Gå til innhold

Sjelden bug i OpenBSD

int20h

Anbefalte innlegg

Videoannonse

Videoannonse
Annonse
arokh

arokh

Skrevet
Skrevet

"Uansett gis OpenBSD høy kredittverdighet for kun å hatt to alvorlige sikkerhetshull i hele sin historikk der denne ukens bekjentskap er en av disse."

 

Denne "kredittverdigheten" er for antall "exploitable" sikkerhetshull i en standard installasjon, og er ikke verdt mye. En standard OpenBSD installasjon kommer med så og si null tjenester kjørende, så den kan ikke brukes til mye rart heller. Blir helt feil å sammenligne sikkerhetsmessig med andre OS sånn sett.

Lenke til kommentar
tore-

tore-

Skrevet
Skrevet

arokh, må si meg delvis enig med deg der. Dette gjelder bare en standard installasjon, og hvor mange kjører en standard installasjon? Du vil alltids legge til programvare i ettertid, og det er det sysadmin sitt ansvar å sørge for at denne programvaren holder seg sikker.

Lenke til kommentar
flyvendeullteppe

flyvendeullteppe

Skrevet
Skrevet
"Uansett gis OpenBSD høy kredittverdighet for kun å hatt to alvorlige sikkerhetshull i hele sin historikk der denne ukens bekjentskap er en av disse."

 

Denne "kredittverdigheten" er for antall "exploitable" sikkerhetshull i en standard installasjon, og er ikke verdt mye. En standard OpenBSD installasjon kommer med så og si null tjenester kjørende, så den kan ikke brukes til mye rart heller. Blir helt feil å sammenligne sikkerhetsmessig med andre OS sånn sett.

8166399[/snapback]

 

 

Absolutt ikke, problemet er jo nettop at man ikke kan installere win\OSX uten å få med alle disse tjenestene man ikke bruker og da ligger der kun som sikkerhetshull. Med OpenBSD kan man sikre at man kun har tjenester som er sikre kjørende.

Lenke til kommentar
stigfjel

stigfjel

Skrevet
Skrevet (endret)
Absolutt ikke, problemet er jo nettop at man ikke kan installere win\OSX uten å få med alle disse tjenestene man ikke bruker og da ligger der kun som sikkerhetshull. Med OpenBSD kan man sikre at man kun har tjenester som er sikre kjørende.

8166560[/snapback]

OpenBSD har ikke enerett på dette lenger. Det kan man også få til i Solaris 10. Under installasjonen av Solaris 10 11/06 kan man nå velge et alternativ "Secure by default". Da vil alle andre tjenester enn SSH være avslått som standard. Pluss at Solaris 10 har et tillegg som heter Trusted Extensions, et sikkerhetssystem jeg ikke har sett maken til. Dette bidrar til en sikkerhet på maskinen selv ikke OpenBSD kan vise til.

 

Det skal også nevnes at hvis man ikke bruker IPv6 så kan man gå rundt dette sikkerhetshullet ved å blokkere hele IPv6-protokollen ved hjelp av PF uten at man installerer patchen ved å rekompilere kjernen. Men å rekompilere kjernen er selvfølgelig det som er mest anbefalt.

Endret av stigfjel
Lenke til kommentar
Langbein

Langbein

Skrevet
Skrevet (endret)
OpenBSD har ikke enerett på dette lenger. Det kan man også få til i Solaris 10. Under installasjonen av Solaris 10 11/06 kan man nå velge et alternativ "Secure by default". Da vil alle andre tjenester enn SSH være avslått som standard.

Slik er det forøvrig også på hovedboksen min som kjører ArchLinux. Veldig ribba etter installasjon, og uten åpne porter og ymse daemons som kjører i bakgrunnen. Så slenger man inn akkurat det man vil ha med pacman :)

 

EDIT: Men såklart, det fins andre linux-distroer som er mer bloata etter en default install.

Endret av Langbein
Lenke til kommentar
stigfjel

stigfjel

Skrevet
Skrevet
arokh, må si meg delvis enig med deg der. Dette gjelder bare en standard installasjon, og hvor mange kjører en standard installasjon?  Du vil alltids legge til programvare i ettertid, og det er det sysadmin sitt ansvar å sørge for at denne programvaren holder seg sikker.

8166554[/snapback]

Vel, OpenBSD sin standardinstallasjon inneholder et par tjenester. F.eks. er Apache 1.3.29 en del av standardinstallasjonen til OpenBSD. Men denne er sterkt modifisert i forhold til originalen. Den kjører chrooted som standard pluss en del andre modifikasjoner som går på sikkerhet, f.eks. mod_ssl. PF er også noe som følger med OpenBSD som standard, og også denne er strammet ganske bra opp med tanke på sikkerhet. Det samme gjelder kompilatoren. Den har også en del sikkerhetstillegg som er unikt for OpenBSD, bl.a. propolice. Men det er ikke så mye som er inkludert i OpenBSD sin standardinstallasjon.

Lenke til kommentar
ttt

ttt

Skrevet
Skrevet
Pluss at Solaris 10 har et tillegg som heter Trusted Extensions, et sikkerhetssystem jeg ikke har sett maken til. Dette bidrar til en sikkerhet på maskinen selv ikke OpenBSD kan vise til.

Korleis er det å bruke ei maskin som er sikra så godt til vanleg bruk (t.d. surfing på Internett og skrive dokument)? Blir den ekstra tryggleiken eit irritasjonsmoment, eller fungerer det bra?

Lenke til kommentar
  • 4 uker senere...
arokh

arokh

Skrevet
Skrevet
arokh, må si meg delvis enig med deg der. Dette gjelder bare en standard installasjon, og hvor mange kjører en standard installasjon?  Du vil alltids legge til programvare i ettertid, og det er det sysadmin sitt ansvar å sørge for at denne programvaren holder seg sikker.

8166554[/snapback]

Vel, OpenBSD sin standardinstallasjon inneholder et par tjenester. F.eks. er Apache 1.3.29 en del av standardinstallasjonen til OpenBSD. Men denne er sterkt modifisert i forhold til originalen. Den kjører chrooted som standard pluss en del andre modifikasjoner som går på sikkerhet, f.eks. mod_ssl. PF er også noe som følger med OpenBSD som standard, og også denne er strammet ganske bra opp med tanke på sikkerhet. Det samme gjelder kompilatoren. Den har også en del sikkerhetstillegg som er unikt for OpenBSD, bl.a. propolice. Men det er ikke så mye som er inkludert i OpenBSD sin standardinstallasjon.

8167670[/snapback]

 

Apache blir vel ikke installert og startet opp som default? PF og kompilator er ikke tjenester. De fleste Linux-distribusjoner patcher GCC med propolice også forresten, det er ikke noe unikt med OpenBSD.

Lenke til kommentar
stigfjel

stigfjel

Skrevet
Skrevet
Apache blir vel ikke installert og startet opp som default? PF og kompilator er ikke tjenester. De fleste Linux-distribusjoner patcher GCC med propolice også forresten, det er ikke noe unikt med OpenBSD.

8367125[/snapback]

Apache blir installert som standard, ja. Men Apache blir ikke startet opp som default, det må man selv få til. PF er en brannmurtjeneste som heller ikke kan ha sikkerhetshull hvis man skal sette opp en brannmur som er tilnærmet helt sikker. Men du kan ikke diskutere på at det er godt gjort at OpenBSD har hatt så få hull på mer enn 10 år. Og som tidligere nevnt: en feilrettingspatch var allerede tilgjengelig da nyheten ble kjent. Dette er ikke akkurat tilfelle med Windows. For å gjenta meg selv: sikkerhetshullet var en svakhet i IPv6-protokollen. Enten patcher man opp systemet, eller, hvis man ikke bruker IPv6, er det bare å sperre hele protokollen med PF, så er problemet løst. I begge tilfeller kan sikkerhetshullet fint håndteres, enten med patchen eller med workaround med PF.

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste

  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...