• Diese Seite verwendet Cookies. Indem du diese Website weiterhin nutzt, erklärst du dich mit der Verwendung von Cookies einverstanden. Erfahre mehr

DEF CON 25: Free-/Net-/OpenBSD sind auch keine Lösung.

Rakor

Administrator
Mitarbeiter
#2
Bitte keine reinen Linkposts (und da sind wir hier schon sehr nahe dran).
Bitte habt Verständnis, dass soche Threads meist wenig zielführend sind und schnell ausarten. Wenn du also über den Inhalt deines verlinkten PDF diskutieren willst dann schlage ich vor, dass du eben dies tust und ein paar eigene Worte dazu verlierst.
 

CrimsonKing

Systemzerstörer
Themenstarter #3
Du hast Recht, entschuldige. Hier ein Nachtrag:

Auf der DEF CON hat Ilja van Sprundel von "IOActive" (was immer das nun genau ist) sich auf der Grundlage von einem 12 Jahre alten Aufreger seitens Theo de Raadts über die schlechte Qualität von Linux einmal NetBSD, FreeBSD und OpenBSD hinsichtlich der Sicherheit genauer angesehen (i.e. auditiert), was wahrscheinlich ein wenig Arbeit bedeutete.

Zusammenfassung:
  1. Weniger Code = weniger Angriffsfläche. OpenBSD ging als sicherstes der drei "großen" BSDs aus dem Test hervor, jedoch wurden auch in ihm (6.0/6.1) Lücken gefunden, die ...
  2. ... in NetBSD zum Teil schon behoben waren (und andersrum). "The maintainers of various BSDs should talk more among each other".
  3. Trotzdem liegt NetBSD sicherheitstechnisch ganz hinten, was auch den zahlreichen Kompatibilitätsextras (Plattformen u.a.) geschuldet ist.
  4. --> An der Codequalität allein liegt es nicht unbedingt, da Linux wesentlich mehr Leute hat, die mal drübergucken.
Ich habe von Auditing ungefähr so viel Ahnung wie vom Didgeridoospielen, weshalb ich das nicht unbedingt bewerten möchte - interessant ist aber schon, was herauskommt, wenn jemand ergebnisoffen die Behauptung hinterfragt, BSDs seien per se sicherer als Linux.
 
#4
Ausserdem hat Ilja - was in dem Paper nicht so drin steht - alles brav an OpenBSD (und wahrscheinlich die anderen) gemeldet - teilweise wohl gleich mit fix - und die bugs sind in OpenBSD inzwischen gefixed.
 

holgerw

Well-Known Member
#5
Hallo,

vielleicht passt es hier herein:
Über dieses Papier https://vez.mrsk.me/freebsd-defaults.txt bin ich schon mehrmals gestolpert, letztens wurde es wieder von einem Nutzer hier verlinkt.

So wie es ausschaut, ist der Autor OpenBSD-Commiter (das muss zwar nicht heißen, dass seine Kritik an FreeBSD gänzlich von der Hand zu weisen ist, aber ich habe manchmal den Eindruck, für Freunde von OpenBSD ist alles außer OpenBSD eh unsicher).

Nun möchte ich - da ich von der Thematik bisher kaum Ahnung habe - aber dennoch mal gerne wissen, was es mit diesen "Vorwürfen" auf sich hat.

@CrimsonKing falls das nicht zu Deinem Thread hier passt, bitte laut aufschreien :D ich mach dann einen neuen Thread auf.
 

CrimsonKing

Systemzerstörer
Themenstarter #6
Die Teams von FreeBSD und OpenBSD haben unterschiedliche Ansätze, was die Bedienbarkeit des Systems ab Installation betrifft: Hier "möglichst zugänglich", dort "möglichst sicher". Als inzwischen doch recht stark auf OpenBSD fokussierter Anwender sehe ich FreeBSD aber trotzdem keineswegs so kritisch. Man kann viele der unsicheren Einstellungen ja ändern.
 

holgerw

Well-Known Member
#7
Man kann viele der unsicheren Einstellungen ja ändern.
Ja, die Ansätze sind wohl anders (ein Thema war ja z.B. das Verbot des Usermounts bei OpenBSD mit Version 6.0).
Mich irritiert ein wenig bei dem Text, dass da zum Teil von unsicheren Standardeinstellungen etwa in /etc/sysctl.conf gesprochen wird, die ich bei frischen FreeBSD-Installation bei mir so gar nicht finde.

Davon abgesehen: Das sind noch ziemlich viele böhmische Dörfer für mich.
 
#9
Moin,

Interessante Analyse! Was mich ärgerlich stimmt ist, dass es wohl bei Programmierern immer noch nicht angekommen ist, Größenangaben auf Gültigkeit zu prüfen. :(
Grüßle Jürgen
 

Athaba

Libellenliebhaber
Mitarbeiter
#10
Solche Talks sind ja gut. Sie zeigen Probleme auf und auch zu sehen, dass man mehr was Fixes angeht zusammenarbeiten kann ist jedenfalls was, was potentiell einfach erwähnt werden muss, damit man das beim nächsten mal tut. Oder man baut Mailing Lists für diese Themen. Vor ein paar Jahren waren ja die OpenGrok-Instanzen da sehr schön zum vergleichen. Leider sind zumindest ein paar von denen Out of Date.