NetBSD、メンテナンスの負担を理由にOpenBSD由来のファイアーウォールを廃止 60
まあ理由としては分かる 部門より
NetBSDのメーリングリストで、OpenBSDで開発されたパケットフィルタである「PF」のサポートをNetBSDから削除することが宣言された(NetBSDのtech-kernメーリングリストへの投稿)。
この投稿によると、「PFを取り除くことについて内部で議論がなされた」という。「現在、NetBSDのPFは11歳で、メンテナンスを受けておらず、NetBSDではなく上流で修正されたバグや脆弱性が累積した状態にある」「最新の例として、直近で発見されたPFの脆弱性は2つあり、これらの脆弱性には興味がないため、NetBSDのPFでは修正されていません」とのことで、PFのレガシーな設計のせいでスケーラブル/高性能なカーネルでの移植に多大な作業が必要な状況になっているという。
OpenBSDのセキュリティの高さは、オペレーティングシステム界で屈指であり、関連するソフトウェアとしてはOpenSSHや「ハートブリード脆弱性」を解消したOpenSSL代替の暗号化ソフトLibreSSL等、Unix系オペレーティングシステムほかLinuxやWindows等、OpenBSDが開発したソフトウェアの多くが用いられている。
ファイアーウォールであるPFもその一つではあるが、PFを廃止する理由が、NetBSD側の「OpenBSDでなされたPFに関するバグフィックス」の不適用というメンテナンス体制の問題によるものであるところが、最大の問題点と言える。
通常、メンテナンス上「ソフトウェアのバグや脆弱性」というものは、上流である「開発元がメンテナンスを放置または放棄する」ことで「セキュリティリスク」が累積し、下流にあたる「利用者が離れていく」というのが一般的な流れである。
しかしながら、「開発元のメンテナンス不足」では無く「利用者のバグフィックスの不適用」が理由で「有益なソフトウェアの廃止」がなされることは、実に稀であり、まして、「ネットワークセキュリティ」という、OSにとっては最も重要となる部位で自らの「メンテナンス体制」の問題を事由に廃止されることは、稀有と言える。
この点、「pf消すとか頭おかしい。むしろほかのやつ消してちゃんとメンテすべき」との意見が出るなど、通信技術やOS・セキュリティ関連の専門家の間でも波紋が広がっている。
既に*BSD界隈の衰退については、かねてより指摘されているが、今回のNetBSDの対応はそれを差し置いても、異常と言える事態を指し示している。
なお、NetBSDではNPFというパケットフィルタがデフォルトで提供されており、一部機能は不足しているもののPFの代わりにこちらを代替として利用できるともしている。
いんじゃね? (スコア:2)
OpenBSDのユーザですが、今回の件については特におかしなこととは思いません。
PFはNATなどのアドレス変換、ルーティング制御、トラフィックの正規化などの種々の機能も持っています [openbsd.org]。当然のことながらカーネルに強く依存しています。件のメールで "PF's legacy design" というのはこのへんのことを言っているのでしょう。
NetBSDに移植されてから11年経過しているとのことですが、その間に脆弱性の修正だけではなく機能の追加や性能向上のための改良がされています。
ですので、NetBSDのPFを現在のバージョンにキャッチアップするのはかなり大変だと思います。
差分を追って修正するより、移植をやりなおす方が手間が少ないかもしれません。
それならNPFの開発一本に絞ったほうがいいという判断も納得できます。
そもそもPFにしてからが、IPFilterの代替実装ですし。
むしろ、なぜIPFを残しているのかというこの方が、個人的には不思議に思います。
Removing PF [netbsd.org]の中でも、"its use is not recommended" とか書いてあるのに。
Re: (スコア:0)
> むしろ、なぜIPFを残しているのかというこの方が、個人的には不思議に思います。
未修整の脆弱性が残ってたりはしないからでしょうかねえ…
Re: (スコア:0)
15年もの、20年ものの脆弱性なんていくらでもあるし、むしろ現代的なセキュリティ基準を前提に書かれていないコードのほうが不安なんだが
Re: (スコア:0)
> OpenBSDのユーザですが
おぉぉぉおおぉぉ!!(興奮
メンテすべき? (スコア:1, すばらしい洞察)
11年もメンテされてないって現実が、NetBSDプロジェクトの誰もメンテしたくないって事実を示してるだろ。
ボランティアか(Linuxみたいにはなさそうだが)企業のスポンサーで開発してるんだろうから、金を出すか自分でメンテしろよ。
Re: (スコア:0)
ただ代替品入れてもやっぱメンテしないんだろなーってのが透けて見える。
Re:メンテすべき? (スコア:1)
> ただ代替品入れてもやっぱメンテしないんだろなーってのが透けて見える。
え、その根拠は何でしょう?
NetBSD には npf っていうのがあって、そっちをずっとメンテしてるんですよ。
むしろみんな npf を使ってるから、pf がメンテされなくなっちゃったて話です。
Re: (スコア:0)
だとしたら別に問題はないわけで、はっきりってこのタレコミが何が言いたいのかわからんね。
こういうのこそ編集者が手を加えるべきなんだけど(以下略
Re: (スコア:0)
> こういうのこそ編集者が手を加えるべきなんだけど(以下略
今回は編集者が「NetBSDではNPFというパケットフィルタがデフォルトで提供されており」
(つまり pf はデフォルトじゃない)って書き足してるわけで、そこは nice job だと思います。
Re: (スコア:0)
タレコミが何を言いたいのかわからない点は変わってないのでは。結局、何が問題なのさ?
Re:メンテすべき? (スコア:1)
OpenBSDの人なんでしょう
原文を読むとFreeBSDでも削除を検討中とありますし、危機感を持っているのでは?
しかしPFは興味ないし使ってないのでソースを見たこと無いですか、そんなに取り込みにくいつくりなの?
Re: (スコア:0)
> タレコミが何を言いたいのかわからない点は変わってないのでは
実は編集者もその点についてはよく分からなかったので、タレコミ採用して
意見募集してみたとかだったりしてw >タレコミが何を言いたいのかわからない点
Re: (スコア:0)
> しかしPFは興味ないし使ってないのでソースを見たこと無いですか、そんなに取り込みにくいつくりなの?
FreeBSD や NetBSD は性能を気にしてマルチコアCPUでコア数が増えた場合の scalability を重視した作りに徐々に移行しているんですが、
OpenBSD の場合はセキュリティ優先でコア数に関する scalability にそれほど重点を置いてはいないので、そのあたりで違いが出てる可能性があります。
少なくともタレコミからリンクされている削除のアナウンスメールで scalable って単語が2回出ているのは、そういうコア数に関して scalable か否かという意味の筈です。
Re: (スコア:0)
11年メンテされてない、ではなく導入されて11年て意味でしょ…
Re: (スコア:0)
11年メンテされていないです。
導入は2004年、OpenBSD 4.2に追従したのが2008年で、そこから止まってます。
これらの脆弱性には興味がないため (スコア:1)
何だこのパワーワード!? とおもって原文見たけど、興味ないのはPF自体じゃないの?
Re: (スコア:0)
ですね。
lack of interest は vulnerabilities について言ってるわけじゃなくて pf の方を指してる筈です。
pfSense どうなるかな (スコア:1)
pfSense は結構よくできたアプライアンスだと思うんだけど
FreeBSD からも削除されるとなると pfSense 死亡?
とりあえずのUIつきルータ+FWとしてはお手軽なんだけどね。
おすすめ代替品ありますか
[Q][W][E][R][T][Y]
Re:pfSense どうなるかな (スコア:1)
普通のOSでルータ作るのとかわらない・・・
WebUI でぽちぽち出来るのが簡単な検証環境構築とかに便利なんですよね。。
[Q][W][E][R][T][Y]
Re:pfSense どうなるかな (スコア:1)
やっぱついてないか・・・
でもこれはこれで面白そうなので情報ありがとうございます
[Q][W][E][R][T][Y]
サポートをやめるのではなくデフォルトで無効にしたら? (スコア:0)
BSD事情はあまり知らないが、OpenBSDは色々なサービスがデフォルトで無効になっていると聞いたことがある。
デフォルトで無効にすることで、サービスを有効にするときセキュリティの意識をせざるを得ないので結果的に堅牢なシステムとなる、らしい
「利用者のバグフィックスの不適用」が理由というのは他のライブラリ等にも起こりうることで、今回「PF」のサポートを打ち切ったことで
打ち切りが加速するのではないか?
自らコミュニティを衰退させているようなものだと思う。
Re:サポートをやめるのではなくデフォルトで無効にしたら? (スコア:1)
もともとデフォルトでは動いていないでしょ
NetBSDもFreeBSDもカーネルに組み込めるフィルターはいくつがあってそのうちの一つを捨てるという話
それにもともとOpenBSDのPFもNetBSDに使われていたipfilterを捨てて作られたものだし
別にどうという話では無いと思うけど
ナントカとPFは (スコア:0)
新しいほうが良いってか
Re:ナントカとPFは (スコア:1)
自分のエコシステム内で開発したNPFがあるから他所から移植してきたPFを削除するというのは普通のことに見えますが、この界隈では違うロジックがあるんでしょうかね?そんなにPFが欲しければ元のOSを使えば良いわけだし。
Re:ナントカとPFは (スコア:1)
> 自分のエコシステム内で開発したNPFがあるから他所から移植してきたPFを削除するというのは普通のことに見えますが
ですよねえ。
NetBSDプロジェクトとしては npf の方を改良していくことでずいぶん前にコンセンサスが
とれていたようですし、興味のある人がいなくてメンテされていない方の実装が削除されるのは
OSS としては当然の流れだと思います。本当に必要であればメンテもされていたでしょうし、
こういうことにはなってないのではないかと。
それにメンテされていなくて穴があるセキュリティ機能を残しておくことは、デフォルトでは無効
であるといっても間違って利用してしまう危険が残りますから、セキュリティ的な見地からは
むしろ削除は必然である筈です。
「pf 消すとか頭おかしい」って言ってる人はNetBSDの人ではなくてOpenBSDの人なので、
OpenBSDの立場から見ると当然そういう感想になるだろうなとは思いますが。
Re: (スコア:0)
hylom たんが編集者として機能していることは、稀有と言える。
この10年でBSDは死に体になった (スコア:0)
一時はLinuxといい勝負してたのなぁ
企業がついたかつかなかったかのさなんだろうが
Re: (スコア:0)
> 企業がついたかつかなかったかのさなんだろうが
間口の広さじゃないですか?
初心者ウェルカムのところと、初心者は十字砲火されるところ。
後者は衰退しかない。
Re:この10年でBSDは死に体になった (スコア:1)
個人のイメージですが、十字砲火されるのはLinuxの方のような…
Re: (スコア:0)
確かに、"man hoge" の一行レスは十字砲火とは言えませんよね。
Re: (スコア:0)
linux-kernelのメーリングリストのことかな?
あれは確かに罵詈雑言の十字砲火だけど、カーネル本体をハッキングするのでなければあんなの投稿どころか読む必要すらない。
Re: (スコア:0)
組み込み市場を取れたのはGPLの方だったことだなあ
Re: (スコア:0)
ライセンス形態は直接には関係ないと思うが、GPLのほうが優秀な開発者をひきつけられたのかなあ。
Re: (スコア:0)
ちょっとまった。
iOSはBSD系でAndroidはLinux系。AndroidはGPLに縛られてるからみんながLinuxと思ってるけど、iOSの再配布はBSDライセンスで許諾されてるわけじゃないからもはやBSDじゃないと思ってるってだけでしょ。まさにライセンス問題以外の何物でもないと思うが。
khtmlもGPLだったら、メジャーな存在になりあがってたと思う。AppleがLGPLに従って機械的にdiffを送り付けてた時はスラドでも話題になった。
Re: (スコア:0)
> AndroidはLinux系
Android はカーネルについては Linux なので GPL なんだけど、libc は BSD 由来で、
つまりどちらも使ってます。
Re: (スコア:0)
なるほど。そりゃlibcが決め打ちな環境でglibcを採用してしまうと、表記上の問題がなくてもリバースエンジニアリング禁止条項に引っかかってしまいますからね。昨今の逆コンパイラ性能だと、エコシステム全体がオープンソース化するのと大差なくなるわけで。
# 大企業が本気でAI使ったら変数名まで含めて復元できそう。
Re: (スコア:0)
> 大企業が本気でAI使ったら変数名まで含めて復元できそう。
それはいいな。a1, a2, ..., a12って変数を縦横無尽に使ったコードをかつて見たけど、それで復元してもらったほうが良いソースコードになりそうです。
Re: (スコア:0)
なに、khtmlがGPLだったとしたらWebKitに取って変わることができただろう、とでも言いたいの?
その場合khtmlは今と同じくKDEの外ではほぼ顧みられず、かわってgeckoベースのWebKitが世界を蹂躙することになっただろう。
GPLのライブラリはプロプライエタリなソフトに組み込めない時点でオープンソース界の外には出られない。
Re: (スコア:0)
いや、LGPLだってオープンソースだし、SafariもChromeもソースコード公開されてるよ。
Re: (スコア:0)
AndroidをLinuxと看做す輩が多過ぎ。
関係するのはカーネルだけでしょ。
Re: (スコア:0)
> AndroidをLinuxと看做す輩が多過ぎ。
> 関係するのはカーネルだけでしょ。
Android 以外でもほとんどの Linux distro が同罪でしょ。
無罪なのは GNUのユーザランド込みの場合は GNU/Linux と呼ぶ Debian みたいな distro だけ(ぉぃ
Androidのユーザランドは GNU じゃないわけで Android/Linux って感じ?
Re: (スコア:0)
同罪も何も、Linuxカーネル使ってらら Linux だろ。
Linux というのはカーネルのプロダクト名じゃないか。
それ以外に Linux が存在するのか?
Re: (スコア:0)
> Linux というのはカーネルのプロダクト名じゃないか。
もちろんその通りですよ。Linux を Linux と呼ぶのは何の問題もありません。
> 同罪も何も、Linuxカーネル使ってらら Linux だろ。
そこはたぶん違って、たとえば Linux カーネルを使ったアプライアンスってたくさんあるわけですが、
たとえば BIG-IP 製品全体を指して Linux と呼ぶかっていうかっていうと呼ばないですよね。
BIG-IP とか「Linux を使ったアプライアンス」とは呼ぶけど、Linux とは呼ばない。
なぜなら Linux 以外の部分にも付加価値があるから。
同じように Linux 系 distro について、Linux と同規模かそれ以上のサイズを占めている
Android 独自部とか、GNUプロジェクト独自のソフトウェアを名前に入れなくていいのかっていう話です。
Re: (スコア:0)
GitHub界隈だとMITライセンスが流行っているみたいですね.
OSとアプリケーションは動向が違うかもしれませんが.
Re: (スコア:0)
10年かなぁ? もっとな気がするのだけど...
Re: (スコア:0)
そういう意味では、この10年間で衰退した印象はないなぁ。
# ipfwしか使ったことのないFreeBSDユーザ
本家(OpenBSD)も変更を計画中ですし (スコア:0)
https://marc.info/?l=openbsd-tech&m=155409489427092&w=2 [marc.info]
> There have been internal discussions about OpenBSD also removing the pf
> packet filter after the upcoming 6.5 release. Instead a switch to
> using David Gwynne's new bpf filter will happen.
Re:本家(OpenBSD)も変更を計画中ですし (スコア:2)
・Subjectと本文の出だしがNetBSDのものと一緒
・投稿日に注目
Re: (スコア:0)
https://marc.info/?t=155389120900005&r=1&w=2 [marc.info]
どうやらNetBSDからのnpfへのお誘いのようにも見える
かくいうも久々のUNIX関連それも*BSD関連の議論が交されたことに意義を感じるのです^^
Re: (スコア:0)
来歴をふりかえっても
ipfilterはもうだめだ→OpenBSDにPFがあるぞ→移植しよう!→NetBSD,FreeBSDにPFが実装される
だったのだから
PFはもうだめだ→NetBSDにnpfがあるぞ→移植しよう!→OpenBSD,FreeBSDにnpfが実装される
になっても何の不思議もない