Sicherheit und NetBSD
Das NetBSD-Projekt verfolgt den selben Ansatz zur Sicherheit wie auch zum restlichen System: „Lösungen und keine Hacks.“ Fragen zur Sicherheit werden bei NetBSD vom „NetBSD Security Officer“ und dem „NetBSD Security Alert Team“ behandelt. Neben der Untersuchung, dem Dokumentieren und dem Verbessern von Code bezüglich aktueller Sicherheitslücken beschäftigt sich das Team auch mit regelmäßigen Inspektionen des Codes, um potentielle Sicherheitslücken zu finden und auszubessern.
NetBSD enthält Kerberos 5 (Heimdal), SSH (OpenSSH) und vollständige Unterstützung für IPsec, sowohl für IPv4 als auch für IPv6. Zusätzlich sind alle Dienste auf ihre sicherste Einstellung voreingestellt, und unsichere Dienste sind prinzipiell von vornherein bei der Installation abgeschaltet.
Wenn ernsthafte Sicherheitsprobleme in NetBSD gefunden und verbessert werden, wird ein Sicherheitshinweis veröffentlicht, die das Problem beschreibt, und einen Verweis auf die Lösung enthält. Diese Hinweise werden im weiten Kreise angekündigt und auf der englischsprachigen Sicherheitsseite archiviert.
Das NetBSD-Projekt hat zwei Anlaufstellen für sicherheitsrelevante Themen:
- Die tech-security-Mailingliste stellt ein offenes Forum zur Diskussion sicherheitsrelevanter Themen in Bezug auf NetBSD dar.
- Sie können das NetBSD-Projekt zu sicherheitsrelevanten Themen auch direkt kontaktieren, indem Sie eine E-Mail an security-alert@NetBSD.org schicken.
Um ein Sicherheitsproblem in NetBSD zu melden, kann man entweder das NetBSD security-alert@NetBSD.org Team kontaktieren, oder man füllt einen üblichen NetBSD „problem report“ mit Hilfe des send-pr-Formulars aus, oder benutzt das send-pr(1)-Programm seines NetBSD-Systems.
Kritische Informationen sollten via PGP verschlüsselt werden mit Hilfe des PGP-Schlüssels des „Security Officers“.
Alle veröffentlichten NetBSD-Sicherheitspatches sind auf dem FTP-Server des NetBSD-Projektes im Verzeichnis security/patches/ zu finden.
Die NetBSD-Paketsammlung pkgsrc bietet eine einfache Installation von Quelle oder von vorkompilierten Programme von Fremdanbietern an. Man sollte sich ins Gedächtnis rufen, dass in solcher Software oft Fehler vorkommen, und manche dieser Fehler können ein System verwundbar für einen Angriff machen. Um mit dieser Herausforderung Schritt halten zu können, bietet NetBSD einen einfachen Weg an, um installierte Pakete auf bekannte Sicherheitslücken hin zu überprüfen.
Das NetBSD pkgsrc Security Team und die Paketbetreuer verwalten eine Liste von bekannten Sicherheitslücken von Paketen, die im Paketsystem vortreten sind (oder waren). Diese Liste ist vom FTP-Server des NetBSD-Projektes unter:
erhältlich.
Mit Hilfe des Pakets security/audit-packages
können Sie diese Liste automatisch herunterladen und alle installierten Pakete
auch gleich überprüfen.
Das Paket audit-packages enthält zwei Programme:
download-vulnerability-list, das
die Liste der Sicherheitslücken vom NetBSD FTP-Bereich herunterlädt, und
audit-packages, das überprüft, welche der installierten
Pakete anfällig sind. Falls eine Sicherheitslücke in einem installierten Paket
besteht, wird man eine Ausgabe ähnlich folgender beobachten können:
Package samba-2.0.9 has a local-root-shell vulnerability, see
http://www.samba.org/samba/whatsnew/macroexploit.html
Man kann audit-packages
so einrichten, dass es die Datei mit den Sicherheitslücken
täglich herunterlädt und danach eine Überprüfung der installierten Pakete einleitet, indem
man diese Programme im täglich ausgeführten security-Skript mit einschließt.
Nähere Informationen zu diesem Thema finden Sie in der
Datei pkgsrc/security/audit-packages/MESSAGE.
Wenn Sie glauben, dass Sie ein Sicherheitsproblem in einem Paket
von pkgsrc entdeckt haben, es aber nicht von
audit-packages erkannt wird, sagen Sie bitte dem pkgsrc Security Team
bescheid.
Etliche Sicherheitshinweise und anderes Material ist auf diesen Webseiten verfügbar:
![[NetBSD flag]](/images/NetBSD-flag.png)
Copyright © 1994-2007 The NetBSD Foundation, Inc. ALL RIGHTS RESERVED.
NetBSD® is a registered trademark of The NetBSD Foundation, Inc.