Wie sicher ist stable?

Florian88

Well-Known Member
Hallo,

ich benutze seit ca. einem Jahr OpenBSD auf meinem Laptop zum täglichen Arbeiten und zum Surfen.
Mir ist die Sicherheit meines Systems sehr wichtig.
Deshalb habe ich auch bei allen Betriebssystemen die ich bisher verwendete täglich aktuelle (Sicherheits)Updates installiert.

Allerdings traute ich mich noch nicht an -Current ran, da dies laut der OBSD FAQ zunächst mal nur von Leuten verwendet werden sollte, die sich wirklich mit Fehlersuche und Bugreports auskennen, was ich von mir im Moment leider noch nicht behaupten kann.

Der Stable-Branch erschien mir als guter Kompromiss. Allerdings Frage ich mich immer wieder, wie es sich mit Sicherheitslücken z.B. in Firefox verhält.

Ich lese häuftig auf heise.de von Sicherheitslücken in Firefox und co. Im Patchbranch gibt es aber keine Patches dafür, da Versionsupdates nicht in Stable übernommen werden.
Was ist also mit den Sicherheitslücken in Firefox, vlc ... von denen man fast täglich auf heise liest? Wenn sie nicht gerade in einer Windows-lib liegen, sollte doch OBSD auch betroffen sein?

Wie handhabt ihr das auf euren Systemen?

Die OpenBSD Entwickler warnen oft vor current?
Aber ist dieses System wirklich so gefährlich oder kann es in der Regel auch von normalen Benutzern installiert werden?

Bin gespannt auf eure Antworten.

lg
Florian
 
Attention! OpenBSD current eats babies!

Das wäre für mich persönlich kein Problem, habe keine Kinder, zumindest keine von denen ich weiß.:huth:

Nein, Spaß beiseite, "gefährlich" war der falsche Ausdruck.
Wie "problematisch" ist current im alltäglichen Betrieb?
Kommt es regelmäßig dazu, dass man nach einem update kein lauffähiges System mehr hat oder sich ständig mit Bugreports und Kernelpanics rumärgern muss?
Das sah ich bisher als großen Vorteil von OpenBSD an und auf den möchte ich nicht verzichten.
 
Ich lese häuftig auf heise.de von Sicherheitslücken in Firefox und co. Im Patchbranch gibt es aber keine Patches dafür, da Versionsupdates nicht in Stable übernommen werden.

Backports nach -stable bekommen wir mangels Manpower leider z.Z. nicht hin.

Was ist also mit den Sicherheitslücken in Firefox, vlc ... von denen man fast täglich auf heise liest? Wenn sie nicht gerade in einer Windows-lib liegen, sollte doch OBSD auch betroffen sein?

Das kommt auf die jeweilige Luecke drauf an. Wenn es ein Fehler in der Programmlogik ist, dann hast Du im Prinzip auch bei OpenBSD ein Problem. Wenn es aber z.B. um Heap- oder Stackbasierte Bufferoverslows geht, dann bist Du mit OpenBSD ziemlich auf der sicheren Seite.

Ich persoenlich benutze fast nur -current, aber selbst da, wo ich -stable verwende, bin ich der gleichen Meinung wie henning@ (das Thema kam neulich auf misc@ auf): ein veralteter Firefox auf OpenBSD-stable ist mir lieber als ein aktueller Firefox auf Linux oder Windows ;-)

Wie handhabt ihr das auf euren Systemen?

Ich vermeide die Verwendung von Firefox. Zum einen finde ich das UI nicht so prall, zum anderen ist mir vor ein paar Wochen, als ich fuer martynas@ mal wieder ein ff-Update durchgetestet hatte, irgendeine Compilerwarnung ins Auge gesprungen. Ich bin neugierig geworden, habe da in die Sourcen gesehen und auf Anhieb einen potentiellen Bufferoverflow gesehen. Der Code an der Stelle war reichlich "sportlich". Keine Ahnung, ob das Ding exploitable ist, ist mir ehrlichgesagt auch egal.

Die OpenBSD Entwickler warnen oft vor current?

-current, selbst aus Sourcen gebaut: Ja, das solltest Du wirklich nur anfassen, wenn Du weisst, was Du tust. Es gibt aber auch snapshots.

Aber ist dieses System wirklich so gefährlich oder kann es in der Regel auch von normalen Benutzern installiert werden?

Dazu schreibe ich was auf Dein anderes Posting, das passt es besser ;-)
 
Wie "problematisch" ist current im alltäglichen Betrieb?

Wie ich gerade schon schrieb: current aus den Sourcen gebaut kann nach hinten losgehen, wenn man nicht weiss, was man tut und wie man eventuelle Fehler auch selbst behebt.

Snapshots hingegen sind relativ unproblematisch, zumindest musst Du Dich nicht mit merkwuerdigen Compiler- oder Linker-Fehlermeldungen herumschlagen, wenn Du mal was vergeigt hast.

Kommt es regelmäßig dazu, dass man nach einem update kein lauffähiges System mehr hat

Ich hatte in den letzten vier oder fuenf Jahren (im Basissystem) nur drei mal wirklich nervige Probleme, von denen zwei auf ein kaputtes DVD-Laufwerk (das ich immer noch in dem Rechner stecken habe) zurueckzufuehren sind. Mit "nervig" meine ich, dass es zu einer Kernelpanic kommt, oder der Kernel einfach haengenbleibt, und dass man z.B. mit config -ef /bsd die Kernelconfig aendern muss (typischerweise das kaputte Device disablen).

Das wuerde ich nicht als "regelmaessig nicht lauffaehig" bezeichnen, zumal ich hier noch ein paar Rechner mehr stehen habe, die keinen Aerger machen.

oder sich ständig mit Bugreports und Kernelpanics rumärgern muss?

Wenn Du Snapshots oder -current verwendest, und wenn dann mal etwas nicht funktioniert, dann kannst Du natuerlich auch das letzte funktionierende System vom Backup zurueckspielen und das Problem einfach aussitzen. Ein Bugreport waere aber netter.
 
Hey,

danke kili für deine schnelle Antwort.

Das Sicherheitslücken im userland nicht gefixt werden können aufgrund fehlernder manpower, muss ich dann wohl so hinnehmen. Aber ich denke ich werde mich demnächst mal an den snapshots versuchen.

Dennoch habe ich noch eine Fragen zu deiner Antwort:

Ich persoenlich benutze fast nur -current, aber selbst da, wo ich -stable verwende, bin ich der gleichen Meinung wie henning@ (das Thema kam neulich auf misc@ auf): ein veralteter Firefox auf OpenBSD-stable ist mir lieber als ein aktueller Firefox auf Linux oder Windows ;-)

Wieso? Also ich nutze auch am liebsten OBSD, trotzdem habe ich irgendwie ein ungutes gefühl wenn ich, trotz relativ sicherem OS, einen Browser mit einer ungepatchten Sicherheitslücke bis zu 6 Monaten verwenden muss.
Ich weiß dass OBSD viele Fehler, die auch unter Linux noch Sicherheitslücken darstellen, abfängt aber eben nicht alle.
Machst du dir keine Sorgen wenn du mit ner ungepatchten Lücke surfst?
Ich meine letztendlich ist doch egal wo die Sicherheitslücke her kommt. Das Basissystem kann noch so sicher sein, wenn ich eine ungepatchte Sicherheitslücke in einem Programm offen lasse.
Warum sollte ich mich mit einem Browser mit Sicherheitslücke unter OBSD sicherer fühlen als mit einem gepatchten Browser unter Linux?

Firefox sollte hier auch nur als Beispiel dienen, es gibt ja viele Programme bei denen mehrere Male im Jahr Sicherheitsupdates erscheinen. vlc, mplayer...

Auf Servern verwende ich solche Programme natürlich nicht, aber auf einem Laptop, dass ich zum Filme schauen und surfen nutze, kann ich aus Sicherheitsgründen nicht auf vlc und firefox verzichten und stattdessen nur lynx benutzen, denn dann brauche ich keinen Computer mehr.;'(
Was nutzt du denn eigentlich für nen Browser? Opera? Werd den auch demnächst mal probieren, aber da würde es sich bei einer Sicherheitslücke ja genauso verhalten. Aber wie gesagt, firefox war nur ein Beispiel.

Ich gebe zu, dass ich oft etwas paranoid bin, was Sicherheitsfragen angeht. Aber gerade diese Browserlücken stellen meiner Meinung nach ein nicht nur theoretisches Sicherheitsrisiko dar.
 
Ja, und was passiert wenn so eine tolle Browserlücke mal ausgenutzt wird? - In den meisten fällen gibts höchstens nen DoS oder irgend nen Cross-Site-Scripting/request Forgery, toll, wenn ich bei sowas reinfalle, dann sollte ich lieber garkeinen Browser benutzen. Und auch wenns mal code execution ist.. wer bitte schreibt shellcodes für *BSD und was sollte passieren, ich hoffe mal nicht, dass du deine Passwörter in einer Datei passwords.txt aufbewahrst.
 
Warum sollte ich mich mit einem Browser mit Sicherheitslücke unter OBSD sicherer fühlen als mit einem gepatchten Browser unter Linux?

OpenBSD ist ein wirklich interessantes Betriebssystem, aber es gibt derzeit zwei Dinge die mich davon abhalten es auf meinem Mini-Notebook zu nutzen:

1. Signierte Pakete, damit ich nicht jedem Spiegel blind vertrauen muss
2. Die von Dir bemängelten Patches.

OpenBSD ist ein System von Entwicklern für Entwickler. Vieles ist sauberer als in allen anderen Systemen, aber auf dem Desktop nutze ich es seit dem Wegfall der geflickten Pakete nicht mehr. (Wo es davor vorzüglich seinen Dienst getan hat)

Warum allerdings Medienspieler, Webbrowser und so weiter im Monatsrhythmus Sicherheitslücken aufweisen verstehe ich nicht. An Stelle überall was neues rein zu klatschen sollten die sich lieber auf das wesentliche konzentrieren (Bei den Eier legenden Wollmilchsäuen namens Webbrowser wird das allerdings schwer).
 
Naja, ich denke man kann nicht abstreiten, dass OpenBSD nicht das komfortabelste Desktop-System ist, vor allem wegen der mangelnden Grafikunterstützung, aber das hängt ja größtenteils an nvidia.

Denke mal im großen und ganzen ist man auf einem Desktop mit FreeBSD besser bedient, dennoch werde ich bei OpenBSD bleiben. Ich mag es einfach wegen der Philosophie die dahinter steckt:
Richtiger und sicherer Code ist wichtiger als schneller Code!!!

Ich denke mal in nächster Zeit werde ich einfach alles so lassen wie es ist und alle 6 Monate mein Upgrade durchführen.
Mit den bestehenden Lücken muss ich dann wohl leben, aber hab mir schon gedacht dass die meisten davon sowieso nur eingeschränkt unter OpenBSD funktionieren.
Denke mal damit bin ich immer noch sicherer im Internet unterwegs als die Meisten.

wer bitte schreibt shellcodes für *BSD und was sollte passieren, ich hoffe mal nicht, dass du deine Passwörter in einer Datei passwords.txt aufbewahrst.

Also ich habe keine/wenig Angst davor, irgendwelchen Massenattacken im Internet auf den Leim zu gehen. Im Metasploit findet man ja auch fast keinen Shellcode für *BSD. Aber vielleicht macht sich jemand die Mühe wenn er einen geziehlten Angriff plant.
Ich versuche übrigens nicht mich gegen irgendwelche Geheimdienste oder änliches abzusichern.
Es geht eigentlich immer nur darum, dass meine Freund und ich gegenseitig versuchen in unsere Computer einzudringen. Und der ein oder andere hat durchaus das Knowhow und die Zeit um sich mal ein paar Tage hinzusetzen, wenn er weiß, dass sich bei mir auf dem System durch ne manipulierte Videodatei oder eine Browserlücke Shellcode einschleusen lässt.

1. Signierte Pakete, damit ich nicht jedem Spiegel blind vertrauen muss

Diese Sache bereitet mir ehrlich gesagt auch Bauchschmerzen. Da gab es neulich auch eine etwas längere Diskusion auf der misc@. Glaube auch hier liegt es an der fehlenden manpower.
Gibt es irgendeine Möglichkeit die Packages manuell zu prüfen?

Einfach schade, dass so ein geniales OS wie OBSD an solchen Kleinigkeiten scheitert.
Aber naja, wir müssen wohl damit Leben.
Denke auch mal nicht das sich das Problem manpower in absehbarer Zeit lösen wird.

Euch noch nen schönen Abend

Gruß Florian
 
Das Sicherheitslücken im userland nicht gefixt werden können aufgrund fehlernder manpower, muss ich dann wohl so hinnehmen.

Aehm. Sicherheistluecken im Userland werden gefixt. Siehe z.B. openssl.

Nur bei Ports/Packages sieht's mit -stable Fixes zur Zeit halt mau aus.

Machst du dir keine Sorgen wenn du mit ner ungepatchten Lücke surfst?
Ich meine letztendlich ist doch egal wo die Sicherheitslücke her kommt. Das Basissystem kann noch so sicher sein, wenn ich eine ungepatchte Sicherheitslücke in einem Programm offen lasse.
Warum sollte ich mich mit einem Browser mit Sicherheitslücke unter OBSD sicherer fühlen als mit einem gepatchten Browser unter Linux?

Wie "FreeBSDuser" weiter unten schon schrieb: viele Browserbugs sind eher in der Kategorie XSS u.ae. einzuordnen. Damit habe ich kein Problem. Womit ich ein Problem haette, waere ein Bug, der wirklich beliebigen Code auf dem Client ausfueheren liesse. Und so ein Exploit duerfte unter OpenBSD deutlich schwerer ans Rennen gebracht werden, als unter anderen Betriebssystemen.

Was nutzt du denn eigentlich für nen Browser?

Meistens konqueror, wenn's bunt sein soll. Fuer reines Textzeugs auch gerne w3m oder lynx.
 
florian88: auf einem laptop kannst du ruhig -current nutzen bzw. snapshots fahren. von zeit zu zeit werden auch für die snapshots pakete auf den mirrors bereitgestellt (je nach arch 1 mal im monat), die du dann nutzen kannst. ansonsten kannst du natürlich auch aus ports dir pakete erzeugen und installieren (patches dazu gehen auf der ML rum zum testen). damit hättest du dann auch was fürs projekt getan (fehlermeldungen, wenns nicht klappt) und die neuesten verfügbaren versionen für OpenBSD. wenn du für /home eine eigene partition verwendest, sollte deinen daten auch nichts passieren. fürs wichtige, hat man ja sowieso backups.
 
Also ich denke auch, dass die snapshots das richtige für mich sind.
Backups von den wichtigen Daten und von /etc habe ich natürlich.
War mir bloß nicht sicher wie häufig man die so braucht wenn man auf snapshots setzt.
Bisher hat mir an OpenBSD sehr gut gefallen, dass ich mich meistens nicht um das System kümmern muss, außer für die wenigen upgrades und patches.
Wenns mal läuft, dann läufts.:huth:
Aber wenn ich das system aufgrund von Fehlern in current/snaphot alle 2 Monate neu aufsetzen muss, weils irgendwas zerschießt, dann hilft das wenig.
Aber ich denke mal, snapshots sind ne einigermaßen sichere Sache, zumal es mit dem compilieren ja da keine Probleme geben sollte und exotische Software nutze ich auch nicht.
Werd mir vorher nochmal ein komplett Backup machen, dann kann ich zur not auch nochmal zurück wenn es mir nicht gefällt.

Danke euch allen für die Infos.
Jetzt heissts probieren :):):):)

lg
Florian
 
Also ich denke auch, dass die snapshots das richtige für mich sind.
Backups von den wichtigen Daten und von /etc habe ich natürlich.
sehr vernünftig ;)
War mir bloß nicht sicher wie häufig man die so braucht wenn man auf snapshots setzt.
eigentlich genauso oft, als wenn man das nicht täte, so gut wie gar nicht (habe auf dem desktop und auf meinem notebook auch lange zeit snapshots eingesetzt (WPA/WPA2, als stichwort)
Bisher hat mir an OpenBSD sehr gut gefallen, dass ich mich meistens nicht um das System kümmern muss, außer für die wenigen upgrades und patches.
Wenns mal läuft, dann läufts.:huth:
das gleiche gilt auch für snapshots und current. dass es zu problemen kommen kann heisst nicht, dass es zu problemen kommt. auf der anderen seite empfiehlt das team, current bei problemen/bugs einzusetzen/auszuprobieren, ob der fehler bereits behoben wurde. das klingt für mich auch nicht nach "geht alle nase lang hoch". die sache mit -current ist einfach die, dass es "on the move ist", wobei man das auch nicht überbewerten sollte. es ist halt ein wenig aufwendiger, wenn fehler auftauchen und das system upgedatet werden soll/muss, weil der dienst im einsatz nen fehler hat bzw. man von einem fix betroffen ist, sollte man zum nächsten snapshot updaten bzw. zu -current durchbauen.
Aber wenn ich das system aufgrund von Fehlern in current/snaphot alle 2 Monate neu aufsetzen muss, weils irgendwas zerschießt, dann hilft das wenig.
das wirst du nicht erst nach 2 monaten feststellen, aber in der regel funktionieren die snapshots. ansonsten kannst du dir auch einen snapshot runterladen und drei/vier tage misc@openbsd.org verfolgen. da taucht das sehr schnell auf, wenn ein snapshot im eimer ist. aber für i386 und amd64 gibts sowieso täglich neue (außer während des freezes vor einem release, aber das wird auch angekündigt).
Aber ich denke mal, snapshots sind ne einigermaßen sichere Sache, zumal es mit dem compilieren ja da keine Probleme geben sollte und exotische Software nutze ich auch nicht.
Werd mir vorher nochmal ein komplett Backup machen, dann kann ich zur not auch nochmal zurück wenn es mir nicht gefällt.

Danke euch allen für die Infos.
Jetzt heissts probieren :):):):)

lg
Florian
 
Nur so als Anmerkung:
Auch wenn BSD fuer Massenattacken wohl (momentan) nicht das Ziel ist...
Also ich habe keine/wenig Angst davor, irgendwelchen Massenattacken im Internet auf den Leim zu gehen. Im Metasploit findet man ja auch fast keinen Shellcode für *BSD. Aber vielleicht macht sich jemand die Mühe wenn er einen geziehlten Angriff plant.

Das ist so flasch.
Denn Leute, die Bugs wirklich selbst finden, können in der Regel auch den Shellcode gleich basteln. Der Shellcode ist oft leichter als einen guten verwendbaren Bug zu finden, der nicht nur selten vorhanden ist. Deshalb hat das nix zu heissen, wenn metasploit bloss wenige solcher Teile hat.
 
Ich benutz eigentlich überall current, bis auf einem Server, und da laufen so gut wie keine Packages drauf.

Zum Thema signierte Packages: Das Gerüst steht schon.. Mich würde es nicht wundern, wenn das demnächst kommt.
 
hi
aber nix fuer ungut .......a ber wie kann man empfehlen current zu nutzen ?

mal ein auszug aus der FAQ kapitel 5
Warning: -current is a moving target. It changes minute by minute, and may well change several times in the time it takes to retrieve the source code. While the developers work hard to ensure that the system always compiles and that there are no major bugs, it is entirely possible to get the -current source and have it fail to compile, whereas five minutes later everything will be just fine. There are also flag days and major system changes that the developers navigate with one-time tools, which mean that source-based updating is not possible. If you are not prepared to deal with this, stay away from -current.

bei mir laufen grundsaetzlich alle maschinen mit stable , auch hier mal die FAQ Kap. 5 lesen.
gerade heute heute ich wieder gepatcht.

wenn sicher dann ist es ein aktulles stable, dazu sollte man
hier immer mal wieder reinschauen
oder die entsprechende ml subscriben.
 
full Ack mark05. mehr gibt es dazu eigentlich auch nicht zusagen.
-current@Desktop ist vollkommen OK.
-current@Server ein NoGo.
 
Aus meiner Sicht gibt es keinen vernümftigen Grund -current zu fahren. Auch nicht auf dem Desktop. Wenn man OpenBSD einsetzt, dann möchte man Sicherheit und Stabilität. Wenn man mit dem klar kommt was base liefert, hat man das System in 10min wieder aufgesetzt. Mit ein paar packages in 20 Minuten. Ich sche!sse da auf ein paar Probleme mit dem firefox und co.

Signierte packages werden aus meiner Sicht wohl nicht so schnell kommen. Das Hauptargument ist, dass "die Kette" wohl nicht von Anfang bis zum Ende vertrauenswürdig sein kann.
 
Backups von den wichtigen Daten und von /etc habe ich natürlich.
War mir bloß nicht sicher wie häufig man die so braucht wenn man auf snapshots setzt.

Hier zu Hause habe ich eigentlich nur einmal ein komplettes Restore benoetigt, und da ist in dem entsprechenden Rechner schlicht und ergreifend die Platte an Altersschwaeche gestorben ;-)

Aber wenn ich das system aufgrund von Fehlern in current/snaphot alle 2 Monate neu aufsetzen muss, weils irgendwas zerschießt, dann hilft das wenig.

Das passiert eigentlich nicht, mir ist jedenfalls noch nicht passiert. Das einzige, was man evtl. tun sollte, bevor man einen neuen Snapshot einspielt (mit der ueblichen Update-Methode), ist, vorher mal nur den neuen Kernel anzutesten. Es ist ziemliche Gruetze, wenn man den normalen Update-Prozess durchspielt und anschliessend feststellt, dass bsd.rd zwar funktioniert, bsd oder bsd.mp jedoch schon beim Booten haengenbleibt. Vor allem, wenn man gerade nicht so viel Zeit fuer Reparaturarbeiten hat.

Also: Kernel vom Snapshot nach /gargelpu kopieren, /gargelpu booten, und wenn es bis zu dem Punkt kommt, an dem das Root-FS gemountet wird, dann kann man einigermassen sicher sein, dass auch nach einem kompletten Update (per bsd.rd oder ueber das ISO-Image) keine Katastrophen bevorstehen.

[qute]Aber ich denke mal, snapshots sind ne einigermaßen sichere Sache, zumal es mit dem compilieren ja da keine Probleme geben sollte und exotische Software nutze ich auch nicht. [/quote]

Wenn Du snapshots benutzt, brauchst Du im Basissystem nix zu compilieren. (Ich weiss, das ist kein Trost, wenn man openoffice als Package installiert hat und nach dem Update aus dem Portstree bauen muss, weil vielleicht noch keine snapshot-Packages zur Verfuegung stehen).

Werd mir vorher nochmal ein komplett Backup machen, dann kann ich zur not auch nochmal zurück wenn es mir nicht gefällt.

Ich wuerde sowieso regelmaessig per cron angeworfene Backups machen (mache ich auch). Und zwar nicht, weil ich Angst vor einem desastroesen Betriebssystemfehler habe, sondern weil manchmal einfach die Feinmotorik versagt (as in: sudo rm -rf /usr/obj/ *, man beachte das Leerzeichen vor dem Stern).
 
aber nix fuer ungut .......a ber wie kann man empfehlen current zu nutzen ?

mal ein auszug aus der FAQ kapitel 5 ...

current ist etwas anderes als Snapshots. Die Hinweise in FAQ-5 auf inkonsistente Sourcen, wenn man mal zur falschen Zeit ein cvs update macht, gelten natuerlich nicht fuer Snapshots. Trotzdem gilt auch fuer Snapshots, dass man wissen muss, was man da macht (und dass man einen Blick auf faq/current.html wirft, um z.B. wichtige Aenderungen bei Tools wie ifconfig oder der Syntax von z.B. pf.conf mitzubekommen).

bei mir laufen grundsaetzlich alle maschinen mit stable

Das ist ja auch voellig in Ordnung. Es kommt halt darauf an, wofuer man seine Maschinen benutzt, wieviel Zeit man investieren will, und wieviel Aua es gibt, wenn nach einem Update auf einen Snapshot (oder gar einem Rebuild aus den Sourcen) mal was nicht so funktioniert, wie es soll.
 
Zurück
Oben