OpenBSD: A legenda vége

 ( trey | 2002. június 26., szerda - 18:31 )

Legendák szóltak arról, hogy az OpenBSD mennyire biztonságos operációs rendszer, hogy a készítők legfontosabb szempontja a fejlesztés során a biztonság, és hogy inkább nem adnak ki egy releaset mintsem kockáztassák a rendszer biztonságát.

Hogy ez mennyire igaz, az OpenBSD project ezt a woboldalán éveken keresztül hirdette:

"Távolról kihasználható hiba nélkül x.y éve, default telepítéssel"

Így volt ez eddig....Ahogy az előző cikkben írtam, ez a hét nem az OpenBSD fejlesztők hete volt. Megtört a híres, majdnem 6 évig tartó sikersorozat, és most már nem igaz a legendás mondás.

Valószínűleg ezért cserélték le a weboldalon a szlogent a következőre:

"Egy távolról kihasználható hiba nélkül, közel 6 év alatt, a default telepítéssel"

Hát mit mondjak. Bár csak az összes többi OS is ilyen eredménnyel büszkélkedhetne. Az elmúlt 6 évben rengeteg távoli exploit látott napvilágot. Mindig is csodáltam az OpenBSD fejlesztőket azért, hogy az általuk kiadott anyagot mindig a legnagyobb körültekintéssel kezelték, és méltán lett az OpenBSD egy legenda alanya.

Én csak gratulálni tudok a fejlesztőknek ezért a teljesítményért.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Én viszont most zabos vagyok rájuk mint a lósz@r.

Ha a challangeresponseauthentication-t letiltom, akkor ha jól tippelem nem fogja engedni a kulcsal való belépést. Innentől kezdve pedig nekem vmi. nagyon bűzlik.

Megjelent a 3.4, imho -ha jol vettem ki a dologbol (bar changelogot meg nem olvastam) - mar javitva van a dolog. Nem kotelezo a challangeresponseauthentication opciot engedelyezni a sshd_config-ban. IMHO frissits ;)

Ja es osszeuthetnel egy potato, meg egy woody csomagot a 3.4-es OpenSSH-bol

Ize, meg valami. Zabos vagy rajuk, de miert? Mert dolgoznak, es a munkajukban 6 ev alatt talaltak egy komolyabb hibat? Ejnye. Te soha nem hibaztal?

BTW: nekik koszonhetjuk, hogy az OpenSSH egyaltalanl letezik. Kulonben vehetnenk penzert SSH stuffot.

Legy egy kicsit megertobb....

Ez igaz, hogy ők csinálták az első olyan ssh-t, ami minden tekintetben free.

Viszont az egészben a legjobb a challangeresponseauthentication!

Hiszen gondolj bele, ha passwordal jelentkezel be, akkor a túloldalon az sshd plaintextben megtudja a helyi rendszerre a jelszód. Meg egyáltalán: jelszó kell.

Míg pl. challange-response esetén a /dev/(u)random-ból vesz némi entrópiát, lekódolja a publikus kulcsoddal, elküldi neked, te a privát kulcsoddal visszakódolod, visszaküldöd, és ha stimmel avval, amit a /dev/random-ból vett, akkor jó vagy nála.

Ebben az utóbbi esetben nem kell jelszó, nem kell, host/ip alapon megbíznod valakiben. Egyszerűen egy rsa vagy dsa kulcs birtokában be tudsz menni valahova. A kulcsot pedig a kliens oldalon kell/lehet védeni egy passphrase-el.

És, hogy ezt a lehetőséget kivették...

Ok. hibázhatnak. De ha beigérik, hogy egy hét múlva bejelentenek egy bazi nagy hibát, akkor azt ne úgy tegyék, hogy közben a vizzel együtt kiöntik a gyereket is! (Vagyis az ssh egyik legnagyobb előnyét veszik el!)

Ennyi erővel mehetnék ipsec+rsh-val is, és legalább az r* programokat talán már letesztelték az ő 20-30 évük alatt:)

En ugy tudom, hogy a challangeresponseauthentication kikapcsolasa workaround szeru volt addig, amig meg nem jelenik a 3.4. A 3.4 tegnap megjelent, tehat mar nem indokolt a challangeresponseauthentication kikapcsolasa, es a UsePrivilegeSeparation hasznalata sem, max. erosen javasolt.

Nemde?

Már van 3.4-es ssh a potato-ban a security.debian.org-on.

Tudom, mert épp most küldtem rá egy bugreportot:)

Őszintén szólva most megfogtál.

Tegnap-tegnapelőtt, és egyáltalán ezen a héten kb. negatív a szabadidőmm mennyisége. Tudod, az az egészségtelen >1.0 loadom van:)

Így az össz hírforrásom az volt, amit a hup-ból ki tudtam olvasni hirtelenjében:)

És az alapján meg nekem úgy tünt, hogy azt javasolják, kapcsoljam ki a challangeresponse-t... Én meg egyszerűen nem csípem az ilyen workaroundokat :)