OpenBSD

ntpd az alaprendszerben

 ( trey | 2004. július 10., szombat - 10:32 )

Tavaly májusban volt egy thread az misc@ listán, amelyben arról volt szó, hogy az NTP-t hozzá kellene adni az alaprendszerhez. Az ok: a szerverek számára kritikus, hogy mindig a pontos idő szerint járjanak.
Akkor de Raadt elvetette az ötletet azzal az indokkal, hogy az NTP kódja nem elég szabad, és ez az OpenBSD-nél kizáró ok.

OpenBSD cikk a Distrowatch-on

 ( trey | 2004. július 7., szerda - 21:34 )

Egy kis OpenBSD hype a Distrowatch oldalon, amely az elmúlt időben a Linux disztribúciók mellett elkezdett BSD rendszerekkel is foglalkozni.

Tesztelni kéne az új snapshotokat

 ( rellg | 2004. július 5., hétfő - 21:11 )

Theo egy levelet küldött az openbsd-misc levlistára amiben arra kér mindenkit, hogy tesztelje az új snapshotokat mert változások vannak benne.

VPN készítése OpenBSD és Windows között

 ( trey | 2004. június 26., szombat - 16:57 )

A mini-HOWTO megírásának apropója a következő: A múlt héten írtam arról, hogy létezik egy web oldal, ahol OpenBSD - Windows XP VPN konfigurációkat találni. Sajnos ott a VPN a Windows oldalon drága, fizetős VPN kliensekkel van megoldva. Teljesen felesleges egy egyszerű IPsec kapcsolatért 100 dolláros kliens programot venni, amikor a Windows tartalmazza a szükséges klienset. Akkor megígértem, hogy csinálok egy olyan mini-HOWTO-t, amely a Windows beépített kliensét hozza össze az OpenBSD-s isakmpd-vel. Íme:

1. A probléma

Itthon több számítógépem is van. Köztük van notebook is, amely akkor jó, ha mobilis. Az internet hozzáférésem egy ADSL vonal, amelyet a gépek a lakáson belül kialakított vezeték-nélküli hálózaton keresztül érnek el, így nem probléma a lakáson belüli mozgás a mobil gépekkel. A vezeték-nélküli hálózat tervezésénél fogva nem olyan biztonságos, mint a kábelezett hálózat. A kábelezett hálózathoz csak az fér hozzá, aki fizikailag rá tud csatlakozni. A vezeték-nélküli hálózat egyik tulajdonsága, hogy nem áll meg a falakon belül, hanem azokon áthatolva a elérhető rajtuk kívül is. Ez jó, hiszen ez biztosítja, hogy szabadon mozoghassunk a gépeinkkel, és ne kelljen magunk után kábelhalmazt cipelni. Viszont ennek a tulajdonságnak van rossz oldala is, nevezetesen az, hogy biztonsági szempontból sérülékenyebb a hálózatunk, mint a fizikailag kábelezett hálózat. Miért? Mert aki a falon kívül van, kis erőfeszítéssel rácsatlakozhat a hálózatunkra, és azon minden olyan dolgokat művelhet, amelyet nem biztos, hogy szeretnénk. Például nem lenne jó, ha az élelmes szomszéd az én kicsi sávszélességű ADSL kapcsolatomon internezne ingyen vagy a személyes adataimat olvasná.
A vezeték-nélküli hozzáférési-pontok (Wireless Access Point - WAP - AP) tartalmaznak ugyan beépített ``védelmi funkciókat'' az illetéktelen hozzáférés ellen, pl. MAC address szűrés, WEP (Wired Equivalent Privacy - kábelezéssel egyenértékű biztonság) de ezek sajnos nagyon gyenge megoldások. A MAC szűrés ellen lehet nyomulni hamisított MAC címmel, a WEP pedig bizonyítottan nagyon gyenge titkosítás, pillanatok alatt feltörhető, ezért sok helyen inkább kiváltják IPsec-kel. Mi is ezt fogjuk tenni.

Első körben azt fogjuk megoldani, hogy az intenetes kapcsolat egy OpenBSD 3.5 gateway-en keresztül lesz elérhető (NAT) a wireless hálózaton belül levő kliens gépek számára. Annak érdekében, hogy a wireless hálózatból információ ne szivároghasson ki, egy VPN-t (Virtual Private Network - virtuális magán hálózat) fogunk építeni. Mivel a munkám során meglehetősen sokat kell Windows-t hasznáni, a kliens gép egy Windows XP lesz. A következő részekben természetesen bemutatom majd, hogy hogyan kell Linux és OpenBSD klienseket is használni a hálózaton.
Tehát a feladat a WEP kiváltása. Ehhez, hogy ne lőjünk ágyúval verébre, előmegosztott kulcsokat (pre-shared key - PSK) és tunnel módot fogunk használni. Használhatnánk certificate alapú VPN-t is, de érzésem szerint erre a feladatra bőven elegendő a pre-shared key alapú VPN. A sorozat következő részeiben igény esetén kitérhetünk a certificate alapú VPN-re is.
Az OpenBSD oldalon az ISAKMP (Internet Security Association and Key Management Protocol) (hívják gyakran még IKE-nek, Internet Key Exchange-nek is) névre hallgató megoldást fogjuk használni. Miért ezt? Mert része az OpenBSD alaprendszernek, amely összes mérete pár 10MB, alapértelmezetten bele van fordítva a kernelbe a támogatás, és azon kívül, hogy két konfig file-t megszerkesztünk, semmilyen más beavatkozásra nincs szükségünk. Az OpenBSD-t kis méretének köszönhetően bármilyen kis eszközre feltelepíthetjük (pl. egy Soekris net4521-esre), és máris kész a saját kézzel épített VPN router-ünk, amely ráadásul nyílt forrású operációs rendszert futtat. Az ISAKMP másik nagy előnye, hogy a 2.6-os Linux kerneltől kezdve használhatjuk Linuxon is, mivel az isakmpd-t portolták Linuxra (Debianban: apt-get install isakmpd). És mi a legszebb az egészben? Hogy az OpenBSD-s konfig file-unkat egy az egyben felhasználhatjuk :-D

amd64 smp kész a tesztelésre az OpenBSD-ben

 ( rellg | 2004. június 26., szombat - 7:48 )

Az openbsd-misc-re érkezett bejelenetés szerint a nagyrészt NetBSD-ből vett kód alapjan elkészült az AMD64 SMP támogatás az OpenBSD-hez.

OpenBSD Hackathon 2004

 ( trey | 2004. június 24., csütörtök - 7:29 )

Kanadában folyik a minden évben megrendezésre kerülő OpenBSD hacker party a Hackathon. A rendezvényen összegyűlnek az OpenBSD fejlesztők, és Theo de Raadt segítségével folyik az intenzív hackelés.

Bootolható OpenBSD Honeyd+Arpd CD

 ( trey | 2004. június 21., hétfő - 17:57 )

Aki azon töri a fejét, hogy honeypot-ot állít üzembe, jó választás lehet az a bootolható CD-ROM, amely a HOACD névre hallgat.

OpenBSD és Windows VPN

 ( trey | 2004. június 21., hétfő - 10:59 )

Azoknak a felhasználóknak lehet hasznos yo2lux oldala, akik azon törik a fejüket, hogy OpenBSD és Windows gépeket kötnek össze IPsec-kel. Egy átlagos felhasználónak gondot okozhat az OpenBSD-s isakmpd és a Windows összeházasítása...

SMP támogatás az OpenBSD HEAD branch-ben

 ( trey | 2004. június 14., hétfő - 14:19 )

Niklas Hallqvist levele szerint megérkezett az OpenBSD -current-be a régen várt SMP támogatás!



Bővebben itt.

Stephanie patch az OpenBSD 3.5 verzióhoz

 ( Hunger | 2004. június 14., hétfő - 11:04 )

Amikor biztonságról és az OpenBSD-ről esik szó a Linuxos felhasználók gyakran teszik fel a kérdést, hogy van-e olyan patch a BSD-khez, mint a Linuxhoz a grsec. A legtöbb OpenBSD-s ilyenkor csak legyint és azt mondja, hogy nincs rá szükség, hisz a rendszer alapból biztonságos. Ez részben így is van, de amikor a részletekre terelődik a hangsúly hamar kiderül, hogy az alap rendszerben nincsenek olyan funkciók, mint a más user processeinek elrejtése vagy a TPE (Trusted Path Execution). Ezeket a hiányokat próbálja pótolni a Stephanie patch.

013: SECURITY FIX: Jun 12, 2004

 ( trey | 2004. június 13., vasárnap - 8:03 )

Többszörös biztonsági hibát találtak a http(8) / mod_ssl-ben. A hibákról a CAN-2003-0020, CAN-2003-0987, CAN-2004-0488, CAN-2004-0492 hibajegyzékekben olvashatunk bővebben.

Az OpenBSD-t érintő hibáról az errata oldalon kaphatunk információt. Patchek elérhetők az OpenBSD 3.5-höz és 3.4-hez.

Dinamikus tartalmat szolgáltató webszerver CARP-pal

 ( trey | 2004. június 12., szombat - 8:17 )

Nagy Róbert küldte be a hírt:



Miután már van egy statikus oldalt kezelő web szerverünk CARP-pal, felmerülhet bennünk az igény arra, hogy dinamikus oldalakat is használjunk. A PHPNuke-ra esik a választásunk. A következőkben azt fogom leírni, hogy én hogyan oldottam meg ezt a problémát. A választás a MySQL-re esett, mivel ennek van beépített replikáló funkciója.

Magát a www tartalmat (a php scripteket, képeket stb.) rsync segítségével fogjuk tükrözni. Akkor hát vágjunk a közepébe. Persze előtte mindenképpen olvasd el trey OpenBSD: magas rendelkezésre-állású webszerver készítése CARP-pal című írását, mivel itt a CARP beállításokkal nem fogok foglalkozni. Feltételezem, hogy már be van állítva mindekinek és van egy MASTER és egy SLAVE gépe. A lépéseket mindkét gépen végre kell hajtani, egy két kivétellel, az ilyen eseteknel szólni fogok. Ezért kérek mindekit, hogy először olvassa el a leírást, és utánna álljon neki a dolognak. Ha valami nem működik, akkor e-mail-ben szívesen segítek.

012: SECURITY FIX: Jun 10, 2004

 ( trey | 2004. június 11., péntek - 9:54 )

Thomas Walpuski jelezte, hogy hiba található az isakmpd(8) -ban. Patch az OpenBSD 3.5-höz itt, bővebb infó az errata oldalon. Az OpenBSD 3.4-hez a javítást megtalálod az errata34 oldalon.

OpenBSD biztonsági figyelmeztetések

 ( trey | 2004. június 10., csütörtök - 15:27 )

Új OpenBSD patchek láttak napvilágot:

011: SECURITY FIX: Jun 9, 2004 (cvs)
010: RELIABILITY FIX: Jun 9, 2004 (fifofs)

Az OpenBSD 3.4-es kiadáshoz a patcheket keresd az errata34 oldalon. Bővebb infó az OpenBSD errata oldalon.

Apache upgrade = biztonsági downgrade

 ( trey | 2004. június 7., hétfő - 19:32 )

Henning Brauer tegnapi openbsd-misc@ listára postázott leveléből megtudhatjuk, hogy az OpenBSD későbbi verziójában szállított Apache verzió az 1.3.29-es lesz. Az OpenBSD csapat javítani fogja benne a hibákat, de frissítve nem lesz. Ennek az oka az, hogy az Apache fejlesztői megváltozatták az Apache web szerver licencét az 1.3.31-es verziótól kezdve.

Miért monolitikusak a kernelek?

 ( trey | 2004. június 3., csütörtök - 8:16 )

Egy hosszú szál indult az openbsd-misc listán arról, hogy miért nem törekednek az OpenBSD-sek arra, hogy az eszköz-meghajtó programokat modulba tegyék a GENERIC kernelben ahelyett, hogy fixen bele van drótozva a kernelbe.

009: SECURITY FIX: May 30, 2004

 ( trey | 2004. június 1., kedd - 12:00 )

Biztonsági hibát találtak a kdc(8) Kerberos V szerverben.

A javítások elérhetők az OpenBSD 3.5-höz itt, az OpenBSD 3.4-hez pedig itt.
Bővebb infó a hibáról itt.

Hotplug támogatás az OpenBSD-current -ben

 ( trey | 2004. május 30., vasárnap - 21:19 )

Alexander Yurchenko munkájának köszönhetően az OpenBSD-current-ben megjelent az eszköz hotplug támogatás.

008: SECURITY FIX: May 26, 2004

 ( trey | 2004. május 30., vasárnap - 10:10 )

Az IPv6 kód xdm(1)-ben való megjelenésével a 'requestPort' erőforrás egyik ellenőrzése véletlenül kimaradt. Ha a DisplayManager.requestPort 0 értéket vesz fel, akkor az xdm egy chooserFd TCP socketet nyit az összes interfészen, amely biztonsági rizikót jelenthet. Bővebben a Bugzilla-ban.

USB 2.0 támogatás az OpenBSD-ben

 ( trey | 2004. május 25., kedd - 7:19 )

Május 23-án bekerült az OpenBSD -current-be az USB 2.0 támogatás.

OpenBSD - Csomagok és portok használata

 ( trey | 2004. május 24., hétfő - 18:08 )

Nagy Róbertnek köszönhetően ma megismerkedhetünk az OpenBSD csomag kezelésével és port fájának használatával. Az OpenBSD-vel most ismerkedőknek valószínűleg hasznos lesz ez a képekkel illusztrált ``howto".

StackGhost OpenBSD/sparc-on

 ( trey | 2004. május 23., vasárnap - 21:46 )

Theo de Raadt bejelentése szerint egy újabb védelmi mechanizmusnak örvendhetnek a sparc (v6 v7 v8) gépek tulajdonosai a W^X és a Propolice mellett. Az új funkció a StackGhost névre hallgat, és védelmet nyújt a puffer túlcsordulásos támadásokkal szemben.

OpenBSD: Terhelés-elosztó web szerver készítése CARP-pal

 ( trey | 2004. május 23., vasárnap - 13:40 )

Az OpenBSD-vel foglalkozó előző írásaimban megismerkedhettünk az OpenBSD 3.5 telepítésének menetével, elvégeztük a rendszer alapvető beállítását, lefordítottuk a saját, az OpenBSD csapat által támogatott kernelünket, majd megpróbáltunk magas rendelkezésre-állású failover web szervert készíteni az OpenBSD 3.5-ben bemutatkozó CARP segítségével.

Az elkészült web szerverünk szépen tette is a dolgát egy ideig. Szerencsére sikerült olyan web tartalommal feltölteni, amelyre sokan voltak kíváncsiak.
Egyszer csak azt vettük észre, hogy a web szerverünk folyamatosan lassult, majd először csak délutánonként nem volt elérhető, a későbbiekben pedig rendszeresen kiszolgálási gondjaink akadtak. Főleg olyankor, amikor egy-egy sokat látogatott oldalon linkelték a mi web oldalunkat, és hirtelen nagy számú kérés érkezett felénk, amelyet a web szerverünk nem tudott kiszolgálni. Az interneten a fent leírt jelenséget Slashdot effektusnak nevezik. A Slashdot effektus, vagy egyéb nagy webes terhelés ellen egy ideig harcolhatunk úgy, hogy nagyobb teljesítményű processzort, több memóriát, gyorsabb merevlemezt építünk a gépünkbe, de egy idő után rá kell jönnünk, hogy az ilyen típusú terhelések ellen egy géppel nem vehetjük fel sikerrel a harcot.

007: SECURITY FIX: May 20, 2004

 ( trey | 2004. május 21., péntek - 8:05 )

Heap túlcsordulási hibát találtak a cvs(1) szerverben. A hibát kihasználva tetszőleges kód futtatható a szerveren a cvs(1) szervert futtató felhasználó nevében.

A javítás elérhető az OpenBSD 3.4-hez itt, az OpenBSD 3.5-höz pedig itt.

Bővebb infó az OpenBSD errata oldalon.

OpenBSD ports-security levelező lista

 ( thuglife | 2004. május 18., kedd - 21:17 )

Nemrég elindult a ports-security levelező lista. Erre a listára a portokat és a csomagokat érintő biztonsági figyelmeztetéseket küldjük a támogatott kiadásokhoz. Jelenleg ez az OpenBSD 3.4 és az OpenBSD 3.5. Az SA-k alapjául az OpenBSD VuXML dokumentum szolgál, amely megtekinthető a http://www.vuxml.org/openbsd címen.