Vessünk egy közelebbi pillantást az OpenBSD-re

OpenBSD

Az IBM developerWorks oldalain jelent meg egy áttekintő cikk az OpenBSD-ről, amely a cikk szerint "egész valószínű, hogy a Föld legbiztonságosabb operációs rendszere". A cikk általános képet ad az OpenBSD-ről. Kezdőknek, ismerkedőknek, kipróbálást fontolgatóknak hasznos lehet. A cikk itt.

( tr3w v | 2006. 08. 13., v – 16:55 )

Jó kis ismeretterjesztő cikk...

Egy dolgot nem értek csak:
"Cryptographic transform libraries in OpenBSD include Blowfish, Data Encryption Standard (DES), 3DES, and Cast."
Hogy lehet, hogy az AES kimaradt?
(Kicsit rákerestem guglin, és nekem úgy tűnik, nem véletlenül maradt ki a felsorolásból. Tévedek?)

"...handing C++ to the average programmer seems roughly comparable to handing a loaded .45 to a chimpanzee."
-- Ted Ts'o

A NIST-hez van köze (National Institute of Standards and Technology), de csak annyi, hogy ők írtak ki egy "pályázatot", amiben a DES-t felváltó titkosító algoritmust keresték.

Itt nyert a Rijndael (új nevén AES-Advanced Encryption Standard), méghozzá olyanok előtt mint pl a twofish, ami a blowfish továbbfejlesztése.
Elég sokáig tartott a kiválasztás, a résztvevők pl egymás algoritmusait próbálták feltörni...
(Teljesen nyílt folyamat volt egyébként.)

Tehát az AES bizonyos szempontokból a legjobb titkosító algoritmus, innentől kezdve aki azért nem használja, mert egy amerikai hivatal pályázatán nyert, az nem normális...

"...handing C++ to the average programmer seems roughly comparable to handing a loaded .45 to a chimpanzee."
-- Ted Ts'o

Hja, ha valaki szereti az összeesküvéselméleteket...
Akkor már miért nem az RSA-t félted? Azt is nyomja mindenki...

(IDEA-t annyira nem ismerem, de neten rákeresve kicsit több hibáját fedezték már fel (pl weak keys), mint a Rijndaelnek (AES). Arról nem is beszélve, hogy az AES-nek változtatható a blokk és kulcshossza, és asszem még gyorsabb is.)

"...handing C++ to the average programmer seems roughly comparable to handing a loaded .45 to a chimpanzee."
-- Ted Ts'o

( frank | 2006. 08. 13., v – 19:52 )

Szeretem az IBM DeveloperWorks írásait. Némelyikük részletes, van amelyik felszínesen foglalkozik a témával, de összességében jók.

( eax | 2006. 08. 13., v – 21:06 )

egész valószínű, hogy a Föld legbiztonságosabb operációs rendszere"

Abszolut nem flame gerjesztesi szandekkal, de valaki magyarazza mar meg nekem, hogy az OpenBSD mitol biztonsagosabb, mint mondjuk az XTS-400 vagy a trusted solaris?

Udv. eax

Egyesek szerint azért, mert az OpenBSD _alapból_ rendelkezik olyan 'Intrusion Prevention' megoldásokkal, mint a W^X, ProPolice (Stack-Smashing Protector) és különféle randomizációk, amelyeket más rendszerek nem vagy csak jóval kevésbé hatásosan tartalmaznak. Mások szerint pedig semmivel sem biztonságosabb, csak egyszerű OpenBSD propaganda gépezetről van szó és sokan hajlamosak beállni a sorba egy kis csápolásért.

Hogy mi az igazság azt derítsd ki magad... ;)

( ishida | 2006. 08. 14., h – 13:34 )

"egész valószínű, hogy a Föld legbiztonságosabb operációs rendszere"
Ez a duma, mi másé, ha nem a Földé. Még jó, hogy nem a világegyetem legjobb oprendszere. Szerencse, hogy nem ilyen volt a Függetlenség napja c. filmben az ostoba ET-knek, mert akkor valószínűleg nem sikerült volna fél nap alatt visszafejteni es virust írni rá.
(mellesleg az a film egy okádék)

Szerintem két dologról van itt szó:
1. Mit nevezünk alaptelepítésnek, illetve mi a távolról kihasználható hiba. Alaptelepítés (vagy alapértelmezett telepítés, sajnos nem igazán tudtam árnyalni eléggé a dolgot) gondolom az, amikor a "hivatalos" telepítő médiumról (általában CD-ROM) telepítjük a rendszert, az azon levő kernelt, userlandot és csak az automatikusan elinduló szolgáltatások futnak. Semmi patch, semmi kézi konfig. Ez viszont csak az én véleményem és lehet, hogy más másképp magyarázza. Távolról kihasználni hibát gondolom csak valamelyik hálózati szolgáltatáson keresztül lehet, teljesen mindegy, hogy a rendszer melyik eleme felelős érte (maga démon vagy a kernel stb). Ha jól tudom az egyetlen hálózati szolgáltatás, amely telepítékor (után) elindul az a sendmail. Ha minden igaz akkor talán még az sshd sem indul el alapból (lehet, hogy keverem a dfbsdvel). Ez tehát az én nézetem szerint azt jelenti, hogy a sendmail (amely egyébként egy meglehetős bughalmaznak indult) 8 éve nem tartalmaz távolról kihasználható hibát. Azért egy mai "modern" OS ennél jóval több szolgáltatást indít el alapból, ezért nagyságrendekkel több esély van arra, hogy ott ilyen hibák lehessenek.
Ennek ellenére igazi távolról kihasználható hiba (nem DOS meg ilyenek, hanem amikor valaki accot tud szerezni vagy kódot tud futtatni egy olyan gépen, amelyre nincs jogosultsága) viszonylag ritka más rendszereken is. Win-en talán 2 volt, Linuxon most nem jut eszembe, hogy lett volna az elmúlt években.
Ez a jelmondat tehát hangzatos, de nem jelent semmit szvsz. (Mondom ezt azután, hogy meglehetősen "sokat" gondolkoztam azon, hogy hogy lenne a legpontosabb a fordítása, de csak ez "tellett" tőlem :) )
2. Az OpenBSD egy elég jó és előremutató projekt. Kicsit kisérleti jellegű, próbálnak "belezsúfolni" a rendszerbe minden olyan dolgot, amely szerintük növeli a biztonságot. Ezek nagy része igazából egzakt módon nem bizonyított, hogy valóban jobb lesz tőle egy (a) rendszer, illetve megéri a ráfordítást és a plusz overheadet.
Egy kicsit "primitív" rendszernek tartom (nem akarok megbántani senkit, nem igazán rossz értelemben gondolom), annak ellenére, hogy sok olyan dolog van beleépítve, ami más rendszerekben nem, vagy csak alig.
Bocs ha egy kicsit köpködősnek tűnik amit írtam (meg egy kicsit homályosnak, mivel nem sok konkrétum van benne :) ), pedig nem annak szántam, sőt egyébként nagyon jó rendszernek tartom, csak inkább most a "Föld talán legbiztonságosabb oprendszerére" akartam inkább reagálni.