OpenBSD steuert langsam auf das nächste Release, OpenBSD 4.3, zu. Dieses wird aller Voraussicht nach am 1. Mai 2008 erscheinen.
Vorbestellungen sind allerdings ab sofort möglich und können hier getätigt werden.

Das Changelog zu OpenBSD 4.3 ist recht lang geworden und so darf man auf das neuste Release gespannt sein. Interessant dürfte vor allen Dingen die Möglichkeit sein, in der sshd_config direkt ein ChrootDirectory anzugeben. Damit gehört die umständliche Einrichtung einer Chroot-Umgebung der Vergangenheit an. Hier wurde schon darüber berichtet.

Seit OpenBSD 4.2 bietet das OpenBSD Project die Install CD auch als Download an. So muss man das CD-Set nicht mehr kaufen. Wer allerdings das Projekt unterstützen möchte, dazu noch ein paar Aufkleber will, sollte das CD-Set bestellen.

Ein jeder kennt wohl SSH, bzw. vielmehr OpenSSH vom OpenBSD Project.
Damit verbunden gibt es die kleinen Helferlein wie SFTP und SCP wenn man einem Benutzer keinen blanken SSH Zugriff erlauben will. Bei SFTP (SSH File Transfer Protokoll) handelt es sich dabei nicht um FTP, sondern um eine Weiterentwicklung von SCP, bei der eine sichere Datenübertragung und der Dateizugriffe auf entfernte Systeme möglich ist.
Der SFTP Dienst nutzt dabei das zu Grunde liegende Protokoll SSH.

Wollte man nun einen Benutzer nur SFTP und/oder SCP erlauben, so sperrte man diesen auch in eine chroot Umgebung ein. Bis dato musste man dabei auf weitere Programme zurückgreifen, bzw. war die Konfiguration immer etwas aufwendig.

Damit soll nun aber Schluss sein.

Musste man bisher libraries, eine passwd und devfs in der chroot Umgebung bereitstellen und dazu noch ein Programm wie rssh bemühen (im BSDWiki gibt es hierzu einen Artikel), so soll dies der Vergangenheit angehören.

Wie man auf undeadly.org nachlesen kann, und dies davor schon im CVS zu sehen war, wurde nun SFTP enger mit SSH "verheiratet", was nun ein kompliziertes Setup unnötig macht.

Allerdings funktioniert dies nur mit SFTP, nicht mit SCP. Bei SCP muss immer noch eine chroot Umgebung eingesetzt werden.

Um einen eingeschränkten SFTP Zugang zu erlauben müssen die Direktiven "ForceCommand" und "ChrootDirectoy" in der sshd_config gesetzt werden. Um nun einem Benutzer nur SFTP anzubieten, kann hierfür die "Match" Direktive genutzt werden:

Match user asg
ForceCommand internal-sftp
ChrootDirectory /home

So kann sich der User "asg" nicht via SSH einloggen, sonder ist nur dazu befähigt, SFTP zu nutzen. SSHD wird beim login ein chdir auf das Home-Verzeichnis des Users machen, welches unter /home liegt.

Diese neue Funktionalität dürfte in OpenBSD 4.3 Einzug erhalten, und man kann nur hoffen das andere Systeme wie beispielsweise FreeBSD, bald nachziehen werden. Auf eine solche Funktion hat man schon lange gewartet.

OpenBSD ist, pünktlich wie immer, in der neuen Version 4.2, am 1. November 2007 erschienen.

Die offizielle Ankündigung von Theo deRaadt gibt es hier zu lesen, alle Änderungen im Detail gibt es hier.

Federico Biancuzzi hat sehr umfangreiches Interview mit 23 OpenBSD Developern geführt und dies zu einem grossen Interview zusammengefasst. Dabei geht es ausschliesslich um die Neuerung von OpenBSD 4.2. OpenBSD User und Interessierte können das Interview, welches bei onlamp.com erschienen ist, hier nachlesen.

Überschattet wurde das Release mit dem Tod von Itojun (Dr. Junichiro Hagino) am 29. Oktober 2007. Er zeichnete sich vor allem durch seine Arbeit an IPv6 aus.

Auch wenn es OpenBSD nicht besonders schmecken wird, diese goldene Himbeere zu bekommen. Was die goldene Himbeere in Hollywod für den Negativpreis ist, das ist der Pwnie Award in der IT.

Dieser wird in diesem Jahr das erste mal auf der BlackHat Konferenz in LasVegas vergeben. Neben OpenBSD bekommt beispielsweise auch noch Solaris einen Award (Best Server Side Bug) für den telnetd exploit.

Die Gewinner des Awards gibt es hier zu sehen und sind in verschiedene Kategorien eingeteilt:

• Best Server Side Bug
• Best Client Side Bug
• Mass Ownage
• Most Innovative Research
• Lamest Vendor response (OpenBSD)
• Most overhyped bug
• Best song

Allzu ernst sollte man diesen Award allerdings nicht nehmen .

Die Begründung für den Award welcher an OpenBSD ging:

The OpenBSD team refused to acknowledge the bug as a security
vulnerability and issued a “reliability fix” for it. A week later Core
Security had developed proof of concept code that demonstrated remote
code execution. Read the full timeline and quotes in the Core advisory.

OpenBSD 4.1 ist erst am 1. Mai 2007 erschienen, und schon wird es wieder Zeit über OpenBSD 4.2 nachzudenken, besonders nachdem nun OpenBSD 4.2-BETA erschienen ist wie man dem CVS Log entnehmen kann:

CVSROOT:    /cvs
Module name:    src
Changes by:    deraadt at cvs openbsd org    2007/07/25 14:07:28

Modified files:
    etc/root       : root.mail
    share/mk       : sys.mk
    share/tmac/mdoc: doc-common
    sys/conf       : newvers.sh
    sys/sys        : param.h
    sys/arch/macppc/stand/tbxidata: bsd.tbxi

Log message:
crank to 4.2-beta

Anfang letzten Jahres wurde ein Projekt aus der Taufe gehoben, welches die Jail Funktionalität von FreeBSD auch zu OpenBSD und NetBSD bringen sollte: sysjail. Der Anfang war gemacht, dann wurde es allerdings etwas ruhig um das Projekt. Mittlerweile ist es aber wieder zurück. Mit einer neuen Webseite und sysjail wurde komplett neu geschrieben. Interessierte sollten sich daher sysjail genauer ansehen und dies testen.

Zu guter Letzt gibt es hier noch einige Gründe warum man auch unter OpenBSD einen eigenen Kernel bauen sollte, und GENERIC nicht immer die erste Wahl ist.

Kaum ist die OpenBSD Foundation gegründet worden (wie hier schon geschrieben wurde), ist diese auch gleich gefordert. OpenBSD, welches sich durch die Verkäufe der CD-Sets und anderen Merchandising Artikeln finanziert, benötigt mehr Geld. Dieses Geld wird für die auszurichtenden Hackathons benötigt, ebenso für das Projekt direkt um die Unkosten zu decken.

Wer etwas beisteuern möchte, sollte also ein CD-Set ordern, oder direkt etwas Geld spenden.

Mehr Informationen gibt es hier zum nachlesen.

Mit dem gestrigen Tag hat nun auch OpenBSD eine eigene Foundation.

Der Foundation geht es in erster Linie darum, dass OpenBSD Projekt an sich, sowie OpenSSH, OpenBGPD, OpenNTPD und OpenCVS zu unterstützen.

Eingetragen ist die Foundation als non-profit Verein in Kanada. Die ersten Vorsitzenden sind Bob Beck, Kjel Wooding und Ken Westerback.

Die Foundation kann man hierüber erreichen. Die Pressemitteilung findet sich hier.

UPDATE: Heute gibt es ein Interview mit Ken Westerback von der OpenBSD-Foundation.

Die Möglichkeit im Internet Rootserver anzumieten ist in den letzten Jahren sprunghaft gestiegen. Viele User haben sich bei Firmen wie Strato, 1und1 und weiteren (howto zu 1und1 gibt es hier), einen Rootserver gemietet, und danach versucht mit dem Depenguinator diesen von Linux auf FreeBSD umzustellen.

Da dies nicht immer reibungslos funktionierte, in manchen Fällen ohne Probleme, in anderen wiederum war es nicht möglich, je nach eingesetzter Hardware der Rootserver, laufen immer noch viele Rootserver unter Linux obwohl deren Nutzer gerne ein BSD einsetzen würden. Die grossen Firmen sehen bisher wohl auch noch keinen Markt hier auch *BSD anzubieten.

Die Firma Mainlink (mehr Informationen zum Angebot gibt es hier), welche auch einen Buildserver, für den Ports Comitter schlechthin, bereitgestellt hat, bietet nun solche Rootserver an die unter FreeBSD, NetBSD oder auch OpenBSD betrieben werden können.

Sicherlich ist die Firma Mainlink nicht die einzige Firma, welche Firmen bieten noch *BSD Rootserver an und sitzen diese, wie Mainlink, auch in Deutschland? Wer mehr dazu weiss kann hier gerne die entsprechenden Links posten. Diese können dann in wiki.bsdgroup.de aufgenommen werden.

EDIT:

Bevor es zu Missverständnissen führt, es handelt sich natürlich nicht um DNS Root-Server die man hier (mal eben) aufziehen kann

Bei Firewalls spalten sich die Meinungen, setzen die einen nur auf sogenannte Hardware-Firewalls, so ist anderen eine Software Firewall lieb und recht. Eine kleine Randerscheinung mit einem weitverbreiteten OS hat den Kampf schon aufgegeben und nutzt per default keine.

Sind aber Hardware-Firewalls ihren Preis wirklich wert, oder für was bezahlt man hier mehrere tausende von Euro. Und, kann eine Software-Firewall, wenn diese dazu auch noch Open Source ist, nicht das halten was eine Hardware-Firewall verspricht?

Nimmt die Meinungen gewichtiger Stimmen in einem Unternehmen, so fällt die Entscheidung leicht. Nur eine Hardware-Firewall kann, auch dank markiger Sprüch der Salesdroiden und entsprechender Werbung der Unternehmen, das eigene Unternehmen schützen. Kommen dann noch die Herren in grau, auch Revision genannt, ist man mit einer Hardware Firewall, so diese einen bekannten Namen trägt, fein raus und braucht keine weiteren Rückfragen zu fürchten, auch wenn sich keiner mit diesem Gerät wirklich auskennt. Problematisch wird es bei einer OpenSource Firewall eines Systems welches auch OpenSource ist und in den genannten Kreisen kaum bekannt ist. Automatisch ist eine solche Firewall schlechter als eine gekaufte (you get what you pay for?). Und, die Herren in grau riechen Lunte und wollen umgehend die Firewallregeln sehen und die Firewall testen. Ist dabei nichts problematisches zu finden, bleibt dennoch ein "minus" vermerkt und, anstatt sich zu belesen, kommt die Frage "Warum nutzen Sie nicht das Produkt der Firma XYZ?".

Der geneigte Leser, der wohl meist selbst eines der BSDs einsetzt, wird sicherlich eine der integrierten Firewalls nutzen. Vorrangig wird dies sicherlich IPFW und, darum geht es hier, PF sein.

Ist PF von OpenBSD nun schlechter als eine PIX von Cisco?

Mitnichten meine Damen und Herren Entscheider und die Herren in grau von der Revision. Mitnichten.

Man lese bitte diese Artikeln von Chris Swartz und Randy Rosel auf oreillynet.com oder reiche diesen an die Entscheider/ Revision weiter.

Denn, die Administratoren die OpenBSD und PF als Firewall einsetzen, wissen warum sie das machen. Es geht hier nicht in erster Linie um die Einsparungen von unnötigen Geldausgaben, vielmehr geht es darum überzeugt zu sein, das eine OpenSource Firewall wie PF mindestens genauso gut ist wie eine PIX, mit den Vorzügen von OpenSource.

Das nächste mal also, wenn es wieder darum geht eine Firewall für tausende von Euro anzuschaffen, sollte man darüber nachdenken und den Fragen der diese später einrichten und überwachen muss. Das eingesparte Geld kann man dann in andere Dinge investieren, einem der BSD Projekte spenden, oder seinem Admin eine Überraschung bereiten indem man seine Arbeit mit dem eingesparten Geld honoriert. Er freut sich darüber. Sicher.

Ach ja, wer den Artikel nicht lesen möchte. Das Resultat: PIX und OpenBSD PF nehmen sich nichts. Ok, die PIX bietet eine grafische Oberfläche und Auswertung, aber muss das für mehrere tausend Euro sein? Wer etwas sparen möchte und dennoch auf der sicheren Seiten des Lebens stehen will, sollte zu OpenBSD und PF greifen.

Blobs sind in aller Munde, zumindest auf dem Mailinglisten von OpenBSD und FreeBSD, wobei es hierbei eine Kontroverse gibt, die durch ein Plakat der allBSD.de Gruppe ins Rollen gebracht wurde.

OpenBSD hat mit der Version 3.9 Ihre Stellung zu Blobs klar bezogen und gibt diese auch in den Lyrics des OpenBSD 3.9 Songs wieder.

OpenBSD sieht mit BLOBs (Binary Large Objects) eine Gefahr für OpenSource und lehnt diese kategorisch ab. So fordern die Entwickler die Freigabe von Dokumentation zur Hardware, um eigene, freie und offene Treiber zu entwickeln. Problem dabei für viele Hersteller, die Entwickler würden die herstellerspezifische Lizenz nicht akzeptieren, ebenso wäre die Unterzeichnung eines NDA (Non Disclosure Agreement) nicht denkbar. So gibt es einige Hersteller die die Dokumentation freigeben, andere verweigern sich dabei. Bei OpenBSD geht man hier so weit, das Treiber aus dem System entfernt werden (wie für Adaptec RAID Karten geschehen) oder aber, mittels reverse engineering, versucht wird eigene Treiber zu erstellen. Die Gefahr von BLOBs sind nicht nur das Hersteller die Treiber einfach vom Markt nehmen könnten, sondern das wichtige Bug-Fixes ausbleiben, was sich wiederum auf die Systemsicherheit auswirken kann. So ist eine Weiterentwicklung nur seitens des Herstellers gesichert, fremde Entwickler haben dabei keinen Einfluss.

Aus diesem Grund ist man bei OpenBSD strikt gegen Blobs und alle die diese unterstützen.

Wie sieht es nun bei FreeBSD aus? Ja, FreeBSD hat Blobs, dies kann jeder auf seinem FreeBSD System nachvollziehen:

%find /sys/contrib -name *.uu
/sys/contrib/dev/ath/public/arm9-le-thumb-elf.hal.o.uu
/sys/contrib/dev/ath/public/armv4-be-elf.hal.o.uu
/sys/contrib/dev/ath/public/armv4-le-elf.hal.o.uu
/sys/contrib/dev/ath/public/i386-elf.hal.o.uu
/sys/contrib/dev/ath/public/mips-be-elf.hal.o.uu
/sys/contrib/dev/ath/public/mips-le-elf.hal.o.uu
/sys/contrib/dev/ath/public/mips1-be-elf.hal.o.uu
/sys/contrib/dev/ath/public/mips1-le-elf.hal.o.uu
/sys/contrib/dev/ath/public/mipsisa32-be-elf.hal.o.uu
/sys/contrib/dev/ath/public/mipsisa32-le-elf.hal.o.uu
/sys/contrib/dev/ath/public/powerpc-be-eabi.hal.o.uu
/sys/contrib/dev/ath/public/powerpc-le-eabi.hal.o.uu
/sys/contrib/dev/ath/public/sh4-le-elf.hal.o.uu
/sys/contrib/dev/ath/public/x86_64-elf.hal.o.uu
/sys/contrib/dev/ath/public/xscale-be-elf.hal.o.uu
/sys/contrib/dev/ath/public/xscale-le-elf.hal.o.uu
/sys/contrib/dev/ath/public/alpha-elf.hal.o.uu
/sys/contrib/dev/ath/public/ap30.hal.o.uu
/sys/contrib/dev/ath/public/ap43.hal.o.uu
/sys/contrib/dev/ath/public/ap51.hal.o.uu
/sys/contrib/dev/ath/public/ap61.hal.o.uu
/sys/contrib/dev/ath/public/powerpc-be-elf.hal.o.uu
/sys/contrib/dev/ath/public/sparc-be-elf.hal.o.uu
/sys/contrib/dev/ath/public/sparc64-be-elf.hal.o.uu
/sys/contrib/dev/nve/amd64/nvenetlib.o.bz2.uu
/sys/contrib/dev/nve/i386/nvenetlib.o.bz2.uu
/sys/contrib/dev/oltr/i386-elf.trlld.o.uu

Wie es offiziel um die Meinung des Core-Teams aussieht, weiss man nicht genau, man kann aber sicherlich davon ausgehen das diese Blobs auch nicht für gut heissen.

allBSD.de nun hat eine Kampagne gegen Blobs gestartet. Dabei wurden auf einem Plakat alle vier grossen BSDs mit Logo dargestellt und es wurde der Slogan von OpenBSD genutzt, "Stop Blobs". Dies führte seitens OpenBSD, und deren Leader, Theo, zu wüsten Protesten wie man der Mailingliste entnehmen kann.

Sicherlich erscheint es seltsam, dass ein System wie FreeBSD, welches nunmal Blobs nutzt, auf einem solchen Plakat erscheint, dennoch geht es allBSD.de um die Grundhaltung und die Nachricht dahinter. allBSD.de ist gegen Blobs, und da allBSD.de versucht auf allen Messen die relevant sind vertreten zu sein, ist die Wirkung nicht zu unterschätzen. Anwender sollen darüber informiert werden was Blobs sind und warum man diese nicht befürworten kann. Hersteller sehen so, dass es auf jeder relevanten Messe eine Gruppe gibt die sich, unübersehbar, gegen Blobs ausspricht. Die Wirkung die erzielt werden soll ist einfach, durch die Masse der User die man hiermit erreicht den Druck auf entsprechende Hersteller verstärken, Hersteller sehen sich so auf relevanten Messen immer mit diesem Thema konfrontiert. Im besten Falle überlegen sich diese nochmals ihre Politik, im schlechtesten Falle geschieht nichts.

OpenBSD pochte nun darauf das deren Logo vom Plakat entfernt wird. In diesem Rahmen wurde auch gleich der Slogan ausgetauscht. Aus "Stop Blobs" wurde nun "No Blobs".

Auch auf der Mailingliste von FreeBSD ist dieses Thema angekommen und wird diskutiert.

Schulungen für Linux und andere Systeme sind heutzutage an der Tagesordnung. Aus dem Rahmen fällt es da immer noch, wenn Schulungen für BSD-Systeme angeboten werden.

Das Linuxhotel Villa Vogelsang bietet auch dieses Jahr wieder Schulungen zu OpenBSD an. Die Kurse gibt es sowohl in Deutsch als auch in Englisch.

Zu den Schwerpunkten gehört dabei:

Wichtige OpenBSD Grundlagen

elegante, wartbare Lösungen in den Bereichen Router-Ausfallsicherheit und Firewall

einzigartige Sicherheitsfeatures von OpenBSD

Die Kosten belaufen sich bei der 5-tägige Schulung auf 1939,70 Euro. Dies mag sich für den einen oder anderen nach viel Geld anhören, beachtet man aber das dieser Preis "all inclusive" ist, also mit Verpflegung, Getränken, Rahmenprogramm, Unterkunft, Leih-Laptop und mehr, relativiert sich dies wieder.

Der Kurs findet findet vom 25.06. bis 29.06.2007 (KW 26) statt. Eine Anmeldung ist direkt über die Seite möglich.

Informationen zum OpenBSD Kurs findet man auf der Seite des Linuxhotels.

Seit gestern ist ein "sicherheitskritischer" Fehler unter OpenBSD bekannt. So soll es mit einem ICMP6-Paket möglich sein, ein System unter seine Kontrolle zu bringen oder mindestens einen Kernel-Panic auszulösen.

Betroffene Systeme sind:

OpenBSD 4.1 vor dem 26.02.2007
OpenBSD 4.0 Current
OpenBSD 4.0 Stable
OpenBSD 3.9
OpenBSD 3.8
OpenBSD 3.6
OpenBSD 3.1

Wird PF als Firewall eingesetzt, davon kann man bei der Nutzung von OpenBSD ausgehen, so soll ein

block in quick inet6 all

als Workaround dienen.

Bei Heise wird nun heute getitelt: "Bericht: OpenBSD-Entwickler wollen kritische Lücke kleinreden". Man könnte meinen das dort die Schadenfreude mitschwingt, das OpenBSD mit nur 2 Remote Löchern in 10 Jahren "wirbt".

Core Security, Entdecker der Lücke, hat schon einen Exploit entwickelt, mit dem es möglich ist OpenBSD Systeme "abzuschiessen". Wirklich sicher, ob man über diesen Fehler aber Code einschleusen und ausführen kann, war man sich nicht, bis Core Security einen Exploit entwickelte mit dem genau dies möglich war und ist.

Das OpenBSD Project hat einen Patch zur Verfügung gestellt der zwar den Exploit verhindert, ob damit aber der eigentliche Fehler beseitigt ist, bleibt fraglich.

In weniger als zwei Monaten wird, aller Vorraussicht nach wieder zum vorgegebenen Zeitpunkt, OpenBSD 4.1 erscheinen. Release Termin ist der 1.Mai 2007.

Wie immer gibt es eine umfangreiche Übersicht der neuen Features und eine Installationsanleitung. So wird ab OpenBSD 4.1 UltraSparc III besser unterstützt, eine neue Version von OpenBGPD, OpenOSPFD und OpenNTPD wird es ebenfalls geben. Auch die Hardwareunterstützung wurde für zahlreiche Devices verbessert. Die Änderungen von OpenBSD 4.0 zu OpenBSD 4.1 sind wie immer gut dokumentiert.

OpenBSD wird in einem DVD-Case mit drei CDs herausgegeben werden, inklusive booklet, Sticker und einem Poster.

Vorbestellungen können ab sofort auf der OpenBSD Seite vorgenommen werden. Wie immer gibt es bei Sammelbestellungen auch einen Rabatt. Aus Europa können die Vorbestellungen hier vorgenommen werden.

Den meisten Anwender von FreeBSD (und auch anderen BSDs) dürfte die Seite freshports eine Begriff sein. Dabei handelt es sich, schlicht gesprochen, um ein webinterface für die FreeBSD Ports, wobei die neusten Ports, oder Änderungen an vorhandenen Ports, verfolgt werden können.

Den wenigsten Anwendern, insbesondere wenn diese nicht OpenBSD nutzen, dürfte eine Seite über die OpenBSD Ports, die ähnlich freshports ist, bekannt sein.

Auch bei ports.openbsd.nu hat man die gleichen Möglichkeiten wie bei freshports. Einen Blick, nicht nur für OpenBSD User, sondern auch gewillte Umsteiger, sollte dies Wert sein.

Vor nicht allzu langer Zeit erschien OpenSSH 4.4, nun folgt schon die neue Version 4.5. Zwar sind dies nur kleiner fixes, dennoch wurde ein vollwertiges Release daraus gemacht.
Die neue Version von OpenSSH ist am 08.  November 2006 erschienen und steht ab sofort zum download für OpenBSD und OpenSSH portable Systeme bereit.

Bei OpenSSH handelt es sich um eine freie SSH Verbindungssuite die nicht nur SSH anbiete sonder darüberhinaus noch scp und ftp mit sftp. Beim sshd Server sind dabei noch tools wie ssh-add, ssh-agent, ssh-keysign, ssh-keyscan, ssh-keygen und sftp-server enthalten. Die Features von OpenSSH können hier eingesehen werden.
OpenSSH wird vom OpenBSD Projekt entwickelt, ebenso wie auch OpenNTPD und OpenBGPD. Dabei wird die Software in Ländern entwickelt die den Export von Kryptographie erlauben (dies ist beispielsweise in den USA nicht der Fall). Die Software selbst steht unter der BSD Lizenz. Wobei ein Teil davon immer noch auf Tatu Ylönen Lizenz basieren. Dies kommt daher, dass OpenSSH auf der der freien SSH Implementierung 1.2.12 von Tatu basiert. Mehr Informationen hierzu gibt es hier.
OpenSSH wird dabei von zwei Teams entwickelt. Das erste Team erstellt die Versionen direkt für OpenBSD, das zweite Team erstellt portable Versionen für Systeme unter denen OpenSSH ebenfalls läuft. Den portablen Versionen wird dabei ein “p” an die Versionsnummer anghängt.

Die Änderungen seit OpenSSH 4.4 sind relativ gering und so kann man bei OpenSSH sicher von einem BugFix Release sprechen.

Genauere Auskunft darüber geben die Release Notes von OpenSSH 4.5.