Saugumas ir NetBSD
NetBSD projektas laikosi tos pačios nuomonės apie saugumą kaip ir visos sistemos: Sprendimai ir ne hackinimas. Saugumo reikalus NetBSD projekte tvarko NetBSD security officer ir NetBSD security alert team. Jie atlieka tyrimus, dokumentacijos ir kodo atnaujinimus susijusius su naujai pateiktais saugumo reikalais, komanda taip pat periodiškai daro kodo auditą ir ieško saugumo problemų, jei tokios yra jas bando ištaisyti.
Nuo NetBSD 1.5, NetBSD turi integruotą Kerberos IV (KTH-KRB), Kerberos 5 (Heimdal), ir ssh. Negana to, visi servisai pagal nutylėjimą yra nustatyti pagal saugius parametrus, o visi servisai yra atjungti, kai sistema būna naujai įdiegta. NetBSD taip pat turi pilnai įdiegtą IPSEC tiek IPv4 ir IPv6 protokolams.
Kai NetBSD atranda rimtą saugumo problemą ir ją ištaiso, mes pateikiame taip vadinama Saugumo patarimą, kuriame aprašyta problema ir kaip ją ištaisyti. Juos pranešame netbsd-announce el. pašto konferencijoje taip pat kitose el. pašto konferencijose ir tinklapiuose. Archyvas taip pat laikomas šiame tinklapyje.
Norėtume paminėti, kad mes neteikiame čia informacijos apie trečių šalių programinės
įrangos saugumo problemas (pkgsrc).
Vietoj to, mes automatizavome audito mechanizmą ir jį įdiegti
galite iš security/audit-packages.
Mes pateikiame
duomenų bazę su programine įranga kuri turi saugumo problemų.
- NetBSD-SA2006-017 Sendmail malformed multipart MIME messages
- NetBSD-SA2006-016 IPv6 socket options can crash the system
- NetBSD-SA2006-015 FPU Information leak on i386/amd64/Xen platforms with AMD CPUs
- NetBSD-SA2006-014 An audio subsystem race condition may crash the system
- NetBSD-SA2006-013 sysctl(3) local denial of service
- NetBSD-SA2006-012 SIOCGIFALIAS ioctl may cause system crash
- NetBSD-SA2006-011 IPSec replay attack
- NetBSD-SA2006-010 Sendmail race condition
- NetBSD-SA2006-009 False detection of Intel hardware RNG
- NetBSD-SA2006-008 Malformed ELF interpreter causes system crash
- NetBSD-SA2006-007 mail(1) creates record file with insecure umask
- NetBSD-SA2006-005 bridge memory disclosure
- NetBSD-SA2006-004 Denial of services issues with pf
- NetBSD-SA2006-003 Multiple denial of services issues with racoon
- NetBSD-SA2006-002 settimeofday() time wrap
- NetBSD-SA2006-001 Kernfs kernel memory disclosure
Galite peržiūrėti patarimų archyvą jei norite pilno sąrašo.
Yra du metodai kaip susisiekti su NetBSD Projektu saugumo klausimais:
- tech-security el. pašto konferencijoje diskutuojama laisva forma apie visus su NetBSD susijusius saugumo klausimus.
- Galima tiesiogiai susisiekti su NetBSD Projektu apie saugumui iškilusias
problemas, siunčiant el. pašto žinutę į
<security-alert@NetBSD.org>.
Jei norite pranešti apie saugumo spragą NetBSD OS, galite susisiekti su NetBSD
<mailto:security-alert@NetBSD.org">security-alert@NetBSD.org>
komanda arba užpildyti standartinę NetBSD problemų
send-pr formą
arba naudodami send-pr(1) programą tiesiai iš NetBSD sistemos.
Svarbi informacija turėtų būti užkoduota naudojant PGP, ir pasitelkus NetBSD security-officers' PGP raktu. Informaciją apie PGP galima rasti Network Associates' PGP svetainėje.
Visos paviešintos NetBSD saugumo pataisos yra pasiekiamos iš NetBSD Projekto FTP serverio ir yra patalpintos security/patches/ kataloge.
Atnaujinimai specifinėms NetBSD versijoms
Mes nedarome pataisymų ar patarimų specialiai NetBSD-current'ui, bet vietoj to rekomenduojame, kad Jūs atnaujintumėte iki tos versijos kuri jau turi pataisą. Žiūrėkite patarimus kaip tai padaryti.
NetBSD Packages Kolekcija leidžia lengvai įdiegti iš kodo ar jau sukompiliuotų didelį skaičių trečių-šalių programinę įrangą. Reikėtų pabrėžti, kad dažnai trečių-šalių programinė įranga turi klaidų, ir daugelis jų gali leisti pažeisti Jūsų kompiuterį. Kad taip nenutiktų NetBSD turi lengva būdą kaip audituoti jau žinomas klaidas įdiegtoje programinėje įrangoje.
NetBSD Security-Officer ir Packages Group prižiūri sąrašą žinomų klaidų kurios gali paliesti programas esančias pkgsrc medyje. Šį sarašą galite atsisiųsti iš NetBSD FTP serverio:
Naudojantis audit-packages, sarašą galima parsisūsti automatiškai, po to galima audituoti visas programas instaliuotas sistemoje.
Yra du komponentai audituoti audit-packages programoje. Pirmasis, download-vulnerability-list, skirtas parsisiųsti žinomų klaidų sarašą iš NetBSD FTP serverio. Antrasis komponentas, audit-packages, patikrina ar programos kurias Jūs esate įsidiegę nera pažeidžiamos. Jei tokia programa aptinkama Jūs pamatysite panašų pranešima:
Package samba-2.0.9 has a local-root-shell vulnerability, see http://www.samba.org/samba/whatsnew/macroexploit.html
Galima nustatyti, kad audit-packages parsisiųstų vulnerabilities bylą kasdien, ir paleistu sistemos auditą. Detaliau apie tai galite pasiskaityti MESSAGE bylą audit-packages kataloge.
Programos kurios naudoja RSA saugumą iš NetBSD package kolekcijos turėtų būti patikrintos ar naudoja bent jau rsaref 2.0p3 ir vėlesnes versijas. 1999 gruodį, buvo atrasta keletas buferio perpildymo klaidų RSAREF bibliotekoje. Jei Jūs neturite vėlesnės ar 2.0p3 versijos, Jums reikėtų pasitikrinti su komanda 'pkg_info -R rsaref' kurios programos naudoją šią biblioteką.
Didelis skaičius su saugumu susijusių patarimų ir kitų saugumo resursų yra pasiekiami šiose svetainėse:
Tie kuriems įdomūs NetBSD ugniasienės diegimo būdai, gali aplankyti Darren Reed's IPFilter svetainę kurioje yra pilna dokumentacija apie IPFilter.
![[NetBSD flag]](/images/NetBSD-flag.png)
Copyright © 1994-2007 The NetBSD Foundation, Inc. ALL RIGHTS RESERVED.
NetBSD® is a registered trademark of The NetBSD Foundation, Inc.