnictwem Theo de Raadta opublikował nową wersję (4.3) OpenBSD zaliczającego się do grona najbezpieczniejszych systemów operacyjnych.

Najnowsza wersja oznaczona numerkiem 4.3 wprowadza kilka znaczących upsrawnień:

  • wsparcie dla maszyn wieloprocesorowych na architekturze Sparc64, MVME188, MVME188A
  • dodano sterowniki dla kilku kart sieciowych, m.in.: BCM5906/BCM5906M, BCM5755, Cassini+ 10/100 Gigabit Ethernet, MCP73, MCP77, MCP79, Broadcom AirForce IEEE 802.11b, Agere/LSI ET1310, Agere/LSI ET1011
  • dodano wsparcie dla kontrolera SMBus w południowym mostku dla VIA VT8237S
  • dodano nowy sterownik dla pomiaru wydajności dla procesorów AMD64
  • dodano demona implementującego protokół SNMP wraz z narzędziem do jego kontroli
  • dodano narzędzie wyświetlające informacje o urządzeniach korzystających z magistrali PCI
  • narzędzie eeprom pozwala wyświetlić teraz drzewko urządzeń OpenPROM
  • dodano wsparcie systemu X11 dla kart z rodziny Sgi
  • dodano wsparcie DMA dla urządzeń korzystających z pamięci Flash
  • dodano opcje automatycznego odmontowywania systemu plików dla urządzeń USB
  • błędne wpisy w fstab są teraz ignorowane
  • plik konfiguracji firewalla pf.conf pozwala teraz na dodawanie dodatkowych zależnych plików z konfiguracją

W najnowszej wersji OpenBSD dodano też aktualizacji sztandarowych projektów rozwijanych przez programistów OpenBSD (OpenNTPD, OpenBGPD, OpenSSH, OpenOSPFD). OpenSSH w nowej wersji wspiera chroot.

OpenBSD można zamówić na trzech płytach CD za 50 euro. Przesyłka oprócz samego systemu zawiera instrukcję instalacji, naklejki z logo systemu oraz wersje OGG i MP3 piosenki firmującej wydanie: “Home to Hypocrisy”, nawiązującej do niedawnych zatarczek deweloperów OpenBSD z RMS. Oto fragment:

That man is a false leader. He is a hypocrite. There may be some people who listen to him. But we don’t listen to people who do not follow their own stupid rules.

System bez dodatków można ściągnąć z FTP. Deweloperzy przepraszają, że nie udostępnili przez sieć naklejek, tłumacząc to nie zaimplementowaniem na czas protokołu naklejkowago (Sticker Transfer Protocol). Może następnym razem się powiedzie.

żadnych reklam, sama wiedza.

Zarejestruj się na BEZPŁATNY NEWSLETTER i raz w tygodniu otrzymuj najważniejsze wiadmości
ze świata IT, nowych technologii i kryptowalut.

Bez reklam.

  1. Awatar jarek
    jarek

    Jakis czas temu przypomnialem sobie o istnieniu OpenBSD i podjechalem
    na ich strone. Prawie z krzesla spadlem jak przeczytalem "only two
    holes". Ktos mnie oswieci jaka byla ta druga? Pewnie ssh, bo przeciez
    legendarne bezpieczenstwo domyslnej instalacji tego systemu polega
    na tym, ze tam praktycznie nic poza ssh nie jest uruchamiane 🙂

    1. Awatar michuk
      michuk

      Przeczytaj: Luka bezpieczeństwa w OpenBSD. Chodziło o IPv6.

    2. Awatar Z
      Z

      "Only two"? Doprawdy? :] Zamieszczę bez tłumaczenia:
      źródło

      There have actually been a number of local and remote root holes in the
      default install of OpenBSD during that time frame..the only sense in which their claim is true is that they don't count root holes except in the head of the CVS tree. If a release from a year ago had the hole, but the current tree does not, they don't count it.

      For example, a couple of years ago there was a telnetd exploit discovered
      after OpenBSD had disabled telnetd by default in OpenBSD-current, but a
      recent prior release had shipped with telnetd enabled. That allowed them to rationalize not counting it as a remote hole. There are a number of other similar examples.

  2. Awatar wiktorw
    wiktorw

    Pamiętam ten spór ze Stallmanem. Czytałem przez dwa dni prawie cały wątek gdzieś w połowie stycznia (sam list pojawił się miesiąc wcześniej). Swoją stroną warto poczytać, wszystko jest w sieci:

    http://www.sigmasoft.com/~openbsd/archives/html/o…

    Tak mnie RMS wkurzył swoją postawą, że prawie chciałem napisać pod rms@gnu.org i wyrazić swoje niezadowolenie. Ale stwierdziłem, że najpierw przeczytam wszystko do końca, bo przecież czytałem archiwum po fakcie. Na koniec doszedłem do wniosku, że nie będę do niego pisał, za to trochę przewartościowały się niektóre moje poglądy.

    Odtąd faktycznie widzę, że licencja BSD wymaga jedynie zachowania not autorskich i uczciwego wyjaśnienia (w dokumentacji i/lub materiałach reklamowych) o używaniu kodu źródłowego na tej licencji.

    Natomiast GPL daje cztery wolności:
    http://www.sigmasoft.com/~openbsd/archives/html/o…

    Zaś co poniektórzy widzą dwie z nich jako wymogi (czytaj: ograniczenia):
    http://www.sigmasoft.com/~openbsd/archives/html/o…

    Dlatego tym bardziej cieszę się, że twórcy OpenBSD podchodzą spokojnie do narzekania RMS na drzewo 'ports'. Które zresztą nie stanowi podstawy tej dystrybucji, nie jest domyślnie instalowane (jest jedynie jeden plik z archiwum 'ports' na płycie dystrybucyjnej), a tak naprawdę jest dawane użytkownikom tylko dla ich wygody. Resztę każdy musi rozważyć sam: czy umożliwienie użytkownikom instalacji oprogramowania w ten sposób jest? – czy też nie jest? – promowaniem zamkniętego oprogramowania.

    Bo to wytykał RMS deweloperom OpenBSD w swoim spokojnym, mentorsko-prorockim, czarno-białym tonie. Niestety, nie odpowiedział też kilka razy na bezpośrednio stawiane pytania lub robił to wymijająco, no i tym niestety spowodował obniżenie mojego mniemania na jego temat.

  3. Awatar smonek
    smonek

    Legendarne bezpieczeństwo tego systemu polega na tym że po instalacji nie daje zajrzeć zwykłem userowi do katalogu roota ( FreeBSD ) lub wykonywać kompilację apache by postawić go w chroocie (Debian) , lub ściągać 100 MB poprawek zaraz po instalacji nowej wersji systemu ( OpenSuse , Ubuntu i spółka ) . Legendarne bezpieczeństwo tego systemu to również to że system jest "przewidywalny" – znacie to słowo ??? poza Debianem lub może Slackware i to nie jeżeli idzie o kernel – temat się nie zdarza .
    Przejrzyjcie teksty odnośnie odrzuconych poprawek , sterowników itp w kernelu 2.4 … jak zobaczycie to 90% odrzuconych zmian dla kernela 2.4 zostało wrzucone do 2.6 – myślicie że nagle wszystkie stały się sprawdzone i stabilne. Bezpieczeństwo Linuksa to tak naprawdę świadomi użytkownicy a nie soft na wysokim poziomie. Jakby tak wymienić teraz zwykłeym userom windows na linuks to by się okazało że po dwóch dniach pracy wszyscy pracowali by na koncie roota … wyobrażacie sobie jak łatwo jest umieścić kod w themesie dla Firefoksa ????? to by się porobiła masakra . Zastanawiam się jak Szybko powstał by mechanizm analogiczny z UAC dla Visty.

    P.S. Wersja Firefoxa dla OpenBSD nawet w środowisku roota dzięki patchowi Pana Bernd Ahlersa działą w odizolowanej przestrzeni i w przypadku wykorzystania ważnych z punktu widzienia bezpeiczństwa funkscji systemowych po prostu nastąpi crach przeglądarki a nie wykoannie kodu .

    Pozdrawiam wszystkich

    1. Awatar Thar
      Thar

      Zastanawiam się jak Szybko powstał by mechanizm analogiczny z UAC dla Visty.

      Już istnieje, a nazywa się sudo 😉

      1. Awatar trasz
        trasz

        Bzzt, wrong. Sudo to cos jak windowsowe "run as", ktore bylo juz bodajze w Windows 2000. UAC nie ma linuksowego odpowiednika.

    2. Awatar niedzwiedz_2
      niedzwiedz_2

      "Zastanawiam się jak Szybko powstał by mechanizm analogiczny z UAC dla Visty."
      Tak się składa, że to MS zgapił to z Linuksa :]
      Poza tym naprawdę działanie na koncie zwykłego usera w Linuksie nie jest nieprzyjemne (w windzie jest), a używanie konta roota jest cholernie skomplikowane (znaczy dojście do tego jak się zalogować).

    3. Awatar jarek
      jarek

      "Two REMOTE holes in 10 years". Czyli jak wypieprze z dowolnego
      distro linucha wszelkie wynalazki majace pootwierane porty poza
      sshd to mimo to uzyskam system znaczaco mniej bezpieczny niz
      OpenBSD (w sensie remote)?

      1. Awatar krzy2
        krzy2

        Jeśli jeszcze doinstalujesz PaX'a, SELinuxa lub systrace i ProPolice, to może będzie to coś porównywalnego.

        Natomiast siła systemów BSD polega właśnie na tym, że żeby uzyskać bezpieczny system nie musisz nic deinstalować. Defaultowa instalka jest dość bezpieczna, a potem dokładnie wiesz co doinstalowałeś i po co. W ten sposób konfiguracja jest znacznie łatwiejsza do zaudytowania niż idąc z drugiej strony.

        Niestety dystrybucje Linuksa coraz bardziej przypominają Windows — instalują tony softu, bez względu na to, czy będzie potrzebny czy nie.

        1. Awatar Tomasz Chiliński
          Tomasz Chiliński

          Nie bardzo rozumiem po co doinstalowywać PaX'a SELinuksa i inne skoro są domyślnie zainstalowane i nawet domyślnie uaktywnione.

        2. Awatar lamprez
          lamprez

          SELinux domyślnie instalowany ??

          Ciekawe czy w jakim distro; Novell preferuje AppArmora tak samo jak Slack; Debian ma defaultowo wyłączone;

          PaX chyba nie jest już rozwijany (przynajmniej wg Wikipedii)
          RH używa Exec Shield.

        3. Awatar trasz
          trasz

          @Tomasz Chiliński: Nie chodzi nawet o SELinuksa. Zreszta bezposredniego odpowiednika SELinuksa w zadnym z BSD nie ma, bo nie ma po co, SELinux nie jest zbyt dobrym wzorem do nasladowania. Jest za to (we FreeBSD) modularna infrastruktura Mandatory Access Control.

          Sila systemow BSD, jesli chodzi o bezpieczenstwo, polega na jakosci kodu i ilosci dziur w porownaniu do Linuksa. Kiedy jeszcze mi sie chcialo – 2005 – zrobilem sobie zestawienie praktycznie eksploitowalnych dziur w Linuksie (kernelu, glibcu i innych obowiazkowych elementach Linuksa, ktore poza Linuksem uzywane nie sa) i FreeBSD. W linuksie wygladalo to tak:

          – Linux Kernel Binary Format Loaders Privilege Escalation
          – Linux Kernel Page Fault Handler Privilege Escalation
          – A signedness error in /proc
          – A signedness error in drivers/char/n_tty.c
          – An error within the handling of the OUTS instruction on 64-bit platforms
          – Table sizes in nls_ascii.c are incorrectly set to 128 instead of 256
          – A signedness error in sysfs when writing to a sysfs file can be exploited to overwrite kernel memory
          – Some signedness errors in drivers/block/scsi_ioctl.c
          – Linux Kernel sys_epoll_wait() Function Integer Overflow
          – Some unspecified errors have been reported in the ISO9660 filesystem
          – A signedness error in the bluez_sock_create() function
          – An information leak exists in the ext2_make_empty() function
          – Linux Kernel ELF Core Dump Privilege Escalation Vulnerability
          – Linux Kernel pktcdvd and raw device Block Device Vulnerabilities
          – An error in the mmap() function
          – Linux Kernel IA32 Compatibility execve() Buffer Overflow
          – Linux Kernel XDR Encode/Decode Buffer Overflow
          – A boundary error in sendmsg() when copying 32bit msg_control
          – An error in the raw_sendmsg() function
          – A boundary error in /drivers/i2c/i2c-core.c
          – insecure permissions being set on /dev/input by udev

          Dwadzieścia jeden poważnych błędów, co daje średnio jeden błąd co trzy tygodnie. Na kilka z nich (uselib(), epoll(), ELF coredump i parę innych) można bez problemu znaleźć gotowe exploity.

          We FreeBSD:

          – devfs Ruleset Bypass
          – i386_get_ldt() Kernel Memory Disclosure Vulnerability
          – Kernel Memory Disclosure
          – ifconf() Function Kernel Memory Disclosure
          – amd64 Direct Hardware Access
          – sendfile Kernel Memory Disclosure

          Sześć. Przy czym warto zauważyć, że nie ma wśród nich ani jednego, który umożliwiałby łatwe i szybkie podniesienie uprawnień, jak w przypadku linuksowego epoll czy uselib.

          A, i w przypadku Linuksa wszystkie watpliwe, albo wymagajace dziwnego sprzetu (dziury w konkretnych driverach albo architekturach) odsialem; we FreeBSD zostawilem wszystko jak jest.

        4. Awatar jarek
          jarek

          No jak juz mowisz o jakosci kodu, to warto
          moze jeszcze zarzucic "wc -l" na oba kernele
          no i wspomniec o tym, ze im wiecej ludzi
          z czyms grzebie tym wiecej smiecia wylazi
          na swiatlo dzienne.

          Aha, i przypominam, zaczalem watek pijac
          do komunikatu na stronie OpenBSD ktory
          wyrazie zaweza zabawe do REMOTE.

        5. Awatar trasz
          trasz

          @jarek: To naprawde nie wina BSD, ze Linux zawiera kupe smiecia. Poza tym nie ma jakiejs konkretnej zaleznosci miedzy iloscia patrzacych ludzi i jakoscia kodu – z jednej strony owszem, ludzie wypatruja, z drugiej strony ludzie wprowadzaja nowe bledy.

        6. Awatar trasz na wyjezdzie
          trasz na wyjezdzie

          @jarek: A, zapomnialbym. Powyzsze zestawienie nie zawiera bledow w sterownikach i kodu specyficznego dla dziwnych architektur; to, co zostaje, jest ~ podobne objetoscia (liczba linii) do BSD.

    4. Awatar norbert_ramzes
      norbert_ramzes

      > to by się okazało że po dwóch dniach pracy wszyscy pracowali by na koncie roota

      Hmm Wiele lat pracowałem normalnie na koncie root'a dopóki nie miałem neta.
      A teraz nawet pliki które rzadko edytuję mają ograniczone prawa (np rw-r–r– root root) nawet mp3 🙂 oczywiście po to żeby nie szukać tydzień czasu kopii zapasowej bądź odzyskiwać dane przez dwa tygodnie (albo i lepiej…).

      Wielokrotnie było wałkowane że na win$#^%! nie da się za bardzo pracować na ograniczonym koncie.

      1. Awatar jarek
        jarek

        > Wielokrotnie było wałkowane że na win$#^%! nie da się za bardzo > pracować na ograniczonym koncie.

        Wielokrotnie bylo walkowane, ze to linuksiarski FUD.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *