FreeBSD Sicherheit
Einführung
Diese Webseite gibt Einsteigern und erfahrenen Benutzern Hilfestellungen zum Thema Sicherheit. Bei FreeBSD wird Sicherheit groß geschrieben: Wir arbeiten ständig daran, das Betriebssystem so sicher wie möglich zu machen.
Inhalt
- Sicherheitsprobleme melden
- Der FreeBSD Security-Officer
- Umgang mit Informationen
- Unterstützte FreeBSD-Versionen
- Nicht mehr unterstützte FreeBSD-Versionen
Weitere Ressourcen
- Charter des Security Officers und des Security Teams
- Liste der FreeBSD Sicherheitshinweise
- Liste der FreeBSD Fehler-Hinweise (Errata Notices)
- FreeBSD-Sicherheitshinweise verstehen
Sicherheitsprobleme melden
Melden Sie Sicherheitsprobleme in FreeBSD direkt an das Security-Team oder, falls eine höhere Vertraulichkeit erforderlich ist, PGP-verschlüsselt an das Security-Officer-Team (verwenden Sie dazu den öffentlichen PGP-Schlüssel des Security Officers). Wenn Sie ein Problem melden, geben Sie bitte folgende Informationen an:
- Eine Beschreibung des Sicherheitsproblems,
- welche FreeBSD-Versionen betroffen sind,
- wie das Problem umgangen werden kann und
- wenn möglich, reichen Sie bitte auch eine Fehlerbehebung ein.
Der Security-Officer oder ein Mitglied des Security-Officer-Teams wird Sie ansprechen, nachdem Sie ein Problem gemeldet haben.
Spam-Filter
Aufgrund des hohen Spam-Aufkommen durchlaufen alle an die Hauptadresse des Security-Teams gerichteten E-Mails einen Spam-Filter. Können Sie den FreeBSD Security Officer oder das FreeBSD Security Team nicht erreichen, weil Ihre E-Mail vom Spam-Filter verworfen wird (oder falls Sie vermuten, dass dies der Fall ist), so senden Sie Ihre E-Mail bitte an die Adresse security-officer-XXXX@FreeBSD.org, wobei Sie XXXX durch 3432 ersetzen. Beachten Sie, dass diese Adresse regelmäßig geändert wird. Alle E-Mails, die Sie an diese Adresse senden, werden an das FreeBSD Security Officer Team weitergeleitet.
Der FreeBSD Security-Officer und das Security-Officer-Team
Damit Sicherheitsprobleme schnell bearbeitet werden, wird die E-Mail an das Security-Officer Alias an drei Personen ausgeliefert: den Security-Officer, den Deputy-Security-Officer und ein Mitglied des Core-Teams. Zurzeit werden E-Mails an <[email protected]> an die folgenden Personen geliefert:
Simon L. B. Nielsen <[email protected]> | Security Officier |
Colin Percival <[email protected]> | Security Officer Emeritus |
Robert Watson <[email protected]> | Release-Engineering, TrustedBSD-Project, Experte für Sicherheitsarchitektur |
Der Security-Officer wird vom FreeBSD Security Team (<[email protected]>), einer von ihm ausgewählten Gruppe von Committern, unterstützt.
Umgang mit Informationen
Generell veröffentlicht der Security-Officer nach einer angemessenen Zeit alle Informationen über ein Sicherheitsproblem. Die Zeitspanne erlaubt eine sichere Analyse und die Behebung des Sicherheitsproblems und dient auch zum Testen der Korrektur sowie der Koordination mit anderen Betroffenen.
Der Security-Officer wird einen oder mehrere der Administratoren des FreeBSD-Clusters über Sicherheitsprobleme informieren, die Ressourcen des FreeBSD Projects bedrohen.
Der Security-Officer kann weitere FreeBSD-Entwickler oder externe Entwickler hinzuziehen, wenn dies zur Beurteilung oder Lösung des Sicherheitsproblems notwendig ist. Ein diskretes Vorgehen verhindert die unnötige Verbreitung des Sicherheitsproblems. Alle hinzugezogenen Experten handeln entsprechend den Richtlinien des Security-Officers. In der Vergangenheit wurden Experten wegen ihrer immensen Erfahrungen mit komplexen Komponenten des Systems, wie dem FFS, dem VM-System und dem Netzwerkstack, hinzugezogen.
Wenn gerade ein Release erstellt wird, kann der FreeBSD Release-Engineer ebenfalls über das Sicherheitsproblem und dessen Ausmaße unterrichtet werden. Damit können fundierte Entscheidungen über den Ablauf der Release-Erstellung und die Auswirkungen der Sicherheitsprobleme auf das kommende Release getroffen werden. Auf Anfrage gibt der Security-Officer nur die Existenz des Sicherheitsproblems und dessen Schwere an den Release-Engineer weiter.
Der Security-Officer arbeitet eng mit anderen Organisationen zusammen. Dazu zählen Dritthersteller, die Quellcode von FreeBSD benutzen (OpenBSD, NetBSD, DragonFlyBSD, Apple und andere Hersteller, die Software auf Basis von FreeBSD vertreiben, sowie die Linux-Vendor-Security Liste) und Organisationen, die Sicherheitsproblemen und Sicherheitsvorfällen nachgehen, beispielsweise das CERT. Oft haben Sicherheitsprobleme Auswirkungen, die über FreeBSD hinausgehen. Sie können auch (vielleicht weniger häufig) große Teile des Internets betreffen. Unter diesen Umständen wird der Security-Officer andere Organisationen über das Sicherheitsproblem informieren wollen. Wenn Sie das nicht wünschen, vermerken Sie das bitte explizit beim Einreichen eines Sicherheitsproblems.
Besondere Anforderungen an den Umgang mit den eingereichten Information müssen ausdrücklich angegeben werden.
Wenn die Veröffentlichung des Sicherheitsproblems mit dem Einsender und/oder anderen Lieferanten abgestimmt werden soll, so muss dies ausdrücklich beim Einreichen des Problems angegeben werden. Ist dies nicht vermerkt, legt der Security-Officer einen Zeitplan für die Veröffentlichung des Problems fest. Der Zeitplan berücksichtigt die möglichst schnelle Veröffentlichung und die zum Testen von Lösungen benötigte Zeit. Wenn das Problem schon in öffentlichen Foren (wie Bugtraq) diskutiert wird und ausgenutzt wird, kann der Security-Officer einen anderen als den vorgeschlagenen Zeitplan verwenden. Dies dient dem maximalen Schutz der Benutzergemeinde.
Eingesendete Sicherheitsprobleme können mit PGP geschützt werden. Auf Wunsch werden die Antworten ebenfalls mit PGP geschützt.
Unterstützte FreeBSD-Versionen
Der FreeBSD-Security-Officer gibt Sicherheitshinweise für verschiedene FreeBSD-Entwicklungszweige heraus: Die -STABLE-Zweige und die Sicherheits-Zweige. Für den -CURRENT-Zweig werden keine Sicherheitshinweise herausgegeben.
-
Die -STABLE-Zweige haben Namen wie RELENG_7. Auf diesen Zweigen erstellte Versionen tragen Namen wie FreeBSD 7.0-STABLE.
-
Jedes FreeBSD-Release besitzt einen Sicherheits-Zweig. Die Tags der Sicherheits-Zweige haben Namen wie RELENG_7_0. Die daraus gebauten FreeBSD-Versionen tragen Namen wie FreeBSD 7.0-RELEASE-p1.
Sicherheitshinweise für die FreeBSD-Ports-Collection werden auf der Seite FreeBSD VuXML veröffentlicht.
Jeder Zweig wird vom Security-Officer nur für eine begrenzte Zeit gewartet. Die Zweige werden in Klassen eingeteilt, die den Wartungszeitraum bestimmen:
- Early-Adopter
- Releases aus dem -CURRENT-Zweig werden für mindestens 6 Monate nach Erscheinen des Releases gewartet.
- normal
- Releases aus einem -STABLE-Zweig werden für mindestens 12 Monate nach Erscheinen des Releases gewartet. Dieser Zeitraum wird gegebenfalls verlängert, um sicherzustellen, dass ein neues normales Release mindestens 3 Monate verfügbar ist, bevor die Unterstützung für das alte normale Release ausläuft.
- erweitert
- Ausgewählte Releases (in der Regel jedes zweite Release sowie zusätzlich das letzte Release eines -STABLE-Zweiges) werden für mindestens 24 Monate nach Erscheinen des Releases gewartet. Dieser Zeitraum wird gegebenfalls verlängert, um sicherzustellen, dass ein neues erweitertes Release mindestens 3 Monate verfügbar ist, bevor die Unterstützung für das alte erweiterte Release ausläuft.
Die Einteilung und Wartungsenden der momentan unterstützten Releases finden Sie in der folgenden Tabelle. Die Spalte Wartungsende gibt den frühest möglichen Zeitpunkt an, an dem ein Zweig aus der Wartung läuft. Beachten Sie, dass die Zeiträume verlängert werden können, aber nur besondere Umstände dazu führen, dass ein Zweig vorzeitig aus der Wartung genommen wird.
Zweig | Release | Klasse | veröffentlicht | Wartungsende |
---|---|---|---|---|
RELENG_7 | n/a | n/a | n/a | 28. Februar 2013 |
RELENG_7_4 | 7.4-RELEASE | erweitert | 24. Februar 2011 | 28. Februar 2013 |
RELENG_8 | n/a | n/a | n/a | letztes Release + 2 Jahre |
RELENG_8_3 | 8.3-RELEASE | erweitert | 18. April 2012 | 30. April 2014 |
RELENG_9 | n/a | n/a | n/a | letztes Release + 2 Jahre |
RELENG_9_0 | 9.0-RELEASE | normal | 10. Januar 2012 | 31. Januar 2013 |
Ältere Releases werden nicht mehr gepflegt. Benutzer solcher Releases sollten dringend auf eine oben aufgeführte unterstützte Release aktualisieren.
Die Hinweise werden an die folgenden FreeBSD-Mailinglisten versendet:
Eine Liste aller bisher veröffentlichten Sicherheitshinweise findet sich auf der Seite FreeBSD Security Advisories.
Die Hinweise werden immer mit dem PGP-Schlüssel des FreeBSD-Security-Officers signiert und gemeinsam mit den zugehörigen Patches auf dem Server http://security.FreeBSD.org/ in den Unterverzeichnissen advisories sowie patches archiviert.
Nicht mehr unterstützte FreeBSD-Versionen
Die folgenden Versionen werden nicht mehr unterstützt. Die folgende Auflistung dient daher nur Informationszwecken.
Zweig | Release | Klasse | veröffentlicht | Wartungsende |
---|---|---|---|---|
RELENG_4 | n/a | n/a | n/a | 31. Januar 2007 |
RELENG_4_11 | 4.11-RELEASE | Erweitert | 25. Januar 2005 | 31. Januar 2007 |
RELENG_5 | n/a | n/a | n/a | 31. Mai 2008 |
RELENG_5_3 | 5.3-RELEASE | Erweitert | 6. November 2004 | 31. Oktober 2006 |
RELENG_5_4 | 5.4-RELEASE | Normal | 9. Mai 2005 | 31. Oktober 2006 |
RELENG_5_5 | 5.5-RELEASE | Erweitert | 25. Mai 2006 | 31. Mai 2008 |
RELENG_6 | n/a | n/a | n/a | 30. November 2010 |
RELENG_6_0 | 6.0-RELEASE | Normal | 4. November 2005 | 31. Januar 2007 |
RELENG_6_1 | 6.1-RELEASE | Erweitert | 9. Mai 2006 | 31. Mai 2008 |
RELENG_6_2 | 6.2-RELEASE | Normal | 15. Januar 2007 | 31. Mai 2008 |
RELENG_6_3 | 6.3-RELEASE | Erweitert | 18. Januar 2008 | 31. Januar 2010 |
RELENG_6_4 | 6.4-RELEASE | Erweitert | 28. November 2008 | 30. November 2010 |
RELENG_7_0 | 7.0-RELEASE | Normal | 27. Februar 2008 | 30. April 2009 |
RELENG_7_1 | 7.1-RELEASE | Erweitert | 04. Januar 2009 | 28. Februar 2011 |
RELENG_7_2 | 7.2-RELEASE | Normal | 4. Mai 2009 | 30. Juni 2010 |
RELENG_7_3 | 7.3-RELEASE | erweitert | 23. März 2010 | 31. März 2012 |
RELENG_8_0 | 8.0-RELEASE | Normal | 25. November 2009 | 30. November 2010 |
RELENG_8_1 | 8.1-RELEASE | erweitert | 23. Juli 2010 | 31. Juli 2012 |
RELENG_8_2 | 8.2-RELEASE | normal | 24. Februar 2011 | 31. Juli 2012 |