Security: OpenBSD vs. FreeBSD

CW

Netswimmer
INTRODUCTION :
___________________________________________________
OpenBSD and FreeBSD are both great OS that I admire and use. OpenBSD is considered more secure since it is its main goal, but FreeBSD can be tweaked to be pretty well hardened as well. Depending on the forums or to who we ask, we will have different opinions. But what are the facts? Which OS is more secure and why?

I am not asking the question about which one is globally better, as "better" has a different meaning depending on the context and the needs (ISP routers, database servers, home gateway, desktop system, storage server or appliance, etc...). On some enterprises doing a major OS upgrade every 6 months or every year is doable, on others, it's not possible at all. Also, it depends if one needs performance for streaming (Netflix), or if security is a top priority for a redundant firewall. Everyone needs is different, and both OS are highly useful.

If we strictly focus on security, how does FreeBSD compare to OpenBSD security-wise? In what follows, we will dig into memory protection, system and network security features, and default "out of the box" security. The purpose is to give unbiased facts, to compare point by point both OS. I am not trying to find the "best" OS and discredit the other, I love and use both :-) Let us try to find out the integrated security features of both OS, the visit continues below!

http://networkfilter.blogspot.de/2014/12/security-openbsd-vs-freebsd.html
 

Athaba

Libellenliebhaber
Ja, aber Security ist nicht übermäßig gut messbar, weil es von vielen Dingen abhängt und unter anderem wie ein System eingesetzt wird. Es gab mal ein schönes Beispiel bzgl. OpenBSD und NetBSD, was Anzahl der Lücken insgesamt betraf, wo NetBSD besser abschnitt. Auch hatte OpenBSD bis vor kurzem kein signify und viele outdated packages mit bekannten Lücken.

Beides scheinen sie aber jetzt in den Griff bekommen zu haben. Persönlich hätte ich aber auf Grund dieser beiden Punkte OpenBSD deshalb bis vor kurzem nicht empfohlen, vor allem wenn man nicht nur das Basissystem (also zum Beispiel auf einem Router) verwenden will.

Hoffe das klingt jetzt nicht zu negativ, denn zum einen sind diese Punkte ja mittlerweile gefixed und zum Anderen muss man sein System und eigentlich seinen ganzen Stack ohnehin kennen, wenn man ihn absichern will. Ich finde die Defaults von OpenBSD extrem gut und da sollten sich alle Systeme was von abschneiden, aber die Defaults helfen nicht, wenn ich darauf zum Beispiel eine unsichere Webapplikation laufen habe.

Und dann gibt's noch die ganzen Daemons, wie OpenSSH und OpenNTPD (und auch die neueren), die man auf keinem System missen mag, die aber auch auf anderen Systemen immer bessere Defaults bekommen. :)
 

rmoe

thanks no
Lustig, wie das immer wieder mal auftaucht.

Meine persönliche Sicht (nach einiger Erfahrung mit beiden):

OpenBSD ist ein zweischneidiges Ding. Einerseits sind da sehr fähige Leute, die wirklich sehr auf Sicherheit achten. Andererseits konnte mir bis heute niemand zeigen, dass OpenBSD wirklich sicherer ist als FreeBSD. Sorry, aber "secure by default" mit der Begründung vernünftiger config defaults mag zu Omas Zeiten, als man noch inetd verwendete, toll gewesen sein, aber bei näherem Hinsehen erweist es sich als Unsinn, weil:
Wenn jemand darauf angewiesen ist, dass sein System per default "secure" ist, dann ist er eh gefi**t, weil völlig ahnungslos und angewiesen. Ein user wiederum, der nicht überfordert ist mit sinnvoller Konfigurierung der von ihm verwendeten Software, der kann - und wird - das auf OpenBSD ebenso gut und leicht hinkriegen wie auf FreeBSD.

Aber es gibt noch einen wichtigen Grund, warum ich da (als beruflich mit Sicherheit Befasster) zicke: Sicherheit ist ein Prozess und kein Zustand. Man kann Sicherheit ebenso wenig kaufen wie man sie "default" liefern kann. Das was OpenBSD da liefert ist nicht Sicherheit sondern lediglich die Absenz akut wahnsinniger und perverser grober Sicherheitslücken.

Wer Sicherheit will, der muss sich damit befassen und das immer wieder. Punkt.

Auch sehe ich FreeBSD in dem Zusammenhang immer wieder arg unterschätzt. Tatsächlich kann man nämlich FreeBSD nicht nur genauso sicher wie OpenBSD kriegen sondern sogar sicherer (-> z.B. Capsicum).

Trotzdem sind die OpenBSDler zu loben. Weil sie Sicherheit ernst nehmen, weil sie sich wirklich darum bemühen und weil sie, wenn auch meist in Nebenprojekten,ziemlich gutes Zeug gebaut haben.

Wer wirklich und ernst gemeint Sicherheit haben will (so wie z.B. PKIs das machen sollten oder Behörden) der wird weder Open- noch FreeBSD nehmen. Auch das muss man sehen. Wir reden hier also von "normalen Unix Systemen". Und da würde ich als grobe Einschätzung sagen, dass die BSDs recht sichere Unices sind bzw sein können. Von linux dagegen würde ich persönlich grundsätzlich die Finger lassen, was Sicherheit angeht (auch wenn nun einige linuxer plärren werden. Egal, das tun sie eh immer *g).

A propos linux: Auch ein sehr wichtiger Aspekt. Theorie ist ja nett und wird auch gerne als Maßstab in "wer ist besser" genommen - aber auch sinnlos. Weil Apparmor, Tomoyo, und sonst noch allerlei witzlos ist, wenn Gabi Ubuntu-Klickse es nicht (oder extrem permissiv konfiguriert) benutzt.
 

nakal

Anfänger
Mir reicht das, dass FreeBSD auf Sicherheit achtet, aber nicht den Fokus darauf so legt, dass sie lieber nichts weiter entwickeln aus Angst Unsicherheit einzubauen. Ein gutes Projekt wird stets modernisiert, je schneller desto besser. FreeBSD bewegt sich am schnellsten von alles BSDs und dennoch nicht schnell genug und wird sogar von Linuxern belächelt, weil es so einen Rückstand aufweist (womit sie auch Recht haben).

Die Antwort heißt: "Nach vorn preschen, ohne Rücksicht auf Verluste und hoffen, dass alles einigermaßen stabil und sicher bleibt." Das ist gut, wenn man länger überleben will mit seinem Projekt.
 

n0dundO

New Member
Mir reicht das, dass FreeBSD auf Sicherheit achtet, aber nicht den Fokus darauf so legt, dass sie lieber nichts weiter entwickeln aus Angst Unsicherheit einzubauen. Ein gutes Projekt wird stets modernisiert, je schneller desto besser. FreeBSD bewegt sich am schnellsten von alles BSDs und dennoch nicht schnell genug und wird sogar von Linuxern belächelt, weil es so einen Rückstand aufweist (womit sie auch Recht haben).

Die Antwort heißt: "Nach vorn preschen, ohne Rücksicht auf Verluste und hoffen, dass alles einigermaßen stabil und sicher bleibt." Das ist gut, wenn man länger überleben will mit seinem Projekt.
Was du geschrieben hast hat keinen Sinn. Eigentlich es geht nur um deine, nicht Meinung, sondern eine Art von Leidenschaft. Dir gefällts wenn Sachen 'modernisiert' werden uä.
Für sicherheit (besonders wenn es um Sachen wie C Sprache geht.) ist es eine der wichtigsten Sachen eine stabile, möglichts kleine Kodbasis zu haben, die wieder ständig inspiziert werden muss. Nur schaue was alles Leute in 'underhanded C contests' machen, und verschiedene möglichkeiten wie man obfuscated Kode steueren kann.

IMO FreeBSD entwickelt sich zu schnell, versucht Linux zu parieren, und auf anderer Seite hat noch keine ASLR (schon was ganz wichtiges.).

Mann muss auch berücksichtigen, dass nicht alles was von anderen als Sicherheitlücke gesehen wird, auch von OpenBSD Enwickler als solche anerkannt ist.
 

nakal

Anfänger
Ich habe hier nur die Prioritäten geklärt, wie ich sehe, dass sie wichtig sind.

Bei einem Betriebssystem ist es wichtig, dass es seine Arbeit möglichst effizient im Hintergrund tut und dass man sich damit (nachdem man alles eingestellt hat) nicht mehr beschäftigt. Ein Betriebssystem soll Anwendungen starten und zwar möglichst viele, sodass es universell wird (man kann also alles damit machen).

Sicherheit ist ein Unteraspekt, genauso wie Sparmodi und Lauffähigkeit mit geringen Ressourcen (alte CPU, wenig RAM, kleine HDD...). Vor allem entstehen diese Ziele teilweise passiv, weil erfahrene Entwickler beim Schreiben eines Programms auf viele Sachen achten, die diese Unteraspekte betreffen.
 

TCM

Well-Known Member
Andererseits konnte mir bis heute niemand zeigen, dass OpenBSD wirklich sicherer ist als FreeBSD. Sorry, aber "secure by default" mit der Begründung vernünftiger config defaults mag zu Omas Zeiten, als man noch inetd verwendete, toll gewesen sein, aber bei näherem Hinsehen erweist es sich als Unsinn, weil:
Wenn jemand darauf angewiesen ist, dass sein System per default "secure" ist, dann ist er eh gefi**t, weil völlig ahnungslos und angewiesen. Ein user wiederum, der nicht überfordert ist mit sinnvoller Konfigurierung der von ihm verwendeten Software, der kann - und wird - das auf OpenBSD ebenso gut und leicht hinkriegen wie auf FreeBSD.

Du findest also nicht, dass die ganzen Mechanismen von OpenBSD, die im Link des OP stehen, irgendwas bringen? Und auf FreeBSD, wo es einige davon nicht gibt, kann ein fähiger User diese einfach... selbst reincoden?

Hast du den Link überhaupt angesehen? Irgendwie scheint es nicht so.

To sum up the memory protections available on both OpenBSD and FreeBSD:
OpenBSD :
-> Random Stack Gap, W^X (GOT, PLT, ctors, dtors, .rodata, atexit), ASLR (PIE, mmap, malloc), Stack Protector, StackGhost, munmap(), strlcpy()/strlcat()

FreeBSD :
-> NX, ProPolice, NULL page mapping, strlcpy()/strlcat()

FreeBSD's memory protections are all covered by OpenBSD system wide with W^X, Stack Protector, and ASLR. While I use and love both OS, I must admit that the comparison hurts.

Richtig, Sicherheit ist kein Zustand. Ein wichtiger Aspekt von Sicherheit ist aber defense in depth, es dem Angreifer an so vielen Stellen wie möglich so schwer wie möglich zu machen, ohne unbenutzbar zu werden.
 

rmoe

thanks no
Gelesen? Nö. Ich hab dem Autor des verlinkten Artikels sogar ausführlich (und tendenziell kritisch) im englischen FreeBSD Forum geantwortet.

Wer näher hinsieht merkt, dass das im wesentlichen nichts weiter als ein treuherziges Auflisten und Pseudo-Vergleichen ist. Um es offen zu sagen, im anderen thread ist hinreichend klar geworden, dass der Autor da so einiges geschrieben hat (im Artikel), das er kaum auch nur ansatzweise verstanden hat.

Dass ich (nicht dir gegenüber sondern zu dem Thema) vielleicht kratzbürstig rüberkomme, liegt auch daran, dass OpenBSD eine Menge Lärm macht während FreeBSD halt implementiert ohne viel Wind zu machen.

Und Sicherheit ist nicht einfach eine Liste von coolen features wie ASLR, etc. bla bla sondern auch Dinge wie Design und Code Qualität oder auch - man höre und staune - simple Benutzbarkeit für Horst und Gabi irgendwer.

Schönes Beispiel, gerade erst von heute. Da riet ich einem (linux und hosting) newbie, nicht gleich seine sshd config knallhart und scharf zu machen und *nur* PKI logins zu erlauben, sondern sich für den Notfall (z.B. ein /home ist schnell gelöscht wenn man newbie und übermüdet ist ...) auch ein (hochwertiges) Passwort zu behalten.
Natürlich kam prompt ein Schlauberger, der darauf hinwies, wie totaaaaal unsicher Passworte doch im Vergleich zu PKI login sind. Erstens ist das Unsinn, zumal für irgendeine Feld-Wald-Wiesen-Büchse (man rechne mal aus welche statistischen Werte man bei einem Vorrat von 30 Zeichen und einem z.B. 20-stelligen Passwort erreicht ...), zweitens wusste der natürlich nicht, dass das Problem nicht das Passwort sondern die Abhörmöglichkeit ist. Und drittens wusste er nicht nur nicht, welchen Algorithmus sein SSH verwendet, sondern - und da sind wir bei einem sehr wichtigen Punkt, nämlich Benutzbarkeit - er wusste natürlich auch nicht, wie man das überhaupt festlegen kann für SSH. Wie übrigens die wohl überwältigende Mehrheit der SSH Nutzer.

Aber das gilt auch für Entwickler. Ein wesentlicher Grund für Sicherheitslücken in openssl war, dass der große Kuddelmuddel-Misthaufen auch für die Entwickler nicht mehr überschaubar war.

Also nochmal: Respekt! Die OpenBSDler haben einige wirklich gute Leute und sie haben so einiges zuwege gebracht, von dem alle profitieren, keine Frage. Aber die weit verbreitete Aussage "OpenBSD ist sicherer als FreeBSD | das sicherste OS" ist nicht mit lustigen Feature Listen zu begründen (auch wenn die besonders Laien beeindrucken) und auch nicht mit kraftvoller PR.

Es zählt letztlich, was hinten raus kommt. Und da sind wir beim Feld-Wald-Wiesen Entwickler und bei Horst und Gabi Irgendwer als Nutzern - sprich, Überschaubarkeit, einfache Nutzbarkeit und andere unscheinbare und wenig feature list taugliche Faktoren sind da sehr entscheidend und pragmatisch wichtiger als so manches security (theater) Gadget.
 

TCM

Well-Known Member
Also irgendwie kann ich nicht mehr folgen. Erst ist Sicherheit kein Zustand sondern ein Prozess - stimmt ja auch und hat auch keiner anders behauptet. Dann ist es keine "Liste von coolen Features", die den Prozess und die angesprochene defense in depth belegen würden, sondern Design und Codequalität. Hat OpenBSD die etwa nicht? Gerade bei Design und Codequalität würde ich OpenBSD eher noch vor FreeBSD setzen. Alleine man rc.conf und wie man die Interfacekonfiguration versucht in tausend rc-Variablen zu pressen, statt einfach ein /etc/ifconfig.$if (hostname.$if finde ich selber ungünstig) zu parsen, lässt mir persönlich die Zehennägel hochrollen.

Dann ist Sicherheit auf einmal Benutzbarkeit für Horst und Gabi.

"Secure by default" heißt doch heutzutage nicht mehr, dass einfach alles in inetd.conf auskommentiert ist oder dass mögliche sicherheitsrelevante Configs per default enabled sind und auf anderen BSDs nicht, und dass sie aber prinzipiell überall verfügbar wären. Die BSDs driften mittlerweile sehr unterscheidbar auseinander, was die überhaupt möglichen Features angeht, die die Sicherheit betreffen.

Wenn mir Port X unter OpenBSD bei einem Pufferüberlauf nicht explodiert und mein gesamtes System kompromittiert, weil vielleicht gerade ein einzelnes der "coolen Features" verhindert hat, dass der Angreifer Code ausführen konnte, und vielleicht genau dieses Feature unter FreeBSD fehlt, dann bringt Horst und Gabi alles andere auch nichts. Die Auswirkungen einer remote code execution mit Jails/systrace, securelevels und privilege separation eindämmen kann ich überall. Deswegen sind doch aber "coole Features", die ein Jail überhaupt erst nötig machen im Fall der Fälle, nicht unnütz. Im Gegenteil sind sie der wichtigste Baustein in einem sicheren Gesamtkonzept.

Und gerade Horst und Gabi wären doch mit einem System am besten dran, welches per default so gut es geht versucht, Angriffe a la Pufferüberlauf zu verhindern oder welches per default privilege separation im Extrem betreibt. Gerade solche Leute haben doch nicht den blassesten Schimmer, warum sie ihr System mit stack-smashing protection neukompilieren sollten.

Die Wahrheit sieht für mich aber eher so aus, dass Horst und Gabi die Sicherheit schnurzegal ist, wenn das Flickwerk dafür 5% schneller läuft. Horst und Gabi sind die, die aus Foren Tipps nachbauen, die chmod -R 777 beinhalten. Horst und Gabi sind die, die auf ihre MySQL-Datenbank als MySQL-root zugreifen. Für solche Leute ist es piepegal, was sie nutzen. Wenn die geownt werden, spielen sie ihr Backup zurück oder gehen unter, wenn sie keins haben. Ein Denkprozess setzt da aber nicht ein. Für solche Leute ist OS-Sicherheit absolut irrelevant.

PS: Ich nutze FreeBSD als NAS nicht, weil ich FreeBSD so toll finde, sondern weil ich ZFS will und Solaris-Clones ätzend finde. Ich nutze OpenBSD als Router nicht, weil ich OpenBSD so toll finde, sondern weil ich ein aktuelles pf an meiner äußeren Linie des Netzes haben will - na gut, also eigentlich doch, weil ich OpenBSD so toll finde. Ich nutze Linux nicht, weil ich Linux so toll finde, sondern weil ich manchmal einfach eine funktionierende Basis brauche, um den Scheiß laufenzulassen, der mich gerade interessiert. Mein Client ist nicht Windows, weil ich Windows so toll finde, sondern weil ich ab und zu zocken will, ohne in die Tischkante zu beißen und mich in endlosen Frickelorgien mit Linuxern rumzuschlagen.
 

TCM

Well-Known Member
PPS: Linux nutze ich dann meist nicht bewusst, sondern in Form irgendeiner speziellen LiveCD, wo es mir im Prinzip auch egal sein könnte, wenn das ein FreeBSD wäre. Da steht dann der Zweck im Vordergrund und das läuft dann eh isoliert.
 

Kamikaze

Warrior of Sunlight
Ich halte das was OpenBSD tut für definitiv sicherer.

Das hat einen Grund. Wenn Sie einen Weg finden Defense in depth zu machen, tun sie das. Will heißen, sie bemühen sich Mechanismen einzubauen, die das Ausnutzen von Programmierfehlern verhindern.

Unter FreeBSD tut man das auch, aber nur wenn die Performance nicht zu sehr darunter Leidet oder es ist dann zumindest Off by befault. Das ist für mich oft der richtige Kompromiss aber es ist weniger Sicher als das was OpenBSD tut.

Was Bugs-/Sicherheitslücken fixen angeht bemühen sich alle redlich. Aber wenn ich eine große Infrastruktur zu managen hätte, würde ich mir schon Gedanken machen an kritischen Punkten OpenBSD zu platzieren.
 

rmoe

thanks no
Ja, TCM,

Sicherheit hat mehr als eine Dimension.

@Alle

Mal eine bescheidene Frage: Was bitte ist "Sicherheit" denn überhaupt? Denn das ist es doch worum's geht. Es kann uns doch schnurz sein, welche Tricks irgendwo im Speicher-Management eingebaut sind - worauf es ankommt ist doch das Ergebnis, das was wir jeweils unter Sicherheit verstehen.

Wenn ich mal nsa und Co beiseite lasse (gegen die man sich ohnehin kaum wehren kann. Im Notfall schicken die eben ganz physisch Leute) und mir die Realität ansehe, dann sind Sicherheitsprobleme zu gefühlten 99% Angriffe durch Scriptkiddies und, Tschuldigung, eine Mischung aus Ignoranz, Geiz und Dummheit.

Millionen und Millionen Passwörter, Kreditkarten Daten, etc. werden doch nicht gestohlen und/oder missbraucht, weil, sagen wir mal ein linux Web Server, Stackframes nicht mit Zufall genügend hoher Qualität alloziert und gesichert hatte. Nein, sowas passiert, weil ein idiotischer (oder extrem schlecht motivierter oder ...) Admin seinen server seit 8 Monaten nicht geupdated hat. Oder weil einer von Gazillionen "Programmierer" web-Designern ohne jeden Hauch von Professionalität und Ahnung rumgemurkst hat. Oder weil Millionen Admins zwar artig und pingelig updaten, aber ihre TLS settings immer noch völlig unsichere Algorithmen zulassen - was nicht mal den Admins anzulasten ist, sondern den ignoranten (z.B.) openssl Machern, die das so kompliziert und schmerzvoll gemacht haben, dass viele gutwillige Admins es lieber gar nicht anfassen. Oder ...

Ein erheblicher Teil dessen, was man heute zum Thema Entwicklung Sicherheit und Fortschritte in Sachen Sicherheit liest, geht meilenweit daneben. Der Grund: Da wird an der Beseitigung von Einfallsvektoren gearbeitet, die irgendwelche Akademiker gefunden oder entwickelt haben. Das ist wohlgemerkt gut und wichtig, aber es ist auch eine Art Parallelwelt.
Die gewaltige Mehrheit von "Überfällen" in der realen Welt hat damit nahezu nichts zu tun. Scriptkiddies hacken server nicht, weil sie mit timing-Attacken auf AES oder sub-optimalen Stack Frames die Kiste aufkriegen, sondern weil auf der Kiste a) lausig gebauter Mist in b) PHP gebastelt mit einem c) lange ungepatchten Apache und d) MySql, idealerweise auf dem Standard port und TCP und e) einem nicht ordentlich geupdateten linux mit f) veraltetem openssl läuft, das g) eine schwachsinnige Algo-config hat und ... (ich könnte noch weiter machen).

OpenBSD kann da nur sehr bedingt schützen. Weil es nun mal keine Pillen gegen Blödheit und Ignoranz gibt.

Was es tun kann - und löblicherweise (wie auch andere BSDs und (bedingt) linux) auch tut - ist, so gut es eben geht, Anti-Inkompetenz-Sperren einbauen. Denn genau das sind die meisten der so gepriesenen protection und security schemes wie ASLR, usw, usf.
Nur: Das ist nicht wirklich Sicherheit; das ist Notbehelf gegen (oft nicht reparable) Ursachen von UNsicherheit. Das sollte man nicht verwechseln.

Und das sollte man auch mal grundsätzlich verstehen. Hinter dem Gros sogenannter Sicherheit verbirgt sich schlicht ein Kampf gegen (von uns in Jahrzehnten selbst gebastelte!) UNsicherheit.

Und noch etwas Grundsätzliches sollten wir bei dieser Gelegenheit verstehen. Die entscheidenden Kriterien sind fast nie professionelle. linux z.B. (mit ein Grund warum ich FreeBSD mag) wird meist nicht deshalb eingesetzt, weil es, hach so sicher oder professionell ist; nein, es wird eingesetzt, weil es sehr kostengünstig ist, weil es cool ist, etc. Und die Entwickler zielen nicht auf wirkliche Profis ab, sondern auf Hypekiddies, auf Speeeeedkiddies, auf basisdemokratisch Bewegte, auf GPL Taliban. Von PHP, dem modernen web-basic mit virtueller Kettensäge fange ich besser gar nicht erst an ...

Ebenfalls ein akutes (und weitestgehend übersehenes/ignoriertes) Sicherheitsproblem ist, dass wir einen Test brauchen, um mit unsem Moped Brötchen und Milch zu holen - aber eine Website, die teilweise wirklich sensible Daten von Millionen Menschen sammelt, kann problemlos jeder basteln und betreiben, der linux buchstabieren und halbwegs mit PHP stottern kann. Ach und: Pinguine sollte er mögen.

Und damit wir wissen, von was wir reden - und ich gehe wohlgemerkt davon aus, dass die Macher von bsdforen.de überdurchschnittlich kompetent sind - mal ein paar Ergebnisse vom Qualsys ssltest:

Selbst ausgestelltes Zertifikat (Was absolut OK ist für so eine Community), aber: Einerseits RSA 4096 bit key (löblich), andererseits SHA1 (ungut) signiert ...
SSL 2 und 3 wird nicht unterstützt (löblich) aber TLS 1.0 (nicht so gut). Wirklich böse wird's bei den unterstützten/akzeptierten crypto Algorithmen:
TLS_RSA_EXPORT_WITH_RC4_40_MD5 (0x3) WEAK
TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5 (0x6) WEAK
TLS_RSA_EXPORT_WITH_DES40_CBC_SHA (0x8) WEAK
TLS_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA (0x14) DH 512 bits (p: 64, g: 1, Ys: 64) FS WEAK

TLS_DH_anon_EXPORT_WITH_RC4_40_MD5 (0x17) INSECURE
TLS_DH_anon_EXPORT_WITH_DES40_CBC_SHA (0x19) INSECURE
TLS_DH_anon_WITH_AES_128_CBC_SHA (0x34) INSECURE

... usw ...

Das ist genau das, von dem ich hier schon sprach. Und das wohlgemerkt auf einer Seite von Profis, die sicher nicht inkompetent sind sondern vermutlich eher zu den Top 20% der server admins hierzulande gehören. Und nun? Wenn die Macher von bsdforen.de das nicht besser gemacht haben, wie sind dann wohl die Chancen für Horst und Gabi Hobby-Serveradmin?

Und weiter gehts ...

Downgrade attack prevention? Nein.
RC4 (ein ganz böses Ding) unterstützt? Ja.
CVE-2014-0224 (Juni 2014!) seit langem gefixt

Software-Versionen bleiben hier unbeachtet.

Und erzählt mir bitte nicht, das sähe auf OpenBSD wesentlich anders aus.
 

TCM

Well-Known Member
Dass es über Sachen wie Speichermanagement und stack protection noch zig andere Layer gibt, die sicher sein müssen, damit das Gesamtkonzept passt, bestreitet doch keiner. Was hat das aber mit dem OS zu tun?

Dass ich meinen Webserver richtig konfiguriere, ist doch vom OS komplett unabhängig.
 

rmoe

thanks no
Lustig, TCM

War da nicht mal was von wegen OpenBSD sei (u.a.) deshalb so toll, weil es default sinnvoll/sicher konfiguriert ist?

Im übrigen: Sorry, aber mich interessiert Sicherheit - nicht Rechthaberei oder "mein ***BSD ist das Beste!"
 

TCM

Well-Known Member
OpenBSD hat doch per default den ganzen stack protection Kram aktiviert. Was hat das aber mit der Konfiguration des Webservers zu tun?

OS != Applikation. Trotzdem kann das OS verhindern, dass die Applikation schlimmer als nötig platzt. Und das zählt nicht, weil man die Applikation ja immer noch unsicher konfigurieren kann?

Du rantest planlos durch die Gegend aber eine klare Argumentationslinie kann ich nicht erkennen.
 

rmoe

thanks no
Ist doch gut, TCM,

dein OpenBSD ist das Beste. Echt. Total.

Nur nimm bitte zur Kenntnis, dass die Frage, ob du eine klare Argumentationslinie erkennst für mich akut irrelevant ist. Glaub einfach weiter fest daran; ich gedenke nicht, dich dabei zu stören.

Können wir nun wieder über Sicherheit reden? Danke.
 

TCM

Well-Known Member
Naja, jeder muss sehen, wie er sich am besten zum Affen macht,

Hier gings um nichts anderes als um OS-Sicherheit, bis du mit Horst und Gabi anfingst und Webserver-Configs an den Haaren herbeigezogen hast.
 

rmoe

thanks no
TCM

Welchen Teil von "diese Seite hier hat erhebliche Sicherheitsmängel" hast du nicht verstanden?

Und das, obwohl die Macher hier sicher nicht dämlich sind sondern weit mehr Ahnung von *BSD haben dürften als wohl die meisten Admins da draussen im Land.
Und das wäre auf deinem wunderbaren OpenBSD kaum anders. Auch haben all die tollen Sicherheitserklärungen der OpenBSD Leute (die und deren Kompetenz ich, nochmal deutlich gesagt, durchaus schätze) mit all ihren security gimmicks die große Mehrheit der Sicherheitsprobleme, die da draussen wirklich und real bestehen, nicht nennenswert ändern/vermeiden können.

Wenn weit über 90% der wirklichen und tatsächlichen und enormen Schaden anrichtenden Sicherheitsprobleme herzlich wenig mit Free vs. Open BSD zu tun haben, wozu dann die Frage, welches der beiden Systeme wohl sicherer ist?
Daher nochmal: Manche macht Playboy scharf, andere eben OpenBSD. Viel Spass dabei.

Nur: Wenn Diskussionen zu Sicherheit irgend Sinn machen sollen, dann kann man doch nicht die Realität und die Ergebnisse ignorieren und sich hochziehen an "Mein BSD hat Nanotube-Warp-Stacks mit gravitationsoptimiertem PRNG!!!" während da draussen nahezu wöchentlich Millionen Menschen teilweise ernsthaft geschädigt werden.
 

TCM

Well-Known Member
Du konstruierst aus der Existenz von Applikations-Lücken das Argument, dass die ganzen Low-Level-Features wie stack protection und sicheres malloc eh nichts bringen, deshalb unnütz sind und FreeBSD deswegen genausogut ist. Und noch dazu besteht OpenBSD aus zuviel PR, weil sie ihre "unnützen" Features anpreisen. Habe ich das soweit richtig zusammengefasst?

Kein Mensch behauptet, dass ein sicheres OS alles abwehren kann, was irgendwo in Applikationen, Frameworks und Datenbanken abgeht. Deswegen aber herzugehen und zu sagen, was das OS an Sicherheits-Mechanismen bietet, ist alles sinnlos, ist einfach nur Trollen.

Mein BSD hat Nanotube-Warp-Stacks mit gravitationsoptimiertem PRNG!!!

Sag doch gleich, dass du einfach die Bedeutung der Features nicht verstehst und das alles für dich zu obskur ist, weil du am Ende nur geschädigte Menschen siehst. Dann würde man wenigstens nicht erst versuchen, dich ernstzunehmen.

Mir wird das zu dumm hier.
 

SolarCatcher

Well-Known Member
Ein erheblicher Teil dessen, was man heute zum Thema Entwicklung Sicherheit und Fortschritte in Sachen Sicherheit liest, geht meilenweit daneben. Der Grund: Da wird an der Beseitigung von Einfallsvektoren gearbeitet, die irgendwelche Akademiker gefunden oder entwickelt haben. Das ist wohlgemerkt gut und wichtig, aber es ist auch eine Art Parallelwelt.

Also was die OpenBSD-Entwickler da so machen, ist ganz oft ganz relevant für reale Probleme.

Was war denn das Problem von OpenSSL? Dass sie versucht haben sowas wie eine Referenzimplementierung für die mehrere hundert Seiten langen SSL-Standards zu liefern. Und zwar auch noch für die obskursten Optionen, die kein normaler Mensch (oder Administrator) je nutzt. Und dann wundert sich jemand wenn da irgendwo ein Problem in der Heartbeat-Funktionalität ist (Hand hoch: Wer kannte die überhaupt vor Heartbleed)?! Daher haben die LibreSSLer erstmal ganz viel rausgeschmissen, was selten bis nie benötigt wird. Zum Beispiel auch die Möglichkeit, auf Windows zu laufen, wo es ohnehin fast nie verwendet wird.

Gleiches bei OpenNTPd: Der Standard-NTPd in der *NIX-Welt hat angeblich 300.000 Zeilen Code. Zuviel für den Geschmack der OpenBSDler, die OpenNTPd entwickelt haben, das nur die Features bietet, die üblicherweise benötigt werden (z.B. wollen die meisten gar keine Timeserver laufen lassen, sondern nur ihre Zeit synchronisieren mit einem solchen Server). Das Ergebnis ließ sich in ca. 5.000 Zeilen Code abbilden.

Wieviele PRs gab es allein wg. Sendmail? Also hat OpenBSD Sendmail durch OpenSMTP ersetzt - einfacherer, schlanker mit Privilege Separation usw.

Das allein sind 3 Tools, die fast jedes *NIX-System laufen hat(te)... man könnte die Liste fortführen. Ich sage nur: Hut ab vor OpenBSD, dass sie sich dieser Dinge angenommen haben. Es hat ihr System sicherer gemacht und wird zunehmend auch auf anderen *NIX-Systemen verwendet, die damit weniger anfällig für Angriffe sind.
 

Fusselbär

Makefile Voyeur
Dankeschön CW für den aufschlussreichen Link. Ich lerne ja immer wieder gerne was dazu. Dazulernen ist ja auch ein BSD Leitmotiv, noch ein paar FreeBSD sysctls gesetzt. :)
 

n0dundO

New Member
Jungs, kommt mal wieder runter.
Es gibt nur ein Junge, der runter kommen sollte.

Bis OS X keine ASLR etc. nicht bekommen hat, wurde es regelmäßig von hinten gef*t auf Wettbewerben wie Pwn2Own ua. Warum ich das geschrieben habe? Keine Ahnung... Aber Ich weiß nur, daß mit diesem rmoe ewas nicht stimmt. Ich spüre das, glaubt mir!

rmoe, ich bin froh, dass du tust was du tust eigentlich. Piiip piiip piiip piiiip.,. Ich möchte selber nicht, dass jeder und sein Hund anfangen OpenBSD zu benutzen. Was würde uns dann übrig bleiben, BlueillusionOS?
 
Oben