---

Vil bare lige høre folks mening om hvilket af disse to OS'er, der er det
mest sikre. Jeg har selv været ved at undersøge sagen, men synes jeg kørte i
ring. Carolyn Meinel og "Battery" taler for OpenBSD, men nogle bekendte
taler for FreeBSD. FreeBSD har flere brugere og der findes mere software til
Free, men Open kan installeres på næsten alt og det siges at skulle være
mere sikkert. Efter at have læst begge hjemmesider og kigget på
SecurityFocus, har jeg også fået det indtryk at Open er mere sikkert.
Eller måske et helt tredje OS der overgår begge?

--
Mvh Daniel Blankensteiner
__________________________
Db@TraceRoute.dk

---

Den Sat, 13 Oct 2001 17:14:55 +0200 skrev Daniel Blankenstiener:
>Vil bare lige høre folks mening om hvilket af disse to OS'er, der er det
>mest sikre. Jeg har selv været ved at undersøge sagen, men synes jeg kørte i
>ring. Carolyn Meinel og "Battery" taler for OpenBSD, men nogle bekendte
>taler for FreeBSD. FreeBSD har flere brugere og der findes mere software til
>Free, men Open kan installeres på næsten alt og det siges at skulle være
>mere sikkert. Efter at have læst begge hjemmesider og kigget på
>SecurityFocus, har jeg også fået det indtryk at Open er mere sikkert.
>Eller måske et helt tredje OS der overgår begge?

Øh, det er da NetBSD der kan installeres på næsten alt(?)

Du kan vist roligt gå ud fra at det er OpenBSD der er mest sikker.
Udviklerne (eller i hvert fald en del af dem) er temmelig meget
sikkerheds-fanatikere.

Mvh
Kent
--
War does not determine who is right, only who is left.

---

Daniel Blankenstiener tried to tell us something, and all I got was:
> Vil bare lige høre folks mening om hvilket af disse to OS'er, der er det
> mest sikre. Jeg har selv været ved at undersøge sagen, men synes jeg kørte i
> ring. Carolyn Meinel og "Battery" taler for OpenBSD, men nogle bekendte
> taler for FreeBSD. FreeBSD har flere brugere og der findes mere software til
> Free, men Open kan installeres på næsten alt og det siges at skulle være
> mere sikkert. Efter at have læst begge hjemmesider og kigget på
> SecurityFocus, har jeg også fået det indtryk at Open er mere sikkert.
> Eller måske et helt tredje OS der overgår begge?
>

Det kommer helt og holdent an paa hvad du skal bruge maskinen til.
Der findes 3 tommelfinger regler:

   FreeBSD: Klart valget hvis din pc platform er I386.
   OpenBSD: Hvis sikkerhed er prioriteten.
   NetBSD: Hvis det skal koeres paa en obskur arkitektur.

Jeg er selv FreeBSD bruger, og har arbejde professionelt med alle slags
*BSD flavours. Og kan *varmt* anbefale FreeBSD. Af flere aarsager:

FreeBSD har en langt stoerre bruger gruppe, og derfor er der meget mere
hjaelp at hente. Naesten alt hvad der kan koeres paa en Linux box, kan
ogsaa koeres (om ikke andet med Linux emulator) paa FreeBSD.
FreeBSD er det foretrukne valg af mange stoerre organisationer (som fx.
yahoo).

Men som sagt, det kommer an paa hvad du skal bruge det til.


--
Regards,
Michael L. Hostbaek
-= Thanks for all the fish.. =-

---

Tja, det skal bruges til server. SMTP, Shell, FTP, HTTP og hvad jeg ellers
kan finde på. Sikkerheden har højeste prioritet. Men hvad bruger millitæret,
PET og diverse ISP'er? (det er der jeg engang gerne vil arbejde).
(Jeg har en IBM PC, Intel P3 o.s.v)!


Michael L. Hostbaek <michDEL_THIS@bsd.fr.eu.org> skrev i en
nyhedsmeddelelse:slrn9sgobg.hvg.michDEL_THIS@freebsdcluster.dk...
> Daniel Blankenstiener tried to tell us something, and all I got was:
> > Vil bare lige høre folks mening om hvilket af disse to OS'er, der er
det
> > mest sikre. Jeg har selv været ved at undersøge sagen, men synes jeg
kørte i
> > ring. Carolyn Meinel og "Battery" taler for OpenBSD, men nogle bekendte
> > taler for FreeBSD. FreeBSD har flere brugere og der findes mere
software til
> > Free, men Open kan installeres på næsten alt og det siges at skulle
være
> > mere sikkert. Efter at have læst begge hjemmesider og kigget på
> > SecurityFocus, har jeg også fået det indtryk at Open er mere sikkert.
> > Eller måske et helt tredje OS der overgår begge?
> >
>
> Det kommer helt og holdent an paa hvad du skal bruge maskinen til.
> Der findes 3 tommelfinger regler:
>
> FreeBSD: Klart valget hvis din pc platform er I386.
> OpenBSD: Hvis sikkerhed er prioriteten.
> NetBSD: Hvis det skal koeres paa en obskur arkitektur.
>
> Jeg er selv FreeBSD bruger, og har arbejde professionelt med alle slags
> *BSD flavours. Og kan *varmt* anbefale FreeBSD. Af flere aarsager:
>
> FreeBSD har en langt stoerre bruger gruppe, og derfor er der meget mere
> hjaelp at hente. Naesten alt hvad der kan koeres paa en Linux box, kan
> ogsaa koeres (om ikke andet med Linux emulator) paa FreeBSD.
> FreeBSD er det foretrukne valg af mange stoerre organisationer (som fx.
> yahoo).
>
> Men som sagt, det kommer an paa hvad du skal bruge det til.
>
>
> --
> Regards,
> Michael L. Hostbaek
> -= Thanks for all the fish.. =-
>

---

Daniel Blankenstiener tried to tell us something, and all I got was:
> Tja, det skal bruges til server. SMTP, Shell, FTP, HTTP og hvad jeg ellers
> kan finde på. Sikkerheden har højeste prioritet. Men hvad bruger millitæret,
> PET og diverse ISP'er? (det er der jeg engang gerne vil arbejde).
> (Jeg har en IBM PC, Intel P3 o.s.v)!
>

Udfra dine behov, vil jeg raade dig til at benytte FreeBSD.
Jeg er ikke klar over hvad militaeret benytter, ej heller PET. Men der
er adskillige ISP'ere der benytter FreeBSD.
Fx. CyberCity benytter FreeBSD paa ca. 98% af deres server platforme.


--
Regards,
Michael L. Hostbaek
-= Thanks for all the fish.. =-

---

Mit behov er max sikkerhed overhovedet muligt, hvorfor vil du så anbefale
Free og ikke Open?
Men de to OS'er ligger vel heller ikke så langt fra hinanden!?!?

Michael L. Hostbaek <michDEL_THIS@bsd.fr.eu.org> skrev i en
nyhedsmeddelelse:slrn9sgq86.hvg.michDEL_THIS@freebsdcluster.dk...
> Daniel Blankenstiener tried to tell us something, and all I got was:
> > Tja, det skal bruges til server. SMTP, Shell, FTP, HTTP og hvad jeg
ellers
> > kan finde på. Sikkerheden har højeste prioritet. Men hvad bruger
millitæret,
> > PET og diverse ISP'er? (det er der jeg engang gerne vil arbejde).
> > (Jeg har en IBM PC, Intel P3 o.s.v)!
> >
>
> Udfra dine behov, vil jeg raade dig til at benytte FreeBSD.
> Jeg er ikke klar over hvad militaeret benytter, ej heller PET. Men der
> er adskillige ISP'ere der benytter FreeBSD.
> Fx. CyberCity benytter FreeBSD paa ca. 98% af deres server platforme.
>
>
> --
> Regards,
> Michael L. Hostbaek
> -= Thanks for all the fish.. =-
>

---

Daniel Blankenstiener tried to tell us something, and all I got was:
> Mit behov er max sikkerhed overhovedet muligt, hvorfor vil du så anbefale
> Free og ikke Open?
> Men de to OS'er ligger vel heller ikke så langt fra hinanden!?!?
>

Well, OpenBSD & FreeBSD er ikke helt det samme, men der er da mange
ligheder.

Jeg vil anbefale at du benytter FreeBSD, udfra at du gerne vil koere
applikationer paa din server. (HTTP, FTP, etc etc)

OpenBSD holdet fokusere saa meget paa sikkerheden, at de ikke taenker
paa performance. FreeBSD holdet taenker paa sikkerheden, men soerger
samtidig for at OS'et har en killer performance.

Men glem, ikke, et OS er ikke mere sikkert end sysadm'en bag det. dvs,
traf dit valg, enten om det maatte vaere FreeBSD eller OpenBSD eller et
helt tredje. Og laes saa ALT info du kan finde om det, vedr.
sikkerheds-tweaks.

--
Regards,
Michael L. Hostbaek
-= Thanks for all the fish.. =-

---

Daniel Blankenstiener tried to tell us something, and all I got was:
> Mit behov er max sikkerhed overhovedet muligt, hvorfor vil du så anbefale
> Free og ikke Open?
> Men de to OS'er ligger vel heller ikke så langt fra hinanden!?!?
>

Desuden, hvis du vaelger at bruge samme box som firewall, saa har
FreeBSD baade ipf og ipfw, hvor OpenBSD kun har ipf (mener jeg)..

Og med frygt for at starte en religionskrig, saa mener jeg at ipfw er
sjovere at arbejde med, da den har et hav af options..
--
Regards,
Michael L. Hostbaek
-= Thanks for all the fish.. =-

---

Ja, du har jo nogle yderst gode argumenter!! Jeg har, som jeg også skrev,
undersøgt dette længe. Jeg har skrevet til FreeBSD, læst Open og Free's
hjemmesider, snakket med bekendte, skrev til hackere og Carolyn Meinel samt
gutten der står for http://www.damageinc.tv/
Og indtil videre er det 50/50, før jeg skrev herinde var jeg ellers
bestuttet på Open, men nu er jeg i tvivl igen. Men lad os antage at jeg skal
være med i et hacker-wargame, jeg skal sætte en server op med almindelig
tjenester som FTP, SMTP og HTTP. Hvilken server vil der først blive opnået
root på, Open eller Free??

(For bedre sikkerhed kunne man jo også sætte serveren op med det ene OS og
så en firewall med det andet OS!)


Michael L. Hostbaek <michDEL_THIS@bsd.fr.eu.org> skrev i en
nyhedsmeddelelse:slrn9sgs4d.hvg.michDEL_THIS@freebsdcluster.dk...
> Daniel Blankenstiener tried to tell us something, and all I got was:
> > Mit behov er max sikkerhed overhovedet muligt, hvorfor vil du så
anbefale
> > Free og ikke Open?
> > Men de to OS'er ligger vel heller ikke så langt fra hinanden!?!?
> >
>
> Desuden, hvis du vaelger at bruge samme box som firewall, saa har
> FreeBSD baade ipf og ipfw, hvor OpenBSD kun har ipf (mener jeg)..
>
> Og med frygt for at starte en religionskrig, saa mener jeg at ipfw er
> sjovere at arbejde med, da den har et hav af options..
> --
> Regards,
> Michael L. Hostbaek
> -= Thanks for all the fish.. =-
>

---

Daniel Blankenstiener tried to tell us something, and all I got was:
> Ja, du har jo nogle yderst gode argumenter!! Jeg har, som jeg også skrev,
> undersøgt dette længe. Jeg har skrevet til FreeBSD, læst Open og Free's
> hjemmesider, snakket med bekendte, skrev til hackere og Carolyn Meinel samt
> gutten der står for http://www.damageinc.tv/
> Og indtil videre er det 50/50, før jeg skrev herinde var jeg ellers
> bestuttet på Open, men nu er jeg i tvivl igen. Men lad os antage at jeg skal
> være med i et hacker-wargame, jeg skal sætte en server op med almindelig
> tjenester som FTP, SMTP og HTTP. Hvilken server vil der først blive opnået
> root på, Open eller Free??

Har performance noget at sige her ? Hvis det *KUN* drejer sig om
sikkerhed, og performace/stabilitet er ligegyldig, saa ville jeg nok
vaelge OpenBSD. Da det er et faktum, at OpenBSD goer sig speciel mht
sikkerhed.

Men, skal du derimod ogsaa paavise performance, og vil du kunne traekke
paa flere resourcer mht hjaelp, saa ville jeg nok vaelge FreeBSD.

>
> (For bedre sikkerhed kunne man jo også sætte serveren op med det ene OS og
> så en firewall med det andet OS!)

Ja, et helt klart alternativ. OpenBSD som fw, og FreeBSD som application
server, ville vaere det optimale. (Men det ville ogsaa vaere mere
arbejde)

--
Regards,
Michael L. Hostbaek
-= Thanks for all the fish.. =-

---

Ja, det var KUN sikkerheden jeg tænkte på, men performance har selvfølgelig
også noget at sige i sidste ende. Men sikkerhedsmæssigt ligger de to vel
heller ikke så langt fra hinanden?!?!? Det er vel de to sikreste system i
verden vi snakker om....eller hvad?


Michael L. Hostbaek <michDEL_THIS@bsd.fr.eu.org> skrev i en
nyhedsmeddelelse:slrn9sgtqg.hvg.michDEL_THIS@freebsdcluster.dk...
> Daniel Blankenstiener tried to tell us something, and all I got was:
> > Ja, du har jo nogle yderst gode argumenter!! Jeg har, som jeg også
skrev,
> > undersøgt dette længe. Jeg har skrevet til FreeBSD, læst Open og Free's
> > hjemmesider, snakket med bekendte, skrev til hackere og Carolyn Meinel
samt
> > gutten der står for http://www.damageinc.tv/
> > Og indtil videre er det 50/50, før jeg skrev herinde var jeg ellers
> > bestuttet på Open, men nu er jeg i tvivl igen. Men lad os antage at jeg
skal
> > være med i et hacker-wargame, jeg skal sætte en server op med
almindelig
> > tjenester som FTP, SMTP og HTTP. Hvilken server vil der først blive
opnået
> > root på, Open eller Free??
>
> Har performance noget at sige her ? Hvis det *KUN* drejer sig om
> sikkerhed, og performace/stabilitet er ligegyldig, saa ville jeg nok
> vaelge OpenBSD. Da det er et faktum, at OpenBSD goer sig speciel mht
> sikkerhed.
>
> Men, skal du derimod ogsaa paavise performance, og vil du kunne traekke
> paa flere resourcer mht hjaelp, saa ville jeg nok vaelge FreeBSD.
>
> >
> > (For bedre sikkerhed kunne man jo også sætte serveren op med det ene OS
og
> > så en firewall med det andet OS!)
>
> Ja, et helt klart alternativ. OpenBSD som fw, og FreeBSD som application
> server, ville vaere det optimale. (Men det ville ogsaa vaere mere
> arbejde)
>
> --
> Regards,
> Michael L. Hostbaek
> -= Thanks for all the fish.. =-
>

---

Daniel Blankenstiener tried to tell us something, and all I got was:
> Ja, det var KUN sikkerheden jeg tænkte på, men performance har selvfølgelig
> også noget at sige i sidste ende. Men sikkerhedsmæssigt ligger de to vel
> heller ikke så langt fra hinanden?!?!? Det er vel de to sikreste system i
> verden vi snakker om....eller hvad?
>

Der findes uden tvivl systemer, der er sikrer. Men af "omgaengelige"
systemer, kan vi godt blive enige om at de begge bestemt er i den gode
ende.

Der er ikke den store forskel i sikkerhed mellem FreeBSD og OpenBSD.



--
Regards,
Michael L. Hostbaek
-= Thanks for all the fish.. =-

---

Ok, tror jeg har fået svar på det hele nu. Du skal have mange tak for din
hjælp!!! Det var rart at snakke med en der ved hvad han snakker om og ikke
en der måske tror, han ved at han har hørt noget o.s.v*GGG*

Michael L. Hostbaek <michDEL_THIS@bsd.fr.eu.org> skrev i en
nyhedsmeddelelse:slrn9sh080.hvg.michDEL_THIS@freebsdcluster.dk...
> Daniel Blankenstiener tried to tell us something, and all I got was:
> > Ja, det var KUN sikkerheden jeg tænkte på, men performance har
selvfølgelig
> > også noget at sige i sidste ende. Men sikkerhedsmæssigt ligger de to
vel
> > heller ikke så langt fra hinanden?!?!? Det er vel de to sikreste system
i
> > verden vi snakker om....eller hvad?
> >
>
> Der findes uden tvivl systemer, der er sikrer. Men af "omgaengelige"
> systemer, kan vi godt blive enige om at de begge bestemt er i den gode
> ende.
>
> Der er ikke den store forskel i sikkerhed mellem FreeBSD og OpenBSD.
>
>
>
> --
> Regards,
> Michael L. Hostbaek
> -= Thanks for all the fish.. =-
>

---

"Daniel Blankenstiener" <dslb@linuxmail.org> writes:

>Mit behov er max sikkerhed overhovedet muligt, hvorfor vil du så anbefale
>Free og ikke Open?
>Men de to OS'er ligger vel heller ikke så langt fra hinanden!?!?

Sikkerheden kommer i langt højere grad fra administratoren end fra
operativsystemet.

Det ene er næppe mere sikkert end det andet, hvis begge er blevet
installeret med en fornuftig opsætning. Og vigtigst af alt bliver
vedligeholdt med jævne mellemrum.

Mvh.
   Klaus.

---

Daniel Blankenstiener wrote:
> Tja, det skal bruges til server. SMTP, Shell, FTP, HTTP og hvad jeg ellers
> kan finde på. Sikkerheden har højeste prioritet. Men hvad bruger millitæret,
> PET og diverse ISP'er? (det er der jeg engang gerne vil arbejde).
> (Jeg har en IBM PC, Intel P3 o.s.v)!

Jeg gætter på at Forsvaret bruger WinNT i en gammel
version, fordi de endnu ikke har fået lov at kigge på kildekoden til
fx Winnt 4.0.

Ellers kunne det være de brugte Trusted Solaris eller tilsvarende
fra HP eller Compaq. Trusted udgaverne er ret gamle, formentlig af ca
samme årsag, svjh svarer Trusted Solaris til Solaris 2.5.1.

NSA (www.nsa.gov) arbejder på en secure GNU/Linux distribution, der måske
er værd at kigge på.

Mht ISP'er bruger fx Orange (aka Mobilix) FreeBSD til ISP-delen, til
"telefon"-delen (på tungere hardware) Solaris, Tru64, og HPUX.

-- Ole

---

On Sat, 13 Oct 2001 16:31:30 GMT, Ole Michaelsen wrote:

> Ellers kunne det være de brugte Trusted Solaris eller tilsvarende
> fra HP eller Compaq. Trusted udgaverne er ret gamle, formentlig af ca
> samme årsag, svjh svarer Trusted Solaris til Solaris 2.5.1.

Det mener jeg nu ikke den gør.

Der er f.eks Trusted Solaris bygget på en Solaris 7.

Mener den kom for (nogenlunde) nyligt.
--
/Sonny - #include <std.disclaimer.h>

"I don't have an attitude problem, you have a perception problem."

---

Sonny T. Larsen wrote:
> On Sat, 13 Oct 2001 16:31:30 GMT, Ole Michaelsen wrote:
>
>> Ellers kunne det være de brugte Trusted Solaris eller tilsvarende
>> fra HP eller Compaq. Trusted udgaverne er ret gamle, formentlig af ca
>> samme årsag, svjh svarer Trusted Solaris til Solaris 2.5.1.
>
> Det mener jeg nu ikke den gør.
> Der er f.eks Trusted Solaris bygget på en Solaris 7.
> Mener den kom for (nogenlunde) nyligt.

Okay, jeg tog fuldstændigt fejl!

http://www.sun.com/software/solaris/trustedsolaris/

Trusted Solaris 8 er bygget på Solaris 8, endda. Der kan man
bare se...

Vh,

Ole

---

Ole Michaelsen wrote:
>
> Daniel Blankenstiener wrote:
> > Tja, det skal bruges til server. SMTP, Shell, FTP, HTTP og hvad jeg ellers
> > kan finde på. Sikkerheden har højeste prioritet. Men hvad bruger millitæret,
> > PET og diverse ISP'er? (det er der jeg engang gerne vil arbejde).
> > (Jeg har en IBM PC, Intel P3 o.s.v)!
>
> Jeg gætter på at Forsvaret bruger WinNT i en gammel
> version, fordi de endnu ikke har fået lov at kigge på kildekoden til
> fx Winnt 4.0.
>
> Ellers kunne det være de brugte Trusted Solaris eller tilsvarende
> fra HP eller Compaq. Trusted udgaverne er ret gamle, formentlig af ca
> samme årsag, svjh svarer Trusted Solaris til Solaris 2.5.1.
>
Trusted Solaris er helt "up to date" svjh er det Solaris 8 baseret, og flere
og flere af de avancerede features er på vej til standard Solaris

Ikke at AIX blev nævnt, men "Trusted AIX" (hedder ikke det, men findes i flere
versioner) er også "up to date"!

Der er også noget TrustedBSD på tegnebrættet, men det er vist ikke kommet så langt
endnu http://www.trustedbsd.org/ .

> NSA (www.nsa.gov) arbejder på en secure GNU/Linux distribution, der måske
> er værd at kigge på.
>
> Mht ISP'er bruger fx Orange (aka Mobilix) FreeBSD til ISP-delen, til
> "telefon"-delen (på tungere hardware) Solaris, Tru64, og HPUX.
>
> -- Ole

--
Mvh
Henrik Lund Kramshøj
hlk@sikkerhedsforum.dk, hlk@kramse.dk, lund@diku.dk
Sikkerhedsforum DK - seriøs debat om IT sikkerhed

---

Daniel Blankenstiener <dslb@linuxmail.org> wrote:
> Vil bare lige høre folks mening om hvilket af disse to OS'er, der er det
> mest sikre. Jeg har selv været ved at undersøge sagen, men synes jeg kørte i
> ring. Carolyn Meinel og "Battery" taler for OpenBSD,

Carolyn Meinel er en syg kvinde. Jo hurtigere du holder op med at lytte til
noget som helst hun siger, jo bedre.

http://www.attrition.org/shame/
http://www.attrition.org/slander/content.html
http://www.attrition.org/library/rev/0929408217.rev

Mht. OpenBSD versus FreeBSD saa er det en fin balance.

Der var en traad ("Bedste dist. til firewall på 486'er?") i unix gruppen
hvor jeg skrev foelgende indlaeg. Find evt. hele traaden og laes den.

#v+
Flemming Mertz <flemse@e-box.dk> wrote:
> Cool, det virker som om jeg ikke får nogle problemer så. En lille anden
> ting. Hvad er de væsentligste forskelle på OpenBSD og FreeBSD? Uden at
> nævne
> at det ene er frit og det andet åbent!! : )

Det er svaert at formulere, men jeg skal proeve.

Basalt ligger forskellen i, at OpenBSD goer som de har lyst og hellere end
gerne beder dig rende og hoppe hvis du brokker dig over den maade de goer
tingene paa.

FreeBSD har langt flere interessser i at moede brugerenes krav, og deres
maal virker til at vaere sat efter at goere brugerne tilfredse.

Der findes ikke officelle ISO images af OpenBSD til download. Hent istedet
de 100MB install filer via ftp, http, rsync, whatever. FreeBSD ligger ISO
images til download og kan installeres via ftp (og andet?)

OpenBSD har omkring 50 udviklere. Jeg tror FreeBSD har adskellige 100'ede
efterhaanden. Maaske Poul-Henning eller Jesper har bedre styr paa tallene
end jeg har?

OpenBSD kan installeres paa omkring 10 forskellige platforme, hvor FreeBSD
koncenterer sig om i386 og alpha. FreeBSD har SMP support, OpenBSD har ikke.

FreeBSD arbejder paa en masse fraekke features i 5.0, blandet andet en langt
staerkere sikkerhedsmodel end den traditionelle UNIX model og mere
advanceret SMP support. OpenBSD faar nok ikke SMP det naeste aar, og jeg kan
ikke se hvordan de skulle faa tiden til at implementere en anden
sikkerhedsmodel heller.

FreeBSD's base install er noget stoerre end OpenBSD's men de kan begge
bringes ned til naesten ingenting efter installationen. FreeBSD's install er
menu drevet - den driver mig til vanvid :) OpenBSD's install er en raekke
spoergsmaal.

FreeBSD's ports tree er 6-7 gange stoerre end OpenBSD's ditto. Det betyder
ikke noedvendigvis, at du ikke kan finde hvad du har brug for paa OpenBSD.
Udvalget er blot ikke saa stort.

OpenBSD udvikles lidt paa ad hoc basis, og laver mere eller mere konstant
code review for at undgaa sikkerhedsfejl. FreeBSD har en langt mere
struktureret udviklingsform som inkludrer tilladelse foer en udvikler
committer kode, etc. hvilket fra et QA perspektiv er langt at foretraekke,
men OpenBSD slipper afsted med deres metode paa en eller anden maade.
FreeBSD har en -audit mailingliste men jeg ved ikke hvor aktiv den er.

FreeBSD bruger langt flere resourcer paa at udskrive security advisories.
De har en flok security officers som haandhaever at sikkerhedsfejl bliver
undersoegt og rettet. Naar Kris Kennaway er paa ferie sker der ikke ret
meget paa security officer fronten.

OpenBSD har blot Theo. Han soerger for at alvorlige fejl bliver rettet, og
han banker med glaede folk oven i hovedet naar nogen forsoeger at skabe et
navn for sigselv ved at blaese problemer i OpenBSD ud af proportion.

Naesten alt FreeBSD aktivitet foregaar paa en af deres mailinglister, hvor
OpenBSD's folk snakker mere i privat email og man foerst ser resultatet af
den interne diskussion naar man laeser source-changes.

Hvis du spoerger om hjaelp paa OpenBSD listerne uden at have forsoegt selv
bliver du sablet ned. Adskellige gange. Udviklerne har lagt meget arbejde i
at skrive nogle fabelagtige man sider, og bliver forstaaligt nok sure naar
folk pisser paa deres arbejde ved ikke at laese og forstaa dem. Jeg ved ikke
hvordan tingene sker paa FreeBSD listerne.

Jeg har haft et par flamewars med Theo i privat email. Han er knap saa
arrogant et svin som jeg er. Jeg har aldrig haft flamewars med nogen af
FreeBSD udviklerne.

Jeg foretraekker personligt OpenBSD, og bruger det paa mine workstations og
paa maskinerne i vores sikkerhedsinfrastruktur. Vi bruger FreeBSD paa vores
produktionsmaskiner.

http://www.openbsd.org/29.html (3.0 bliver released i december)

http://www.freebsd.org/releases/4.4R/ (lige released)
#v-

Fra et opsaetningssynpunkt kan de goeres meget ens. Det kommer saa an paa om
du har behov for FreeBSD's SMP support, OpenBSD's crypto accelerator kort
eller andet.

Jeg ved heller ikke hvad PET bruger. Jeg vil gaette paa Solaris eller HPUX i
en capability udgave.

http://www.whitefang.com/sup/archive/msg00018.html

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

Jeg har læst Carolyn's to bøger og jeg synes ikke hun er noget specielt, men
ligefrem sindssyg?
Du giver en meget god beskrivelse af begge OS'er, men følte egentlig du var
mest til FreeBSD, lige indtil sidst hvor du siger at du personligt
foretrækker OpenBSD.
Hvorfor?

ps: Jeg har også kort snakket med Kris Kennaway.........flink fyr!!*S*


Alex Holst <a@area51.dk> skrev i en
nyhedsmeddelelse:slrn9sh00c.2cnq.a@C-Tower.Area51.DK...
> Daniel Blankenstiener <dslb@linuxmail.org> wrote:
> > Vil bare lige høre folks mening om hvilket af disse to OS'er, der er det
> > mest sikre. Jeg har selv været ved at undersøge sagen, men synes jeg
kørte i
> > ring. Carolyn Meinel og "Battery" taler for OpenBSD,
>
> Carolyn Meinel er en syg kvinde. Jo hurtigere du holder op med at lytte
til
> noget som helst hun siger, jo bedre.
>
> http://www.attrition.org/shame/
> http://www.attrition.org/slander/content.html
> http://www.attrition.org/library/rev/0929408217.rev
>
> Mht. OpenBSD versus FreeBSD saa er det en fin balance.
>
> Der var en traad ("Bedste dist. til firewall på 486'er?") i unix gruppen
> hvor jeg skrev foelgende indlaeg. Find evt. hele traaden og laes den.
>
> #v+
> Flemming Mertz <flemse@e-box.dk> wrote:
> > Cool, det virker som om jeg ikke får nogle problemer så. En lille anden
> > ting. Hvad er de væsentligste forskelle på OpenBSD og FreeBSD? Uden at
> > nævne
> > at det ene er frit og det andet åbent!! : )
>
> Det er svaert at formulere, men jeg skal proeve.
>
> Basalt ligger forskellen i, at OpenBSD goer som de har lyst og hellere end
> gerne beder dig rende og hoppe hvis du brokker dig over den maade de goer
> tingene paa.
>
> FreeBSD har langt flere interessser i at moede brugerenes krav, og deres
> maal virker til at vaere sat efter at goere brugerne tilfredse.
>
> Der findes ikke officelle ISO images af OpenBSD til download. Hent istedet
> de 100MB install filer via ftp, http, rsync, whatever. FreeBSD ligger ISO
> images til download og kan installeres via ftp (og andet?)
>
> OpenBSD har omkring 50 udviklere. Jeg tror FreeBSD har adskellige 100'ede
> efterhaanden. Maaske Poul-Henning eller Jesper har bedre styr paa tallene
> end jeg har?
>
> OpenBSD kan installeres paa omkring 10 forskellige platforme, hvor FreeBSD
> koncenterer sig om i386 og alpha. FreeBSD har SMP support, OpenBSD har
ikke.
>
> FreeBSD arbejder paa en masse fraekke features i 5.0, blandet andet en
langt
> staerkere sikkerhedsmodel end den traditionelle UNIX model og mere
> advanceret SMP support. OpenBSD faar nok ikke SMP det naeste aar, og jeg
kan
> ikke se hvordan de skulle faa tiden til at implementere en anden
> sikkerhedsmodel heller.
>
> FreeBSD's base install er noget stoerre end OpenBSD's men de kan begge
> bringes ned til naesten ingenting efter installationen. FreeBSD's install
er
> menu drevet - den driver mig til vanvid :) OpenBSD's install er en raekke
> spoergsmaal.
>
> FreeBSD's ports tree er 6-7 gange stoerre end OpenBSD's ditto. Det betyder
> ikke noedvendigvis, at du ikke kan finde hvad du har brug for paa OpenBSD.
> Udvalget er blot ikke saa stort.
>
> OpenBSD udvikles lidt paa ad hoc basis, og laver mere eller mere konstant
> code review for at undgaa sikkerhedsfejl. FreeBSD har en langt mere
> struktureret udviklingsform som inkludrer tilladelse foer en udvikler
> committer kode, etc. hvilket fra et QA perspektiv er langt at foretraekke,
> men OpenBSD slipper afsted med deres metode paa en eller anden maade.
> FreeBSD har en -audit mailingliste men jeg ved ikke hvor aktiv den er.
>
> FreeBSD bruger langt flere resourcer paa at udskrive security advisories.
> De har en flok security officers som haandhaever at sikkerhedsfejl bliver
> undersoegt og rettet. Naar Kris Kennaway er paa ferie sker der ikke ret
> meget paa security officer fronten.
>
> OpenBSD har blot Theo. Han soerger for at alvorlige fejl bliver rettet, og
> han banker med glaede folk oven i hovedet naar nogen forsoeger at skabe et
> navn for sigselv ved at blaese problemer i OpenBSD ud af proportion.
>
> Naesten alt FreeBSD aktivitet foregaar paa en af deres mailinglister, hvor
> OpenBSD's folk snakker mere i privat email og man foerst ser resultatet af
> den interne diskussion naar man laeser source-changes.
>
> Hvis du spoerger om hjaelp paa OpenBSD listerne uden at have forsoegt selv
> bliver du sablet ned. Adskellige gange. Udviklerne har lagt meget arbejde
i
> at skrive nogle fabelagtige man sider, og bliver forstaaligt nok sure naar
> folk pisser paa deres arbejde ved ikke at laese og forstaa dem. Jeg ved
ikke
> hvordan tingene sker paa FreeBSD listerne.
>
> Jeg har haft et par flamewars med Theo i privat email. Han er knap saa
> arrogant et svin som jeg er. Jeg har aldrig haft flamewars med nogen af
> FreeBSD udviklerne.
>
> Jeg foretraekker personligt OpenBSD, og bruger det paa mine workstations
og
> paa maskinerne i vores sikkerhedsinfrastruktur. Vi bruger FreeBSD paa
vores
> produktionsmaskiner.
>
> http://www.openbsd.org/29.html (3.0 bliver released i december)
>
> http://www.freebsd.org/releases/4.4R/ (lige released)
> #v-
>
> Fra et opsaetningssynpunkt kan de goeres meget ens. Det kommer saa an paa
om
> du har behov for FreeBSD's SMP support, OpenBSD's crypto accelerator kort
> eller andet.
>
> Jeg ved heller ikke hvad PET bruger. Jeg vil gaette paa Solaris eller HPUX
i
> en capability udgave.
>
> http://www.whitefang.com/sup/archive/msg00018.html
>
> --
> I prefer the dark of the night, after midnight and before four-thirty,
> when it's more bare, more hollow. http://a.area51.dk/
>

---

Daniel Blankenstiener <dslb@linuxmail.org> wrote:
> Du giver en meget god beskrivelse af begge OS'er, men følte egentlig du var
> mest til FreeBSD, lige indtil sidst hvor du siger at du personligt
> foretrækker OpenBSD.
> Hvorfor?

Det er forklaret i traaden jeg citerede fra :) Find den og laes.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

Kald mig dum og slå mig tre gange i hovedet, men jeg kunne altså ikke finde
den tråd*G* Jeg er ny herinde, men har da virkelig forsøgt at finde den!!!
Hvad siger du forresten til Michael's udtalelser om at FreeBSD er bedre end
OpenBSD på næsten alle punkter end sikkerhed? Og at de sikkerhedsmæssigt
ikke ligger så langt fra hinanden? (Håber lidt på at sætte en diskution
igang mellem jer to unix eksperter).


Alex Holst <a@area51.dk> skrev i en
nyhedsmeddelelse:slrn9shcov.305q.a@C-Tower.Area51.DK...
> Daniel Blankenstiener <dslb@linuxmail.org> wrote:
> > Du giver en meget god beskrivelse af begge OS'er, men følte egentlig du
var
> > mest til FreeBSD, lige indtil sidst hvor du siger at du personligt
> > foretrækker OpenBSD.
> > Hvorfor?
>
> Det er forklaret i traaden jeg citerede fra :) Find den og laes.
>
> --
> I prefer the dark of the night, after midnight and before four-thirty,
> when it's more bare, more hollow. http://a.area51.dk/
>

---

Daniel Blankenstiener <dslb@linuxmail.org> wrote:
> Hvad siger du forresten til Michael's udtalelser om at FreeBSD er bedre end
> OpenBSD på næsten alle punkter end sikkerhed? Og at de sikkerhedsmæssigt
> ikke ligger så langt fra hinanden? (Håber lidt på at sætte en diskution
> igang mellem jer to unix eksperter).

"bedre" er et upraecist begreb. Jeg kender ikke Michael, men hvis han ved
hvad han taler om vil vi nok anbefale nogenlunde samme loesning paa et
givent problem. Men det kraever at opgaven er praecist defineret og det har
du endnu ikke gjort saa derfor giver det ikke mening at tale om "den bedste
loesning."

Hvis sikker drift er et virkeligt krav er default installationen af et
givent OS ikke vigtig, da du forhaabenligt tvinger systemet ind under din
sikkerhedspolitik inden det bliver koblet paa jeres netvaerk. Derfor bliver
det et spoergsmaal om krav, viden om et givent system og kvalitet af kode.

Jeg mener ikke FreeBSD har support for crypto acceleratorkort, saa hvis din
loesning inkluderer et saadant er OpenBSD et passende valg. Hvis du har 300
SMP maskiner som du vil udnytte fuldt ud er FreeBSD et passende valg. Jeg
vil anbefale du begynder at bruge begge systemer og selv finder ud af hvad
der passer bedst til dit behov.

Sikkerhed handler ikke om FreeBSD vs. OpenBSD. Det handler om at faa
teknologien til at opfoere sig som forventet under alle omstaendigheder.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

Jeg tror du har ret Alex, jeg skal nok læse og prøve begge OS'er. Men når
jeg først kender et af dem, er der vel ikke langt over til det andet......
Mht til mit behov, så ved jeg godt det ikke var særlig præcist, men det er
nok fordi:

1. Jeg skal bruge et OS til hacker wargames, altså det sikreste system jeg
kan få fat i. Jeg har læst en del om Unix-sikkerhed og kan nogenlunde sætte
en "sikker" server op. Jeg har hørt at OpenBSD og FreeBSD skulle være de
bedste. Så her er det muligheder + sikkerhed, to ting der modarbejder
hinanden, men OpenBSD har jo de mest anvendte tjenester som FTP,SMTP og
HTTP. Forestil dig du har nogle data på en server, du for alt i verden ikke
vil have andre skulle få fingre i, hvilket OS har du på denne server (af
Free og Open.....+ evt en tredje mulighed).
Dette er den personlige del, som også gerne skulle hænge sammen med den
næste del.

2. Når jeg engang er færdig med at uddanne mig, vil jeg gerne have noget med
sikkerhed at gøre, helst ved PET, Millitæret eller et ISP. Derfor ville jeg
gerne vil hvilket system de bruger, altså til de servere med følsomme data.

Håber dette var mere præcist........*S*


Alex Holst <a@area51.dk> skrev i en
nyhedsmeddelelse:slrn9sjvdk.eis.a@C-Tower.Area51.DK...
> Daniel Blankenstiener <dslb@linuxmail.org> wrote:
> > Hvad siger du forresten til Michael's udtalelser om at FreeBSD er bedre
end
> > OpenBSD på næsten alle punkter end sikkerhed? Og at de sikkerhedsmæssigt
> > ikke ligger så langt fra hinanden? (Håber lidt på at sætte en diskution
> > igang mellem jer to unix eksperter).
>
> "bedre" er et upraecist begreb. Jeg kender ikke Michael, men hvis han ved
> hvad han taler om vil vi nok anbefale nogenlunde samme loesning paa et
> givent problem. Men det kraever at opgaven er praecist defineret og det
har
> du endnu ikke gjort saa derfor giver det ikke mening at tale om "den
bedste
> loesning."
>
> Hvis sikker drift er et virkeligt krav er default installationen af et
> givent OS ikke vigtig, da du forhaabenligt tvinger systemet ind under din
> sikkerhedspolitik inden det bliver koblet paa jeres netvaerk. Derfor
bliver
> det et spoergsmaal om krav, viden om et givent system og kvalitet af kode.
>
> Jeg mener ikke FreeBSD har support for crypto acceleratorkort, saa hvis
din
> loesning inkluderer et saadant er OpenBSD et passende valg. Hvis du har
300
> SMP maskiner som du vil udnytte fuldt ud er FreeBSD et passende valg. Jeg
> vil anbefale du begynder at bruge begge systemer og selv finder ud af hvad
> der passer bedst til dit behov.
>
> Sikkerhed handler ikke om FreeBSD vs. OpenBSD. Det handler om at faa
> teknologien til at opfoere sig som forventet under alle omstaendigheder.
>
> --
> I prefer the dark of the night, after midnight and before four-thirty,
> when it's more bare, more hollow. http://a.area51.dk/
>

---

In article <3bca19fc$0$51403$edfadb0f@dspool01.news.tele.dk>,
"Daniel Blankenstiener" <dslb@linuxmail.org> wrote:

> 1. Jeg skal bruge et OS til hacker wargames, altså det sikreste system jeg
> kan få fat i.

Du kunne jo "snyde" og sætte en server op med Mac OS - du får aldrig
root-access på den.

--
MVH Martin Edlich
Henvendelser til min e-mail adresse vil blive besvaret kort, men uhøfligt
(medmindre jeg selv er ude om det, og det er Off Topic).
http://www.edlich.dk

---

Ja....det er der jo ikke så mange der kan hacke, men det skal jo også være
et OS jeg gider og der er "fremtid" i!*S*


Martin Edlich <newsspam3@mail.edlich.dk> skrev i en
nyhedsmeddelelse:newsspam3-F4056B.03083715102001@test.edlich.dk...
> In article <3bca19fc$0$51403$edfadb0f@dspool01.news.tele.dk>,
> "Daniel Blankenstiener" <dslb@linuxmail.org> wrote:
>
> > 1. Jeg skal bruge et OS til hacker wargames, altså det sikreste system
jeg
> > kan få fat i.
>
> Du kunne jo "snyde" og sætte en server op med Mac OS - du får aldrig
> root-access på den.
>
> --
> MVH Martin Edlich
> Henvendelser til min e-mail adresse vil blive besvaret kort, men uhøfligt
> (medmindre jeg selv er ude om det, og det er Off Topic).
> http://www.edlich.dk

---

"Martin Edlich" skrev

> Du kunne jo "snyde" og sætte en server op med Mac OS - du får aldrig
> root-access på den.

Sjovt, jeg har lige set en email på bugtraq mailinglisten som be-
skriver hvordan man skal gøre. Emailen var videresendt fra en Mac
sikkerhedsmailingsliste:

<URL: http://www.macsecurity.org/pipermail/macsec/2001-October/000276.html >

Øhh, jeg skal nok lige nævne at det er på OS X at fejlen er fundet, men
en hurtig tur med google så ud til at vise at der også er problemer med
andre versioner af Mac OS (andre fejl, naturligvis).

Apple arbejder på en løsning, som åbenbart bliver frigivet med 10.1.

---

Daniel Blankenstiener wrote:
> 2. Når jeg engang er færdig med at uddanne mig, vil jeg gerne have noget med
> sikkerhed at gøre, helst ved PET, Millitæret eller et ISP. Derfor ville jeg
> gerne vil hvilket system de bruger, altså til de servere med følsomme data.

Jeg tror ikke at efterretningstjenester og militæret har systemer
direkte på nettet, hvor man kan tilgå dem. Mon ikke nærmere du skulle se
efter firmaer der håndtere betalinger og handel på nettet, der er vel
der man er i en højrisko situation, da man ønsker et kompromis mellem
tilgænglighed og sikkerhed. Hvad tror du er værst: At PET's hjemmeside
hvor de præsenterer sig, men iøvrigt ikke opbevarer informationer der er
fortrolige bliver lagt ned, eller at et børsmægler firma mister deres
indtægts kilde i 32 timer????

Og som kloge hoveder her i gruppen altid påpeger, så er sikkerhed ikke
noget man installerer fra en cd, men en process. Jeg tvivler på, at der
er forskel på hvad du installerer, hvis du ikke er inde i det du gør. De
services du ønsker er jo (stort set) leveret af de samme
produkter/programmer på de fleste platforme. På en platform du er
fortrolig med er chancen for at du ved hvad der kan gå galt nok højere,
end på en platform, du har *hørt* er sikker, men iøvrigt ikke kdender
noget til.

my 2 cents
lars
--
Lars Henriksen
M.Sc. Student, Computer Systems Engineering
SDU, Odense.
--

---

Du har ret, men sætter vi en FreeBSD- og OpenBSD-server ens op, så er det
vel den med de generelt færrest exploits der har den bedste sikkerhed. Samt
hvilken der har det bedste IDS og firewall.

Lars Henriksen <lars@_nospam_lh-online.dk> skrev i en
nyhedsmeddelelse:3BCADE31.D670590D@_nospam_lh-online.dk...
> Daniel Blankenstiener wrote:
> > 2. Når jeg engang er færdig med at uddanne mig, vil jeg gerne have noget
med
> > sikkerhed at gøre, helst ved PET, Millitæret eller et ISP. Derfor ville
jeg
> > gerne vil hvilket system de bruger, altså til de servere med følsomme
data.
>
> Jeg tror ikke at efterretningstjenester og militæret har systemer
> direkte på nettet, hvor man kan tilgå dem. Mon ikke nærmere du skulle se
> efter firmaer der håndtere betalinger og handel på nettet, der er vel
> der man er i en højrisko situation, da man ønsker et kompromis mellem
> tilgænglighed og sikkerhed. Hvad tror du er værst: At PET's hjemmeside
> hvor de præsenterer sig, men iøvrigt ikke opbevarer informationer der er
> fortrolige bliver lagt ned, eller at et børsmægler firma mister deres
> indtægts kilde i 32 timer????
>
> Og som kloge hoveder her i gruppen altid påpeger, så er sikkerhed ikke
> noget man installerer fra en cd, men en process. Jeg tvivler på, at der
> er forskel på hvad du installerer, hvis du ikke er inde i det du gør. De
> services du ønsker er jo (stort set) leveret af de samme
> produkter/programmer på de fleste platforme. På en platform du er
> fortrolig med er chancen for at du ved hvad der kan gå galt nok højere,
> end på en platform, du har *hørt* er sikker, men iøvrigt ikke kdender
> noget til.
>
> my 2 cents
> lars
> --
> Lars Henriksen
> M.Sc. Student, Computer Systems Engineering
> SDU, Odense.
> --

---

"Daniel Blankenstiener" <dslb@linuxmail.org> writes:

>Du har ret, men sætter vi en FreeBSD- og OpenBSD-server ens op, så er det
>vel den med de generelt færrest exploits der har den bedste sikkerhed. Samt
>hvilken der har det bedste IDS og firewall.

Ja og nej... hvis du installerer en version af wu-ftpd med exploits,
er skaden i alt væsentligt lige stor på begge operativsystemer.

Forskelle kan ligge i kernens sikkerhedsniveauer og den slags, men
kan man få en shell på maskinen, er skaden jo sket. At der måske er
ting, man ikke kan, er i den sammenhæng ret underordnet.

Det falder altså (næsten) udelukkende tilbage på administratoren og
det papirmæssige forarbejde, der er gjort.

En ordentlig sikkerhed har meget, meget lidt med operativsystemer og
programmer at gøre. Det har en hel masse med sikkerhedspolitikker,
daglige procedurer, beredskabsplaner og risikovurderinger at gøre.

Mvh.
   Klaus.

---

Kører OpenBSD og FreeBSD med de samme tjenster som ftp, smtp o.s.v?
Jeg troede de udviklet dem selv.......


Klaus Ellegaard <klaus@ellegaard.dk> skrev i en
nyhedsmeddelelse:9qenqg$29dh$1@katie.ellegaard.dk...
> "Daniel Blankenstiener" <dslb@linuxmail.org> writes:
>
> >Du har ret, men sætter vi en FreeBSD- og OpenBSD-server ens op, så er det
> >vel den med de generelt færrest exploits der har den bedste sikkerhed.
Samt
> >hvilken der har det bedste IDS og firewall.
>
> Ja og nej... hvis du installerer en version af wu-ftpd med exploits,
> er skaden i alt væsentligt lige stor på begge operativsystemer.
>
> Forskelle kan ligge i kernens sikkerhedsniveauer og den slags, men
> kan man få en shell på maskinen, er skaden jo sket. At der måske er
> ting, man ikke kan, er i den sammenhæng ret underordnet.
>
> Det falder altså (næsten) udelukkende tilbage på administratoren og
> det papirmæssige forarbejde, der er gjort.
>
> En ordentlig sikkerhed har meget, meget lidt med operativsystemer og
> programmer at gøre. Det har en hel masse med sikkerhedspolitikker,
> daglige procedurer, beredskabsplaner og risikovurderinger at gøre.
>
> Mvh.
> Klaus.

---

"Daniel Blankenstiener" <dslb@linuxmail.org> writes:

>Kører OpenBSD og FreeBSD med de samme tjenster som ftp, smtp o.s.v?
>Jeg troede de udviklet dem selv.......

Ikke at jeg har ret megen praktisk erfaring med OpenBSD. Men dem,
jeg har set, har kørt nøjagtigt de samme applikationer, som Linux
og FreeBSD har kørt: apache, sendmail, INN, you name it.

Dog kommer *BSD med deres egne ftp-servere og en del andet snask
til inetd. Om det er de samme på tværs af FreeBSD og OpenBSD, ved
jeg ærligt talt ikke.

Skal du udbyde tjenester såsom web og mail fra dem, vil det dog
typisk være apache og sendmail/qmail/postfix, der skal bruges.

Her vil et exploit, der rammer applikationerne, sædvanligvis være
lige skadeligt på Linux, FreeBSD, OpenBSD, Solaris og hvad man
ellers kan finde på at køre. At køre ét operativsystem frem for et
andet, vil stort set aldrig gøre nogen forskel.

Det skulle da lige være i at begrænse skaden en lille smule. Hvor
det under Linux er nærmest umuligt at forhindre folk i at køre en
newfs, er det relativt simpelt under BSD. Men det ændrer ikke på,
at din maskine er blevet kompromitteret, og at dine data er blevet
stjålet.

Mvh.
   Klaus.

---

Klaus Ellegaard <klaus@ellegaard.dk> wrote:
> Her vil et exploit, der rammer applikationerne, sædvanligvis være
> lige skadeligt på Linux, FreeBSD, OpenBSD, Solaris og hvad man
> ellers kan finde på at køre. At køre ét operativsystem frem for et
> andet, vil stort set aldrig gøre nogen forskel.

For at undgaa misforstaaelser vil jeg lige klargoere at det kommer an paa
hvordan fejlen manipulerer sig.

Hvis der skal shellkode til, kan man ikke overtage en Solaris box med et
exploit der er skrevet til Dead Rat^W^WRed Hat Linux. Jeg tillader mig at
gaa ud fra, at vedkommende ikke har everne til at skrive deres eget.

Hvis det er en fejl i et CGI script der tillader udfoersel af hvilken som
helst kommando ved brug af en web browser vil OS ikke goere nogen stor
forskel. Man kan smide en xterm eller telnet tilbage til sig selv.

Blandet andet.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

Alex Holst <a@area51.dk> wrote:
> Klaus Ellegaard <klaus@ellegaard.dk> wrote:
>> Her vil et exploit, der rammer applikationerne, sædvanligvis være
>> lige skadeligt på Linux, FreeBSD, OpenBSD, Solaris og hvad man
>> ellers kan finde på at køre. At køre ét operativsystem frem for et
>> andet, vil stort set aldrig gøre nogen forskel.
>
> For at undgaa misforstaaelser vil jeg lige klargoere at det kommer an paa
> hvordan fejlen manipulerer sig.

Ha, jeg er traet. s/manipulerer/manifestere/

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

Klaus Ellegaard <klaus@ellegaard.dk> wrote:

>Dog kommer *BSD med deres egne ftp-servere

Men de er tilsyneladende også porteret, så selv her behøver der ikke
være så stor forskel mellem *BSD og andre:

progeny# dpkg -l | grep ftp
ii bsd-ftpd 0.3.2-7 Port of the OpenBSD FTP server

(Fra en maskine med Progeny Debian Linux.)


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

---

Kører OpenBSD og FreeBSD med de samme tjenester, som fx ftp, smtp??
Jeg troede de udviklet dem selv........


Klaus Ellegaard <klaus@ellegaard.dk> skrev i en
nyhedsmeddelelse:9qenqg$29dh$1@katie.ellegaard.dk...
> "Daniel Blankenstiener" <dslb@linuxmail.org> writes:
>
> >Du har ret, men sætter vi en FreeBSD- og OpenBSD-server ens op, så er det
> >vel den med de generelt færrest exploits der har den bedste sikkerhed.
Samt
> >hvilken der har det bedste IDS og firewall.
>
> Ja og nej... hvis du installerer en version af wu-ftpd med exploits,
> er skaden i alt væsentligt lige stor på begge operativsystemer.
>
> Forskelle kan ligge i kernens sikkerhedsniveauer og den slags, men
> kan man få en shell på maskinen, er skaden jo sket. At der måske er
> ting, man ikke kan, er i den sammenhæng ret underordnet.
>
> Det falder altså (næsten) udelukkende tilbage på administratoren og
> det papirmæssige forarbejde, der er gjort.
>
> En ordentlig sikkerhed har meget, meget lidt med operativsystemer og
> programmer at gøre. Det har en hel masse med sikkerhedspolitikker,
> daglige procedurer, beredskabsplaner og risikovurderinger at gøre.
>
> Mvh.
> Klaus.

---

Kører OpenBSD og FreeBSD med de samme tjenester, som fx ftp, smtp??
Jeg troede de udviklet dem selv........


Klaus Ellegaard <klaus@ellegaard.dk> skrev i en
nyhedsmeddelelse:9qenqg$29dh$1@katie.ellegaard.dk...
> "Daniel Blankenstiener" <dslb@linuxmail.org> writes:
>
> >Du har ret, men sætter vi en FreeBSD- og OpenBSD-server ens op, så er det
> >vel den med de generelt færrest exploits der har den bedste sikkerhed.
Samt
> >hvilken der har det bedste IDS og firewall.
>
> Ja og nej... hvis du installerer en version af wu-ftpd med exploits,
> er skaden i alt væsentligt lige stor på begge operativsystemer.
>
> Forskelle kan ligge i kernens sikkerhedsniveauer og den slags, men
> kan man få en shell på maskinen, er skaden jo sket. At der måske er
> ting, man ikke kan, er i den sammenhæng ret underordnet.
>
> Det falder altså (næsten) udelukkende tilbage på administratoren og
> det papirmæssige forarbejde, der er gjort.
>
> En ordentlig sikkerhed har meget, meget lidt med operativsystemer og
> programmer at gøre. Det har en hel masse med sikkerhedspolitikker,
> daglige procedurer, beredskabsplaner og risikovurderinger at gøre.
>
> Mvh.
> Klaus.

---

Daniel Blankenstiener <dslb@linuxmail.org> wrote:
> Jeg tror du har ret Alex, jeg skal nok læse og prøve begge OS'er. Men når
> jeg først kender et af dem, er der vel ikke langt over til det andet......
> Mht til mit behov, så ved jeg godt det ikke var særlig præcist, men det er
> nok fordi:
>
> 1. Jeg skal bruge et OS til hacker wargames, altså det sikreste system jeg
> kan få fat i.

Jeg gaar ud fra du mener "capture the flag" -- de gode grupper moeder
somregel op med local root exploits til de fleste OS. F.eks. havde ADM og
w00w00 et par root exploits med til OpenBSD ved sidste aars Defcon. Bemaerk
at dette er sikkerhedshuller som disse grupper har fundet ved egen research
og som de ikke har released foer til Defcon.

Medmindre du selv har evnerne til kigge kode igennem kan du ikke beskytte
dig mod ukendte fejl. Hvis du ikke har evnerne til at lege med din kernel
kode saa folk faar en udfording er der ingen grund til at stille op til CTF.

> Jeg har hørt at OpenBSD og FreeBSD skulle være de bedste. Så her er det
> muligheder + sikkerhed, to ting der modarbejder hinanden, men OpenBSD har
> jo de mest anvendte tjenester som FTP,SMTP og HTTP. Forestil dig du har
> nogle data på en server, du for alt i verden ikke vil have andre skulle få
> fingre i, hvilket OS har du på denne server (af Free og Open.....+ evt en
> tredje mulighed).

OpenBSD har deres egen ftpd og FreeBSD har ogsaa deres egen. Der er faktisk
fundet faerre antal fejl i FreeBSD's ftpd end i OpenBSD's ditto. Jeg kan
ikke komme i tanke om en situation hvor det er noedvendigt at bruge ftp saa
det bekymrer mig ikke. Begge bruger sendmail som standard MTA. Den smider
jeg personligt ud med det samme da den er broken by design. Apache er med i
OpenBSD's base install, og kan installeres som pakke under FreeBSD.

Hvis jeg havde en maskine med meget vigtige data paa ville jeg ikke koble
den paa nettet.

(Det er hvad du faar for at stille upraecise spoergsmaal :) )

Hvis jeg havde en maskine med vigtige data som _skulle_ kobles paa nettet
ville jeg saette den paa et privat net bag en VPN koncentrator og kraeve to
faktor[1] authentication for at faa VPN adgang, og to faktor authentication
for at faa adgang til f.eks. et web brugerflade. Jeg ville soerge for at
alle komponenter der sad paa en sikkerhedsgraense blev reviewed. Jeg ville
soerge for at logging altid fungerede og at der blev koert (naesten)
real-time analyse paa logfilerne. Blandt andet.

Jeg ville nok bruge OpenBSD fordi det er mit foretrukne OS. Jeg kender koden
ret godt, og jeg laeser source-changes@openbsd.org. FreeBSD kunne utvivlsomt
bruges med tilsvarende tilfredshed hvis man kendte det godt.

> 2. Når jeg engang er færdig med at uddanne mig, vil jeg gerne have noget med
> sikkerhed at gøre, helst ved PET, Millitæret eller et ISP. Derfor ville jeg
> gerne vil hvilket system de bruger, altså til de servere med følsomme data.

Der er ikke eet system som alle koerer. Nogle af vores foelsomme data ligger
paa Solaris maskiner. Det er ikke fordi vi stoler fantastisk meget paa
Solaris men fordi Solaris (med tilhoerende hardware) er velegnet til at
koere store databaser. Vi har brugt tid paa at forstaa alle ubehageligheder
i denne loesning og derefter tage diverse skridt som beskrevet i vores
sikkerhedspolitik saa jeg kan sove om natten.

Men det var ikke meget mere praecist end tidligere indlaeg. Hvilken opgave
skal du loese? Skal du give 30 regeringsfolk adgang til deres interne net,
eller skal du redesigne Amazon helt fra bunden af? Et _helt_ praecist svar
vil typisk resultere i en 200 siders kravspecifikation. Jeg tror ikke du har
lyst til at skrive 200 sider for sjov, og jeg har bestemt ikke lyst til at
laese dem for sjov :)

Selv det at "have noget med sikkerhed at goere" er ganske bredt. Den eneste
gennemgaaende faktor i mit job er at indfoere eller haandhaeve kvalitet, og
det er i alt lige fra procedurer og mennesker til C kode. Hvad vil du
arbejde med? Vil du udforme og revidere sikkerhedspolitik, vil du finde
sikkerhedsfejl i produkter, etc. Hvis du f.eks. ynder at programmere kan du
let dreje det over i noget sikkerhedsrelateret. Hvis du ynder at skrive en
masse dokumentation kan det ogsaa let drejes.

For det meste skal man goere det man er bedst til. Nogle gange skal man
goere det andre er vaerst til.


[1] "noget man har" og "noget man ved"
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

Ok....så klog jeg bliver*GG*
Jeg tror jeg har fået svar på alle mine spørgsmål og du skal have tak for
hjælpen. Sådan som jeg har forstået det så kan FreeBSD og OpenBSD blive lige
sikkert, du skal bare vide hvad du gør.........

Alex Holst <a@area51.dk> skrev i en
nyhedsmeddelelse:slrn9sm3fh.ara.a@C-Tower.Area51.DK...
> Daniel Blankenstiener <dslb@linuxmail.org> wrote:
> > Jeg tror du har ret Alex, jeg skal nok læse og prøve begge OS'er. Men
når
> > jeg først kender et af dem, er der vel ikke langt over til det
andet......
> > Mht til mit behov, så ved jeg godt det ikke var særlig præcist, men det
er
> > nok fordi:
> >
> > 1. Jeg skal bruge et OS til hacker wargames, altså det sikreste system
jeg
> > kan få fat i.
>
> Jeg gaar ud fra du mener "capture the flag" -- de gode grupper moeder
> somregel op med local root exploits til de fleste OS. F.eks. havde ADM og
> w00w00 et par root exploits med til OpenBSD ved sidste aars Defcon.
Bemaerk
> at dette er sikkerhedshuller som disse grupper har fundet ved egen
research
> og som de ikke har released foer til Defcon.
>
> Medmindre du selv har evnerne til kigge kode igennem kan du ikke beskytte
> dig mod ukendte fejl. Hvis du ikke har evnerne til at lege med din kernel
> kode saa folk faar en udfording er der ingen grund til at stille op til
CTF.
>
> > Jeg har hørt at OpenBSD og FreeBSD skulle være de bedste. Så her er det
> > muligheder + sikkerhed, to ting der modarbejder hinanden, men OpenBSD
har
> > jo de mest anvendte tjenester som FTP,SMTP og HTTP. Forestil dig du har
> > nogle data på en server, du for alt i verden ikke vil have andre skulle
få
> > fingre i, hvilket OS har du på denne server (af Free og Open.....+ evt
en
> > tredje mulighed).
>
> OpenBSD har deres egen ftpd og FreeBSD har ogsaa deres egen. Der er
faktisk
> fundet faerre antal fejl i FreeBSD's ftpd end i OpenBSD's ditto. Jeg kan
> ikke komme i tanke om en situation hvor det er noedvendigt at bruge ftp
saa
> det bekymrer mig ikke. Begge bruger sendmail som standard MTA. Den smider
> jeg personligt ud med det samme da den er broken by design. Apache er med
i
> OpenBSD's base install, og kan installeres som pakke under FreeBSD.
>
> Hvis jeg havde en maskine med meget vigtige data paa ville jeg ikke koble
> den paa nettet.
>
> (Det er hvad du faar for at stille upraecise spoergsmaal :) )
>
> Hvis jeg havde en maskine med vigtige data som _skulle_ kobles paa nettet
> ville jeg saette den paa et privat net bag en VPN koncentrator og kraeve
to
> faktor[1] authentication for at faa VPN adgang, og to faktor
authentication
> for at faa adgang til f.eks. et web brugerflade. Jeg ville soerge for at
> alle komponenter der sad paa en sikkerhedsgraense blev reviewed. Jeg ville
> soerge for at logging altid fungerede og at der blev koert (naesten)
> real-time analyse paa logfilerne. Blandt andet.
>
> Jeg ville nok bruge OpenBSD fordi det er mit foretrukne OS. Jeg kender
koden
> ret godt, og jeg laeser source-changes@openbsd.org. FreeBSD kunne
utvivlsomt
> bruges med tilsvarende tilfredshed hvis man kendte det godt.
>
> > 2. Når jeg engang er færdig med at uddanne mig, vil jeg gerne have noget
med
> > sikkerhed at gøre, helst ved PET, Millitæret eller et ISP. Derfor ville
jeg
> > gerne vil hvilket system de bruger, altså til de servere med følsomme
data.
>
> Der er ikke eet system som alle koerer. Nogle af vores foelsomme data
ligger
> paa Solaris maskiner. Det er ikke fordi vi stoler fantastisk meget paa
> Solaris men fordi Solaris (med tilhoerende hardware) er velegnet til at
> koere store databaser. Vi har brugt tid paa at forstaa alle
ubehageligheder
> i denne loesning og derefter tage diverse skridt som beskrevet i vores
> sikkerhedspolitik saa jeg kan sove om natten.
>
> Men det var ikke meget mere praecist end tidligere indlaeg. Hvilken opgave
> skal du loese? Skal du give 30 regeringsfolk adgang til deres interne net,
> eller skal du redesigne Amazon helt fra bunden af? Et _helt_ praecist svar
> vil typisk resultere i en 200 siders kravspecifikation. Jeg tror ikke du
har
> lyst til at skrive 200 sider for sjov, og jeg har bestemt ikke lyst til at
> laese dem for sjov :)
>
> Selv det at "have noget med sikkerhed at goere" er ganske bredt. Den
eneste
> gennemgaaende faktor i mit job er at indfoere eller haandhaeve kvalitet,
og
> det er i alt lige fra procedurer og mennesker til C kode. Hvad vil du
> arbejde med? Vil du udforme og revidere sikkerhedspolitik, vil du finde
> sikkerhedsfejl i produkter, etc. Hvis du f.eks. ynder at programmere kan
du
> let dreje det over i noget sikkerhedsrelateret. Hvis du ynder at skrive en
> masse dokumentation kan det ogsaa let drejes.
>
> For det meste skal man goere det man er bedst til. Nogle gange skal man
> goere det andre er vaerst til.
>
>
> [1] "noget man har" og "noget man ved"
> --
> I prefer the dark of the night, after midnight and before four-thirty,
> when it's more bare, more hollow. http://a.area51.dk/
>

---

Alex Holst <a@area51.dk> writes:

> Daniel Blankenstiener <dslb@linuxmail.org> wrote:
> .....
> ikke komme i tanke om en situation hvor det er noedvendigt at bruge ftp saa
> det bekymrer mig ikke. Begge bruger sendmail som standard MTA. Den smider
> jeg personligt ud med det samme da den er broken by design. Apache er med i
> OpenBSD's base install, og kan installeres som pakke under FreeBSD.

Med fare for at starte en troll, "Sendmail broken by design"? Definer?
Sikkerhedsmæssigt - jeg skulle da tro at sendmails macro opbygning ville
appelere til en lowlevel koder

--
Mvh. Kim Petersen /| Tlf: +4575831551 |\ Jomfru Ingefreds Vej 18
Software Engineer / | Fax: (none atm.) | \ 7100 Vejle
LSS / | Email: kim@vindinggaard.dk | \ DK - Danmark

---

Kim Petersen <kim@vindinggaard.dk> wrote:
> Alex Holst <a@area51.dk> writes:
>
>> Daniel Blankenstiener <dslb@linuxmail.org> wrote:
>> .....
>> ikke komme i tanke om en situation hvor det er noedvendigt at bruge ftp saa
>> det bekymrer mig ikke. Begge bruger sendmail som standard MTA. Den smider
>> jeg personligt ud med det samme da den er broken by design. Apache er med i
>> OpenBSD's base install, og kan installeres som pakke under FreeBSD.
>
> Med fare for at starte en troll, "Sendmail broken by design"? Definer?

Eet stort program som laver alt -- med root rettigheder. Hvor meget mere i
stykker kan man blive?

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

Alex Holst <a@area51.dk> writes:

> Kim Petersen <kim@vindinggaard.dk> wrote:
> > Alex Holst <a@area51.dk> writes:
> >
> >> Daniel Blankenstiener <dslb@linuxmail.org> wrote:
> >> .....
> >> ikke komme i tanke om en situation hvor det er noedvendigt at bruge ftp saa
> >> det bekymrer mig ikke. Begge bruger sendmail som standard MTA. Den smider
> >> jeg personligt ud med det samme da den er broken by design. Apache er med i
> > Med fare for at starte en troll, "Sendmail broken by design"? Definer?
>
> Eet stort program som laver alt -- med root rettigheder. Hvor meget mere i
> stykker kan man blive?
Og så glemte jeg iøvrigt sikkerheden - sendmail er den sandsynligvis mest sikre
mailserver, idet koden er så gammel og så gennemchecket (af både programmører
og hackere) at "gamle" fejl, ikke er specielt sandsynligt mere... [ret mig her]

--
Mvh. Kim Petersen /| Tlf: +4575831551 |\ Jomfru Ingefreds Vej 18
Software Engineer / | Fax: (none atm.) | \ 7100 Vejle
LSS / | Email: kim@vindinggaard.dk | \ DK - Danmark

---

Alex Holst <a@area51.dk> writes:

> Kim Petersen <kim@vindinggaard.dk> wrote:
> > Alex Holst <a@area51.dk> writes:
> >
> >> Daniel Blankenstiener <dslb@linuxmail.org> wrote:
> >> .....
> >> ikke komme i tanke om en situation hvor det er noedvendigt at bruge ftp saa
> >> det bekymrer mig ikke. Begge bruger sendmail som standard MTA. Den smider
> >> jeg personligt ud med det samme da den er broken by design. Apache er med i
> >> OpenBSD's base install, og kan installeres som pakke under FreeBSD.
> >
> > Med fare for at starte en troll, "Sendmail broken by design"? Definer?
>
> Eet stort program som laver alt -- med root rettigheder. Hvor meget mere i
> stykker kan man blive?
(sorry for at have reply til denne her i første omgang Alex
(gnus kan stadigt være forvirrende efter mange års brug

Hmmm - jeg tror du har misforstået sendmail ....
1) den skal ikke køre som root...
- kun hvis setup er dårligt (eg. mailboxe ikke ejet af group mail)
- eller at du har specielle filtreringer som skal køre som bruger
- eller hvis dit OS er skørt og absolut ikke vil acceptere port 25
som ikke-root ejet.
2) den laver kun een ting - Switcher mail (i en 3 delt process)
i) modtager mail
ii) finder rette delivery metode
iii) sender det videre til delivery agenten (med headers etc. sat korrekt)

--
Mvh. Kim Petersen /| Tlf: +4575831551 |\ Jomfru Ingefreds Vej 18
Software Engineer / | Fax: (none atm.) | \ 7100 Vejle
LSS / | Email: kim@vindinggaard.dk | \ DK - Danmark

---

Kim Petersen <kim@vindinggaard.dk> wrote:
> Alex Holst <a@area51.dk> writes:
>> Kim Petersen <kim@vindinggaard.dk> wrote:
>> > Med fare for at starte en troll, "Sendmail broken by design"? Definer?
>>
>> Eet stort program som laver alt -- med root rettigheder. Hvor meget mere i
>> stykker kan man blive?
>
> Hmmm - jeg tror du har misforstået sendmail ....
> 1) den skal ikke køre som root...
> - kun hvis setup er dårligt (eg. mailboxe ikke ejet af group mail)
> - eller at du har specielle filtreringer som skal køre som bruger
> - eller hvis dit OS er skørt og absolut ikke vil acceptere port 25
> som ikke-root ejet.

Du siger at jeg har misforstaaet sendmail, og fortsaetter derefter med at
give 3 grunde til at den maaske kunne koere som root? Interessant brug af
taktik i en diskussion.

Fra SECURITY filen i 8.12:

#v+
sendmail needs to run as root for several purposes:

- bind to port 25
- call the local delivery agent (LDA) as root (or other user) if the LDA
isn't set-user-ID root (unless some other method of storing e-mail in
local mailboxes is used).
- read .forward files
- write e-mail submitted via the command line to the queue directory.
#v-

Jeg ser ikke noget galt med min forstaaelse af sendmail.

Sendmail skal koere som root hvis det paagaeldende OS ikke stoetter den
POSIX standard som beskriver low-numbered non-root ports. Implementering af
den paagaeldende standard (som jeg ikke kan huske hvad hedder) er ikke ret
udbredt.

Indtil version 8.12.x var den setuid root hvilket ikke laengere er
noedvendigt. Det hjaelper lidt.

> 2) den laver kun een ting - Switcher mail (i en 3 delt process)
> i) modtager mail
> ii) finder rette delivery metode
> iii) sender det videre til delivery agenten (med headers etc. sat korrekt)

Een ting = alt. Den burde bestaa af en haandfuld mindre programmer der hver
isaer loeser deres opgave. qmail er min yndlingsmodel paa det omraade.

Mht. antal gamle fejl er der baade i 8.11.x og 8.12.x blevet fundet fejl der
kunne risikere sikkerheden af et system. Sendmail er langt fra saa slem som
den har vaeret men i min verden er den stadigt ikke acceptabel.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

Alex Holst <a@area51.dk> writes:

> Kim Petersen <kim@vindinggaard.dk> wrote:
> > Alex Holst <a@area51.dk> writes:
> >> Kim Petersen <kim@vindinggaard.dk> wrote:
> > Hmmm - jeg tror du har misforstået sendmail ....
> > 1) den skal ikke køre som root...
> > - kun hvis setup er dårligt (eg. mailboxe ikke ejet af group mail)
> > - eller at du har specielle filtreringer som skal køre som bruger
> > - eller hvis dit OS er skørt og absolut ikke vil acceptere port 25
> > som ikke-root ejet.
>
> Du siger at jeg har misforstaaet sendmail, og fortsaetter derefter med at
> give 3 grunde til at den maaske kunne koere som root? Interessant brug af
> taktik i en diskussion.
>
> Fra SECURITY filen i 8.12:
>
> #v+
> sendmail needs to run as root for several purposes:
>
> - bind to port 25
> - call the local delivery agent (LDA) as root (or other user) if the LDA
> isn't set-user-ID root (unless some other method of storing e-mail in
> local mailboxes is used).
> - read .forward files
> - write e-mail submitted via the command line to the queue directory.
Hvilket faktisk er præcist de punkter jeg skrev.... Og noter lige dette
punkt 1 (port 25) er kun nødvendig i _opstart_ - derefter bør den setuid'e.
Men skægt nok så er disse faktisk også nødvendigt i Qmail....
> #v-
>
> Jeg ser ikke noget galt med min forstaaelse af sendmail.
>
> Sendmail skal koere som root hvis det paagaeldende OS ikke stoetter den
> POSIX standard som beskriver low-numbered non-root ports. Implementering af
> den paagaeldende standard (som jeg ikke kan huske hvad hedder) er ikke ret
> udbredt.
>
> Indtil version 8.12.x var den setuid root hvilket ikke laengere er
> noedvendigt. Det hjaelper lidt.
>
> > 2) den laver kun een ting - Switcher mail (i en 3 delt process)
> > i) modtager mail
> > ii) finder rette delivery metode
> > iii) sender det videre til delivery agenten (med headers etc. sat korrekt)
>
> Een ting = alt. Den burde bestaa af en haandfuld mindre programmer der hver
> isaer loeser deres opgave. qmail er min yndlingsmodel paa det omraade.
Actually løser den en fandens masse mindre end Qmail ... f.eks. ingen pop3
den giver ikke engang en løsning på hvordan mail leveres til andre systemer
(eller lokalt!) - det er op til andre programmer.
>
> Mht. antal gamle fejl er der baade i 8.11.x og 8.12.x blevet fundet fejl der
> kunne risikere sikkerheden af et system. Sendmail er langt fra saa slem som
> den har vaeret men i min verden er den stadigt ikke acceptabel.
Temmeligt nye versioner - nye fejl kan altid ske - bør ikke - men alle pro-
grammører ved at det er sådan.

Men hvorom alting er, jeg har fattet din filosofi... Lad være med at køre
monolitiske systemer - det er _meget_ sværere at sikre dem - end modulære
systemer ... At jeg her _overhovedet_ ikke er enig er så en anden ting.

--
Mvh. Kim Petersen /| Tlf: +4575831551 |\ Jomfru Ingefreds Vej 18
Software Engineer / | Fax: (none atm.) | \ 7100 Vejle
LSS / | Email: kim@vindinggaard.dk | \ DK - Danmark

---

On Sat, 13 Oct 2001 19:55:24 +0200, Alex Holst <a@area51.dk>
Promulgated:

--->Daniel Blankenstiener <dslb@linuxmail.org> wrote:
--->> Vil bare lige høre folks mening om hvilket af disse to OS'er,
der er det
--->> mest sikre. Jeg har selv været ved at undersøge sagen, men synes
jeg kørte i
--->> ring. Carolyn Meinel og "Battery" taler for OpenBSD,
--->
--->Carolyn Meinel er en syg kvinde. Jo hurtigere du holder op med at
lytte til
--->noget som helst hun siger, jo bedre.
--->
---> http://www.attrition.org/shame/
---> http://www.attrition.org/slander/content.html
---> http://www.attrition.org/library/rev/0929408217.rev
--->
*LOL*

Havde ikke set du havde nævnt det samme før jeg postede...undskylder
for dobbeltkonfekten..

Yep, Carolyn er syg!!!




--
On the outskirts of every agony sits some observant fellow who points.
-Virginia Woolf

---

On Sat, 13 Oct 2001 17:14:55 +0200, "Daniel Blankenstiener"
<dslb@linuxmail.org> Promulgated:

--->Vil bare lige høre folks mening om hvilket af disse to OS'er, der
er det
--->mest sikre. Jeg har selv været ved at undersøge sagen, men synes
jeg kørte i
--->ring. Carolyn Meinel og "Battery" taler for OpenBSD, men nogle
bekendte
[Snipped]

Det er mit klare indtryk at nævnte Carolyn Meinel ikke er habil i
nævnte spørgsmål..

Konsultér evt.

www.packetstormsecurity.org
www.grcsucks.com
www.attrition.org


eller gå her:

http://www.attrition.org/shame/teach.html


--
On the outskirts of every agony sits some observant fellow who points.
-Virginia Woolf

---

Daniel Blankenstiener wrote:
>
> Vil bare lige høre folks mening om hvilket af disse to OS'er, der er det
> mest sikre. Jeg har selv været ved at undersøge sagen, men synes jeg kørte i
> ring. Carolyn Meinel og "Battery" taler for OpenBSD, men nogle bekendte
> taler for FreeBSD. FreeBSD har flere brugere og der findes mere software til
> Free, men Open kan installeres på næsten alt og det siges at skulle være
> mere sikkert. Efter at have læst begge hjemmesider og kigget på
> SecurityFocus, har jeg også fået det indtryk at Open er mere sikkert.
> Eller måske et helt tredje OS der overgår begge?
>
> --
> Mvh Daniel Blankensteiner
> __________________________
> Db@TraceRoute.dk

Hej Daniel

Der bliver sagt meget godt for og imod de forskellige BSD'er
De har hver især styrker og svagheder, og hvilken en du bedst
kan lide er svært at gætte på.

Jeg havde selv problemet da jeg skulle vælge en BSD at starte
med og endte med OpenBSD - det virker og udviklerne er
paranoidt konservative. Eksempelvis er BIND versionen stadig
BIND 4 et eller andet.
Sidenhen har jeg prøvet både FreeBSD og NetBSD og alle tre spiller
ret godt på den standard hardware jeg har.

Jeg kan kun anbefale at du melder dig ind i BSD-DK
http://www.bsd-dk.dk - hvor du kan tale med ligesindede
der endda er i samme tidzone som dig, hvis du skal have hjælp.
Udover det tekniske, hvor de glade brugere ofte hjælper på EFnet
IRC i kanalen #bsd-dk mødes vi jævnligt til et møde eller bare
lidt øl.
(Igår aftes spiste vi Colorado Roast oksekød ad libitum i Århus!)

--
Mvh
Henrik Lund Kramshøj
hlk@sikkerhedsforum.dk, hlk@kramse.dk, lund@diku.dk
Sikkerhedsforum DK - seriøs debat om IT sikkerhed

---

Det vil jeg helt sikkert se nærmere på!!!!*S*, men hvor valgte du OpenBSD??


Henrik Lund Kramshøj <hlk@kramse.dk> skrev i en
nyhedsmeddelelse:3BCB3958.6B3382AE@kramse.dk...
> Daniel Blankenstiener wrote:
> >
> > Vil bare lige høre folks mening om hvilket af disse to OS'er, der er det
> > mest sikre. Jeg har selv været ved at undersøge sagen, men synes jeg
kørte i
> > ring. Carolyn Meinel og "Battery" taler for OpenBSD, men nogle bekendte
> > taler for FreeBSD. FreeBSD har flere brugere og der findes mere software
til
> > Free, men Open kan installeres på næsten alt og det siges at skulle være
> > mere sikkert. Efter at have læst begge hjemmesider og kigget på
> > SecurityFocus, har jeg også fået det indtryk at Open er mere sikkert.
> > Eller måske et helt tredje OS der overgår begge?
> >
> > --
> > Mvh Daniel Blankensteiner
> > __________________________
> > Db@TraceRoute.dk
>
> Hej Daniel
>
> Der bliver sagt meget godt for og imod de forskellige BSD'er
> De har hver især styrker og svagheder, og hvilken en du bedst
> kan lide er svært at gætte på.
>
> Jeg havde selv problemet da jeg skulle vælge en BSD at starte
> med og endte med OpenBSD - det virker og udviklerne er
> paranoidt konservative. Eksempelvis er BIND versionen stadig
> BIND 4 et eller andet.
> Sidenhen har jeg prøvet både FreeBSD og NetBSD og alle tre spiller
> ret godt på den standard hardware jeg har.
>
> Jeg kan kun anbefale at du melder dig ind i BSD-DK
> http://www.bsd-dk.dk - hvor du kan tale med ligesindede
> der endda er i samme tidzone som dig, hvis du skal have hjælp.
> Udover det tekniske, hvor de glade brugere ofte hjælper på EFnet
> IRC i kanalen #bsd-dk mødes vi jævnligt til et møde eller bare
> lidt øl.
> (Igår aftes spiste vi Colorado Roast oksekød ad libitum i Århus!)
>
> --
> Mvh
> Henrik Lund Kramshøj
> hlk@sikkerhedsforum.dk, hlk@kramse.dk, lund@diku.dk
> Sikkerhedsforum DK - seriøs debat om IT sikkerhed

---

Nu vi er igang. Kan I så ikke lige anbefale en
Firewall
IDS
Virusscanner
og andre programmer til sikkerhed evt, sniffer, tripwire?.......mere?????


Daniel Blankenstiener <dslb@linuxmail.org> skrev i en
nyhedsmeddelelse:3bc85a0d$0$42016$edfadb0f@dspool01.news.tele.dk...
> Vil bare lige høre folks mening om hvilket af disse to OS'er, der er det
> mest sikre. Jeg har selv været ved at undersøge sagen, men synes jeg kørte
i
> ring. Carolyn Meinel og "Battery" taler for OpenBSD, men nogle bekendte
> taler for FreeBSD. FreeBSD har flere brugere og der findes mere software
til
> Free, men Open kan installeres på næsten alt og det siges at skulle være
> mere sikkert. Efter at have læst begge hjemmesider og kigget på
> SecurityFocus, har jeg også fået det indtryk at Open er mere sikkert.
> Eller måske et helt tredje OS der overgår begge?
>
> --
> Mvh Daniel Blankensteiner
> __________________________
> Db@TraceRoute.dk
>
>

---

"Daniel Blankenstiener" <dslb@linuxmail.org> skrev i en
news:3bcc14f0$0$226$edfadb0f@dspool01.news.tele.dk

> Nu vi er igang. Kan I så ikke lige anbefale [ ... ]

Jeg kan da i al fald anbefale:
http://www.usenet.dk/netikette/quote.html

Den er virkelig værd at studere nærmere -
og som en høflig og venlig henstilling vil jeg da stærkt opfordre til
også at bruge de retningslinier der bliver givet deri!

--
Med venlig hilsen Andreas Falck - ICQ 108 480 093
NYT - NYT - Om skabelsen og syndfloden <http://www.syndflod.dk>
Josef i Egypten: <http://hjem.get2net.dk/AFA1441/side-079.htm>
"Det evige Evangelium" - <http://www.sda-net.dk>

---

Vil jeg på en ikke fornærmet måde, opfordre dig til at sende denne slags
kritik af folks skrivemåde, til deres private e-mail!
På den måde vil der heller ikke komme irrelevante beskeder i denne tråd.



Andreas Falck <Andreas.Falck@sda-net.dk> skrev i en
nyhedsmeddelelse:fuVy7.1378$YP6.206749@news000.worldonline.dk...
> "Daniel Blankenstiener" <dslb@linuxmail.org> skrev i en
> news:3bcc14f0$0$226$edfadb0f@dspool01.news.tele.dk
>
> > Nu vi er igang. Kan I så ikke lige anbefale [ ... ]
>
> Jeg kan da i al fald anbefale:
> http://www.usenet.dk/netikette/quote.html
>
> Den er virkelig værd at studere nærmere -
> og som en høflig og venlig henstilling vil jeg da stærkt opfordre til
> også at bruge de retningslinier der bliver givet deri!
>
> --
> Med venlig hilsen Andreas Falck - ICQ 108 480 093
> NYT - NYT - Om skabelsen og syndfloden <http://www.syndflod.dk>
> Josef i Egypten: <http://hjem.get2net.dk/AFA1441/side-079.htm>
> "Det evige Evangelium" - <http://www.sda-net.dk>
>

---

"Daniel Blankenstiener" <dslb@linuxmail.org> skrev i en
news:3bcc7a24$0$3241$edfadb0f@dspool01.news.tele.dk

> Vil jeg på en ikke fornærmet måde, opfordre dig til at sende
> denne slags kritik af folks skrivemåde, til deres private e-mail!

Sådan skrev Daniel Blankenstiener, selv om han lige havde fået et link
til http://www.usenet.dk/netikette/quote.html.

Og nej, noget sådant mener jeg bestemt ikke skal sendes til folks
private emailadresser, da meningen jo bl.a. er at alle andre, der
heller ikke buger denne quote-teknik, som er beskrevet i linket, så
ikke får set en sådan venlig og høflig henstilling om den gældende
netikette og quoteteknik, der anvendes på usenet.

> På den måde vil der heller ikke komme irrelevante beskeder
> i denne tråd.

En høflig henstilling om at overholde gældende netikette er aldrig
irrelevant!

Xpost og FUT: news:dk.admin.netikette

--
Med venlig hilsen Andreas Falck - ICQ 108 480 093
NYT - NYT - Om skabelsen og syndfloden <http://www.syndflod.dk>
Josef i Egypten: <http://hjem.get2net.dk/AFA1441/side-079.htm>
"Det evige Evangelium" - <http://www.sda-net.dk>

---

"Daniel Blankenstiener" <dslb@linuxmail.org> wrote:

>Vil jeg på en ikke fornærmet måde, opfordre dig til at sende denne slags
>kritik af folks skrivemåde, til deres private e-mail!
>På den måde vil der heller ikke komme irrelevante beskeder i denne tråd.

Disse irrelevante beskeder vil blive ved med at komme, indtil du
lytter og forstår, eller indtil ingen gider svare dig på noget som
helst længere.

....og der er i øvrigt blandt de faste brugere på det danske usenet
bred enighed om at den slags henstillinger skal gives i gruppen.


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

---

Vil I to ikke godt lige slappe lidt af, jeg skal nok læse det s**** link
engang i dag! Så hvis I ellers ikke har et svar på mit spørgsmål, så stopper
vi også bare her!


Allan Olesen <aolesen@post3.tele.dk> skrev i en
nyhedsmeddelelse:3bcc8c8d$0$88337$edfadb0f@dspool01.news.tele.dk...
> "Daniel Blankenstiener" <dslb@linuxmail.org> wrote:
>
> >Vil jeg på en ikke fornærmet måde, opfordre dig til at sende denne slags
> >kritik af folks skrivemåde, til deres private e-mail!
> >På den måde vil der heller ikke komme irrelevante beskeder i denne tråd.
>
> Disse irrelevante beskeder vil blive ved med at komme, indtil du
> lytter og forstår, eller indtil ingen gider svare dig på noget som
> helst længere.
>
> ...og der er i øvrigt blandt de faste brugere på det danske usenet
> bred enighed om at den slags henstillinger skal gives i gruppen.
>
>
> --
> Allan Olesen, Lunderskov.
> Danske musikere tjener penge ved ulovlig softwarekopiering.

---

Nå, det ser ikke ud som om min første besked kom igennem, så vi prøver igen:
Nu vi igang, kan I så ikke lige anbefale en
Firewall
IDS
Virusscanner
og andre sikkerhedsprogrammer...fx sniffer, tripwire og andet??????



Daniel Blankenstiener <dslb@linuxmail.org> skrev i en
nyhedsmeddelelse:3bc85a0d$0$42016$edfadb0f@dspool01.news.tele.dk...
> Vil bare lige høre folks mening om hvilket af disse to OS'er, der er det
> mest sikre. Jeg har selv været ved at undersøge sagen, men synes jeg kørte
i
> ring. Carolyn Meinel og "Battery" taler for OpenBSD, men nogle bekendte
> taler for FreeBSD. FreeBSD har flere brugere og der findes mere software
til
> Free, men Open kan installeres på næsten alt og det siges at skulle være
> mere sikkert. Efter at have læst begge hjemmesider og kigget på
> SecurityFocus, har jeg også fået det indtryk at Open er mere sikkert.
> Eller måske et helt tredje OS der overgår begge?
>
> --
> Mvh Daniel Blankensteiner
> __________________________
> Db@TraceRoute.dk
>
>

---

Jeg må nok hellere lige fortælle til hvilket system*S*
Jeg har valgt FreeBSD, så primært dertil. Dog vil jeg også se på OpenBSD, så
der vil jeg også gerne have nogle anbefalet!


Daniel Blankenstiener <dslb@linuxmail.org> skrev i en
nyhedsmeddelelse:3bcc174f$0$267$edfadb0f@dspool01.news.tele.dk...
> Nå, det ser ikke ud som om min første besked kom igennem, så vi prøver
igen:
> Nu vi igang, kan I så ikke lige anbefale en
> Firewall
> IDS
> Virusscanner
> og andre sikkerhedsprogrammer...fx sniffer, tripwire og andet??????
>
>
>
> Daniel Blankenstiener <dslb@linuxmail.org> skrev i en
> nyhedsmeddelelse:3bc85a0d$0$42016$edfadb0f@dspool01.news.tele.dk...
> > Vil bare lige høre folks mening om hvilket af disse to OS'er, der er det
> > mest sikre. Jeg har selv været ved at undersøge sagen, men synes jeg
kørte
> i
> > ring. Carolyn Meinel og "Battery" taler for OpenBSD, men nogle bekendte
> > taler for FreeBSD. FreeBSD har flere brugere og der findes mere software
> til
> > Free, men Open kan installeres på næsten alt og det siges at skulle være
> > mere sikkert. Efter at have læst begge hjemmesider og kigget på
> > SecurityFocus, har jeg også fået det indtryk at Open er mere sikkert.
> > Eller måske et helt tredje OS der overgår begge?
> >
> > --
> > Mvh Daniel Blankensteiner
> > __________________________
> > Db@TraceRoute.dk
> >
> >
>
>

---

Den Tue, 16 Oct 2001 13:47:38 +0200 skrev Daniel Blankenstiener:
>Jeg må nok hellere lige fortælle til hvilket system*S*
>Jeg har valgt FreeBSD, så primært dertil. Dog vil jeg også se på OpenBSD, så
>der vil jeg også gerne have nogle anbefalet!

Hallo mand, du har lige bedt om en virusscanner, og så begynder du at
ævle om *BSD... Kan du bestemme dig? Kører du en virusbefængt Windows,
eller kører du *BSD?

>Daniel Blankenstiener <dslb@linuxmail.org> skrev i en
>nyhedsmeddelelse:3bcc174f$0$267$edfadb0f@dspool01.news.tele.dk...
>> Nå, det ser ikke ud som om min første besked kom igennem, så vi prøver
>igen:
>> Nu vi igang, kan I så ikke lige anbefale en
>> Firewall
>> IDS
>> Virusscanner
>> og andre sikkerhedsprogrammer...fx sniffer, tripwire og andet??????

og prøv lige at ændre på din quote-teknik...

Mvh
Kent
--
War does not determine who is right, only who is left.

---

Måske du skulle følge lidt med!!!!!!!
Jeg beder om en virusscanner, firewall og IDS til FreeBSDBSD og til OpenBSD!

Kent Friis <kfr@fleggaard.dk> skrev i en
nyhedsmeddelelse:9qhjgk$adh$2@sunsite.dk...
> Den Tue, 16 Oct 2001 13:47:38 +0200 skrev Daniel Blankenstiener:
> >Jeg må nok hellere lige fortælle til hvilket system*S*
> >Jeg har valgt FreeBSD, så primært dertil. Dog vil jeg også se på OpenBSD,
så
> >der vil jeg også gerne have nogle anbefalet!
>
> Hallo mand, du har lige bedt om en virusscanner, og så begynder du at
> ævle om *BSD... Kan du bestemme dig? Kører du en virusbefængt Windows,
> eller kører du *BSD?
>
> >Daniel Blankenstiener <dslb@linuxmail.org> skrev i en
> >nyhedsmeddelelse:3bcc174f$0$267$edfadb0f@dspool01.news.tele.dk...
> >> Nå, det ser ikke ud som om min første besked kom igennem, så vi prøver
> >igen:
> >> Nu vi igang, kan I så ikke lige anbefale en
> >> Firewall
> >> IDS
> >> Virusscanner
> >> og andre sikkerhedsprogrammer...fx sniffer, tripwire og andet??????
>
> og prøv lige at ændre på din quote-teknik...
>
> Mvh
> Kent
> --
> War does not determine who is right, only who is left.

---

"Daniel Blankenstiener" <dslb@linuxmail.org> skrev i en
news:3bcc77fb$0$3235$edfadb0f@dspool01.news.tele.dk

> Måske du skulle følge lidt med! [ ... ]

[ ... ]

Og hvis du fulgte lidt med, så ville også du være klar over, hvordan
man citerer og svarer på et indlæg. Læs bl.a. om det her:
http://www.usenet.dk/netikette/quote.html

Dette er en høflig og venlig henstilling, ikke kun til dig, men også
til mange andre, der endnu ikke er begyndt at bruge vejledningen fra
ovenstående link!

Og så var alle disse "!!!!!!" i overskud!

--
Med venlig hilsen Andreas Falck - ICQ 108 480 093
NYT - NYT - Om skabelsen og syndfloden <http://www.syndflod.dk>
Josef i Egypten: <http://hjem.get2net.dk/AFA1441/side-079.htm>
"Det evige Evangelium" - <http://www.sda-net.dk>

---

Jeg har ikke set det link før i dag og vil læse det engang i nat!
Men har du ikke noget at sige til mit spørgsmål om firewalls, IDS,s m.m til
FreeBSD, så synes jeg bare vi skal stoppe her!

Jeg er nybegynder herinde og nu gider jeg ikke høre mere for min skrivemåde!

---

Kent Friis wrote:
>
> Den Tue, 16 Oct 2001 13:47:38 +0200 skrev Daniel Blankenstiener:
> >Jeg må nok hellere lige fortælle til hvilket system*S*
> >Jeg har valgt FreeBSD, så primært dertil. Dog vil jeg også se på OpenBSD, så
> >der vil jeg også gerne have nogle anbefalet!
>
> Hallo mand, du har lige bedt om en virusscanner, og så begynder du at
> ævle om *BSD... Kan du bestemme dig? Kører du en virusbefængt Windows,
> eller kører du *BSD?
>
www.google.com, søgeord 'antivirus scanner +freebsd'
første hit
http://home.i.cz/reho//check_virus/
--- quote ---
INTRODUCTION

This patch was developed on FreeBSD/sendmail and employs an
antivirus program AntiViral Toolkit Pro for Unix.
....
--- end quote ---

Kender det ikke men man kan sagtens tale om antivirus software
TIL Unix, der kan scanne for PC virus ...
Slap af og giv manden en chance - især da der tilsyneladende
findes virusscannere til FreeBSD!

Forøvrigt kan jeg kun anbefale Snort som IDS, www.snort.org
Ethereal som "sniffer" - og 'rm' til oprydning og sletning af
unødvendige programmer

--
Mvh
Henrik Lund Kramshøj
hlk@sikkerhedsforum.dk, hlk@kramse.dk, lund@diku.dk
Sikkerhedsforum DK - seriøs debat om IT sikkerhed

---

Mange, mange tak, lige hvad jeg vil vide*S*

Henrik Lund Kramshøj <hlk@kramse.dk> skrev i en
nyhedsmeddelelse:3BCCA638.A2857D0C@kramse.dk...
<klip>
> Forøvrigt kan jeg kun anbefale Snort som IDS, www.snort.org
> Ethereal som "sniffer" - og 'rm' til oprydning og sletning af
> unødvendige programmer

---

Hej "Daniel Blankenstiener" <dslb@linuxmail.org>

>Mange, mange tak, lige hvad jeg vil vide*S*

Hvorfor har du ikke læst: http://usenet.dk/netikette/quote.html endnu?

--
Lars Kim Lund
http://www.net-faq.dk/

---

Den Tue, 16 Oct 2001 23:27:20 +0200 skrev Henrik Lund Kramshøj:
>Kent Friis wrote:
>>
>> Den Tue, 16 Oct 2001 13:47:38 +0200 skrev Daniel Blankenstiener:
>> >Jeg må nok hellere lige fortælle til hvilket system*S*
>> >Jeg har valgt FreeBSD, så primært dertil. Dog vil jeg også se på OpenBSD, så
>> >der vil jeg også gerne have nogle anbefalet!
>>
>> Hallo mand, du har lige bedt om en virusscanner, og så begynder du at
>> ævle om *BSD... Kan du bestemme dig? Kører du en virusbefængt Windows,
>> eller kører du *BSD?
>
>Kender det ikke men man kan sagtens tale om antivirus software
>TIL Unix, der kan scanne for PC virus ...
>Slap af og giv manden en chance - især da der tilsyneladende
>findes virusscannere til FreeBSD!

Normalt ville man vel fortælle hvilken type virusscanner man var ude
efter - en der scanner e-mails, en der scanner samba-drev, eller noget
helt tredje. Medmindre man bare er ude efter en normal virusscanner,
som kun checker de lokale filer for virus'er der vedrører den platform.

På *BSD ville det nok være: /bin/echo 'No viruses found'

Mvh
Kent
--
War does not determine who is right, only who is left.

---

>Firewall
Tjah?
IPFW som er ret integret i freebsd er tilfredsstillende for mig.. Jeg
ved at andre også sværger til IPF
Prøv www.google.com (den bruger jeg altid når der er noget jeg mangler
til freebsd (søger på: emne freebsd) altid masser relevante hits.

>IDS
IDS, bruger jeg lige nu snort, men den driller mig alt for meget til
at jeg ville stole på den (måske er det mit hardware) men den giver
mig ialtflad alt for mange signal 11 segmentation fault

__
mvh / Regards
Søren Vrist
spam@vrist.dk
"Have pill and shrink, just don't show us how you sweat" - Kashmir

---

Søren Vrist wrote:
>
>>IDS
> IDS, bruger jeg lige nu snort, men den driller mig alt for meget til
> at jeg ville stole på den (måske er det mit hardware) men den giver
> mig ialtflad alt for mange signal 11 segmentation fault

Jeg er glad for tripwire og logcheck. Hostsentry lyder rigtig smart, men jeg
har ikke selv prøvet det.

/Ole

--
power-lusers (read: running latest and greatest from Freshmeat,
insecure at extreme, owner does everything logged in as root cause
he finally got root on a Unix box and that makes his dick way longer).
-- Alexander Viro on comp.security.unix