パスワードを忘れた? アカウント作成
13877466 story
BSD

NetBSD、メンテナンスの負担を理由にOpenBSD由来のファイアーウォールを廃止 60

ストーリー by hylom
まあ理由としては分かる 部門より
あるAnonymous Coward曰く、

NetBSDのメーリングリストで、OpenBSDで開発されたパケットフィルタである「PF」のサポートをNetBSDから削除することが宣言された(NetBSDのtech-kernメーリングリストへの投稿)。

この投稿によると、「PFを取り除くことについて内部で議論がなされた」という。「現在、NetBSDのPFは11歳で、メンテナンスを受けておらず、NetBSDではなく上流で修正されたバグや脆弱性が累積した状態にある」「最新の例として、直近で発見されたPFの脆弱性は2つあり、これらの脆弱性には興味がないため、NetBSDのPFでは修正されていません」とのことで、PFのレガシーな設計のせいでスケーラブル/高性能なカーネルでの移植に多大な作業が必要な状況になっているという。

OpenBSDのセキュリティの高さは、オペレーティングシステム界で屈指であり、関連するソフトウェアとしてはOpenSSHや「ハートブリード脆弱性」を解消したOpenSSL代替の暗号化ソフトLibreSSL等、Unix系オペレーティングシステムほかLinuxやWindows等、OpenBSDが開発したソフトウェアの多くが用いられている。

ファイアーウォールであるPFもその一つではあるが、PFを廃止する理由が、NetBSD側の「OpenBSDでなされたPFに関するバグフィックス」の不適用というメンテナンス体制の問題によるものであるところが、最大の問題点と言える。

通常、メンテナンス上「ソフトウェアのバグや脆弱性」というものは、上流である「開発元がメンテナンスを放置または放棄する」ことで「セキュリティリスク」が累積し、下流にあたる「利用者が離れていく」というのが一般的な流れである。

しかしながら、「開発元のメンテナンス不足」では無く「利用者のバグフィックスの不適用」が理由で「有益なソフトウェアの廃止」がなされることは、実に稀であり、まして、「ネットワークセキュリティ」という、OSにとっては最も重要となる部位で自らの「メンテナンス体制」の問題を事由に廃止されることは、稀有と言える。

この点、「pf消すとか頭おかしい。むしろほかのやつ消してちゃんとメンテすべき」との意見が出るなど、通信技術やOS・セキュリティ関連の専門家の間でも波紋が広がっている。

既に*BSD界隈の衰退については、かねてより指摘されているが、今回のNetBSDの対応はそれを差し置いても、異常と言える事態を指し示している。

なお、NetBSDではNPFというパケットフィルタがデフォルトで提供されており、一部機能は不足しているもののPFの代わりにこちらを代替として利用できるともしている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by ilonasive (6257) on 2019年04月04日 14時43分 (#3593346)

    OpenBSDのユーザですが、今回の件については特におかしなこととは思いません。

    PFはNATなどのアドレス変換、ルーティング制御、トラフィックの正規化などの種々の機能も持っています [openbsd.org]。当然のことながらカーネルに強く依存しています。件のメールで "PF's legacy design" というのはこのへんのことを言っているのでしょう。

    NetBSDに移植されてから11年経過しているとのことですが、その間に脆弱性の修正だけではなく機能の追加や性能向上のための改良がされています。

    ですので、NetBSDのPFを現在のバージョンにキャッチアップするのはかなり大変だと思います。
    差分を追って修正するより、移植をやりなおす方が手間が少ないかもしれません。

    それならNPFの開発一本に絞ったほうがいいという判断も納得できます。

    そもそもPFにしてからが、IPFilterの代替実装ですし。

    むしろ、なぜIPFを残しているのかというこの方が、個人的には不思議に思います。
    Removing PF [netbsd.org]の中でも、"its use is not recommended" とか書いてあるのに。

    • by Anonymous Coward

      > むしろ、なぜIPFを残しているのかというこの方が、個人的には不思議に思います。

      未修整の脆弱性が残ってたりはしないからでしょうかねえ…

      • by Anonymous Coward

        15年もの、20年ものの脆弱性なんていくらでもあるし、むしろ現代的なセキュリティ基準を前提に書かれていないコードのほうが不安なんだが

    • by Anonymous Coward

      > OpenBSDのユーザですが
       
      おぉぉぉおおぉぉ!!(興奮

  • メンテすべき? (スコア:1, すばらしい洞察)

    by Anonymous Coward on 2019年04月04日 6時12分 (#3593075)

    11年もメンテされてないって現実が、NetBSDプロジェクトの誰もメンテしたくないって事実を示してるだろ。
    ボランティアか(Linuxみたいにはなさそうだが)企業のスポンサーで開発してるんだろうから、金を出すか自分でメンテしろよ。

    • by Anonymous Coward

      ただ代替品入れてもやっぱメンテしないんだろなーってのが透けて見える。

      • by Anonymous Coward on 2019年04月04日 11時39分 (#3593216)

        > ただ代替品入れてもやっぱメンテしないんだろなーってのが透けて見える。

        え、その根拠は何でしょう?
        NetBSD には npf っていうのがあって、そっちをずっとメンテしてるんですよ。
        むしろみんな npf を使ってるから、pf がメンテされなくなっちゃったて話です。

        親コメント
        • by Anonymous Coward

          だとしたら別に問題はないわけで、はっきりってこのタレコミが何が言いたいのかわからんね。
          こういうのこそ編集者が手を加えるべきなんだけど(以下略

          • by Anonymous Coward

            > こういうのこそ編集者が手を加えるべきなんだけど(以下略

            今回は編集者が「NetBSDではNPFというパケットフィルタがデフォルトで提供されており」
            (つまり pf はデフォルトじゃない)って書き足してるわけで、そこは nice job だと思います。

            • by Anonymous Coward

              タレコミが何を言いたいのかわからない点は変わってないのでは。結局、何が問題なのさ?

              • by Anonymous Coward on 2019年04月04日 14時41分 (#3593344)

                OpenBSDの人なんでしょう
                原文を読むとFreeBSDでも削除を検討中とありますし、危機感を持っているのでは?
                しかしPFは興味ないし使ってないのでソースを見たこと無いですか、そんなに取り込みにくいつくりなの?

                親コメント
              • by Anonymous Coward

                > タレコミが何を言いたいのかわからない点は変わってないのでは

                実は編集者もその点についてはよく分からなかったので、タレコミ採用して
                意見募集してみたとかだったりしてw >タレコミが何を言いたいのかわからない点

              • by Anonymous Coward

                > しかしPFは興味ないし使ってないのでソースを見たこと無いですか、そんなに取り込みにくいつくりなの?

                FreeBSD や NetBSD は性能を気にしてマルチコアCPUでコア数が増えた場合の scalability を重視した作りに徐々に移行しているんですが、
                OpenBSD の場合はセキュリティ優先でコア数に関する scalability にそれほど重点を置いてはいないので、そのあたりで違いが出てる可能性があります。

                少なくともタレコミからリンクされている削除のアナウンスメールで scalable って単語が2回出ているのは、そういうコア数に関して scalable か否かという意味の筈です。

    • by Anonymous Coward

      11年メンテされてない、ではなく導入されて11年て意味でしょ…

      • by Anonymous Coward

        11年メンテされていないです。
        導入は2004年、OpenBSD 4.2に追従したのが2008年で、そこから止まってます。

  • by Anonymous Coward on 2019年04月04日 6時33分 (#3593080)

    何だこのパワーワード!? とおもって原文見たけど、興味ないのはPF自体じゃないの?

    • by Anonymous Coward

      ですね。
      lack of interest は vulnerabilities について言ってるわけじゃなくて pf の方を指してる筈です。

  • by qwerty (20776) on 2019年04月05日 1時30分 (#3593706) 日記

    pfSense は結構よくできたアプライアンスだと思うんだけど
    FreeBSD からも削除されるとなると pfSense 死亡?
    とりあえずのUIつきルータ+FWとしてはお手軽なんだけどね。

    おすすめ代替品ありますか

    --
    [Q][W][E][R][T][Y]
  • BSD事情はあまり知らないが、OpenBSDは色々なサービスがデフォルトで無効になっていると聞いたことがある。
    デフォルトで無効にすることで、サービスを有効にするときセキュリティの意識をせざるを得ないので結果的に堅牢なシステムとなる、らしい

    「利用者のバグフィックスの不適用」が理由というのは他のライブラリ等にも起こりうることで、今回「PF」のサポートを打ち切ったことで
    打ち切りが加速するのではないか?
    自らコミュニティを衰退させているようなものだと思う。

  • by Anonymous Coward on 2019年04月04日 7時23分 (#3593089)

    新しいほうが良いってか

    • by Anonymous Coward on 2019年04月04日 8時24分 (#3593106)

      自分のエコシステム内で開発したNPFがあるから他所から移植してきたPFを削除するというのは普通のことに見えますが、この界隈では違うロジックがあるんでしょうかね?そんなにPFが欲しければ元のOSを使えば良いわけだし。

      親コメント
      • by Anonymous Coward on 2019年04月04日 11時07分 (#3593193)

        > 自分のエコシステム内で開発したNPFがあるから他所から移植してきたPFを削除するというのは普通のことに見えますが

        ですよねえ。

        NetBSDプロジェクトとしては npf の方を改良していくことでずいぶん前にコンセンサスが
        とれていたようですし、興味のある人がいなくてメンテされていない方の実装が削除されるのは
        OSS としては当然の流れだと思います。本当に必要であればメンテもされていたでしょうし、
        こういうことにはなってないのではないかと。
        それにメンテされていなくて穴があるセキュリティ機能を残しておくことは、デフォルトでは無効
        であるといっても間違って利用してしまう危険が残りますから、セキュリティ的な見地からは
        むしろ削除は必然である筈です。

        「pf 消すとか頭おかしい」って言ってる人はNetBSDの人ではなくてOpenBSDの人なので、
        OpenBSDの立場から見ると当然そういう感想になるだろうなとは思いますが。

        親コメント
      • by Anonymous Coward

        hylom たんが編集者として機能していることは、稀有と言える。

  • by Anonymous Coward on 2019年04月04日 8時03分 (#3593099)

    一時はLinuxといい勝負してたのなぁ
    企業がついたかつかなかったかのさなんだろうが

    • by Anonymous Coward

      > 企業がついたかつかなかったかのさなんだろうが
       
      間口の広さじゃないですか?
      初心者ウェルカムのところと、初心者は十字砲火されるところ。
      後者は衰退しかない。

      • by Anonymous Coward on 2019年04月04日 10時46分 (#3593177)

        個人のイメージですが、十字砲火されるのはLinuxの方のような…

        親コメント
        • by Anonymous Coward

          確かに、"man hoge" の一行レスは十字砲火とは言えませんよね。

        • by Anonymous Coward

          linux-kernelのメーリングリストのことかな?
          あれは確かに罵詈雑言の十字砲火だけど、カーネル本体をハッキングするのでなければあんなの投稿どころか読む必要すらない。

    • by Anonymous Coward

      組み込み市場を取れたのはGPLの方だったことだなあ

      • by Anonymous Coward

        ライセンス形態は直接には関係ないと思うが、GPLのほうが優秀な開発者をひきつけられたのかなあ。

        • by Anonymous Coward

          ちょっとまった。

          iOSはBSD系でAndroidはLinux系。AndroidはGPLに縛られてるからみんながLinuxと思ってるけど、iOSの再配布はBSDライセンスで許諾されてるわけじゃないからもはやBSDじゃないと思ってるってだけでしょ。まさにライセンス問題以外の何物でもないと思うが。

          khtmlもGPLだったら、メジャーな存在になりあがってたと思う。AppleがLGPLに従って機械的にdiffを送り付けてた時はスラドでも話題になった。

          • by Anonymous Coward

            > AndroidはLinux系

            Android はカーネルについては Linux なので GPL なんだけど、libc は BSD 由来で、
            つまりどちらも使ってます。

            • by Anonymous Coward

              なるほど。そりゃlibcが決め打ちな環境でglibcを採用してしまうと、表記上の問題がなくてもリバースエンジニアリング禁止条項に引っかかってしまいますからね。昨今の逆コンパイラ性能だと、エコシステム全体がオープンソース化するのと大差なくなるわけで。

              # 大企業が本気でAI使ったら変数名まで含めて復元できそう。

              • by Anonymous Coward

                > 大企業が本気でAI使ったら変数名まで含めて復元できそう。
                 
                それはいいな。a1, a2, ..., a12って変数を縦横無尽に使ったコードをかつて見たけど、それで復元してもらったほうが良いソースコードになりそうです。

          • by Anonymous Coward

            なに、khtmlがGPLだったとしたらWebKitに取って変わることができただろう、とでも言いたいの?
            その場合khtmlは今と同じくKDEの外ではほぼ顧みられず、かわってgeckoベースのWebKitが世界を蹂躙することになっただろう。
            GPLのライブラリはプロプライエタリなソフトに組み込めない時点でオープンソース界の外には出られない。

            • by Anonymous Coward

              いや、LGPLだってオープンソースだし、SafariもChromeもソースコード公開されてるよ。

          • by Anonymous Coward

            AndroidをLinuxと看做す輩が多過ぎ。
            関係するのはカーネルだけでしょ。

            • by Anonymous Coward

              > AndroidをLinuxと看做す輩が多過ぎ。
              > 関係するのはカーネルだけでしょ。

              Android 以外でもほとんどの Linux distro が同罪でしょ。
              無罪なのは GNUのユーザランド込みの場合は GNU/Linux と呼ぶ Debian みたいな distro だけ(ぉぃ
              Androidのユーザランドは GNU じゃないわけで Android/Linux って感じ?

              • by Anonymous Coward

                同罪も何も、Linuxカーネル使ってらら Linux だろ。
                Linux というのはカーネルのプロダクト名じゃないか。
                それ以外に Linux が存在するのか?

              • by Anonymous Coward

                > Linux というのはカーネルのプロダクト名じゃないか。

                もちろんその通りですよ。Linux を Linux と呼ぶのは何の問題もありません。

                > 同罪も何も、Linuxカーネル使ってらら Linux だろ。

                そこはたぶん違って、たとえば Linux カーネルを使ったアプライアンスってたくさんあるわけですが、
                たとえば BIG-IP 製品全体を指して Linux と呼ぶかっていうかっていうと呼ばないですよね。
                BIG-IP とか「Linux を使ったアプライアンス」とは呼ぶけど、Linux とは呼ばない。
                なぜなら Linux 以外の部分にも付加価値があるから。

                同じように Linux 系 distro について、Linux と同規模かそれ以上のサイズを占めている
                Android 独自部とか、GNUプロジェクト独自のソフトウェアを名前に入れなくていいのかっていう話です。

        • by Anonymous Coward

          GitHub界隈だとMITライセンスが流行っているみたいですね.
          OSとアプリケーションは動向が違うかもしれませんが.

    • by Anonymous Coward

      10年かなぁ? もっとな気がするのだけど...

      • by Anonymous Coward

        そういう意味では、この10年間で衰退した印象はないなぁ。

        # ipfwしか使ったことのないFreeBSDユーザ

  • by Anonymous Coward on 2019年04月04日 17時57分 (#3593502)

    https://marc.info/?l=openbsd-tech&m=155409489427092&w=2 [marc.info]

    > There have been internal discussions about OpenBSD also removing the pf
    > packet filter after the upcoming 6.5 release. Instead a switch to
    > using David Gwynne's new bpf filter will happen.

    • ・Subjectと本文の出だしがNetBSDのものと一緒

      ・投稿日に注目

      親コメント
    • by Anonymous Coward

      https://marc.info/?t=155389120900005&r=1&w=2 [marc.info]
      どうやらNetBSDからのnpfへのお誘いのようにも見える
      かくいうも久々のUNIX関連それも*BSD関連の議論が交されたことに意義を感じるのです^^

      • by Anonymous Coward

        来歴をふりかえっても
        ipfilterはもうだめだ→OpenBSDにPFがあるぞ→移植しよう!→NetBSD,FreeBSDにPFが実装される
        だったのだから
        PFはもうだめだ→NetBSDにnpfがあるぞ→移植しよう!→OpenBSD,FreeBSDにnpfが実装される
        になっても何の不思議もない

typodupeerror

Stay hungry, Stay foolish. -- Steven Paul Jobs

読み込み中...