OpenBSD: sicheres Grundsystem, unsichere Dienste?

[Reks30]

Hallo,

ich habe mir zum ausprobieren OpenBSD 3.5 auf mein altes Notebook installiert. Das hat auch wunderbar geklappt (und ich bin überrascht, das sogar meine Soundkarte korrekt erkannt wurde und funktioniert). Ich möchte OpenBSD kennenlernen und mir später damit eine Firewall und eventuell auch einen Server mit ein paar allgemeinen Diensten (Web, FTP, Mail, DNS) aufzubauen. Der generelle Umgang mit Unixdiensten ist mir durch ein Jahr intensives arbeiten mit Linux bereits vertraut.

Nun habe ich aber ein paar kritische Fragen zu der Sicherheit von OpenBSD:

OpenBSD rühmt sich damit ein besonderes sicheres Unix zu sein, aber in der Standardinstallation finde ich als Dienste z. B. Sendmail und inetd. Beides sind Veteranen und es gibt inzwischen bessere und vor allem sicherere Nachfolger, wie Postfix und xinetd. Warum finden diese daher nicht Einzug in das Basissystem von OpenBSD. Mir ist klar, das ich aus der Portskollektion Postfix z. B. nachinstallieren kann, aber der Default für OpenBSD ist zunächst mal Sendmail. Oder ist dieser Sendmail speziell von OpenBSD in Bezug auf Sicherheit verändert? Worin genau besteht denn der Sicherheitsgewinn bei OpenBSD?

Oder anders gefragt: Worin besteht Sicherheitsmäßig der Vorteil, wenn ich einen Server mit OpenBSD statt z. B. mit Linux laufen lasse?

Schönen Gruß
René

 

[Perdurabo]

Nun habe ich aber ein paar kritische Fragen zu der Sicherheit von OpenBSD:

Sehr gut :-) Blicken wir der Gefahr ins Auge.

OpenBSD rühmt sich damit ein besonderes sicheres Unix zu sein

Du kennst den Begriff Marketing? Du bist halt Theos Werbesprüchen aufgesessen, denn mehr ist das nicht. Du kriegst ein Linux genauso gehärtet wenn nicht sogar mehr. Ich kann mich auch nicht entsinnen das OpenBSD die Zulassung für die höchste Geheimhaltungsstufe "Streng Geheim" und "NATO Secret" hat, wie der vom Bundesamtes für Sicherheit in der Informationstechnik (BSI) in Auftrag gegebene SINA Client, der unter Linux realisiert wurde.

aber in der Standardinstallation finde ich als Dienste z. B. Sendmail und inetd. Beides sind Veteranen und es gibt inzwischen bessere und vor allem sicherere Nachfolger, wie Postfix und xinetd. Warum finden diese daher nicht Einzug in das Basissystem von OpenBSD.

Na das nenn ich doch einen glatten Treffer, hätte von mir kommen können :-)
Es liegt an der Lizenz. Sendmail ist unter der BSD Lizenz gestellt. Postfix hat eine Lizenz die der Mozilla Lizenz ähnlich ist, in wie weit die mit der BSD kompatibel ist, ist mir nicht genau klar, scheinbar nicht, denn sonst könnten die BSD das schnell ändern. Exim ein weiterer weitverbreitetet MTA steht unter der GPL und darf somit gar nicht ins Basissystem und Qmail hat eine sehr sehr eigene Lizenz (siehe Qmail aus OpenBSD)

Mit Xinetd scheint es sich ebenfalls so zu verhalten (siehe Lizenzcenter)

So dieser ganze Lizenz Schnickschnack führt auch dazu, das eben Altlasten, wie z.B. Bind mitgeschleppt werden. Da eben heutzutage ein Grossteil der Software unter der GPL veröffentlicht wird oder Lizenzen die sich untereinander nicht vertragen, kann OpenBSD diese nicht mit der BSD Lizenz kompatible Software eben nicht ins Basissystem integrieren. Wie Du schon erkannt hast als Thirdparty Software nachträglich installieren kein Problem.

Oder anders gefragt: Worin besteht Sicherheitsmäßig der Vorteil, wenn ich einen Server mit OpenBSD statt z. B. mit Linux laufen lasse?

Gute Frage, die nächste bitte :-)

 

[case]

http://www.openbsd.org/goals.html

 

[Reks30]

Sicherheit von OpenBSD

Du kennst den Begriff Marketing? Du bist halt Theos Werbesprüchen aufgesessen, denn mehr ist das nicht. Du kriegst ein Linux genauso gehärtet wenn nicht sogar mehr.

Nach dieser Antwort brauche ich mich eigentlich gar nicht weiter mit OpenBSD beschäftigen, sondern lieber bei Linux bleiben.

Hat den wenigstens der Portfilter pf Vorteile gegenüber dem iptables von Linux?

http://www.openbsd.org/goals.html

Daraus wird für mich trotzdem nicht der Vorteil gegenüber Linux klar. Z B. der angesprochene Punkt, OpenBSD kann Kryptografie liefern weil es nach kanadischen Ausfuhrrecht darf. Falls damit Dinge wie OpenSSH gemeint ist: OpenSSH ist auch Bestandteil jeder Linuxdistribution.

Auch ein in dem Link erwähnter Punkt sagt, OpenBSD liefert Code der auch in anderen Projekten benutzt werden kann. Nun eben: Wenn die besten Dinge aus OpenBSD auch z. B. in Linux einfließen, dann kann ich durch eine entsprechend ausgewählte Linuxdistribution alle Rosinen bekommen (auch die von OpenBSD), was also eher ein Grund ist OpenBSD nicht zu benutzen (aber zu unterstützen, damit diese Codequelle nicht versiegt).

Gruß
René

 

[[moR-pH-euS]]

openbsd versucht z.B mit propolice und W^X buffer-overflow attacken bzw. auch libc-angriffe zu verhindern.
mit W^X soll veränderter source-code nicht ausführbar sein, d.h. wenn er quasi eingeschmuggelt wurde.
propolice ist eine veränderung des gnu-c compilers und soll auch die sicherheit des systems erhöhen, indem es schädlich programme nicht ausführt bzw. abbricht.

aber wie schon gesagt wurde, man kann jedes betriebssystem sicher machen. alle dienste abstellen die man nicht braucht, alle sicherheitspatches einspielen und die dienste die laufen ordentlich konfigurieren...

 

[kith]

Sehr gut :-) Blicken wir der Gefahr ins Auge.


Du kennst den Begriff Marketing? Du bist halt Theos Werbesprüchen aufgesessen, denn mehr ist das nicht. Du kriegst ein Linux genauso gehärtet wenn nicht sogar mehr.

welch qualifizierte aussage...

Ich kann mich auch nicht entsinnen das OpenBSD die Zulassung für die höchste Geheimhaltungsstufe "Streng Geheim" und "NATO Secret" hat, wie der vom Bundesamtes für Sicherheit in der Informationstechnik (BSI) in Auftrag gegebene SINA Client, der unter Linux realisiert wurde.

ist SINA nicht einwenig mehr als nur ein einzelnes betriebssystem? das ist wie wenn ich argumentiere BSD/OS ist sicher, weil die genua firewall ein BSI cert bekommen hat...

Na das nenn ich doch einen glatten Treffer, hätte von mir kommen können :-)
Es liegt an der Lizenz. Sendmail ist unter der BSD Lizenz gestellt. Postfix hat eine Lizenz die der Mozilla Lizenz ähnlich ist, in wie weit die mit der BSD kompatibel ist, ist mir nicht genau klar, scheinbar nicht, denn sonst könnten die BSD das schnell ändern. Exim ein weiterer weitverbreitetet MTA steht unter der GPL und darf somit gar nicht ins Basissystem und Qmail hat eine sehr sehr eigene Lizenz (siehe Qmail aus OpenBSD)

Mit Xinetd scheint es sich ebenfalls so zu verhalten (siehe Lizenzcenter)

So dieser ganze Lizenz Schnickschnack führt auch dazu, das eben Altlasten, wie z.B. Bind mitgeschleppt werden. Da eben heutzutage ein Grossteil der Software unter der GPL veröffentlicht wird oder Lizenzen die sich untereinander nicht vertragen, kann OpenBSD diese nicht mit der BSD Lizenz kompatible Software eben nicht ins Basissystem integrieren. Wie Du schon erkannt hast als Thirdparty Software nachträglich installieren kein Problem.

software im base ist bei openbsd audited und ggf. dem original gegenueber veraendert.

Gute Frage, die nächste bitte :-)

openbsd _erleichtert_ sicherheit aufzubauen imho. wenn du dich unter linux heimischer fuehlst und mit dem OS besser umgehen kannst, wirst du vermutlich "sicherere" systeme unter linux bauen koennen. das openbsds schwerpunkt nur marketing sein soll halte ich fuer nicht korrekt.

ps. der grosse vorteil von pf gegenueber iptables und aehnlichem, ist die wirklich leicht verstaendliche syntax.

 

[Zepol]

Man schaue sich doch allein mal die vielen Sicherheitslücken im Linux Kernel an! Suche solche Lücken mal bei OpenBSD.

Sicher man bekommt jedes Betriebssystem (auch Windows) "sicher", aber wieviel arbeit muß man da investieren???

OpenBSD wurde mit dem Hauptaugenmerk auf Sicherheit, Stabilität und Standatisierung entwickelt!!!
Bei OpenBSD geht es nicht darum die tollste neuste Software zu implementieren.

Bei OpenBSD wartet man nicht darauf bis eine Sicherheitslücke bekannt wird, man sucht schon vorher danach und merzt sie aus!

 

[Reks30]

Vorteile OpenBSD

openbsd versucht z.B mit propolice und W^X buffer-overflow attacken bzw. auch libc-angriffe zu verhindern.
mit W^X soll veränderter source-code nicht ausführbar sein, d.h. wenn er quasi eingeschmuggelt wurde.

Das ist natürlich ein erheblicher Vorteil. Falls das System wirklich gut funktioniert, dürften damit wohl Buffer-Overflow Attaken so gut wie unmöglich sein.

software im base ist bei openbsd audited und ggf. dem original gegenueber veraendert.

Gut, das war es was ich wissen wollte, dann handelt es sich also nicht um den Original Sendmail, bzw. inetd etc.

wenn du dich unter linux heimischer fuehlst und mit dem OS besser umgehen kannst, wirst du vermutlich "sicherere" systeme unter linux bauen koennen.

Nun, ich will mich natürlich erst intensiv mit OpenBSD beschäftigen bevor ich es wirklich richtig einsetze. Mir ist klar, das die Einarbeitung in ein neues Betriebssystem eine Weile dauert. Ich sage das auch aus Erfahrung, da ich ja auch schon mal einen Umstieg Windows zu Linux hinter mir habe. Für mich ist nur die Frage ob sich dieser doch beträchtliche Lernaufwand lohnt. Daher meine Fragen.

Fernziel für mich ist auch einfach für jede Aufgabe das beste System zu wählen unter der Vorraussetzung, das ich auch mit dem System vertraut bin.

Gruß
René

 

[s-tlk]

als openbsd user fühlt man sich wirklich links und rechts lediglich eingezwengt, weil man nichts machen darf. ich find das sehr gut als ein server os,
aber als normales desktop betriebsystem hab ichs direkt runtergeschmissen, dass ist mir echt zuviel des guten.

ps: bei windoof muss man als einenzelner sehr sehr viel arbeit investieren, wenn das noch nicht mal ein 1.000 mann entwicklerteam hinbekommt.

 

[Reks30]

Einsatzweck

als openbsd user fühlt man sich wirklich links und rechts lediglich eingezwengt, weil man nichts machen darf. ich find das sehr gut als ein server os,
aber als normales desktop betriebsystem hab ichs direkt runtergeschmissen, dass ist mir echt zuviel des guten.

Als Desktop will ich es auch nicht primär einsetzen, obwohl ich es auf meinem Notebook als solches jetzt mit KDE installiert habe. Aber das ist nur zum "Warmwerden" mit dem System und weil es mit grafischen Browser etc. komfortabler z. B. bei der Webrecherche ist (diesen Beitrag schreibe ich jetzt von diesem Notebook aus mit Konqueror).

Als Desktop werde ich wohl stets Linux nutzen. Aber wie gesagt, wenn man sich mit mehreren Systemen auskennt, kann man für jeden Zweck das geeignetste wählen. Z. B. Linux als Desktop, Linux als File und Printserver, OpenBSD als Firewall und Proxy und FreeBSD als Webserver. Nun Windows laß ich außer acht, da ich erstens Unixfan bin und 2. Microsoft als Halsabschneider empfinde (wegen Geschätsmethoden). Ich muß aber zugeben, das es bei manchen Leuten im Desktopbereich Einsatzszenarien gibt, in denen Windows jeden anderen System überlegen ist (und sei es wegen der Verfügbarkeit bestimmter Software).

Gruß
René

 

[case]

als openbsd user fühlt man sich wirklich links und rechts lediglich eingezwengt, weil man nichts machen darf.

Kannst du das bitte näher erklären?

Du kennst den Begriff Marketing? Du bist halt Theos Werbesprüchen aufgesessen, denn mehr ist das nicht.

Ich kenne den Begriff Marketing, der hat aber damit überhaupt nichts zu tun. Und was sind und wo gibts Theos Werbesprüche?

So dieser ganze Lizenz Schnickschnack führt auch dazu, das eben Altlasten, wie z.B. Bind mitgeschleppt werden.

Das ganze mit Schnickschnak abzutun halte ich für unpassend.
Siehe z.B. auch das Problem mit XFree und die Bildung von x.org.



Regards,

Case

 

[CW]

Ähem, Leute ... nix gegen diese "nette, kleine" Diskussion über Werbung, Sprüche, Theo und Security, aber die eigentliche Frage war eher technischer Natur.

Und da wir in Vergangenheit viel zu viele Flames hatten (bei welchen ich auch SEHR GERNE mitgemacht habe), möchte ich euch bitten, sachlich zu bleiben und über die technischen Begriffe zu diskutieren.

Ansonsten bringt dieser Thread nix ... sowas kann man unter "Geplauder" fortsetzen ...

O.K.?

 

[crash-x]

Ich kenne den Begriff Marketing, der hat aber damit überhaupt nichts zu tun. Und was sind und wo gibts Theos Werbesprüche?

z.b "Only one remote hole in the default install, in more than 8 years!" in rot auf dem index von openbsd.org
wobei mir dieser spruch ziemlich aufn sack geht. ich mein, woher will er wissen das es wirkjlich nur eine lücke gibt? Wer sagt das wenn jetzt jemand einen bug in ssh oder so findet, dass er dann ein exploit publiziert, oder ein advisorie schreibt? Ich denke es gibt sehr wohl bugs z.b. in openssh, was ja bei default install glaub ich dabei und an ist. Aber leute die solche lücken finden, wissen was sie für verantwortung haben. stellt euch mal vor jemand würde jetzt ein exploit für die aktuellen ssh versionen veröffentlichen. Stellt euch vor was dann passieren würde. Also ganz ehrlich, wegen diesem spruch geht mir theo voll aufn sack. benutze openbsd zwar auch als router/firewall, kann theo aber net ab

 

[oenone]

ich nutze openbsd als hauptsystem und bin vollstens damit zufrieden.
vor allem das ports system gefaellt mir sehr (die neuesten aenderungen auch)
mit der politik von openbsd und insbesondere theo bin ich auch einverstanden, der mann ist mir sympathisch.

auf bald
oenone

 

[.mp]

ich hatte OBSD mal ne weile als router und server im einsatz. ich fand es laesst sich (zumindest fuer diese beiden zwecke, andere hab ich nicht probiert) wirklich gut administrieren. imho besser als debian oder freebsd. leider kommt es mit defekter hardware nicht so gut klar wie FBSD, weswegen ich es wieder in die ecke stellen musste. sobald ich mir im klaren darueber bin wie ich die kiste repariere oder ersetze wird OBSD das system meiner wahl, ohne zweifel.

mfg
matze

 

[case]

Gut, dann versuch ich mal sachlich zu sein.

Worin genau besteht denn der Sicherheitsgewinn bei OpenBSD?

Oder anders gefragt: Worin besteht Sicherheitsmäßig der Vorteil, wenn ich einen Server mit OpenBSD statt z. B. mit Linux laufen lasse?

Am einfachsten lässt sich das erledigen, wenn du dich gründlich (!) auf der OpenBSD-Seite umschaust ("About OpenBSD").

Zum Thema OpenBSD vs. Linux und Vorteile bzw. Nachteile von OpenBSD findest du im Internet genug Themen (Newsgroups etc.), wie z.B. hier (dejanews).

Fakt bleibt wohl, dass die Auswahl des Betriebsystems Geschmacksache ist. Und jedes Betriebsystem kann mehr oder weniger unsicher gehalten/gemacht werden.

Regards,

Case

 

[tes]

[...]
Ich möchte OpenBSD kennenlernen und mir später damit eine Firewall und eventuell auch einen Server mit ein paar allgemeinen Diensten (Web, FTP, Mail, DNS) aufzubauen.
[...]

Zum Thema OpenBSD und Firewall kann ich folgendes HowTo empfehlen:

http://www.fmi.uni-passau.de/~grafj/openbsd/3.5/index.html

OpenBSD läuft bereits seit Version 3.3 erfolgreich auf meinem Router (P-200 mit 128MB Ram und 10GB Festplatte) - einfach zu installieren, leicht einzurichten und immer verfügbar. :^)

 

[crash-x]

ja das howto is ok, allerdings würde ich net wie er es vorschlägt 1000 dienste auf dem router/firewall laufen zu lassen.