OpenBSD

Bootolható OpenBSD Honeyd+Arpd CD

 ( trey | 2004. június 21., hétfő - 16:57 )

Aki azon töri a fejét, hogy honeypot-ot állít üzembe, jó választás lehet az a bootolható CD-ROM, amely a HOACD névre hallgat.

OpenBSD és Windows VPN

 ( trey | 2004. június 21., hétfő - 9:59 )

Azoknak a felhasználóknak lehet hasznos yo2lux oldala, akik azon törik a fejüket, hogy OpenBSD és Windows gépeket kötnek össze IPsec-kel. Egy átlagos felhasználónak gondot okozhat az OpenBSD-s isakmpd és a Windows összeházasítása...

SMP támogatás az OpenBSD HEAD branch-ben

 ( trey | 2004. június 14., hétfő - 13:19 )

Niklas Hallqvist levele szerint megérkezett az OpenBSD -current-be a régen várt SMP támogatás!



Bővebben itt.

Stephanie patch az OpenBSD 3.5 verzióhoz

 ( Hunger | 2004. június 14., hétfő - 10:04 )

Amikor biztonságról és az OpenBSD-ről esik szó a Linuxos felhasználók gyakran teszik fel a kérdést, hogy van-e olyan patch a BSD-khez, mint a Linuxhoz a grsec. A legtöbb OpenBSD-s ilyenkor csak legyint és azt mondja, hogy nincs rá szükség, hisz a rendszer alapból biztonságos. Ez részben így is van, de amikor a részletekre terelődik a hangsúly hamar kiderül, hogy az alap rendszerben nincsenek olyan funkciók, mint a más user processeinek elrejtése vagy a TPE (Trusted Path Execution). Ezeket a hiányokat próbálja pótolni a Stephanie patch.

013: SECURITY FIX: Jun 12, 2004

 ( trey | 2004. június 13., vasárnap - 7:03 )

Többszörös biztonsági hibát találtak a http(8) / mod_ssl-ben. A hibákról a CAN-2003-0020, CAN-2003-0987, CAN-2004-0488, CAN-2004-0492 hibajegyzékekben olvashatunk bővebben.

Az OpenBSD-t érintő hibáról az errata oldalon kaphatunk információt. Patchek elérhetők az OpenBSD 3.5-höz és 3.4-hez.

Dinamikus tartalmat szolgáltató webszerver CARP-pal

 ( trey | 2004. június 12., szombat - 7:17 )

Nagy Róbert küldte be a hírt:



Miután már van egy statikus oldalt kezelő web szerverünk CARP-pal, felmerülhet bennünk az igény arra, hogy dinamikus oldalakat is használjunk. A PHPNuke-ra esik a választásunk. A következőkben azt fogom leírni, hogy én hogyan oldottam meg ezt a problémát. A választás a MySQL-re esett, mivel ennek van beépített replikáló funkciója.

Magát a www tartalmat (a php scripteket, képeket stb.) rsync segítségével fogjuk tükrözni. Akkor hát vágjunk a közepébe. Persze előtte mindenképpen olvasd el trey OpenBSD: magas rendelkezésre-állású webszerver készítése CARP-pal című írását, mivel itt a CARP beállításokkal nem fogok foglalkozni. Feltételezem, hogy már be van állítva mindekinek és van egy MASTER és egy SLAVE gépe. A lépéseket mindkét gépen végre kell hajtani, egy két kivétellel, az ilyen eseteknel szólni fogok. Ezért kérek mindekit, hogy először olvassa el a leírást, és utánna álljon neki a dolognak. Ha valami nem működik, akkor e-mail-ben szívesen segítek.

012: SECURITY FIX: Jun 10, 2004

 ( trey | 2004. június 11., péntek - 8:54 )

Thomas Walpuski jelezte, hogy hiba található az isakmpd(8) -ban. Patch az OpenBSD 3.5-höz itt, bővebb infó az errata oldalon. Az OpenBSD 3.4-hez a javítást megtalálod az errata34 oldalon.

OpenBSD biztonsági figyelmeztetések

 ( trey | 2004. június 10., csütörtök - 14:27 )

Új OpenBSD patchek láttak napvilágot:

011: SECURITY FIX: Jun 9, 2004 (cvs)
010: RELIABILITY FIX: Jun 9, 2004 (fifofs)

Az OpenBSD 3.4-es kiadáshoz a patcheket keresd az errata34 oldalon. Bővebb infó az OpenBSD errata oldalon.

Apache upgrade = biztonsági downgrade

 ( trey | 2004. június 7., hétfő - 18:32 )

Henning Brauer tegnapi openbsd-misc@ listára postázott leveléből megtudhatjuk, hogy az OpenBSD későbbi verziójában szállított Apache verzió az 1.3.29-es lesz. Az OpenBSD csapat javítani fogja benne a hibákat, de frissítve nem lesz. Ennek az oka az, hogy az Apache fejlesztői megváltozatták az Apache web szerver licencét az 1.3.31-es verziótól kezdve.

Miért monolitikusak a kernelek?

 ( trey | 2004. június 3., csütörtök - 7:16 )

Egy hosszú szál indult az openbsd-misc listán arról, hogy miért nem törekednek az OpenBSD-sek arra, hogy az eszköz-meghajtó programokat modulba tegyék a GENERIC kernelben ahelyett, hogy fixen bele van drótozva a kernelbe.

009: SECURITY FIX: May 30, 2004

 ( trey | 2004. június 1., kedd - 11:00 )

Biztonsági hibát találtak a kdc(8) Kerberos V szerverben.

A javítások elérhetők az OpenBSD 3.5-höz itt, az OpenBSD 3.4-hez pedig itt.
Bővebb infó a hibáról itt.

Hotplug támogatás az OpenBSD-current -ben

 ( trey | 2004. május 30., vasárnap - 20:19 )

Alexander Yurchenko munkájának köszönhetően az OpenBSD-current-ben megjelent az eszköz hotplug támogatás.

008: SECURITY FIX: May 26, 2004

 ( trey | 2004. május 30., vasárnap - 9:10 )

Az IPv6 kód xdm(1)-ben való megjelenésével a 'requestPort' erőforrás egyik ellenőrzése véletlenül kimaradt. Ha a DisplayManager.requestPort 0 értéket vesz fel, akkor az xdm egy chooserFd TCP socketet nyit az összes interfészen, amely biztonsági rizikót jelenthet. Bővebben a Bugzilla-ban.

USB 2.0 támogatás az OpenBSD-ben

 ( trey | 2004. május 25., kedd - 6:19 )

Május 23-án bekerült az OpenBSD -current-be az USB 2.0 támogatás.

OpenBSD - Csomagok és portok használata

 ( trey | 2004. május 24., hétfő - 17:08 )

Nagy Róbertnek köszönhetően ma megismerkedhetünk az OpenBSD csomag kezelésével és port fájának használatával. Az OpenBSD-vel most ismerkedőknek valószínűleg hasznos lesz ez a képekkel illusztrált ``howto".

StackGhost OpenBSD/sparc-on

 ( trey | 2004. május 23., vasárnap - 20:46 )

Theo de Raadt bejelentése szerint egy újabb védelmi mechanizmusnak örvendhetnek a sparc (v6 v7 v8) gépek tulajdonosai a W^X és a Propolice mellett. Az új funkció a StackGhost névre hallgat, és védelmet nyújt a puffer túlcsordulásos támadásokkal szemben.

OpenBSD: Terhelés-elosztó web szerver készítése CARP-pal

 ( trey | 2004. május 23., vasárnap - 12:40 )

Az OpenBSD-vel foglalkozó előző írásaimban megismerkedhettünk az OpenBSD 3.5 telepítésének menetével, elvégeztük a rendszer alapvető beállítását, lefordítottuk a saját, az OpenBSD csapat által támogatott kernelünket, majd megpróbáltunk magas rendelkezésre-állású failover web szervert készíteni az OpenBSD 3.5-ben bemutatkozó CARP segítségével.

Az elkészült web szerverünk szépen tette is a dolgát egy ideig. Szerencsére sikerült olyan web tartalommal feltölteni, amelyre sokan voltak kíváncsiak.
Egyszer csak azt vettük észre, hogy a web szerverünk folyamatosan lassult, majd először csak délutánonként nem volt elérhető, a későbbiekben pedig rendszeresen kiszolgálási gondjaink akadtak. Főleg olyankor, amikor egy-egy sokat látogatott oldalon linkelték a mi web oldalunkat, és hirtelen nagy számú kérés érkezett felénk, amelyet a web szerverünk nem tudott kiszolgálni. Az interneten a fent leírt jelenséget Slashdot effektusnak nevezik. A Slashdot effektus, vagy egyéb nagy webes terhelés ellen egy ideig harcolhatunk úgy, hogy nagyobb teljesítményű processzort, több memóriát, gyorsabb merevlemezt építünk a gépünkbe, de egy idő után rá kell jönnünk, hogy az ilyen típusú terhelések ellen egy géppel nem vehetjük fel sikerrel a harcot.

007: SECURITY FIX: May 20, 2004

 ( trey | 2004. május 21., péntek - 7:05 )

Heap túlcsordulási hibát találtak a cvs(1) szerverben. A hibát kihasználva tetszőleges kód futtatható a szerveren a cvs(1) szervert futtató felhasználó nevében.

A javítás elérhető az OpenBSD 3.4-hez itt, az OpenBSD 3.5-höz pedig itt.

Bővebb infó az OpenBSD errata oldalon.

OpenBSD ports-security levelező lista

 ( thuglife | 2004. május 18., kedd - 20:17 )

Nemrég elindult a ports-security levelező lista. Erre a listára a portokat és a csomagokat érintő biztonsági figyelmeztetéseket küldjük a támogatott kiadásokhoz. Jelenleg ez az OpenBSD 3.4 és az OpenBSD 3.5. Az SA-k alapjául az OpenBSD VuXML dokumentum szolgál, amely megtekinthető a http://www.vuxml.org/openbsd címen.

OpenBSD: magas rendelkezésre-állású webszerver készítése CARP-pal

 ( trey | 2004. május 15., szombat - 12:28 )

Most, hogy sikeresen feltelepítettük az OpenBSD 3.5 operációs rendszerünket, beállítgattuk az alapvető dolgokat, és megtanultunk szupportált kernelt fordítani, azt a feladatot kaptuk, hogy olyan web szervert kell készítenünk, amely üzleti kritikus környezetben fog működni, és ha törik ha szakad annak üzemelnie kell.
Nem megengedett a downtime, és meg van adva, hogy éves szinten maximum 5 percet állhat a web szerverünk. Ez azt jelenti, hogy 99.999% (5 9-es) rendelkezésre-állású (High Availability - HA) web szervert kell készítenünk, amely az év 365 napján üzemel. Sok pénzünk nincs, a nagy vasak elfelejtve, de van a sarokban néhány jobb minőségű asztali PC, amelyet a nemrég elbocsátott kollégák hagytak itt. Ezekből kell a feladatot megoldani.

Nem kis feladat, és több helyen is buktatókkal van tűzdelve, de azért próbáljuk meg!

A magas rendelkezésre-állású rendszereknél a legnagyobb ellenfelünk a Single Point of Failure (SPF), amit magyarra talán úgy lehetne átültetni, hogy az ``egy pontból eredő megbízhatatlanság" vagy ``egy pontból eredő hibaforrás". Ha HA rendszert akaruk építeni, akkor rendszerünkből el kell tünteni a SPF-eket.

A SPF olyan meghibásodás, amely ha bekövetkezik, akkor a HA rendszerünk üzemszerű működése megszűnik. Képzeljünk el egy failover clustert, amely egy darab 220 voltos hosszabbítóba van bedugva. Hiába van 2 node-ból álló cluster-ünk, hiába figyeli az egyik node szorgalmasan a másik node által küldözgetett heartbeat-eket, ha jön a takarító néni, és szépen kitakarítja a konnektorból a betápot. Ebben az esetben a SPF a 220 voltos áramellátás. Vagy képzeljük el shared SCSI alapú failover cluster esetén, hogy meghibásodik a node-okat a diszk alrendszerrel összekötő kábel. Ez esetben a frontendek hiába működnek, ha a backend megadta magát. Itt az SPF a diszk alrendszert a node-okkal összekötő kábel lenne. Sok egyéb példát lehetne még hozni, de egy biztos: a jelszó a SPF-ek eltüntetése.

Szeretnél segíteni az OpenBSD-nek?

 ( trey | 2004. május 12., szerda - 17:03 )

Anonymous küldte be a hírt:

Kedves jelenlegi, vagy leendő OpenBSD felhasználó! Ha szeretnéd támogatni a projektünket, akkor az alábbi dologban tudnál a segítségünkre lenni:

Nagyon nagy hasznát tudnánk venni olyan hardvereknek amelyek jelenleg nem támogatottak az OpenBSD operációs rendszer által, illetve olyan hardvereknek is, amelyek támogatottak de tesztelésre nagyon jól jönnének. Itt különböző architektúrájú gépekre gondolunk (sparc, sparc64, amd64, alpha, stb.).

A PF User's Guide BSD Licenc alatt

 ( trey | 2004. május 9., vasárnap - 8:06 )

Daniel Hartmeier, az OpenBSD-s PF szerzőjének bejelentése szerint a OpenBSD PF User's Guide munka BSD Licenc alá került.

OpenBSD - a rendszer építése forrásból (kernel)

 ( trey | 2004. május 8., szombat - 13:48 )

Nna, a visszajelzésekből úgy látom, hogy egyre többen érdeklődnek az OpenBSD iránt. Remélem, hogy az első kettő írás kedvet csinált ehhez a szoftver disztribúcióhoz. Aki esetleg most kapcsolódna be a dologba, az megtalálja a telepítésre vonatkozó információkat itt, a telepítés után ajánlott első lépések leírását itt.

A mai napon azt nézzük meg, hogy hogyan kell saját, az OpenBSD csapat által is támogatott kernelt fordítani. Vágjunk bele:

1.1.) az OpenBSD kiadások

Az OpenBSD-nek három kiadása (flavor = íz, aroma, illat, ahogy az OpenBSD-sek hívják) létezik:

-release: Az OpenBSD-nek az a verziója, amely 6 hónaponként került kiadásra CD-n
-stable: A release, plusz azok a kritikus patchek, javítások (az errata oldalról), amelyek fontosak a biztonságos és stabil működéshez
-current: Az OpenBSD ``éppen aktuális'' verziója, amely fejlesztés alatt áll, és amelyből 6 havonta -release lesz

Grafikusan ez valahogy így néz ki:

Interjú az OpenBSD PF fejlesztőivel (2. rész)

 ( trey | 2004. május 8., szombat - 8:41 )

Folytatódik az április közepén megkezdett OnLamp interjú az OpenBSD PF (packet filter - csomag szűrő) fejlesztőivel.

Az interjú második részét megtalálod az O'Reilly Network BSD Devcenter rovatában itt.

005: RELIABILITY FIX: Reply to in-window SYN with a rate-limited ACK

 ( trey | 2004. május 7., péntek - 8:57 )

Az OpenBSD csapat egy megbízhatóságot javító patchet adott ki minap a korábban a HUP-on is említett TCP implementációban található sebezhetőség ellen.