Skip site navigation (1) Skip section navigation (2)

Информационная безопасность FreeBSD

Введение

Эта веб-страница предназначена для помощи начинающим и опытным пользователям в области информационной безопасности FreeBSD. Во FreeBSD вопросы безопасности воспринимаются весьма серьёзно и постоянно идет работа над тем, чтобы сделать ОС защищённой настолько, насколько это вообще возможно.

Содержание

Дополнительные ресурсы, посвященные информационной безопасности

Как и куда сообщать о проблеме информационной безопасности FreeBSD

Все проблемы информационной безопасности FreeBSD следует направлять на адрес службы информационной безопасности FreeBSD или, если необходим более высокий уровень конфиденциальности, в зашифрованном в PGP виде на адрес службы Офицера информационной безопасности, используя ключ PGP Офицера информационной безопасности. Как минимум, все сообщения должны содержать:

  • Описание уязвимости.
  • Какие версии FreeBSD предположительно затронуты, по возможности.
  • Любые состоятельные пути обхода проблемы.
  • Примеры кода, по возможности.

После сообщения этой информации с вами свяжется Офицер информационной безопасности или представитель службы информационной безопасности.

Спам-фильтры

В связи с высоким уровнем спама основные контактные почтовые адреса по информационной безопасности подвергаются фильтрации спама. Если Вы не можете связаться с Офицерами информационной безопасности FreeBSD или со службой информационной безопасности из-за спам-фильтров (или предполагаете, что ваш адрес был отфильтрован), пожалуйста, отправьте письмо на security-officer-XXXX@FreeBSD.org с заменой XXXX на 3432 вместо использования обычных адресов. Обратите внимание, что этот адрес будет периодически меняться, поэтому следует проверять здесь последний адрес. Сообщения на этот адрес будут перенаправлены службе Офицера информационной безопасности FreeBSD.

Офицер информационной безопасности FreeBSD и служба информационной безопасности FreeBSD

Для того, чтобы Проект FreeBSD мог оперативно реагировать на сообщения об уязвимостях, почтовый алиас Офицера информационной безопасности соответствует трем персонам: Офицер информационной безопасности, заместитель Офицера информационной безопасности и один член Основной группы разработчиков. Таким образом, сообщения, посланные на адрес почтового алиаса <security-officer@FreeBSD.org>, доставляются следующим лицам:

Simon L. B. Nielsen <simon@FreeBSD.org> Офицер информационной безопасности
Colin Percival <cperciva@FreeBSD.org> Офицер информационной безопасности, эмерит
Robert Watson <rwatson@FreeBSD.org> Представитель группы по выпуску релизов,
представитель Проекта TrustedBSD, эксперт по архитектуре системной безопасности

Офицер информационной безопасности поддерживается Службой безопасности FreeBSD <secteam@FreeBSD.org>, небольшой группой коммиттеров, которую он выбирает сам.

Политика обработки информации

Как общее правило, Офицер безопасности FreeBSD предпочитает полное раскрытие информации об уязвимости после достаточного перерыва на выполнение тщательного анализа и устранения уязвимости, а также соответствующего тестирования исправления и взаимодействия с другими затронутыми командами.

Офицер безопасности будет уведомлять одного или большее количество администраторов кластера об уязвимостях, которые подвергают ресурсы Проекта FreeBSD непосредственной опасности.

Офицер безопасности может привлечь дополнительных разработчиков FreeBSD или внешних разработчиков к обсуждению предоставленной информации об уязвимости, если требуется их экспертиза для полного понимания или исправления проблемы. Будет выполнено необходимое разграничение для минимизации ненужного распространения информации о представленной уязвимости, и все привлечённые эксперты будут действовать в соответствии с указаниями Офицера безопасности. В прошлом привлекались эксперты с большим опытом работы с высокосложными компонентами операционной системы, включая FFS, подсистему VM и стек сетевых протоколов.

Если уже выполняется процесс выпуска релиза FreeBSD, то инженер, ответственный за выпуск релиза, может также быть оповещён об имеющейся уязвимости и её серьёзности, чтобы было принято решение об информировании относительно цикла выпуска релиза и наличии каких-либо серьёзных ошибок в программном обеспечении, связанном с готовящимся релизом. Если это будет необходимо, то Офицер безопасности не будет сообщать подробную информацию о природе уязвимости Инженеру по выпуску релиза, ограничиваясь информацией о её существовании и серьёзности.

Офицер безопасности FreeBSD поддерживает тесные рабочие отношения со многими другими организациями, включая сторонних разработчиков, имеющих с FreeBSD общий код (проекты OpenBSD, NetBSD и DragonFlyBSD, Apple и другие разработчики, программное обеспечение которых основано на FreeBSD, а также разработчики Linux), и организации, которые отслеживают уязвимости и случаи нарушения информационной безопасности, такие, как CERT. Зачастую уязвимости выходят за рамки реализации FreeBSD, и (наверное, реже) могут иметь широкий резонанс для всего сетевого сообщества. В таких условиях Офицер безопасности может раскрыть информацию об уязвимости этим сторонним организациям: если вы не хотите, чтобы Офицер безопасности это делал, пожалуйста, явно укажите это в своих сообщениях.

Сообщающие должны тщательно и явно указать любые свои требования относительно обработки сообщённой информации.

Если сообщающий об уязвимости заинтересован в координации процесса раскрытия с ним и/или другими разработчиками, это должно быть явно указано в сообщениях. При отсутствии явных требований Офицер безопасности FreeBSD выберет план раскрытия информации, который учитывает как требования оперативности, так и тестирования любых решений. Сообщающие должны иметь в виду, что если уязвимость активно обсуждается в открытых форумах (таких, как bugtraq) и используется, то Офицер Безопасности может решить не следовать предлагаемому плану по её раскрытию, для того, чтобы дать пользовательскому сообществу максимально эффективную защиту.

Сообщения могут быть защищены с помощью PGP. Если это нужно, то ответы также будут защищены посредством PGP.

Поддерживаемые релизы FreeBSD

Офицер информационной безопасности FreeBSD выпускает бюллетени безопасности для нескольких разрабатываемых веток FreeBSD. Это Ветки -STABLE и Ветки Security. (Бюллетени не выпускаются для Ветки -CURRENT.)

  • Тэги ветки -STABLE носят имена типа RELENG_7. Соответствующие сборки носят названия типа FreeBSD 7.0-STABLE.

  • Каждому релизу FreeBSD поставлена в соответствие ветка безопасности (Security Branch). Тэги веток безопасности именуются как RELENG_7_0. Соответствующие сборки носят названия типа FreeBSD 7.0-RELEASE-p1.

Проблемы, затрагивающие Коллекцию портов FreeBSD, описываются в документе FreeBSD VuXML.

Каждая ветка поддерживается Офицером безопасности в течение ограниченного времени. Ветки разделены на типы, которые определяют срок жизни, как показано ниже.

Раннее внедрение (Early Adopter)
Релизы, выпускаемые из ветки -CURRENT, будут поддерживаться Офицером безопасности как минимум в течение 6 месяцев после выхода.
Обычный (Normal)
Релизы, выпускаемые из ветки -STABLE, будут поддерживаться Офицером безопасности как минимум в течение 12 месяцев после выхода и в течение дополнительного времени (если потребуется), достаточного, чтобы следующий релиз был выпущен по крайней мере за 3 месяца до истечения срока поддержки предыдущего Обычного релиза.
Расширенный (Extended)
Отобранные релизы (обычно, каждый второй релиз и последний релиз из каждой ветки -STABLE) будут поддерживаться Офицером безопасности как минимум в течение 24 месяцев после выхода и в течение дополнительного времени (если потребуется), достаточного, чтобы следующий Расширенный релиз был выпущен по крайней мере за 3 месяца до истечения срока поддержки предыдущего Расширенного релиза.

Ниже приводятся текущее назначение и ожидаемое время жизни для поддерживаемых в настоящее время веток. В колонке Ожидаемое окончание срока жизни указана ближайшая дата, по истечении которой будет прекращена поддержка ветки. Пожалуйста, учтите, что эти даты могут быть сдвинуты в будущее, но только исключительные обстоятельства могут привести к отказу от поддержки ветки раньше указанной даты.

Ветка Релиз Тип Дата выхода Ожидаемое окончание срока жизни
RELENG_7 n/a n/a n/a 28 февраля 2013
RELENG_7_4 7.4-RELEASE Расширенный 24 февраля 2011 28 февраля 2013
RELENG_8 n/a n/a n/a последний релиз + 2 года
RELENG_8_3 8.3-RELEASE Расширенный 18 апреля 2012 30 апреля 2014
RELENG_9 n/a n/a n/a последний релиз + 2 года
RELENG_9_0 9.0-RELEASE Обычный 10 января 2012 31 марта 2013

Более старые релизы не поддерживаются, а их пользователям настоятельно рекомендуется произвести обновление до одной из поддерживаемых версий, указанных выше.

Бюллетени рассылаются в следующие списки рассылки FreeBSD:

  • FreeBSD-security-notifications@FreeBSD.org
  • FreeBSD-security@FreeBSD.org
  • FreeBSD-announce@FreeBSD.org

Список выпущенных бюллетеней можно найти на странице FreeBSD Security Advisories.

Бюллетени всегда подписываются с использованием PGP-ключа Офицера Безопасности и помещаются, вместе с соответствующими исправлениями, на web-сервер http://security.FreeBSD.org/ в поддиректории advisories и patches.

Неподдерживаемые релизы FreeBSD

Следующие релизы больше не поддерживаются и приведены здесь в справочных целях.

Ветка Релиз Тип Дата выхода Окончание срока жизни
RELENG_4 n/a n/a n/a 31 января 2007
RELENG_4_11 4.11-RELEASE Расширенный 25 января 2005 31 января 2007
RELENG_5 n/a n/a n/a 31 мая 2008
RELENG_5_3 5.3-RELEASE Расширенный 6 ноября 2004 31 октября 2006
RELENG_5_4 5.4-RELEASE Обычный 9 мая 2005 31 октября 2006
RELENG_5_5 5.5-RELEASE Расширенный 25 мая 2006 31 мая 2008
RELENG_6 n/a n/a n/a 30 ноября 2010
RELENG_6_0 6.0-RELEASE Обычный 4 ноября 2005 31 января 2007
RELENG_6_1 6.1-RELEASE Расширенный 9 мая 2006 31 мая 2008
RELENG_6_2 6.2-RELEASE Обычный 15 января 2007 31 мая 2008
RELENG_6_3 6.3-RELEASE Расширенный 18 января 2008 31 января 2010
RELENG_6_4 6.4-RELEASE Расширенный 28 ноября 2008 30 ноября 2010
RELENG_7_0 7.0-RELEASE Обычный 27 февраля 2008 30 апреля 2009
RELENG_7_1 7.1-RELEASE Расширенный 4 января 2009 28 февраля 2011
RELENG_7_2 7.2-RELEASE Обычный 4 мая 2009 30 июня 2010
RELENG_7_3 7.3-RELEASE Расширенный 23 марта 2010 31 марта 2012
RELENG_8_0 8.0-RELEASE Обычный 25 ноября 2009 30 ноября 2010
RELENG_8_1 8.1-RELEASE Расширенный 23 июля 2010 31 июля 2012
RELENG_8_2 8.2-RELEASE Обычный 24 февраля 2011 31 июля 2012