allgemeine Fragen zur OpenBSD-Sicherheit

[[bc]paddy.hm]

Hi!
Ich möchte mich etwas mehr genauer mit den Sicherheitskonzepten von OpenBSD vertraut machen.
Dabei möchte ich erfahren, welche Innovationen OpenBSD genau im Gegensatz z.B. von anderen OS verwirklicht hat.
Auf http://openbsd.org/de/press.html oder auf http://openbsd.org/de/security.html wird zwar viel berichtet,
aber nicht unbedingt, was OpenBSD anders macht als andere Betriebssysteme.

Ich denke OpenBSD läuft sehroft als Serversystem.
Auf Serversystemen läuft oft ein FTP, HTTP,POP3-Server uvm.
Was genau tut OpenBSD aktiv daran, das diese Dienste sicherer als auf anderen Plattformen laufen?
Installiert OpenBSD über die ports z.B. alles automatisch chrooted?
Oder kommt OpenBSD gar mit einer Jail?
Ein Apache läuft auch auf anderen Server-Plattformen,
warum ist OpenBSD aber der Meinung, das der Apache auf OpenBSD "sicherer" als auf anderen Plattformen läuft?

Werden Anwendungen besonders auf Pufferüberläufe geschützt?
Kann man im OpenBSD-Kernel einzelnen Anwendungen soetwas wie ACLs zuweisen?
Falls sich jemand in Linux auskennt:
Gibt es soetwas wie RSBAC, Openwall, grsec unter OpenBSD?
Braucht man soetwas überhaupt unter OpenBSD oder ist soetwas bereits beinhaltet?

Ich würde gerne etwas mehr über Sicherheitspolitik in OpenBSD und den Serverapplikationen kennenlernen und
erfahren was OpenBSD genau realisiert, damit Serveranwendungen "sicherer" als auf anderen Betriebssytemen laufen.

Es wäre schön, wenn ich hier mit Euch in lockerer Athmosphäre darüber plaudern könnte.

Viele Grüße,
Peter.

 

[current]

warum ist OpenBSD aber der Meinung, das der Apache auf OpenBSD "sicherer" als auf anderen Plattformen läuft?

Im Gegensatz z.B. zu FreeBSD liefert OpenBSD einen Apachen in der Default-Installation aus, der in einer chroot Umgebung läuft.

Werden Anwendungen besonders auf Pufferüberläufe geschützt?

Ja, Stichworte sind W^X und und ProPolice. Beide schützen zwar nicht vor Buffer-Overflows, aber vor dem Ausnutzen dieser um z.B. root-Rechte zu erlangen.

Kann man im OpenBSD-Kernel einzelnen Anwendungen soetwas wie ACLs zuweisen?

Ja, siehe systrace(1).

Ich würde gerne etwas mehr über Sicherheitspolitik in OpenBSD und den Serverapplikationen kennenlernen und
erfahren was OpenBSD genau realisiert, damit Serveranwendungen "sicherer" als auf anderen Betriebssytemen laufen.

Ein wichtiger Punkt ist noch, das OpenBSD Anwendungen und Kernel pro-aktiv nach möglichen Schwachstellen (z.B. buffer-overflows) untersucht und diese fixt.

 

[CW]

Original geschrieben von [bc]paddy.hm

Ich würde gerne etwas mehr über Sicherheitspolitik in OpenBSD und den Serverapplikationen kennenlernen und
erfahren was OpenBSD genau realisiert, damit Serveranwendungen "sicherer" als auf anderen Betriebssytemen laufen.

Wie schon von current erwähnt, beschäftig sich OpenBSD mit dem proaktiven Auffinden von Fehlern. Dieser Prozess ist schon rund 7 Jahre alt und läuft immer noch. Dieses "Auditing" des kompletten Sourcecodes fixiert sich nicht nur auf das Filtern von als sicherheitskritisch zu erkennenden Fehlern, sondern auch auf "ganz gewöhnliche" Fehler in der Programmierung. Dazu noch werden bei diesem "Auditing" auch Fehler gefunden, bei den man sich "noch nicht sicher ist", ob sie überhaupt ausgenutzt werden könnten, um ein System zu kompromittieren. Daher kommt es oft vor, dass eines Tages ein neuer Bug (in irgendeiner allgemeinen Funktion z.B.) gefunden wird, den man bei OpenBSD schon vor geraumer Zeit proaktiv entfernt hat. Manchmal ist es auch so, dass bei OpenBSD der Bug auch vorhanden ist, mit diesem man aber z.B. keine Root-Rechte erlangen kann. Es gibt halt verschiedene Vorteile bei einem proaktiven Auditing.

Jedoch würde ich OpenBSD selbst nicht als das einzige System hinstellen, das sich so einem Auditing unterwirft. Bei NetBSD gibt es auch so ein Auditing und FreeBSD hat sowas bestimmt auch.

Zumindest bin ich es mir bei NetBSD sicher, dass sie auch deren Code auf Fehler überprüfen.

Und FreeBSD hat z.B. den Security-Framework von OpenBSD übernommen, was bedeutet, dass sich die einzelnen Systeme in Bezug auf "Sicherheit" aufeinander zubewegen.

Es wäre schön, wenn ich hier mit Euch in lockerer Athmosphäre darüber plaudern könnte.

Hängt ja von den Leuten ab

Gruß

CW

 

[double-p]

Original geschrieben von [bc]paddy.hm
Ich denke OpenBSD läuft sehroft als Serversystem.
Auf Serversystemen läuft oft ein FTP, HTTP,POP3-Server uvm.
Was genau tut OpenBSD aktiv daran, das diese Dienste sicherer als auf anderen Plattformen laufen?
Installiert OpenBSD über die ports z.B. alles automatisch chrooted?
Oder kommt OpenBSD gar mit einer Jail?
Ein Apache läuft auch auf anderen Server-Plattformen,
warum ist OpenBSD aber der Meinung, das der Apache auf OpenBSD "sicherer" als auf anderen Plattformen läuft?

OpenBSD installiert nicht alles automatisch chroot'd (same fuer Jail),
was schlicht daran liegt, dass die Applikation auch sinnvoll unterstuetzen
muss (im Code), sonst ist das chroot normalerweise auch nur sehr schwach.

Apache laeuft sicherer, weil er auf OpenBSD sehr stark veraendert
ist. Ein 'diff -ur' zwischen dem source von apache.org und dem in OpenBSD
liefert Dir "locker" 3000 Zeilen output. Ja, dreitausend.

Werden Anwendungen besonders auf Pufferüberläufe geschützt?
Kann man im OpenBSD-Kernel einzelnen Anwendungen soetwas wie ACLs zuweisen?

Ja, durch W^X und ProPolice. ACLs per systrace(1).

Falls sich jemand in Linux auskennt:
Gibt es soetwas wie RSBAC, Openwall, grsec unter OpenBSD?
Braucht man soetwas überhaupt unter OpenBSD oder ist soetwas bereits beinhaltet?

grsec/pax ist im weiteren Sinne "schon drin". RSBAC-like: Nein -
OpenBSD soll zwar sicher sein, aber trotzdem easy-to-use/administer
multi-purpose UNIX OS .. Sachen wie RSBAC sind administrativ ein
Alptraum, will man das "dicht" aber auch benutzbar halten.
Es gibt aber externe Patches, die in die Richtung gehen (Stichwort:
Stephanie)

HTH,