Stephanie patch az OpenBSD 3.5 verzióhoz

OpenBSD

Amikor biztonságról és az OpenBSD-ről esik szó a Linuxos felhasználók gyakran teszik fel a kérdést, hogy van-e olyan patch a BSD-khez, mint a Linuxhoz a grsec. A legtöbb OpenBSD-s ilyenkor csak legyint és azt mondja, hogy nincs rá szükség, hisz a rendszer alapból biztonságos. Ez részben így is van, de amikor a részletekre terelődik a hangsúly hamar kiderül, hogy az alap rendszerben nincsenek olyan funkciók, mint a más user processeinek elrejtése vagy a TPE (Trusted Path Execution). Ezeket a hiányokat próbálja pótolni a Stephanie patch.A történet úgy indult, hogy a '98-as év végén a Phrack magazin 54. számában route|daemon9 és Mike D. Schiffman (bár szerény véleményem szerint ez csak álca és route=Mike ;) írt egy cikket "Hardening OpenBSD for Multiuser Environments" címmel amelyben egy patchet tett elérhetővé az akkor 2.4-es verziónál járó OpenBSD-hez. Ez tulajdonképpen a TPE implementációja volt és később ezt felhasználva, valamint néhány plusszt hozzárakva készült el Peter Werner keze nyomán az első Stephanie patch az OpenBSD 2.8-as verziójához. A patch elég nagy népszerűségre tett szert, mert többen jelezték, hogy segítségével sikerült meggátolni egyes feltörésre irányuló próbálkozásokat (lásd. híres krad-sploit). 3.1-es verziótól kezdve a patchet egy Brian nevű emberke tartotta karban, aki viszont a 3.4-es verzió kiadása után 5 éves katonaságba vonult, így a 3.5-ös portot most Neil Clifford végezte el.

Többszőr szóba került, hogy a patch bekerül-e az OpenBSD-be, de a fejlesztők nem hajlottak ebbe az irányba, ezért a patch a mai napig nem támogatott és nem javasolt az OpenBSD Team részéről.

De lássuk milyen extra biztonsági funkciókkal fűszerezi meg a rendszerünket a patch:

- System trust list

- Trusted path execution

- Vexec: Integrity verification

- Process privacy

Az elsőt leginkább a grsecben is megtalálható trusted gid-hez lehet hasonlítani. Olyan csoport hozható létre amelyel kiemelhetők egyes felhasználók a sima userek közül anélkül hogy wheel csoportba kellene őket tenni. A második a TPE, amelyet nyílván nem kell bemutatni. A Verified Exec a NetBSD-ből lett portolva (eredetileg Brett Lymn készítette) és segítségével minden binárisról egy digitális ujjlenyomat (hash) készíthető, melyet a rendszer minden programfuttatás előtt ellenőríz, hogy nem változott-e meg. A Process privacy pedig meggátolja, hogy a userek más felhasználók processzeiről szerezzenek információkat.

A 3.5-ös patch letölthető innen, a 3.4-es patch és a leírások pedig megtalálhatók itt.

( Hunger | 2004. 06. 14., h – 22:00 )

Na tessék, az ember hosszú perceken át vért izzadva kinyög egy cikket, aztán a kutyát se érdekli... TOLL A FÜLETEKBE! :)

Köszönjük szépen a cikket, de komolyan, csak annyi infóval halmoz el engem személyesen a HUP, hogy otthon a tizedének nem tudok utánajárni egy nap, amit olvasok. Szinte időm sincs, hogy leüljek 2 percre a gépem elé, de minden egyes szó, amit itt leírsz/leírtok fontos. Egyébként is gyüjtögetem össze az OpenBSD-ről írt cikkeket, csak az is idő, míg minden összegyűlik. Remélem a HUP még akkor meglesz, mikor tényleg leülhetek a gép elé, s az OpenBSD fog felkerülni a gépre, szóval addig is: "Még ilyet!" ;o)