OpenNA

FreeBSD, Gentoo, openSUSE, CentOS, Ubuntu, Debian
suntzu
Posts: 669
Joined: 2002-12-20 19:47
Location: Mönchengladbach

OpenNA

Post by suntzu »

Hi,

hat hier irgendwer schonmal Erfahrungen mit o.g. Distribution (http://www.openna.com/) gemacht? Klingt nämlich ganz gut:
Security notes
----------------

- All components of the operating system are protected against the
exploitation of buffer overflow vulnerabilities in process stacks.

- All permission files and directories have been reviewed and improved for
high security.

- All configuration files and software have been rewritten & rebuild with
high security in mind.

- The Grsecurity kernel patch with most of the entire security features that
it provides has been implemented into the kernel.

> Some of those features are:
. ACL system features
. Chroot restrictions
. Address space modification protection (PaX)
. Auditing features on (Chdir, Mount, unmount, IPC, Signal, fork, Time)
. Randomization features on (PIDs, IP IDs, TCP, RPC XIDs)
. /proc restrictions that don't leak information about process owners
. Symlink/hardlink restrictions to prevent /tmp races
. FIFO restrictions
. Dmesg(8) restriction
. Enhanced implementation of Trusted Path Execution
. GID-based socket restrictions
. Alerts and audits support to logs the IP of the attacker
. Stream connections across unix domain sockets carry the attacker's IP

- Most of all services available in different type of server installation
have been made to run in chroot jail environment mode.

- Most SUID/SGID binaries have been rebuilt with less privilege. Some
SUID/SGID modes have been completely removed without scarifying on the
functionality of the program.

- All /proc networking features have been fine tuned for the best security
available.

- Complete, powerful and highly secure firewall implementation with
GIPTables has been redesigned for each type of server installation.

- Very clean, secure, fast, complete and small in size operating system.
Gruß,
Dominik
darkman
Posts: 104
Joined: 2004-03-24 14:09

Re: OpenNA

Post by darkman »

Hi,

ja, klingt interessant, leider bleibts beim klingen:
1. es setzt auf ReiserFS
2. es hat eine SEHR merkwuerdige Auffassung von Partitionierung:

Code: Select all

[root@openna root]# mount
/dev/hda5 on / type reiserfs (rw,noatime,notail)
none on /proc type proc (rw)
usbdevfs on /proc/bus/usb type usbdevfs (rw)
/dev/hda1 on /boot type reiserfs (rw,noatime,notail)
/dev/hda6 on /usr type reiserfs (rw,noatime,notail)
/dev/hda7 on /chroot type reiserfs (rw,noatime,notail)
/dev/hda8 on /var type reiserfs (rw,noatime,notail)
/dev/hda9 on /var/lib type reiserfs (rw,noatime,notail)
/dev/hda10 on /tmp type reiserfs (rw,noexec,nosuid,noatime,notail)
/dev/hda12 on /home type reiserfs (rw,nosuid,noatime,notail)
Die 80GB Platte die drin steckt wird dann so aufgeteilt:

Code: Select all

Filesystem            Size  Used Avail Use% Mounted on
/dev/hda5             259M   57M  202M  23% /
/dev/hda1              55M   37M   19M  66% /boot
/dev/hda6             518M  151M  368M  30% /usr
/dev/hda7             259M   33M  227M  13% /chroot
/dev/hda8             518M   37M  482M   8% /var
/dev/hda9             1.1G   59M  970M   6% /var/lib
/dev/hda10            259M   33M  227M  13% /tmp
/dev/hda12             72G   33M   72G   1% /home
tmpfs                 251M     0  251M   0% /dev/shm
Wo man da ne halbwegs vernuenftige Menge Logs unterbringen soll,
weiss ich nicht ;)
Weiter gehts:
ich habe mich fuer eine Installation als Webserver entschieden und zusaetzlich
MySQL und FTP (vsftp wird dann genommen) ausgewaehlt. Bei der Installation
wird ein GRUB Passwort verlangt. Genrelle eine gute Idee den Bootloader
mit einem Passwort gegen Manipulation zu schuetzen, weniger gut ist daran
das es schon zum normalen Boot benoetigt wird (also nix fuer ne remote
Install, jedenfalls nicht so ;)
Um die Sicherheit zu erhoehen habe ich dann auch noch um eine Firewall
gebeten. Kann ja eigentlich nicht schaden, jedoch verzoegert die Firewall
den Bootvorgang extrem da sie buggy ist. Beim Starten selbiger versucht
das Ding dann 'udp' als Host/Netzwerk aufzuloesen.
Irgendwann hat man dann eine Art RedHat fuer Arme...
also dachte ich mir, das Ding ist fast ein Jahr alt, also mal nen Update machen,
gibts doch die schoene Autoupdate Geschichte bei OpenNA. Bloed nur das dieses
zusaetzliche Perlmodul perl-DB_File-1.806-1.i686.rpm nicht zum System
passt:

Code: Select all

error: Failed dependencies:
        perl >= 0:5.00404 is needed by perl-DB_File-1.806-1
Ein --nodeps half erstmal ;>
Dann versucht zu updaten, Ergebniss:

Code: Select all

Failed to upgrade: mysql-4.0.20-1.i686.rpm mysql-server-4.0.20-1.i686.rpm openssh-3.8.1p1-1.i686.rpm openssh-server-3.7.1p2-2.i686.rpm
RPM Output:
warning: /var/spool/autoupdate/mysql-4.0.20-1.i686.rpm: V3 DSA signature: NOKEY, key ID fa4f63c7
error: Failed dependencies:
        perl(DBI) is needed by mysql-4.0.20-1
        openssh-server conflicts with openssh-3.8.1p1-1
        openssh = 3.7.1p2 is needed by openssh-server-3.7.1p2-2
Upgraded a total of 15 rpms.
Also auch nich so toll das...

Achja, dann waer noch zu erwaehnen das auf dem Server PortSentry
per default laeuft, SSH nur PublicKey-Auth zulaesst, MySQL am Inet haengt
(und kein Rootpasswort hat, immerhin ist root auf localhost begrenzt), der
Apache per Default SSL mit installiert (wie gut das mod_ssl ja so wenig
Remote Exploits hatte in der Vergangenheit) und auf dem Server zwar ein SSHD
und SCP installiert ist, jedoch kein SSH Client.

So, damit ein kleiner Overview ueber OpenNA... netter Versuch IMHO, allerdings
nicht wirklich brauchbar weil wohl noch einige Kinderkrankheiten.
Das Update, soferns gelungen ist, hat uebrigens zumindest das Firewall
Boot Problem behoben und Kernel 2.4.27 installiert.. immerhin etwas ;)

So long,
Darkman
suntzu
Posts: 669
Joined: 2002-12-20 19:47
Location: Mönchengladbach

Re: OpenNA

Post by suntzu »

Hi,

danke für diese ausführliche Antwort. Es scheint zwar so, als wäre mit dem Erreichen der stabilen Releaseversion das Gröbste behoben, aber so ganz scheint man dem System ja dann doch nicht vertrauen zu können ;-)

Also doch lieber auf Debian-Hardened warten...

Gruß,
Dominik