OpenBSD 4.0

OpenBSD

Theo de Raadt, az OpenBSD csapat vezetője ma bejelentette az OpenBSD 4.0 hivatalos kiadását. Ez a projekt által kiadott 20. CD-ROM-on és egyben a 21. FTP-n keresztül terjesztett változat. Az OpenBSD csapat kiemelte a bejelentésben, hogy büszke arra, hogy alapértelmezett telepítés esetén mindössze egyetlen egy távolról kihasználható biztonsági hiba volt az elmúlt 10 évben rendszerükben.

A 4.0-s kiadás - mit ahogy azt a korábbiaknál megszokhattuk - jelentős javításokat, új funkciókat hoz a rendszert szinte egész területén:

  • új/javított platformok támogatása (OpenBSD/armish, OpenBSD/sparc64, OpenBSD/zaurus)
  • javított hardver támogatás
  • új fejlesztést segítő eszközök (pl. GNU RCS helyett OpenRCS)
  • bővebb szolgáltatás-lista, javított funkcionalitás
  • OpenSSH 4.4
  • OpenBGPD 4.0
  • OpenOSPFD 4.0
  • OpenNTPD 4.0
  • stb.

A további részletek a bejelentésben itt.

( ProTech | 2006. 11. 01., sze – 09:17 )

Egy alapertelmezett telepitessel lehet valami ertelmeset csinalni? Legalabb sshd fut alapbol? Van aki az alapertelmezett telepitest hasznalja? Egyelatalan egy alapertelmezett OpenBSD telepites figyel valamilyen porton? Igazandibol ezt inkabb reklamfogasnak erzem. Ahhoz, hogy egy OpenBSD-t hasznalj valamire ugyis fel kell rakni egy par programot/elinditani nehany daemont, es akkor mar valoszinuleg nem igaz ez az allitas.

Nem hasznaltam meg OpenBSD-t, egyszer probaltam volna, de nem tudott bebootolni a gepemen. Most vattas uj gep van, ami meg a Linux-nak is feladja a lecket (CD-ROM + Pendirve kombo boot), szoval ketlem, hogy OpenBSD menne. Ha valotlan dolgokat allitok javitsatok ki.

Legalabb sshd fut alapbol?

Hulye kerdes.

Van aki az alapertelmezett telepitest hasznalja?

Pl en

Egyelatalan egy alapertelmezett OpenBSD telepites figyel valamilyen porton?

A masik hulye kerdes. Bar szajtato linuxuserektol mar megszokhattam volna.

Igazandibol ezt inkabb reklamfogasnak erzem.

Kit erdekel hogy mit erzel minek, amikor meg kepen se lattal openbsd-t?

lol??? nekem egy ekkora eges utan nem biztos, hogy lenne kedvem a neveteshez. vagy csak kinodban vigyorogsz? ;) tudod a "vakok kozt a felszemu a kiraly"-elv neha nagyon jol mukodik, de eleg kinos, ha a felszemu nem veszi eszre, hogy a kornyezeteben nem a vakok" vannak tobbsegben. ilyenkor a tudatlansag elkendozesere szolgalo arogans viselkedes enyhen szolva is szanalmas eredmenyt produkal. de tenyleg, most pusztan egy szakmai kerdes: te mire hasznalod az alapertelmezett telepitest?

te mire hasznalod az alapertelmezett telepitest?

Mire lehet használni egy alap OpenBSD-t:
- tűzfal (bridge, NAT)
- DHCP-szerver
- DNS-szerver
- webszerver (chrootolt Apache)

Hiretlen ezek azok, amik eszembe jutottak, biztos van még.
--
Gentoo motto: It's worth spending eight hours trying to make something load 20ns faster.

Attól függ, hogy mit nevezel te alapértelmezett telepítésnek. Alapértelmezett telepítés után az alábbiak futnak:

- init
- syslogd
- sendmail (az sem figyel kifele)
- inetd
- sshd
- cron

Az inetd.conf-ban a ident, time, daytime van engedélyezve.

Nos, ezzel IP-t nem osztassz, azaz a DHCP kilőve. Webet nem szolgálsz ki, tehát az is kilőve. A DNS szintén, a PF-et is be kell állítani (minimum be kell kapcsolni /etc/rc.conf, mert alapértelmezetten "off"), ami véleményem szerint már nem default install. Így igazából nem maradt semmi. :(

--
trey @ gépház

Természetesen nem szőrszálhasogatás. Az OpenBSD 3.9 errata oldalát nézd meg:

"001: SECURITY FIX: March 25, 2006 All architectures
A race condition has been reported to exist in the handling by sendmail of asynchronous signals. A remote attacker may be able to execute arbitrary code with the privileges of the user running sendmail, typically root. This is the second revision of this patch. "

Na, akkor most mi a "default install"? Az, hogy a sendmail nem hallgat a 25-ön kifelé, vagy az is, ha beállítom, hogy ott is hallgasson. Ha az OpenBSD szerint az utóbbi is az, akkor máris ugrott a szlogen. Tehát nem mondhatnak mást, mint hogy az nem default install már.

--
trey @ gépház

Ha már hasítjuk a szőrszálat: ezek szerint semmiképp sem igaz, hiszen az openssh-ban is volt valami exploit mostanság. Akkor már ennyi erővel lehet a pf="YES", dhcpd="YES" is default. :-P
--
Gentoo motto: It's worth spending eight hours trying to make something load 20ns faster.

"az openssh-ban is volt valami exploit mostanság"

Exploit volt az OpenSSH-ban? :) LOL. Esetleg bughoz mindjárt bele is tették a kihasználó kódot?

Egyébként ha a legutóbbi kettőre gondolsz, az "csak" DoS volt, az meg nem remote "hole".

"Akkor már ennyi erővel lehet a pf="YES", dhcpd="YES" is default. :-P"

Igen, amennyiben a sendmail újrakonfigurálása default install lenne. Ami szerintem nem az, mert ha az, akkor a felhu..ozok a levegőbe és aláállok esete forog fenn az OpenBSD csapat részéről. :)

--
trey @ gépház

ezt az OpenBSD sose ismeri el neked

Nem, végül is ők (Theo et al.) írták azt a relnotes-t is, ami be van idézve. Az más kérdés, hogy Theo ezt kerek perec letagadta (amikor láttam azt a list threadet, 20 percig röhögtem, a következő levélben ez áll: 'Theo: Maybe you should put people in charge who can read their own release announcements before flaming a mailing list.').
--
Gentoo motto: It's worth spending eight hours trying to make something load 20ns faster.

Azt írták "theoretically", ami azt jelenti "elméletileg".

De egyébként mi most nem arról kezdtünk el vitatkozni, hogy mennyi remote hole volt az OpenBSD-ben. Én készséggel elhiszem mindenkinek, hogy volt több is, mint egy. Arról kezdtünk el vitatkozni, hogy mi a default install. Ez csak egy mellékvágány.

--
trey @ gépház

Igen, de ha nem egy volt, akkor már borult a kártyavár, és akkor már tök mindegy, mi az a kurva default install. Várjuk meg thuglife szakit, majd ő beavat minket.
De approve-old inkább a hírt, amit beküldtem, légyszilégyszilééégysziiiiiiiiiii! :-D
(Hiszed vagy nem, én is tudok angolul, és minden hiba addig elméleti, amíg ki nem használják. Elméletileg én is halhatatlan vagyok, jó? :-P)
--
Gentoo motto: It's worth spending eight hours trying to make something load 20ns faster.

Jaja, csak az a nő hülye picsa, akit meg akarok dugni de nem hagyja. ;-)
(szerk.: tehát pont fordított a viszony, akkor jó, ha van lyuk, és ki is lehet használni, ellentétben az obsd-vel).

És akkor

# echo 'pf="YES"' >> /etc/rc.conf
# echo 'block quick all' >> /etc/pf.conf
# pfctl -e -f /etc/pf.conf

ennyi a revert back to default install?
--
Gentoo motto: It's worth spending eight hours trying to make something load 20ns faster.

"ekkora eges", heee? ROFLOL :)

Jo akkor lepjunk bele a hupper szakmaisag mely es undorito mocsaraba:

1. firewall
2. nat
3. httpd
4. routing
5. pppoe
6. kerneldevelopment
7. nfs server
+1. warez

Most hirtelen ezek jutnak eszembe amire default installt hasznaltam eddig.

EDIT: valoban, +DHCP is volt

"Egy alapertelmezett telepitessel lehet valami ertelmeset csinalni?"

Ez attól függ, hogy mit jelent az "értelmeset csinálni". Sok mindenre nem jó alapértelmezetten, az tény.

"Legalabb sshd fut alapbol?"

A telepítő rákérdez, hogy fusson-e. Az alapértelmezett válasz a [Yes], tehát ha az a kérdés, hogy alapértelmezett telepítés esetén fut-e, akkor a válasz: Igen, fut.

"Van aki az alapertelmezett telepitest hasznalja?"

Minden bizonnyal kevesen, mert szerintem nem sokan használnak semmilyen rendszert alapértelmezett telepítéssel. Az OpenBSD is azt javasolja, hogy telepítés után olvasd el a "man afterboot"-ot, és végezd el a beállításokat, finomhangolásokat. Ha ezeket elvégzed, én azt már nem nevezem "alapértelmezett telepítésnek".

"Egyelatalan egy alapertelmezett OpenBSD telepites figyel valamilyen porton?"

Attól függ, hogy hogyan válaszolsz a telepítéskor a kérdésekre. Ha csak az enter-t nyomogatod, akkor például a 22/ssh porton figyel. A pontosabb válasz (alapértelmezett OpenBSD 4.0 esetén): 


Starting Nmap 4.10 ( http://www.insecure.org/nmap/ ) at 2006-11-01 10:38 CET
Interesting ports on 192.168.10.10:
Not shown: 3160 closed ports
PORT     STATE         SERVICE
13/tcp   open          daytime
22/tcp   open          ssh
37/tcp   open          time
113/tcp  open          auth
514/udp  open|filtered syslog
4500/udp open|filtered sae-urn
MAC Address: 00:0C:29:FC:84:4C (VMware)
Device type: general purpose
Running: OpenBSD 3.X
OS details: OpenBSD 3.5 - 3.9

Nmap finished: 1 IP address (1 host up) scanned in 91.333 seconds

"Igazandibol ezt inkabb reklamfogasnak erzem."

A jó bornak is kell cégér.

"Ahhoz, hogy egy OpenBSD-t hasznalj valamire ugyis fel kell rakni egy par programot/elinditani nehany daemont, es akkor mar valoszinuleg nem igaz ez az allitas."

Így van.

--
trey @ gépház

Igazandibol ezt inkabb reklamfogasnak erzem.

Azért nem teljesen az. Az ember minden rendszer esetén egy kvázi alapértelmezettnek nevezhető telepítésből indul ki és azt állítgatja a saját igényeinek megfelelően. Ha az alapértelmezett telepítés olyan puritán, mint az openbsd esetén, akkor biztos lehetsz benne, hogy csak olyan dolog fut/listenel, amit te kézzel állítottál be, ergó teljes kontrollod van a rendszer felett, nincsenek rejtett meglepetések. Ez szöges ellentétben áll mondjuk a tipikus Redhat hozzáállással, ami kérdezés nélkül (sőt néha a telepítőben az explicit beállítás ellenére is (!)) felrak egy rakat daemont aztán utána egy hét nyomozásba kerül leirtani/letiltani a sok felesleges, potenciális security hibaforrást és igazából sosem lehetsz teljesen biztos benne, hogy mindent letiltottál, ami.
Szóval a lényeg, hogy egy alapból fapados, de biztonságos rendszerből kiindulva könnyebb egy biztonságos szolgáltatást felépíteni, mint egy eleve orrba szájba lyukas rendszert valahogy utólag biztonságossá tenni.
---
Az ember mindig szerepet játszik. Ha másnak nem, hát saját magának.