Aki még nem csömörlött meg az állandó ütemező cseréktől, annak itt az új -mm patch. Benne Nick Piggin (NP) új CPU ütemezője, amely több helyen is eltér a mainline kernelben található scheduler-től.A legfőbb különbség, hogy míg a jelenlegi ütemező az időszeleteket a processz nice szintje alapján allokálja, addig az NP féle ütemező ezt csak a prioritás alapján teszi.

Az ütemező csak ideiglenes jelleggel lett beolvasztva, ``lássuk mi történik'' alapon.

Az anyag letölthető 2.6.8.1-mm3.bz2

A változások teljes listája Andrew levelében itt.

Na lássuk...

Az előző cikkben volt szó a Center for Internet Security FreeBSD audit eszközéről. Gondoltam kipróbálom. A teszthez egy alapértelmezetten* telepített FreeBSD 5.2.1-RELEASE-t használtam. Kíváncsi voltam, hogy a CIS szerint egy alapértelmezetten telepített FreeBSD 5.2.1 mennyire biztonságos, azon milyen változtatásokat kell elvégezni ahhoz, hogy szerintük az ilyen szempontból megfelelő legyen.

Letöltöttem a FreeBSD scoring tool-t és a hozzá való dokumentációt.

A dokumentációból kitűnik, hogy a teszt 8 fő részből áll össze:1.) Patchek és egyéb szoftver konfigurációk

2.) A futó inetd szolgáltatások minimalizálása

3.) A boot időben induló szolgáltatások minimalizálása

4.) Kernel tuning

5.) Logolás

6.) File/könyvtár hozzáférés/jogok

7.) Redszer hozzáférés/jogok/authentikáció

8.) Felhasználói fiókok és környezet

Maga a szoftver nem más, mint egy egy soros README file amely megmutatja, hogyan kell futtatni az audit eszközt, és maga a program, amely egy perl script.

A programot root-ként kell futtatni. Azt mindenkinek magának kell eldöntenie, hogy egy éles rendszeren lefuttat-e egy idegen programot root-ként, de mindenesetre megnyugtató, hogy a program egy olvasható perl script, és nem egy zárt bináris program. Én egy teszt rendszeren futtattam.

A program futása után egy összegzést ad a rendszerről, mellé pedig egy 10-es skálán minősíti a rendszer biztonságát.

Lássuk mennyi pontot kapott egy default install FreeBSD 5.2.1-RELEASE:

5.62 pont a maximális 10-ből. A program futtatása után kapunk egy logfile-t, amelyben fel vannak sorolva a rendszerünk pozitívumai és negatívumai. Ezekre egyszerűen rákereshetünk. Az én rendszerem pozitívumai:

A rendszer negatívumai:

Értelemszerűen be lehet azonosítani a pozitívumok és negatívumok helyét a dokumentumban a mellettük levő számok alapján. A dokumentum leírja, hogy mit kell tennünk annak érdekében, hogy az audit eszköz által feltárt hiányosságokat elháríthassuk.

Azt mindenki döntse el maga, hogy mennyire hasznos az eszköz. Mindenesetre jó látni listaszerűen, hogy milyen főbb pontokon kell ellenőrizni egy frissen feltelepített rendszert ahhoz, hogy a minimális lépéseket megtegyük a biztonság érdekében még akkor is, ha nem teljesen ezeket a lépéseket végezzük el...

A Center for Internet Security (CIS) névre hallgató szervezet egy bizonsági tesztprogramot és auditáló eszközt adott ki FreeBSD operációs rendszerre (4.8 vagy újabb verziókra). A CIS egy non-profit szervezet, amely a publikus, privát és akadémiai szektorban dolgozó szakértőkből áll. Feladatának érzi, hogy biztonsági útmutatókat fejlesszen ki operációs rendszerekhez és alkalmazásokhoz.A security benchmark letölthető ingyen innen.

A CIS-től szintén elérhető Linux (sajnos csak Red Hat és Mandrake), Solaris, HP-UX, Windows NT/2000/2000 Server/2000 Professional/XP Professional auditáló eszköz. Emellett Cisco IOS, és Oracle adatbázis-kezelőkhöz.

A CIS honlapja itt.

Az nVIDIA frissítette a videokártyái FreeBSD-s eszköz-meghajtó programját. A driver használatához minimum FreeBSD 4.9-re vagy FreeBSD 5-CURRENT-re (5.2.1 vagy újabb) van szükség.Az új funkciók közt van az nVIDIA legújabb GPU-inak támogatása (pl. GeForce 6800) de jobb lett a együttműködés FreeBSD -CURRENT új szálkezelő könyvtárával is. Emellett a driver sokkal jobban működik együtt a linux emu környezettel, így lehetőség nyílik arra, hogy egyre több játékkal játszhassunk FreeBSD alatt is.

Az anyag letölthető innen.

Feladatok:

A lap egészének szerkesztése, szerkezetének, tartalmának tervezése/fejlesztése, éves tematikájának kidolgozása, kapcsolattartás a külsős munkatársakkal (fordítók, szerzők), a cikkek stilisztikai és helyesírási korrektúrája.Elvárásaink:

- Kiváló helyesírás és íráskészség

- Általános számítástechnikai ismeretek

- A Linux operációs rendszer valamelyik terjesztésének legalább felhasználói ismerete

- Angol nyelvtudás (minimum olyan szinten, amely lehetővé teszi a szakirodalom tanulmányozását)

Előnyt jelent:

- Linux mélyebb ismerete

- Lapkiadásban, szerkesztésben szerzett szakmai tapasztalat

Röviden azon fehér hollók jelentkezését várjuk, akikben találkozik a "bölcsész" és a "linux rajongó" :)

A részletes szakmai önéletrajzokat ide küldjétek:

e-mail: allas@kiskapu.hu, fax: 303-1619

(Megjegyzés: csak a fent említett elvárásoknak megfelelő jelentkezőknek válaszolunk. Ezt csupán azért említjük meg, mert hozzászoktunk, hogy sok "önjelölt" szakértő jelentkezik szívesen, akik alapvetően hiányos képességeik ellenére úgy gondolják, hogy az adott munkakört éppen rájuk szabták, ha nem, hát majd beletanulnak... )

Megjelent a KDE 3.3. A 3.3-as széria első kiadása letölthető innen.

Hivatalos bejelentés még továbbra sincs.

Tegnap megérkezett a HUP pólók első utánnyomása a Kiskapuhoz.

Aki lemaradt volna az első körben, vagy esetleg most szeretne rendelni, az megteheti. A rendelés folyamata, egyéb infók itt. Azok akik már megrendelték és nem kérték a postázást, már mehetnek átvenni a stuffot. Aki budapesti és nem akar rendeléssel bajlódni, az megvásárolhatja a pólót azonnal a Kiskapu számítástechnikai könyvesboltban (Budapest 1081 Népszínház utca 29.).



A HUP pólók megvásárlásával támogathatod az oldal működését! Köszönönjük!

Andrew ma kiadta a második -mm patchet a 2.6.8.1-es Linux kernelhez. Benne több érdekes és fontos dolgot találhatunk. Elsőként egy fontos bugfix. A tegnap említett memória szivárgás javítása kapott benne helyet. Emellett egy nagyon régen várt funkció került be most a Linux kernelbe, a Reiser4 filerendszer támogatása.A Reiser4-re már majd egy éve várunk, hiszen a Namesys tavaly nyárra ígérte. Hans Reiser - a ReiserFS és a Reiser4 csapat vezetője - már március végén jelezte, hogy a Reiser4 kész az -mm fába való beolvasztásra, de ennek ellenére Andrew Morton csak most látta jónak az időt, hogy bekerülhessen a fájába az anyag.

A Reiser4 filerendszer jelenleg limitáltan működik, csak i386-on van tesztelve, és még nincs qouta támogatás. A teszteléshez szükség van a legújabb reiser4 programokra van szükség (bővebb infó itt).

További infók a Reiser4-ről: hupwiki://reiser4, vagy a korábbi HUP cikkekben.

Az anyag letölthető 2.6.8.1-mm2.bz2

Változások listája Andrew levelében itt.

A kernel patcheléshez segítség: hupwiki://Linux _kernel_patchelés

Mozgolódás a Mozilla Projekt háza táján. Megjelent a Mozilla 1.8a3. Emellett (a Slashdot szerint) a fejlesztők kiadták a Mozilla Sunbird névre hallgató projekt első publikus beta-ját (v 0.2).A Mozilla Sunbird egy naptár alkalmazás (hasonló az Apple féle iCal-hoz). Kétféle formában érhető el: az egyik verzió egy ~700 KB méretű a Firefox/Thunderbird/Mozilla programokhoz (Mozilla Calendar), míg a másik formája egy ~8 MB-os standalone verzió (Linux, Windows, Mac).

Bővebben a projekt honlapján.

[2004. aug. 18.] DSA-540 mysql - insecure file creation

A frissítésről szóló FAQ-nk itt.

Ezen a héten arra vagyok kíváncsi, hogy ki melyik operációs rendszer felhasználójának tartja leginkább magát. Szavazni lehet itt.

Egy érdekes cikk jelent meg a napokban a KernelTrap-on. A cikk szerzője azzal az ötlettel állt elő, hogy a rendszer fizikai memóriájának egy részét swap területként használja fel. A cikk írója abból a feltételezésből indult ki, hogy a memória hozzáférés sokkal gyorsabb, mint a lemezműveletek (nagyobb sebesség, nincs seek-elés miatti overhead, stb.), és olcsóbb is, mint a gyors storage megoldások. Az elképzelés a következő:

Tételezzük fel, hogy van egy Linux rendszerünk, amely érezhetően lelassul, mikor az adatokat visszatölti a lemezen levő swap területről a memóriába (swap in). Mint tudjuk a lemezműveletek sok százszor lassabbak, mint a memória műveletek. A cikk írója úgy okoskodik, hogy ha a merevlemezen levő swap területet lecseréljük valamilyen memória alapú egységre (mondjuk IDE-re dugható DoM-ra (disk on module)) akkor felgyorsíthatjuk a lapozási folyamatot.

A cikk írója ezután a következőt javasolja: ne memória diszket alkalmazzunk, menjünk tovább. Tegyünk a gépbe még memóriát, azon hozzünk létre ramdisk-eket, készítsünk rájuk swap területet, és használjuk azokat swap-ként (a Linux képes file-ra is swap-elni, nem csak partícióra). Magyarul valami ilyesmire gondolt:

ramdisk_size = 131072

(Grub-ba vagy LILO-ba)

mkdir /swapram

mkdir /swapram/rd10

mkdir /swapram/rd11

mkdir /swapram/rd12

mkdir /swapram/rd13

mke2fs /dev/ram10

mke2fs /dev/ram11

mke2fs /dev/ram12

mke2fs /dev/ram13

mount -t ext2 /dev/ram10 /swapram/rd10

mount -t ext2 /dev/ram11 /swapram/rd11

mount -t ext2 /dev/ram12 /swapram/rd12

mount -t ext2 /dev/ram13 /swapram/rd13

dd if=/dev/zero of=/swapram/rd10 bs=1024 count=129030

dd if=/dev/zero of=/swapram/rd11 bs=1024 count=129030

dd if=/dev/zero of=/swapram/rd12 bs=1024 count=129030

dd if=/dev/zero of=/swapram/rd13 bs=1024 count=129030

mkswap /swapram/rd10/sw 129030

mkswap /swapram/rd11/sw 129030

mkswap /swapram/rd12/sw 129030

mkswap /swapram/rd13/sw 129030

chmod 0600 /swapram/rd10/sw

chmod 0600 /swapram/rd11/sw

chmod 0600 /swapram/rd12/sw

chmod 0600 /swapram/rd13/sw

swapon /swapram/rd10/sw

swapon /swapram/rd11/sw

swapon /swapram/rd12/sw

swapon /swapram/rd13/sw

A cikkből nagy flame lett. A flamelők két táborra szakadtak. Az egyik azt állítja, hogy minek a RAM-ban swap, ha kevés a memória, akkor tenni kell a gépbe, és nem swap-ol a rendszer. A másik tábor azt állítja, hogy a swap szükséges dolog, és ha már swap-elni kell, azt jobb a gyorsabb RAM-ban megtenni, mint merevlemezen.

A cikk itt. Érdemes elolvasni a hozzászólásokat is. Vélemény?

A MicroBSD új szárnyakra kapott! Jelenleg Bolgár fejlesztői vannak az OpenBSD fork-nak.Mint az ismeretes a MicroBSD licencelési problémák miatt feloszlott/megszűnt, majd új erőre kapott és az ISOS laboratórium dolgozói vették ölbe a kódot.



Egyelőre jó kezekben van a Bolgároknál, s elkezdték a 0.7 branch fejlesztését!



Hajrá!



Hivatalos weboldal: http://www.microbsd.net/

Egy ma megjelent hibajegy szerint számos Cisco terméket érint az a hiba, amelynek következtében lehetőség nyílik az eszközök DoS-olására.

Azok a berendezések, amelyek az Internetwork Operating System (IOS) egyes verzióit futtatják, és engedélyezve van rajtuk az OSPF (Open Shortest Path First) protokoll, sebezhetők. Az OSPF protokoll nincs alapértelmezetten engdélyezve.Az érintett IOS verziók: 12.0S, 12.2, és 12.3

A 12.0, 12.1 kiadáson alapuló és a 12.0 előtti imagek nem érintettek.

Bővebben itt.

A fenti címmel jelent meg egy interjú a Linux kernel megalkotójával Linus Torvalds-szal.

Linus többek között olyan kérdésekre válaszolt, mint például:

- Mik a legnagyobb kihívások, amelyekkel szembe kell néznie a Linuxnak?

- Néhányan azt mondják, hogy a Linux és számos nyílt forrású szoftver nem igazán innovatív, csak a kereskedelmi szoftverek másolatai. Mi a reakciója erre?

- Mi a feladata a Linux jelenségben, és miben különbözik a múltbeli feladatától?- Ön valóban a Linux mozgalom vezetője, de mit jelent ez? Hogyan vezet? Hogyan lehet jóindulatú diktátor, mint ahogy egyesek nevezik?

- Írja le a fejlesztői szervezetet és a folyamatot.

- Hogyan választja ki a core kernel közreműködőket? Hányan vannak?

- stb.

Az interjút megtalálod itt.

Az LME az alábbi nyilatkozatott juttatta el hozzánk:

"LME nyilatkozat a Szoftverszabadalmakkal kapcsolatos demonstrációhoz kapcsolódóan

A Linux-felhasználók Magyarországi Egyesületének (LME) elnöksége 2004. augusztus 18-án a következő nyilatkozatot fogadta el:

A szoftverszabadalmak tervezett bevezetése elleni demonstráció céljaival az LME a legteljesebb mértékben egyetért.

A petíció átadásával egybekötött, hangsúlyozottan békés felvonulás célja, hogy Magyarország vonja vissza az EU Versenyképességi Tanács ülésén 2004. május 18-án leadott szavazatát. A szavazatát amellyel támogatja azt az Európai Uniós irányelv javaslatot mely legitimizálja a szoftverek szabadalmaztathatóságát. Egyesületünk nem a szabadalmak bevezetése, hanem a jelenlegi helytelen és pontatlan megfogalmazásokat tartalmazó irányelv ellen tiltakozik. A dokumentum ilyen formában történő elfogadása véleményünk szerint a nemzetgazdaságnak, a hazai szoftverfejlesztőknek és felhasználóknak is előre meg nem jósolható mértékű többletkiadásokat eredményezne.

Megkérjük a demonstráción megjelenő egyesületi tagjainkat és a céljainkkal szimpatizáló személyeket, hogy békésen fejezzék ki véleményüket a kérdéssel kapcsolatban.

Budapest, 2004. augusztus 18.

Az LME elnöksége"

A freebsd-security listára esett be ma egy levél, amelyben arról számol be a felhasználó, hogy 4.10 gépén futtatva a chkrootkit 0.43 programot az fertőzött chfn, date, és chsh binárisokat jelzett.

A programról korábban már lehetett olvasni, hogy néha félre jelez, de jobb félni mint megijedni alapon a tag letörölte a binárisokat, törölte a /usr/src-t, majd fordított egy world-öt. A rootkit ellenőrző programot futtatva az ismét fertőzöttnek jelezte a binárisokat. Volt aki visszaírt, hogy ezek false positive-ok, mert neki is fertőzött binárisokat jelzett a program a szóban forgó binárisok újrafordítása után.

Volt olyan listatag is aki már feltört FreeBSD mirrorokon gondolkozott.

Teszt jelleggel lefuttattam a chkrootkit-et az egyik FreeBSD 5.2.1-RELEASE gépemen, és nekem is jelzett a date binárisra:

su-2.05b# ./chkrootkit

ROOTDIR is `/'

Checking `amd'... not infected

Checking `basename'... not infected

Checking `biff'... not infected

Checking `chfn'... not infected

Checking `chsh'... not infected

Checking `cron'... not infected

Checking `date'... INFECTED

Checking `du'... not infected

[...]

Később az egyik tag írta, hogy bugreportolt a chkrootkit szerzőjének, aki megerősítette a bugot és ígéretet tett a javításra.

Azért továbbra is jobb félni, mint megijedni....

Megjelent az SQL Uniform 1.2.1-es Linux-os kiadása.

A program egy Java alapú SQL lekérdező, karbantartó, adat összehasonlító, exportáló (konvertáló) segédeszköz.
Aug. 23-ig ingyenes regisztráció (licenc) a Linux-os, Unix-os, MacOs-es felhasználóknak: magánszemélyeknek (igény jelzése itt) és cégeknek (igény jelzése itt). Bármi kérdésed van a programmal kapcsolatban, kérlek töltsd ki ezt az űrlapot.



Változások az 1.1-es verzióhoz képest:- Áttervezett csatlakozási ablak

- Teljesen áttervezett csatlakozáshoz segítséget adó ablak

- A gyorsabb csatlakozás miatt a következő cégek JDBC meghajtó szoftverei előre lettek telepítve a programmal együtt: MySQL-AB, The jTDS project (MSSQL), The PostgreSQL Foundation.



A honlapot megtalálod itt.



Minimum rendszerigény: Java 1.4.1

A nem rég megjelent 2.6.8.1-es Linux kernel egy olyan bugot tartalmaz, amely memória elfogyáshoz vezethet audio CD írása közben. A hibát többen is tapasztalták, többek között a fórumunk egyik olvasója is.A hibát egy olyan függvény okozza, amely nem szabadítja fel a korábban lefoglalt memóriát. Az eredmény: OOM (Out of Memory). Ebben az esetben csak a reboot segíthet.

Andrew Morton - a 2.6-os kernel sorozat karbantartója - azt válaszolta, hogy emiatt már kiadásra kerülhet a 2.6.8.2.

Egy sokat mondó változás a newvers.sh-ban, a megjegyzés hozzá : "HEAD is now 6-CURRENT"

cvsweb

Megjelent a Postgresql 7.4.4-es verziója.

A NetBSD operációs rendszer ftpd kiszolgálójában olyan hibát találtak, amelyet a rosszindulatú támadó kihasználva távolról root jogokat szerezhet. A hiba alapértelmezett telepítés esetén nem használható ki, mert az 1.5.3-as kiadástól nincs alapértelmezetten engedélyezve az ftpd a NetBSD-ben.

A Solaris 10 előzetes betajának újabb változata tegnap óta letölthető a http://wwws.sun.com/software/solaris/solaris-express/ címről mindkét támogatott architektúrához (x86, sparc)Újdonságok:

* DHCP Event Scripting

* DHCP for Logical Interfaces

* x86: Sun Validation Test Suite 6.0

* Kernel Modular Debugger

* Java 2 Platform, Standard Edition 5

* Zones-Wide Resource Control

* Stream Control Transmission Protocol

* Zebra Multi-Protocol Routing Suite

* IPsec and NAT-Traversal

* Enhancement to the nfsmapid Daemon

* sendmail Version 8.13

* Per-thread Mode Enhancement

* perzone Audit Policy

* OpenSSL and OpenSSL PKCS#11 Engine

* x86: Fibre Channel Connectivity for Storage Devices (végre!)

* BIND 9

* Samba

* Flex 2.5.4a

* SIP Proxy Server

* libusb 0.1.8

* Perl updated to 5.8.4

* Numerous fontconfig, STSF, and Xft fixes and improvements

* O_NOFOLLOW & O_NOLINKS options to open(2)

A DFS még nem került integrálásra, de a DTrace és a Container-ek (zónák) igen.

Megjelent az OpenSSH új 3.9-es változata.

Rövid időn belül elérhető a www.openssh.com -ról.Pár perce Markus Friedl küldött egy levelet a openbsd misc levelezési listára, melyben bejelenti az új változatot.

Fontosabb változások:

* Minden új kapcsolatnál újrafuttatja magát az ssh démon így biztosítva hogy minden program "új" tiszta környezetben induljon.

* Szigorúbb jogosultság ellenőrzések a beállítási fájlokon

* On-the-fly lehet port forwardolást megszüntetni (eddig csak létrehozni lehetett)

* Újra visszatérő PAM támogatás (talán ennek jelentőségét nem kell ecsetelnem)

* És talán a legnagyszerűbb újdonság: Connection Multiplexing.

Connection Multiplexing-gel több ssh kapcsolatot préselhetünk át ugyanazon az 1 db TCP kapcsolaton. Így elég egyszer authetikálnunk és egyben sokkal gyorsabb a kapcsolódás is. Egyenlőre még nem elég flexibilis az opció kézzel kell a paracssoron aktiválnunk (-M).

Ja és új ssh -> új design: póló

Napokban jelent meg az amavisd-new új 2.1.0 változata bővebben
itt olvashatsz róla.