OpenBSD

OpenBSD cikk a NewsForge-on

 ( trey | 2004. július 23., péntek - 8:36 )

Egy elég részletesnek tűnő összefoglalót lehet olvasni a NewsForge-on az OpenBSD 3.5-ös kiadásáról. Az összefoglaló elsősorban azoknak érdekes, akik még nem használják a rendszert, de tervezik, hogy hamarosan megismerkednek majd vele. A cikk itt.

OpenBSD tűzfal leírás

 ( Anonymous | 2004. július 21., szerda - 19:31 )

xsak küldte be a hírt:



Készülőben van egy leírás "Tűzfal és internetmegosztás OpenBSD-vel" címmel.

Pfctl optimalizáló a -current -ben

 ( trey | 2004. július 19., hétfő - 8:40 )

Mike Frantzen munkájának köszönhetően mostantól az OpenBSD -current része a pfctl optimalizáló. Mire használható?

ekkoBSD - game over

 ( trey | 2004. július 18., vasárnap - 9:45 )

Úgy tűnik, hogy az ekkoBSD fejlesztése végleg befejeződött. Csodálkozni nem csodálkozom rajta, mert számomra a céljaik mindig is ködösek voltak.

OpenNTPd

 ( trey | 2004. július 16., péntek - 22:13 )

Pár nappal ezelőtt volt szó arról, hogy az OpenBSD alaprendszerbe beépítésre került egy az OpenBSD csapat által kifejlesztett NTP daemon. A daemon elkészítésének oka az volt, hogy a korábbi NTPd implementáció eltávolításra került az OpenBSD-ből copyright problémák miatt, és szükség volt helyette egy másik megoldásra.

Henning Brauer és Alexander Guy munkájának köszönhetően az OpenBSD 3.5 után ez az NTPd lesz megtalálható az OpenBSD alaprendszerekben. De lehet, hogy az OpenSSH nyomdokain járva más UNIX-szerű rendszereket is meghódít majd ez az anyag?

ekkoBSD 1.0 BETA 2 (07/07/04)

 ( trey | 2004. július 11., vasárnap - 16:05 )

Új beta látott napvilágot az ekkoBSD névre hallgató operációs rendszerből. A Rick Collette vezette projekt legfrissebb terméke letölthető innen.

ntpd az alaprendszerben

 ( trey | 2004. július 10., szombat - 10:32 )

Tavaly májusban volt egy thread az misc@ listán, amelyben arról volt szó, hogy az NTP-t hozzá kellene adni az alaprendszerhez. Az ok: a szerverek számára kritikus, hogy mindig a pontos idő szerint járjanak.
Akkor de Raadt elvetette az ötletet azzal az indokkal, hogy az NTP kódja nem elég szabad, és ez az OpenBSD-nél kizáró ok.

OpenBSD cikk a Distrowatch-on

 ( trey | 2004. július 7., szerda - 21:34 )

Egy kis OpenBSD hype a Distrowatch oldalon, amely az elmúlt időben a Linux disztribúciók mellett elkezdett BSD rendszerekkel is foglalkozni.

Tesztelni kéne az új snapshotokat

 ( rellg | 2004. július 5., hétfő - 21:11 )

Theo egy levelet küldött az openbsd-misc levlistára amiben arra kér mindenkit, hogy tesztelje az új snapshotokat mert változások vannak benne.

VPN készítése OpenBSD és Windows között

 ( trey | 2004. június 26., szombat - 16:57 )

A mini-HOWTO megírásának apropója a következő: A múlt héten írtam arról, hogy létezik egy web oldal, ahol OpenBSD - Windows XP VPN konfigurációkat találni. Sajnos ott a VPN a Windows oldalon drága, fizetős VPN kliensekkel van megoldva. Teljesen felesleges egy egyszerű IPsec kapcsolatért 100 dolláros kliens programot venni, amikor a Windows tartalmazza a szükséges klienset. Akkor megígértem, hogy csinálok egy olyan mini-HOWTO-t, amely a Windows beépített kliensét hozza össze az OpenBSD-s isakmpd-vel. Íme:

1. A probléma

Itthon több számítógépem is van. Köztük van notebook is, amely akkor jó, ha mobilis. Az internet hozzáférésem egy ADSL vonal, amelyet a gépek a lakáson belül kialakított vezeték-nélküli hálózaton keresztül érnek el, így nem probléma a lakáson belüli mozgás a mobil gépekkel. A vezeték-nélküli hálózat tervezésénél fogva nem olyan biztonságos, mint a kábelezett hálózat. A kábelezett hálózathoz csak az fér hozzá, aki fizikailag rá tud csatlakozni. A vezeték-nélküli hálózat egyik tulajdonsága, hogy nem áll meg a falakon belül, hanem azokon áthatolva a elérhető rajtuk kívül is. Ez jó, hiszen ez biztosítja, hogy szabadon mozoghassunk a gépeinkkel, és ne kelljen magunk után kábelhalmazt cipelni. Viszont ennek a tulajdonságnak van rossz oldala is, nevezetesen az, hogy biztonsági szempontból sérülékenyebb a hálózatunk, mint a fizikailag kábelezett hálózat. Miért? Mert aki a falon kívül van, kis erőfeszítéssel rácsatlakozhat a hálózatunkra, és azon minden olyan dolgokat művelhet, amelyet nem biztos, hogy szeretnénk. Például nem lenne jó, ha az élelmes szomszéd az én kicsi sávszélességű ADSL kapcsolatomon internezne ingyen vagy a személyes adataimat olvasná.
A vezeték-nélküli hozzáférési-pontok (Wireless Access Point - WAP - AP) tartalmaznak ugyan beépített ``védelmi funkciókat'' az illetéktelen hozzáférés ellen, pl. MAC address szűrés, WEP (Wired Equivalent Privacy - kábelezéssel egyenértékű biztonság) de ezek sajnos nagyon gyenge megoldások. A MAC szűrés ellen lehet nyomulni hamisított MAC címmel, a WEP pedig bizonyítottan nagyon gyenge titkosítás, pillanatok alatt feltörhető, ezért sok helyen inkább kiváltják IPsec-kel. Mi is ezt fogjuk tenni.

Első körben azt fogjuk megoldani, hogy az intenetes kapcsolat egy OpenBSD 3.5 gateway-en keresztül lesz elérhető (NAT) a wireless hálózaton belül levő kliens gépek számára. Annak érdekében, hogy a wireless hálózatból információ ne szivároghasson ki, egy VPN-t (Virtual Private Network - virtuális magán hálózat) fogunk építeni. Mivel a munkám során meglehetősen sokat kell Windows-t hasznáni, a kliens gép egy Windows XP lesz. A következő részekben természetesen bemutatom majd, hogy hogyan kell Linux és OpenBSD klienseket is használni a hálózaton.
Tehát a feladat a WEP kiváltása. Ehhez, hogy ne lőjünk ágyúval verébre, előmegosztott kulcsokat (pre-shared key - PSK) és tunnel módot fogunk használni. Használhatnánk certificate alapú VPN-t is, de érzésem szerint erre a feladatra bőven elegendő a pre-shared key alapú VPN. A sorozat következő részeiben igény esetén kitérhetünk a certificate alapú VPN-re is.
Az OpenBSD oldalon az ISAKMP (Internet Security Association and Key Management Protocol) (hívják gyakran még IKE-nek, Internet Key Exchange-nek is) névre hallgató megoldást fogjuk használni. Miért ezt? Mert része az OpenBSD alaprendszernek, amely összes mérete pár 10MB, alapértelmezetten bele van fordítva a kernelbe a támogatás, és azon kívül, hogy két konfig file-t megszerkesztünk, semmilyen más beavatkozásra nincs szükségünk. Az OpenBSD-t kis méretének köszönhetően bármilyen kis eszközre feltelepíthetjük (pl. egy Soekris net4521-esre), és máris kész a saját kézzel épített VPN router-ünk, amely ráadásul nyílt forrású operációs rendszert futtat. Az ISAKMP másik nagy előnye, hogy a 2.6-os Linux kerneltől kezdve használhatjuk Linuxon is, mivel az isakmpd-t portolták Linuxra (Debianban: apt-get install isakmpd). És mi a legszebb az egészben? Hogy az OpenBSD-s konfig file-unkat egy az egyben felhasználhatjuk :-D

amd64 smp kész a tesztelésre az OpenBSD-ben

 ( rellg | 2004. június 26., szombat - 7:48 )

Az openbsd-misc-re érkezett bejelenetés szerint a nagyrészt NetBSD-ből vett kód alapjan elkészült az AMD64 SMP támogatás az OpenBSD-hez.

OpenBSD Hackathon 2004

 ( trey | 2004. június 24., csütörtök - 7:29 )

Kanadában folyik a minden évben megrendezésre kerülő OpenBSD hacker party a Hackathon. A rendezvényen összegyűlnek az OpenBSD fejlesztők, és Theo de Raadt segítségével folyik az intenzív hackelés.

Bootolható OpenBSD Honeyd+Arpd CD

 ( trey | 2004. június 21., hétfő - 17:57 )

Aki azon töri a fejét, hogy honeypot-ot állít üzembe, jó választás lehet az a bootolható CD-ROM, amely a HOACD névre hallgat.

OpenBSD és Windows VPN

 ( trey | 2004. június 21., hétfő - 10:59 )

Azoknak a felhasználóknak lehet hasznos yo2lux oldala, akik azon törik a fejüket, hogy OpenBSD és Windows gépeket kötnek össze IPsec-kel. Egy átlagos felhasználónak gondot okozhat az OpenBSD-s isakmpd és a Windows összeházasítása...

SMP támogatás az OpenBSD HEAD branch-ben

 ( trey | 2004. június 14., hétfő - 14:19 )

Niklas Hallqvist levele szerint megérkezett az OpenBSD -current-be a régen várt SMP támogatás!



Bővebben itt.

Stephanie patch az OpenBSD 3.5 verzióhoz

 ( Hunger | 2004. június 14., hétfő - 11:04 )

Amikor biztonságról és az OpenBSD-ről esik szó a Linuxos felhasználók gyakran teszik fel a kérdést, hogy van-e olyan patch a BSD-khez, mint a Linuxhoz a grsec. A legtöbb OpenBSD-s ilyenkor csak legyint és azt mondja, hogy nincs rá szükség, hisz a rendszer alapból biztonságos. Ez részben így is van, de amikor a részletekre terelődik a hangsúly hamar kiderül, hogy az alap rendszerben nincsenek olyan funkciók, mint a más user processeinek elrejtése vagy a TPE (Trusted Path Execution). Ezeket a hiányokat próbálja pótolni a Stephanie patch.

013: SECURITY FIX: Jun 12, 2004

 ( trey | 2004. június 13., vasárnap - 8:03 )

Többszörös biztonsági hibát találtak a http(8) / mod_ssl-ben. A hibákról a CAN-2003-0020, CAN-2003-0987, CAN-2004-0488, CAN-2004-0492 hibajegyzékekben olvashatunk bővebben.

Az OpenBSD-t érintő hibáról az errata oldalon kaphatunk információt. Patchek elérhetők az OpenBSD 3.5-höz és 3.4-hez.

Dinamikus tartalmat szolgáltató webszerver CARP-pal

 ( trey | 2004. június 12., szombat - 8:17 )

Nagy Róbert küldte be a hírt:



Miután már van egy statikus oldalt kezelő web szerverünk CARP-pal, felmerülhet bennünk az igény arra, hogy dinamikus oldalakat is használjunk. A PHPNuke-ra esik a választásunk. A következőkben azt fogom leírni, hogy én hogyan oldottam meg ezt a problémát. A választás a MySQL-re esett, mivel ennek van beépített replikáló funkciója.

Magát a www tartalmat (a php scripteket, képeket stb.) rsync segítségével fogjuk tükrözni. Akkor hát vágjunk a közepébe. Persze előtte mindenképpen olvasd el trey OpenBSD: magas rendelkezésre-állású webszerver készítése CARP-pal című írását, mivel itt a CARP beállításokkal nem fogok foglalkozni. Feltételezem, hogy már be van állítva mindekinek és van egy MASTER és egy SLAVE gépe. A lépéseket mindkét gépen végre kell hajtani, egy két kivétellel, az ilyen eseteknel szólni fogok. Ezért kérek mindekit, hogy először olvassa el a leírást, és utánna álljon neki a dolognak. Ha valami nem működik, akkor e-mail-ben szívesen segítek.

012: SECURITY FIX: Jun 10, 2004

 ( trey | 2004. június 11., péntek - 9:54 )

Thomas Walpuski jelezte, hogy hiba található az isakmpd(8) -ban. Patch az OpenBSD 3.5-höz itt, bővebb infó az errata oldalon. Az OpenBSD 3.4-hez a javítást megtalálod az errata34 oldalon.

OpenBSD biztonsági figyelmeztetések

 ( trey | 2004. június 10., csütörtök - 15:27 )

Új OpenBSD patchek láttak napvilágot:

011: SECURITY FIX: Jun 9, 2004 (cvs)
010: RELIABILITY FIX: Jun 9, 2004 (fifofs)

Az OpenBSD 3.4-es kiadáshoz a patcheket keresd az errata34 oldalon. Bővebb infó az OpenBSD errata oldalon.

Apache upgrade = biztonsági downgrade

 ( trey | 2004. június 7., hétfő - 19:32 )

Henning Brauer tegnapi openbsd-misc@ listára postázott leveléből megtudhatjuk, hogy az OpenBSD későbbi verziójában szállított Apache verzió az 1.3.29-es lesz. Az OpenBSD csapat javítani fogja benne a hibákat, de frissítve nem lesz. Ennek az oka az, hogy az Apache fejlesztői megváltozatták az Apache web szerver licencét az 1.3.31-es verziótól kezdve.

Miért monolitikusak a kernelek?

 ( trey | 2004. június 3., csütörtök - 8:16 )

Egy hosszú szál indult az openbsd-misc listán arról, hogy miért nem törekednek az OpenBSD-sek arra, hogy az eszköz-meghajtó programokat modulba tegyék a GENERIC kernelben ahelyett, hogy fixen bele van drótozva a kernelbe.

009: SECURITY FIX: May 30, 2004

 ( trey | 2004. június 1., kedd - 12:00 )

Biztonsági hibát találtak a kdc(8) Kerberos V szerverben.

A javítások elérhetők az OpenBSD 3.5-höz itt, az OpenBSD 3.4-hez pedig itt.
Bővebb infó a hibáról itt.

Hotplug támogatás az OpenBSD-current -ben

 ( trey | 2004. május 30., vasárnap - 21:19 )

Alexander Yurchenko munkájának köszönhetően az OpenBSD-current-ben megjelent az eszköz hotplug támogatás.

008: SECURITY FIX: May 26, 2004

 ( trey | 2004. május 30., vasárnap - 10:10 )

Az IPv6 kód xdm(1)-ben való megjelenésével a 'requestPort' erőforrás egyik ellenőrzése véletlenül kimaradt. Ha a DisplayManager.requestPort 0 értéket vesz fel, akkor az xdm egy chooserFd TCP socketet nyit az összes interfészen, amely biztonsági rizikót jelenthet. Bővebben a Bugzilla-ban.