The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Проект HardenedBSD возвращается с LibreSSL на OpenSSL

30.04.2018 20:20

Проект HardenedBSD, занимающийся улучшением механизмов защиты FreeBSD и выпускающий защищённые сборки FreeBSD, сообщил о возвращении к использованию OpenSSL, спустя более года после миграции на LibreSSL. Как следствие возвращения на OpenSSL, в качестве NTP-сервера по умолчанию будет возвращён ISC NTP вместо OpenNTPd.

В качестве причины называется сложность сопровождения решения на базе LibreSSL и существенные трудозатраты при переходе на новые выпуски LibreSSL. В частности, при обновлении LibreSSL с версии 2.6.4 до 2.7.2 всплыло большое число несовместимостей в портах, которые требуют индивидуальных внесений исправлений в порты. При расширении команды разработчиков HardenedBSD проект намерен вернуться на LibreSSL, но в данный момент продолжение использования LibreSSL невозможно из-за отсутствия необходимых ресурсов для сопровождения.

C 1 июля в ветках HardenedBSD 12-CURRENT и 11-STABLE по умолчанию будет включена сборка с OpenSSL, но поддержка LibreSSL в базовой системе будет сохранена в форме опции (для сборки следует установить переменную MK_LIBRESSL=yes). Копия репозитория пакетов, связанных с LibreSSL, будет доступна до 1 января 2019 года, т.е. пользователям будет предоставлено 8 месяцев на обновление до OpenSSL.

  1. Главная ссылка к новости (http://hardenedbsd.org/article...)
  2. OpenNews: Стабильный выпуск HardenedBSD 10-STABLE и 11-CURRENT v40.1
  3. OpenNews: Сформированы установочные образы HardenedBSD 11-CURRENT
  4. OpenNews: Альфа-выпуск OpenSSL 1.1.1 с поддержкой TLS 1.3
  5. OpenNews: Выпуск LibreSSL 2.7.0
Лицензия: CC-BY
Тип: Программы
Короткая ссылка: https://opennet.ru/48519-hardenedbsd
Ключевые слова: hardenedbsd, libressl, openssl
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (45) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 20:50, 30/04/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –6 +/
    Тоже мне безопасники. Вернулись на дырявый openssl, потому что не осилили написать патчи для портов.
     
     
  • 2.2, Аноним (-), 20:54, 30/04/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    если безопасность не подкреплена математикой - это шутка
     
     
  • 3.43, Аноним (-), 00:13, 02/05/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    openssl - это шутка
     
  • 2.16, Аноним (-), 03:05, 01/05/2018 [^] [^^] [^^^] [ответить]  
  • –6 +/
    > Тоже мне безопасники. Вернулись на дырявый openssl, потому что не осилили написать
    > патчи для портов.

    Ну блин написано - на безопасность нет ресурсов. Видимо, корпоративщики как всегда показали фигу и с коммитами/рабочей силой и с деньгами. Лицензия позволяет, ниипер.

     
     
  • 3.29, Аноним (-), 15:31, 01/05/2018 [^] [^^] [^^^] [ответить]  
  • +6 +/
    > Ну блин написано - на безопасность нет ресурсов.

    Харденед разрабы вообще-то всегда больше ограничивались ядром, внося в базу только мнинимальные дополнения. А мейнейнить в два-три рыла еще и не сильно маленькую репу в 30к портов немного перебор.
    Но, конечно же глупо ждать от анонима хоть какого-то знания предмета - ему лишь бы вcпyкнуть при виде знакомых слов )

    > Видимо, корпоративщики как всегда показали фигу и с коммитами/рабочей силой и с деньгами. Лицензия позволяет, ниипер.

    А не хочет ли дорогой наш эксперт всего и вся поведать нам, какая лицензия заставляет спонсировать деньгами или рабочей силой любой форк какого-то проекта? И что там со спонсированием майками QoS, например, репы арчика?
    И самое главное: какие именно проприетарщики показали фигу дебиану с коммитами/рабочей силой и с деньгами, так что там даже не пытались перейти на либру?

     
     
  • 4.32, Аноним (-), 16:55, 01/05/2018 [^] [^^] [^^^] [ответить]  
  • –5 +/
    В отличие от этой поделки дебианом пользуется сильно больше людей, а ломать все значит превратится в такую же поделку - никому не нужную. Этим ребятам явно пофиг, либраводам пофиг, почему кому-то должно быть не пофиг на агонию престарелого бомжа.
     
     
  • 5.33, Аноним (-), 17:17, 01/05/2018 [^] [^^] [^^^] [ответить]  
  • +5 +/
    >>> Вернулись на дырявый openssl, потому что не осилили написать патчи для портов.
    >> Ну блин написано - на безопасность нет ресурсов
    > В отличие от этой поделки дебианом пользуется сильно больше людей, а ломать все значит превратится в такую же поделку - никому не нужную.
    > этой поделки
    > в такую же поделку

    Получается, дебиану можно использовать "дырявый openssl", потому что им пользуются больше людей и дебиан "не поделка". Наоборот - если перейдут на либру, то сломают все и станут поделкой.
    А вот сабжу неможно переходить обратно, потому что они поделка, а невозможность втроем мейнтенить здоровенную репу просто отговорка неосиляторов?

    В общем, внятно аргуменировать и логично обосновать свою точку зрения ты не осилил. Так бы сразу и писал "Дибиан лудьший и рулит! Так воть!".


     
     
  • 6.35, Аноним (-), 17:29, 01/05/2018 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > Получается, дебиану можно использовать "дырявый openssl"

    Думаю ребятам из дебиана виднее, и риски они оценивают правильно, имено потому их продуктом пользуются.

    и эта фраза неоспорима  

    > А вот сабжу неможно переходить обратно, потому что они поделка, а невозможность
    > втроем мейнтенить здоровенную репу просто отговорка неосиляторов?

    их трое, потому что никто не видит смысла в их шатаниях -> их шатания следствие...
    за них этот круг никто не разорвет.

    > В общем, внятно аргуменировать и логично обосновать свою точку зрения ты не осилил.

    Да что ты говоришь, редко приходится констатировать чтото более логичное.

    > Так бы сразу и писал "Дибиан лудьший и рулит!

    честно тебе скажу, дебиан 3-й с конца в моем личном рейтинге.

     

  • 1.3, 33333333 (?), 21:17, 30/04/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    еще один повод для меня пересобрать libressl с git pull после обновления 16.04.4 ЛТС до 18.04 :)
     
     
  • 2.4, A.Stahl (ok), 22:09, 30/04/2018 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Ещё раз собери. И ещё раз. На всякий случай.
     
  • 2.20, Какаянахренразница (ok), 05:48, 01/05/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > после обновления 16.04.4 ЛТС до 18.04

    А ты уже обновился? Не страшно?

     
     
  • 3.45, 1244444566 (?), 05:15, 02/05/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    нет...не страшно ;) а че боятся то? вся обнова прошла как по маслу.
     

  • 1.5, Аноним (-), 22:23, 30/04/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    выкидывание кода усложняет систему, ай да выкидыватели
     
     
  • 2.6, колобок (?), 22:51, 30/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Не смогли в миграцию, и только.
     

  • 1.7, Ivan_83 (ok), 22:59, 30/04/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Поторопился.
    Во фре тоже перешли на эту версию, щас порты допилят за неделю/месяц.

    А ISC NTP просто какое то днище.
    Мне вот не нужно предоставлять сервис времени другим, поэтому я нашёл в хз какой документации параметры и сделал чтобы он биндился только на lo.
    Проверил, работает.
    Прошло немного времени и после апдейта ОС вместе с этим демоном работа сломалась.
    Притом сломалась настолько, что ntpd должен обязательно слушать и обязательно обрабатывать пакеты на том интерфейсе на котором он общается с апстримами.
    Те смотреть голой жопой в инет обязательно. Про фаер я слышал, но это костыльное решение ля купирования проблемы, а на рабочих станциях я фаер не держу.

    Поставил OpenNTPd.
    Конфиг простейший и понятный.
    Не хочешь предоставлять точно время другим - не биндишься к интерфейсам и оно спокойно себе работает.

    Ещё раз убедился что в ISC сплошные плохие кодеры, всегда обходил ихний дхцп и днс (бинд) стороной, знал бы про ntp - избежал бы траты кучи времени.

     
     
  • 2.9, Michael Shigorin (ok), 23:05, 30/04/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Просто к сведению: на линуксе isc-шный умеет пользоваться "подкруткой времени" в ядре и плавно его выводить на точное, ну а openntpd лупит кувалдой, как умеет, не заморачиваясь ерундой вроде монотонности системных часов.
     
     
  • 3.11, Ivan_83 (ok), 23:25, 30/04/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Я в курсе, но мне оно не критично.
    Монотонность обеспечивается в таймерах, там аптайм считается.
     
  • 3.13, PereresusNeVlezaetBuggy (ok), 23:59, 30/04/2018 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > Просто к сведению: на линуксе isc-шный умеет пользоваться "подкруткой времени" в ядре
    > и плавно его выводить на точное, ну а openntpd лупит кувалдой,
    > как умеет, не заморачиваясь ерундой вроде монотонности системных часов.

    Откуда дровишки? Плавная подстройка (при поддержке ядра) в OpenNTPd есть давно, может, это где-то сборка криво происходит?

     
  • 3.15, Аноним (-), 03:02, 01/05/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Зато весь ISCшный софт являет собой пример монструозного энтерпрайзного оверинжиниринга. Наиболее эпично они конечно в BIND 10 оттянулись, но и остальной софт - очень в духе. И поэтому "радует" огромным attack surface и багодромом, кучей зависимостей, уроном для приваси и прочими характерными "прелестями".

    А openntpd - выгодно отличается мелким кодом и "security in mind". Мелкая прожка, которая делает только то что обещала. И как максимум - ну может через нее систему накрайняк левым временам накормят. Что наверное лучше чем remote code execution, которым по жизни отличается софт от ISC из-за смеси монструозности и увлечения наворачиванием фич с пофигом на безопасность. Что для сетевого софта все-таки критично.

     
     
  • 4.22, Аноним (-), 09:37, 01/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Вот еще прекрасная NTP-реализация:
    DragonFly has its own from-scratch time daemon. After pulling our hair out over the many issues with open source time daemons we decided to write one by ourselves and add new system calls to support it. dntpd(8) uses a double staggered linear regression and correlation to make time corrections. It will also properly deal with network failures (including lack of connectivity on boot), duplicate IPs resolved by DNS, and time source failures (typically 1 second off) when multiple time sources are available. The linear regression and correlation allows dntpd(8) to make rough adjustments and frequency corrections within 5 minutes of boot and to make more fine-grained adjustments at any time following when the linear regression indicates accuracy beyond the noise floor.
     
     
  • 5.46, Аноним (-), 10:15, 02/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Вот еще прекрасная NTP-реализация:

    Она работает в Linux?

    И описание - довольно странное, чтоли. Какие-то "5 minutes after boot". А почему не минуту? Или не полчаса? И почему именно "after boot"? Это их "properly deal" включает в себя например сетку в ауте первые два часа после загрузки? Или wakeup из suspend to RAM вместо "boot"? Ну там лаптоп какой-нибудь с intermittent connectivity и спячкой - как на него такая логика ложится? Ну вот вообще совсем нихрена не очевидно из такого описания.

    Openntpd не пытается сильно умничать, поэтому и сильных сюрпризов вроде не подкидывает. У NTPD именно алгоритмы синхронизации и коррекции часов довольно крутые. Но он в результате перерос в огромного монстра. С какими там еще керберосами, всякой полудекоративной "типа-секурити" и чем там еще. Явно лишним для выполнения задачи подкорректировать часы.

     
  • 3.31, Аноним (-), 16:32, 01/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    а когда isc-шный научится НЕ переводить время в давнее прошлое (делая невалидные взломанные сертификаты снова валидными)?

    это ведь простейшее действие -- спросить у гугл-сервера текущее время

     
     
  • 4.41, YetAnotherOnanym (ok), 19:50, 01/05/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    В наших краях время положено спрашивать у серверов ВНИИФТРИ.
     
     
  • 5.47, Аноним (-), 10:19, 02/05/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > В наших краях время положено спрашивать у серверов ВНИИФТРИ.

    Да что уж там, у ВНИИ Химических Удобрений и Ядохимикатов.

     
  • 5.49, Аноним (-), 23:11, 02/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > В наших краях время положено спрашивать у серверов ВНИИФТРИ.

    Кем положено?

     
  • 2.10, xm (ok), 23:22, 30/04/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Короче, ещё один не осилил конфиг NTP и понаписал кучу ерунды, которую даже разбирать желания нет.
     
     
  • 3.12, Ivan_83 (ok), 23:30, 30/04/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Осилил и пользовался много лет.
    Но встал вопрос что на рабочих станциях я не желаю предоставлять сервис точного времени и использовать фаер.
    В конфиге кое как нашлись опции для этого, но вскоре сломались.

    В общем я не хочу и не будут тратить больше своё время на поделия ISC, оно того не стоит.

     
     
  • 4.14, angra (ok), 02:33, 01/05/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ты так хорошо его осилил, что даже не заметил в документации раздел ACL и пошел сразу рубить бинды?
     
     
  • 5.18, Аноним (-), 05:10, 01/05/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    За ACL в приложениях нужно сажать
     
  • 5.19, Ivan_83 (ok), 05:27, 01/05/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Если ставить игнорировать запросы - синхронизация тоже отваливается.
    ACL подразумевает обработку запросов, это как возможность для DoS так и потенциальная дырка, если там в очередной раз уязвимость найдут.

    Уязвимости в ntpd за последние 10 лет находили более 10 раз, притом там часто за раз была не одна узявимость а несколько.
    Это одна из лидирующих по дыркам служб во фре.

     
  • 4.28, xm (ok), 15:03, 01/05/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Десятки инсталляций годами работают с NTP и без файерволов для чего надо было всего лишь поправить ntp.conf в разделе security. А последние несколько лет так и вообще его трогать нет необходимости. По-крайней мере во FreeBSD.
     
     
  • 5.40, Ivan_83 (ok), 19:22, 01/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Миллионы мух не могут ошибатся ага.
    Нету никакого секурити в софте от ISC, все эти надписи имеют много меньше ценности чем любая надпись на заборе.

    https://www.freebsd.org/security/advisories.html
    Я вот смотрю сюда и просто выкидываю всё что часто встречается: openssl, ntpd.

     
     
  • 6.42, xm (ok), 20:43, 01/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Обновляться своевременно не пробовали?
    Софт ISC 25 лет поддерживает инфраструктуру сети, в том числе и ключевую, как бы кто к нему не относился. Количество дыр соразмерно истории и наследию.
     
     
  • 7.44, Ivan_83 (ok), 01:50, 02/05/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    На стабле сижу.
    А если ставить свежее с портов то я вот альтернативу и выбрал.

    Ничего он уже давно не поддерживает, так, всякие маргиналы ещё юзают бинд, дхцп и апач в придачу (знаю что не их), потому что с молодости привыкли и всё никак не переучатся.

    По пачке дыр каждый год последние 10 лет в простом демоне синхронизации времени это как то чересчур.

     
  • 7.48, Аноним (-), 10:26, 02/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Софт ISC 25 лет поддерживает инфраструктуру сети, в том числе и ключевую,
    > как бы кто к нему не относился. Количество дыр соразмерно истории и наследию.

    Количество дыр соразмеримо блоатварности и оверинжинирингу их софта, внезапно. Потому что чем больше программа - тем больше в ней багов. Включая и проблемы безопасности.

    И поэтому хакер не сможет часы мне сбить, зато код выполнит, дааа? Это конечно прикольное понимание безопасности, но нет.

     
  • 2.26, artemrts (ok), 13:07, 01/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    О, а подскажи замену isc dhcpd, а то как то сам задумался свалить с него.
     
     
  • 3.38, Ivan_83 (ok), 19:05, 01/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    dnsmasq или мой скрипт на перле: http://netlab.dhis.org/wiki/ru:software:perl:dhcp_server
     
  • 2.27, Fyjybv755 (?), 13:34, 01/05/2018 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Не хочешь предоставлять точно время другим - не биндишься к интерфейсам и оно спокойно себе работает.

    Не хочу вас огорчать, но NTP - это UDP, а там нельзя отправлять пакеты, не забиндив сокет (ну, если не говорить про AF_RAW, которые тут явно не используются).
    Так что биндится он как миленький.

     
     
  • 3.39, Ivan_83 (ok), 19:08, 01/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    А ещё на UDP сокете можно вызвать connect() и тогда он будет принимать пакеты только от одного ip:port.
    Даже без этого фильтрация на одном сокете левых пакетов заметно проще.
    ISC я не доверяю принципиально, они писать программы не умеют.
     
  • 3.50, PereresusNeVlezaetBuggy (ok), 15:32, 03/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >> Не хочешь предоставлять точно время другим - не биндишься к интерфейсам и оно спокойно себе работает.
    > Не хочу вас огорчать, но NTP - это UDP, а там нельзя
    > отправлять пакеты, не забиндив сокет (ну, если не говорить про AF_RAW,
    > которые тут явно не используются).
    > Так что биндится он как миленький.

    Отправлять можно. Вот с получением будут проблемы.

     

  • 1.8, Michael Shigorin (ok), 23:04, 30/04/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Как следствие возвращения на OpenSSL, в качестве
    > NTP-сервера по умолчанию будет возвращён ISC NTP
    > вместо OpenNTPd.

    Гм, а в чём связь?  В альте, скажем, сейчас штатно поставляются именно openssl и openntpd (но есть и LibreSSL, и ntp).

     
  • 1.21, Бывалый (?), 09:32, 01/05/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    > сложность сопровождения решения на базе LibreSSL ... большое число несовместимостей в портах

    В этом вся суть модно-молодёжных форков, спонсируемых корпорастами для атаки на базовые библиотеки и поломку инфраструктуры OpenSource.

     
  • 1.23, ыы (?), 10:19, 01/05/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    (1) >спустя более года после миграции на LibreSSL

    (2)> при обновлении LibreSSL с версии 2.6.4 до 2.7.2

    Раз в год обновляют?

     
     
  • 2.25, Andrey Mitrofanov (?), 12:02, 01/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > (1) >спустя более года после миграции на LibreSSL
    > (2)> при обновлении LibreSSL с версии 2.6.4 до 2.7.2
    > Раз в год обновляют?

    Написано же 12-CURRENT втащили.  ??

     
  • 2.30, Аноним (-), 15:42, 01/05/2018 [^] [^^] [^^^] [ответить]  
  • +/

    > (2)> при обновлении LibreSSL с версии 2.6.4 до 2.7.2
    > Раз в год обновляют?

    [CODE]
    /usr/src]$ git log crypto/libressl  
    Date:   Sun Dec 31 16:41:10 2017 +0100

        crypto/libressl: Update to 2.6.4
    Date:   Sat Nov 11 19:23:27 2017 +0100

        HBSD: crypto/libressl: Update to 2.6.3
    Date:   Tue Jul 18 19:03:55 2017 +0200

        hBSD: Complete merge of LibreSSL 2.5 changes
    Date:   Wed Feb 1 09:48:58 2017 +0100

        HBSD: Import LibreSSL 2.4.5 from upstream

    [/CODE]

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру