OpenBSD

009: SECURITY FIX: May 30, 2004

 ( trey | 2004. június 1., kedd - 11:00 )

Biztonsági hibát találtak a kdc(8) Kerberos V szerverben.

A javítások elérhetők az OpenBSD 3.5-höz itt, az OpenBSD 3.4-hez pedig itt.
Bővebb infó a hibáról itt.

Hotplug támogatás az OpenBSD-current -ben

 ( trey | 2004. május 30., vasárnap - 20:19 )

Alexander Yurchenko munkájának köszönhetően az OpenBSD-current-ben megjelent az eszköz hotplug támogatás.

008: SECURITY FIX: May 26, 2004

 ( trey | 2004. május 30., vasárnap - 9:10 )

Az IPv6 kód xdm(1)-ben való megjelenésével a 'requestPort' erőforrás egyik ellenőrzése véletlenül kimaradt. Ha a DisplayManager.requestPort 0 értéket vesz fel, akkor az xdm egy chooserFd TCP socketet nyit az összes interfészen, amely biztonsági rizikót jelenthet. Bővebben a Bugzilla-ban.

USB 2.0 támogatás az OpenBSD-ben

 ( trey | 2004. május 25., kedd - 6:19 )

Május 23-án bekerült az OpenBSD -current-be az USB 2.0 támogatás.

OpenBSD - Csomagok és portok használata

 ( trey | 2004. május 24., hétfő - 17:08 )

Nagy Róbertnek köszönhetően ma megismerkedhetünk az OpenBSD csomag kezelésével és port fájának használatával. Az OpenBSD-vel most ismerkedőknek valószínűleg hasznos lesz ez a képekkel illusztrált ``howto".

StackGhost OpenBSD/sparc-on

 ( trey | 2004. május 23., vasárnap - 20:46 )

Theo de Raadt bejelentése szerint egy újabb védelmi mechanizmusnak örvendhetnek a sparc (v6 v7 v8) gépek tulajdonosai a W^X és a Propolice mellett. Az új funkció a StackGhost névre hallgat, és védelmet nyújt a puffer túlcsordulásos támadásokkal szemben.

OpenBSD: Terhelés-elosztó web szerver készítése CARP-pal

 ( trey | 2004. május 23., vasárnap - 12:40 )

Az OpenBSD-vel foglalkozó előző írásaimban megismerkedhettünk az OpenBSD 3.5 telepítésének menetével, elvégeztük a rendszer alapvető beállítását, lefordítottuk a saját, az OpenBSD csapat által támogatott kernelünket, majd megpróbáltunk magas rendelkezésre-állású failover web szervert készíteni az OpenBSD 3.5-ben bemutatkozó CARP segítségével.

Az elkészült web szerverünk szépen tette is a dolgát egy ideig. Szerencsére sikerült olyan web tartalommal feltölteni, amelyre sokan voltak kíváncsiak.
Egyszer csak azt vettük észre, hogy a web szerverünk folyamatosan lassult, majd először csak délutánonként nem volt elérhető, a későbbiekben pedig rendszeresen kiszolgálási gondjaink akadtak. Főleg olyankor, amikor egy-egy sokat látogatott oldalon linkelték a mi web oldalunkat, és hirtelen nagy számú kérés érkezett felénk, amelyet a web szerverünk nem tudott kiszolgálni. Az interneten a fent leírt jelenséget Slashdot effektusnak nevezik. A Slashdot effektus, vagy egyéb nagy webes terhelés ellen egy ideig harcolhatunk úgy, hogy nagyobb teljesítményű processzort, több memóriát, gyorsabb merevlemezt építünk a gépünkbe, de egy idő után rá kell jönnünk, hogy az ilyen típusú terhelések ellen egy géppel nem vehetjük fel sikerrel a harcot.

007: SECURITY FIX: May 20, 2004

 ( trey | 2004. május 21., péntek - 7:05 )

Heap túlcsordulási hibát találtak a cvs(1) szerverben. A hibát kihasználva tetszőleges kód futtatható a szerveren a cvs(1) szervert futtató felhasználó nevében.

A javítás elérhető az OpenBSD 3.4-hez itt, az OpenBSD 3.5-höz pedig itt.

Bővebb infó az OpenBSD errata oldalon.

OpenBSD ports-security levelező lista

 ( thuglife | 2004. május 18., kedd - 20:17 )

Nemrég elindult a ports-security levelező lista. Erre a listára a portokat és a csomagokat érintő biztonsági figyelmeztetéseket küldjük a támogatott kiadásokhoz. Jelenleg ez az OpenBSD 3.4 és az OpenBSD 3.5. Az SA-k alapjául az OpenBSD VuXML dokumentum szolgál, amely megtekinthető a http://www.vuxml.org/openbsd címen.

OpenBSD: magas rendelkezésre-állású webszerver készítése CARP-pal

 ( trey | 2004. május 15., szombat - 12:28 )

Most, hogy sikeresen feltelepítettük az OpenBSD 3.5 operációs rendszerünket, beállítgattuk az alapvető dolgokat, és megtanultunk szupportált kernelt fordítani, azt a feladatot kaptuk, hogy olyan web szervert kell készítenünk, amely üzleti kritikus környezetben fog működni, és ha törik ha szakad annak üzemelnie kell.
Nem megengedett a downtime, és meg van adva, hogy éves szinten maximum 5 percet állhat a web szerverünk. Ez azt jelenti, hogy 99.999% (5 9-es) rendelkezésre-állású (High Availability - HA) web szervert kell készítenünk, amely az év 365 napján üzemel. Sok pénzünk nincs, a nagy vasak elfelejtve, de van a sarokban néhány jobb minőségű asztali PC, amelyet a nemrég elbocsátott kollégák hagytak itt. Ezekből kell a feladatot megoldani.

Nem kis feladat, és több helyen is buktatókkal van tűzdelve, de azért próbáljuk meg!

A magas rendelkezésre-állású rendszereknél a legnagyobb ellenfelünk a Single Point of Failure (SPF), amit magyarra talán úgy lehetne átültetni, hogy az ``egy pontból eredő megbízhatatlanság" vagy ``egy pontból eredő hibaforrás". Ha HA rendszert akaruk építeni, akkor rendszerünkből el kell tünteni a SPF-eket.

A SPF olyan meghibásodás, amely ha bekövetkezik, akkor a HA rendszerünk üzemszerű működése megszűnik. Képzeljünk el egy failover clustert, amely egy darab 220 voltos hosszabbítóba van bedugva. Hiába van 2 node-ból álló cluster-ünk, hiába figyeli az egyik node szorgalmasan a másik node által küldözgetett heartbeat-eket, ha jön a takarító néni, és szépen kitakarítja a konnektorból a betápot. Ebben az esetben a SPF a 220 voltos áramellátás. Vagy képzeljük el shared SCSI alapú failover cluster esetén, hogy meghibásodik a node-okat a diszk alrendszerrel összekötő kábel. Ez esetben a frontendek hiába működnek, ha a backend megadta magát. Itt az SPF a diszk alrendszert a node-okkal összekötő kábel lenne. Sok egyéb példát lehetne még hozni, de egy biztos: a jelszó a SPF-ek eltüntetése.

Szeretnél segíteni az OpenBSD-nek?

 ( trey | 2004. május 12., szerda - 17:03 )

Anonymous küldte be a hírt:

Kedves jelenlegi, vagy leendő OpenBSD felhasználó! Ha szeretnéd támogatni a projektünket, akkor az alábbi dologban tudnál a segítségünkre lenni:

Nagyon nagy hasznát tudnánk venni olyan hardvereknek amelyek jelenleg nem támogatottak az OpenBSD operációs rendszer által, illetve olyan hardvereknek is, amelyek támogatottak de tesztelésre nagyon jól jönnének. Itt különböző architektúrájú gépekre gondolunk (sparc, sparc64, amd64, alpha, stb.).

A PF User's Guide BSD Licenc alatt

 ( trey | 2004. május 9., vasárnap - 8:06 )

Daniel Hartmeier, az OpenBSD-s PF szerzőjének bejelentése szerint a OpenBSD PF User's Guide munka BSD Licenc alá került.

OpenBSD - a rendszer építése forrásból (kernel)

 ( trey | 2004. május 8., szombat - 13:48 )

Nna, a visszajelzésekből úgy látom, hogy egyre többen érdeklődnek az OpenBSD iránt. Remélem, hogy az első kettő írás kedvet csinált ehhez a szoftver disztribúcióhoz. Aki esetleg most kapcsolódna be a dologba, az megtalálja a telepítésre vonatkozó információkat itt, a telepítés után ajánlott első lépések leírását itt.

A mai napon azt nézzük meg, hogy hogyan kell saját, az OpenBSD csapat által is támogatott kernelt fordítani. Vágjunk bele:

1.1.) az OpenBSD kiadások

Az OpenBSD-nek három kiadása (flavor = íz, aroma, illat, ahogy az OpenBSD-sek hívják) létezik:

-release: Az OpenBSD-nek az a verziója, amely 6 hónaponként került kiadásra CD-n
-stable: A release, plusz azok a kritikus patchek, javítások (az errata oldalról), amelyek fontosak a biztonságos és stabil működéshez
-current: Az OpenBSD ``éppen aktuális'' verziója, amely fejlesztés alatt áll, és amelyből 6 havonta -release lesz

Grafikusan ez valahogy így néz ki:

Interjú az OpenBSD PF fejlesztőivel (2. rész)

 ( trey | 2004. május 8., szombat - 8:41 )

Folytatódik az április közepén megkezdett OnLamp interjú az OpenBSD PF (packet filter - csomag szűrő) fejlesztőivel.

Az interjú második részét megtalálod az O'Reilly Network BSD Devcenter rovatában itt.

005: RELIABILITY FIX: Reply to in-window SYN with a rate-limited ACK

 ( trey | 2004. május 7., péntek - 8:57 )

Az OpenBSD csapat egy megbízhatóságot javító patchet adott ki minap a korábban a HUP-on is említett TCP implementációban található sebezhetőség ellen.

Készítsünk saját OpenBSD telepítő CD-t

 ( Aigeruth | 2004. május 6., csütörtök - 14:16 )

Hozzávalók: internet elérés, egy működő tükör szerver, mkisofs, cdíró program, és kétnapi hideg élelem.

1.) Szemeljünk ki egy szervert, FTP-zzünk fel rá.
2.) Majd keressük az OpenBSD könyvtárat.
3.) Készítsünk elő egy könytvárat a gépünkön. Legyen mondjuk: openbsd.
4.) Ebben hozzunk létre egy 3.5 nevű könyvtárat.
5.) Töltsük le bele a szerverről a tools, i386 könyvtárat, és ízlés szerint a packages könyvtárból, amit csak kívánunk. A szöveges fileok esetleg mehetnek a 3.5-be.
6.) Majd keressük az XF4.tgz, ports.tgz, src.tgz, sys.tgz nevű fájlokat, és rakjuk az openbsd könyvtárunkba. Ezzel az előkészületekkel készen is lennénk.

OpenBSD 3.5 - Az első lépések a telepítés után (kezdőknek)

 ( trey | 2004. május 6., csütörtök - 11:45 )

A múlt alkalommal sikeresen telepítettük az OpenBSD 3.5 rendszerünket, és odáig jutottunk, hogy az első boot után login-oltunk ``root'' felhasználóként. Akkor azt ígértem, hogy a következő részben nekiállunk saját kernelt fordítani, de meggondoltam magam. Ennek az oka az, hogy aki most ismerkedik az OpenBSD-vel, annak számos dolog furcsa lehet, bizonyos fileok nem ott vannak és nem olyan néven ahol mondjuk megszokta Linux alatt, stb. A mai nap inkább nézzük azokat az alapvető lépéseket, amelyeket erősen javasolt a telepítés után azonnal elvégezni.

OpenBSD 3.3 End Of Life

 ( trey | 2004. május 5., szerda - 18:13 )

Brad announce@-ra küldött levele szerint az OpenBSD 3.3-STABLE ága a mai naptól kezdve elérte életciklusa végét, és karbantartás nélkülivé vált. A tegnapi naptól kezdve ehhez a branch-hez már semmilyen javítást és patchet nem készítenek.

Telepítsünk OpenBSD 3.5-öt FTP-n keresztül (tutorial kezdőknek)!

 ( trey | 2004. május 2., vasárnap - 13:44 )

Május 1-én az ígéretek szerint megérkezett az OpenBSD legfrissebb, legújabb és legjobb kiadása, az OpenBSD 3.5. A rendszer számos olyan nagyszerű új funkciót tartalmaz, amely miatt az ember fia úgy dönthet, hogy felhasználja mindennapi munkája során. Az OpenBSD a világ egyik legbiztonságosabb operációs rendszere (ahogy a projekt szlogenje is mutatja: 8 év mindössze 1 távolról kihasználható hibával, alapértelmezett telepítés esetén), tehát aki fanatikusan paranoid annak mindenképpen ajánlott. Ajánlott még azoknak, akiknek esetleg üzleti kritikus tűzfalat, alkalmazásokat kell üzemletetni, hiszen a kiadásban megjelenő HA-szerű funkciók lehetővé teszik akár a failover képességekkel bíró állapottartó csomagszűrő rendszer, vagy egyéb szervizek futtatását.

Merevlemez nélküli, kisméretű OpenBSD rendszerek

 ( trey | 2004. május 1., szombat - 19:28 )

Michael Lucas előző cikkében otthon saját kezűleg elkészíthető, OpenBSD alapú tűzfal berendezést készített Soekris mini PC-ből. A berendezés Compact Flash (CF) kártyát használt háttértárként. A NET4801-es gép ilyen kiépítésben számos dologra nagyszerűen használható, de a CF kártyán tárolt rendszer frissítése nem oldható meg kényelmesen. Michael ezért úgy döntött, hogy átalakítja a berendezést úgy, hogy az hálózatról bootoljon.

OpenBSD 3.5

 ( trey | 2004. május 1., szombat - 7:54 )

Az OpenBSD fejlesztők ígéretükhöz híven május 1-ére kiadták az OpenBSD 3.5-ös verzióját. Ez a kiadás a 15. CD-ROM és egyben a 16. FTP kiadás - olvashatjuk Todd C. Miller levelében.
Természetesen (mint mindig) megjegyzik, hogy büszkék arra, hogy az OpenBSD-ben csak egy távolról kihasználható hiba volt 8 év alatt alapértelmezett telepítés esetén.
A korábbi kiadásokhoz képest az OpenBSD 3.5 számos jelentős újdonságot hoz a felhasználóknak:

- Biztonság - új ptm eszköz, privilégium elkülönítés kiterjesztése több szolgáltatásra, számos javítás a ProPolice verem védelemben, malloc(8)-ban történt változtatások a nagyobb biztonság érdekében

- Javított hardver támogatás - számos új architektúra támogatása (OpenBSD/amd64, OpenBSD/cats, OpenBSD/mvme88k), és még több új és javított driver

- Fejlesztések a pf-ben (packet filter): az OpenBSD csomagszűrője, a pf is jelentős javításokon ment keresztül (30%-kal kevesebb bejegyzés az állapot-táblában, forrás követés, jelentős javítások a kezelő felületben, stb.)

- Magas rendelkezésre-állás: A HA funkciók biztosítására két új eszköz jelent meg. Az egyik a CARP, a másik pedig a pfsync

- Teljesítmény javítások: az OpenBSD 3.5-ben jelentős javítások történtek az operációs rendszer sebességét növelendő. 100x gyorsabb socket/kapcsolat lookup 10000 socket esetén, mint a 3.4-ben, TCP SYN cache, OpenSSL gyorsítások i386-on (akár 100% gyorsulás), stb.

- Egyebek: megszűnt i386-on a 8GB-os bootolási limitáció, lecserélésre kerültek a GNU bc(1), dc(1), nm(1) és size(1) parancsok a BSD licencű megfelelőikre, stb.

Felsorolni is nehéz lenne az újdonságok listáját, úgyhogy olvassuk el inkább Todd C Miller levelét a részletes tudnivalókért:

Multipath routing az OpenBSD -CURRENT-ben

 ( trey | 2004. április 26., hétfő - 17:01 )

Ahogy egy leleményes hozzászóló megjegyezte az undeadly.org-on:

``Linux a Solaris/Windows gyilkos. FreeBSD a Linux gyilkos. Most már mi is tudjuk a helyünket. Mi vagyunk a Cisco gyilkosok.''

OpenBSD/luna88k

 ( trey | 2004. április 22., csütörtök - 6:46 )

Új portolási törekvés tűnt fel az OpenBSD projekten belül. Támogatás készül ahhoz a LUNA-88K (LUNA-88K2) névre hallgató, az Omron Corporation által gyártott, régi Unix munkaállomás platformhoz, amelyet a Motorola 88100 processzora(i) (kezdetben a Motorola 680x0 processzorok) hajtanak. A munkaállomás az 1990-es években tűnt fel először, az utolsó kiadásai már SMP-vel is bírtak.

Portable OpenSSH 3.8.1p1

 ( trey | 2004. április 19., hétfő - 20:47 )

Megjelent ma a Portable OpenSSH 3.8.1p1-es verziója! A release egy bugfix kiadás, nincs benne új funkció és nincs összefüggésben a csak-OpenBSD kiadással.

OpenSoekris

 ( trey | 2004. április 18., vasárnap - 15:18 )

Korábban többször is volt már szó a HUP-on a Soekris engineering cuccairól (1, 2, 3, 4, 5). Kicsi mérete, halk működése és alacsony energia felhasználása miatt nagyon könnyen lehet belőle és valamilyen nyílt forrású operációs rendszerből nagy tudású otthoni tűzfal megoldást, vagy vezeték-nélküli hozzáférési pontot készíteni.