Számítógépes hálózatban leggyakrabban az ``egy pontból eredő megbízhatatlanság" (SPoF, Single Point of Failure) általában a tűzfal szokott lenni. Ha a tűzfal meghal, akkor a belső hálózaton levő felhasználók nem tudnak böngészni, a weboldalak halottak lesznek a külvilág számára, és a levelek nem tudnak megérkezni a rendeltetési helyükre.

Az OpenBSD 3.5-ös verziója számos olyan eszközt ad a rendszergazda kezébe, amellyel ez a probléma kiküszöbölhető úgy, hogy párhuzamosan működő tűzfalakat építünk.Az összes forgalom az elsődleges tűzfalon halad keresztül; amikor az elsődleges tűzfal leáll, akkor a tartalék tűzfal átveszi (failover) az elsődleges tűzfal szerepét, a meglevő kapcsolatok megmaradnak, és minden működik tovább, mintha mi sem történt volna.

Ezzel a megoldással nem csak a hálózat rendelkezésre-állását növeljük meg, hanem fokozzuk a biztonságot is. Emellett a megoldás mellett frissíthetünk úgy, hogy nem veszélyeztetjük közben a hálózatunkat azzal, hogy megállítjuk a tűzfalat. Ennek a hálózati felépítésnek az eredménye az lesz, hogy gyakrabban frissíthejük a tűzfalat, anélkül, hogy a belső hálózaton levő felhasználóktól állandóan azt kellene hallgatnunk, hogy ``Miért áll már megint az Internet?''.

Ryan McBride egy részletes leírást készített arról, hogy hogyan tudunk ilyen hibatűrő (failover) tűzfal rendszert építeni carp és pfsync segítségével. A leírást megtalálod itt.

Megjelent a 2.6.5-rc3 kernel. Benne x86-64, arm, ppc64, ia64, s390, agp, acpi, ISDN és watchdog frissítések. Linus szerint semmi világrengető újonság.

[2004. már. 29.] DSA-469 pam-pgsql - hiányzó input ellenőrzés

A frissítésről szóló FAQ-nk itt.

A SecurityFocus bejelentése szerint számos helyi biztonsági hibát találtak a 2.4-es Linux kernel egyes korábbi kiadásaiban. A hibák:

Megjelent a Fedora Core 2 test2-es (1.91) kiadása. A kiadás 4 bináris és 4 forrás CD ISO formájában érkezik. Az anyag elérhető mind x86-64 mind i386 platformora.

A kiadás a SELinux és a 2.6 kernel tesztelését hivatott elvégezni, de emellett megtalálunk benne olyan dolgokat is, mint a GNOME 2.5 vagy a KDE 3.2.1. A fejlesztők kérik a tesztelőket, hogy a hibákat a Bugzilla-n keresztül jelezzék.

Az anyag letölthető a mirrorokról, vagy Bittorrent-en keresztül. A torrent file itt.

Alistair Crooks a netbsd-announce listára küldött levelében bejelentette, hogy a pkgsrc-2003Q4 branch a továbbiakban már nem támogatott, itt van helyette a pkgsrc-2004Q1. A pkgsrc-2004Q1 branch tegnap éjjel lett elkészítve, mostantól a pkgsrc commit fagyasztás befejeződött. A pkgsrc-2004Q1 branch várhatóan 2004. júniusáig lesz támogatott.

Mely platformok támogatottak?

- AIX

- BSDOS

- Darwin

- FreeBSD

- IRIX

- Linux

- NetBSD

- OpenBSD

- SunOS

A pkgsrc-2004Q1 branchban 4518 aktívan karbantartott, támogatott csomaot találhatunk.

Alistair levele itt.

Mostanában megszaporodtak a GLSA-k (Gentoo Linux Security Advisory). Itt az elmúlt heti termés:

GLSA 200403-04 Multiple security vulnerabilities in Apache 2

GLSA 200403-05 UUDeview MIME Buffer Overflow

GLSA 200403-06 Multiple remote buffer overflow vulnerabilities in Courier

GLSA 200403-07 Multiple remote overflows and vulnerabilities in Ethereal

GLSA 200403-08 oftpd DoS vulnerability

Az alábbi Linux kernel kiadások láttak napvilágot az elmúlt órákban:

2.4.x:

Marcelo Tosatti: Linux 2.4.26-rc1

2.6 -mm:

Andrew Morton: Linux 2.6.5-rc2-mm5

2.6 -aa:

Andrea Arcangeli: Linux 2.6.5-rc2-aa5A patchek letölthetők a szokásos helyről, a www.kernel.org-ról.

A kernel patcheléshez itt találsz.

Megjelent a PHP 4.3.5!

Elsősorban bugfix kiadás. A Changelog itt áttekinthető. A forrás letölthető innét.

Pár nappal ezelőtt az OM és az IHM egy ``Szoftveramnesztia a közoktatásban'' ötlettel állt elő.A bejelentés időpontjában a program pontjait nem ismertették az illetékesek. Akkor azt ígérték, hogy egy későbbi időpontban hozzák nyilvánosságra a részleteket. Ez ma megtörtént.

A közlemény az IHM honlapján itt.

(A linkért köszönet misi olvasónknak.)

Megjelent az OpenOffice.org 1.1.1! A hivatalos bejelentés még várat magára, mert előbb meg akarják várni, hogy a mirrorokon elterjedjen.

James Chacon bejelentette, a NetBSD 2.0 operációs rendszer kiadási folyamatának kezdetét. A NetBSD 2.0 kiadása 2004. májusára várható.A NetBSD 1.6 és a kiadás előtt álló 2.0 közti változások meglehetősen hosszúak.

Néhány dolog kiemelve:

- native threads based on scheduler activations

- UFS2

- verified exec

- cgd

- non-executable stack and heap

- systrace

- ....

Bővebben itt.

A bejelentés itt.

A DebianPlanet szerint az XFree86 4.3.0-7 csomag tegnap megjelent a testing-ben.

A www.2cpu.com oldalán megjelent egy cikk, amely a 2.6.4 és a 2.4.25 kerneleket hasonlítja össze.

A következőket vizsgálta ->- picCOLOR Image Analysis

- Software fordítás (MySQL source code compiled with make -j 4)

- mp3 encoding (BladeEnc)

- Apache Static HTML

- Apache PHP/MySQL

- MySQL Super Smack (SELECT and UPDATE)

- dbench v. 2.0 (file server performance)

A gép adatai, amelyen a benchmark lezajlott:

Úgy tűnik, hogy nem csak az operációs rendszerek területén érzi az MS, hogy bele kellene húzni, hanem veszélyeztetve érzi az Office alkalmazások piacát is.

Az MS annak a felhasználónak, aki a Microsoft Office valamelyik változatáról az OpenOffice.org-ra váltana, azt javasolja, hogy a váltás előtt olvassa el a Open Office Competitive Guide-ot. Természetesen a Guide azt tartalmazza, hogy az MS termékek mennyivel jobbak, olcsóbbak, gyorsabbak, mint az OOo.

Az ellenvélemény:A NewsForge válaszul cikkében egy komplett cáfolatot írt a dokumentumra. A cikk szerzője, bizonyos Taran Rampepersad hiszi, hogy a "Competitive Guide" nem más, mint egy újabb FUD, ezért cikkét a GNU FDL licence alatt publikálta, hogy bárki terjeszthesse azt.

A Newsforge cikke itt.

Forradalmi desktop környezetet álmodott a Sun Microsystems a közeljövő Solaris és Linux gépeire. Képzeljünk el egy olyan felületet, ahol az ablakok átlátszóak, ezért egyszerre több ablakot is láthatunk és egyszerre több ablakon is tudunk dolgozni egy időben. Képzeljük el, hogy rajzszöggel megjegyzést tehetünk annak a böngésző oldalnak a hátuljára, amelyet nézünk.

Nézzük mit tud az új környezet:

- Ablak forgatás (1, 2, 3, 4)

- Panoráma nézet (1, 2, 3, 4)

- Alkalmazás nézet (1)

- CDROM és film (1)

- Fordítsuk meg, és tegyünk rá memo-t! (1)

- Rendszerezzük az asztalunkat! (1)

Amint az a képekből is látszik, a dolog Java-ra épül. Sajnos a termékből sem demo, sem vásárolható verzió nincs jelenleg. A projekt aktív fejlesztés alatt áll. A projekt weboldala itt.

A Project Looking Glass-ről többet a FAQ-ban vagy a Datasheet-jében lehet megtudni.

Sajnos megjelent a legújabb adore rootkit, amely már használható a 2.6-os kernelekhez is, így fokozott figyelemmel kell lennünk!

Az adore-ng nem más, mint egy kernel modul, amelynek célja, hogy a cracker kezébe teljes irányítást adjon afelett a rendszer felett, amelyet már egyszer feltört. Mindezt úgy, hogy saját maga ne legyen detektálható.

Az rootkit számos ponton ``telepíti'' magát a kompromittált rendszer kernelében, így biztosítva, hogy felfedezhetetlen legyen. Egészen addig észrevétlen próbál maradni, amíg nem jön valaki, aki tudja a helyes ``KEY''-t (ADORE_KEY), amely nem más, mint egy process ID. Ha valaki nem tudja ezt a ``kulcsot'', akkor bizony nem egyszerű felfedezni az adore-ng-t.

Lássuk miért:Az adore-ng több álcázó mechanizmussal is fel van szerelve. Felejtsük el, hogy egy egyszerű chkrootkit programmal detektálni tudjuk.

A kernel modul azzal kezdi ténykedését, hogy hozzáhurkolja magát több filerendszerhez is.

1.) File és könyvtár rejtés: Az első dolog amit megtesz, hogy a root filerendszer inode-jainak readdir() függvény mutatóját lecserélni a sajátjára. Az adore-féle verzió is pontosan ugyanazt teszi, mint az eredeti, annyi különbséggel, hogy elrejt minden olyan filet amely egy megadott felhasználó vagy csoport tulajdonában van (ELITE_UID, ELITE_GID). Ezzel a script kiddie által telepített fileok láthatatlanok maradnak a rendszergazda számára.

2.) Processz rejtés: Hasonlóan hurkolja magát a /proc filerendszer lookup funkciójához. Ezzel lehetővé teszi, hogy a top, ps, stb. parancsok nem listázzák ki a betörő processzeit.

3.) Socket rejtés: Az adore-ng lecseréli a /proc/net/tcp show() függvényét is. Az új verzió editálja a hálózati kapcsolatok listáját, így eltüntet minden olyan kapcsolatra utaló jelet, amely a betörőre utalna.

Egyéb funkciók:

4.) Teljes értékű backdoor.

5.) syslog szűrés, wtmp/utmp/lastlog szűrés, stb.

A kernel modul egyetlen dologra nem képes, mégpedig elrejteni saját magát. Ezt azt jelenti, hogy a betöltött kernel modulok listázásakor (lsmod) látszik. Ezt kiküszöbölendő, a készítő szerkesztett egy másik kernel modult, amely a cleanup névre hallgat, így az elrejti a adore-ng-t.

Használata:

insmod ./adore-ng.o

insmod ./cleaner.o

rmmod cleaner

Érdemes tanulmányozni a forráskódot, hogy jobban megismerjük a működését.

A rootkit letölthető innen.

Igaz, hogy a Matthew Dillon és csapata még nem adott ki egyetlen hivatalos ISO imaget sem az ígéretes FreeBSD-fork DragonFly BSD-ből, de ennek ellenére már rendelhető CD a BSD Mall-tól.

A BSD Mall $15-ért kínál ``betekintést'' a DragonFly BSD fejlesztésébe. A kínálatuk a ``DragonFly BSD Developer Preview'' névre hallgat. Csak azoknak érdemes a CD-t megrendelni, akik komolyan tisztában vannak a FreeBSD rendszer működésével, hiszen a CD nem tartalmaz telepítőt a rendszerhez. Az operációs rendszert a tesztereknek saját maguknak kell telepíteniük kézzel.

A DragonFly listán egyik tag felvetette, hogy le kellene állítani a CD terjesztését, mert az káros lehet a projektre nézve (nincs még kész a DFly így akik ebben az állapotban találkoznak a rendszerrel, azok csalódhatnak benne). Matthew szerint annyira nem komoly a dolog, mert aki meg vásárolja a CD-t, és gondja van vele, az már túljutott a ``nem bootol'' problémán (azaz nem kezdő), úgyis megnézi a projekt oldalt, és letölti a legfrissebb ISO imaget, ha a kiadott nem elég stabil.

A Preview CD megrendelhető itt.

NtWaK0 összeütött egy olyan dokumentumot, amelyben részletesen leírja, hogy hogyan lehet OpenBSD 3.4-et telepíteni. A dokumentum különlegessége, hogy azoknak a felhasználóknak íródott akik fontolgatják az áttérést Windowsról OpenBSD-re.

A PDF dokumentum onnantól kezdve ``fogja'' kézen a júzert, amikor még Windows van a gépén. Végigvezeti az olvasót a custom CD image elkészítésétől a saját patchelt OpenBSD kernel fordításáig. A dokumentum az alábbi területeket fedi le:

- Creating a Custom ISO file

- Starting the Installation

- Do this after your first Boot

- Installing src :: ports :: Updating System

- Move from 3.4 to CURRENT. This need to be done ONLY once

- Tweaking and Applications Installation

- Annex :: Changing services Banner

- Annex :: Rebuilding

- Annex :: Patching OpenBSD 3.4 (3/20/2004)

A dokumentum tárgyalja a rendszer alap beállítását, a hálózat beállítást, az X, a KDE, stb. telepítését. A rendszer frissítést, a patchelés menetét....

Első ránézésre hasznos olvasmány a 32 oldalas írás.

A dokumentumot megtalálod eredeti helyén itt, vagy helyi mirrorban itt.

A coLinux az első olyan működő és nyílt forrású eljárás, amelynek segítségével optimális módon lehet Linuxot futtatni Microsoft Windows operációs rendszer alatt natívan (virtuális gép futtatása nélkül).

A Cooperative Linux egy Linux kernel port, amely hardver emuláció nélkül képes más operációs rendszerekkel együttműködve egy vason futni a ring0-ás szinten. Ehhez mindössze egy kevés architektúrális változtatásra volt szükség a kernelben (korábbi cikk).Most megjelent a coLinux 0.6.0-ás verziója. A coLinux jelen állapotában a Microsoft Windows XP és 2000 operációs rendszerek alatt képes futni Intel-kompatibilis architektúrán. A támogatott Linux kernel verzió a 2.4.25-ös.

Mennyire használható?

- VGA konzol - részlegesen működik, de használható

- Hálózat - működik

- Blokk eszközök - működik

- Billentyűzet - majdnem teljesen működik

Aki érdeklődik a projekt iránt az megtalálja a honlapot itt.

Itt az új -mm kernel, benne több érdekes változás. Az egyik ilyen változás a CPU ütemezővel kapcsolatos munka. Ismét elérkezett az idő, hogy egy nagyobb tesztelési ciklus kezdődjön az CPU ütemező SMP/SMT/NUMA funkciójával kapcsolatban. Ezeket a munkákat Molnár Ingo és Nick Piggin vezeti.

Örülhetnek a laptop tulajdonosok is.Jelentős változásokat hoz a patch a laptop-mode felhasználóinak is. Ha valaki használja a laptop-mode-ot, akkor nézzen be a Documentation/laptop-mode.txt-be a frissített indító-szkriptért.

Ezen kívül kis finomhangolás történt a ``page reclaim" logikában is.

A patch letölthető ftp://ftp.kernel.org/../akpm/patches/2.6/2.6.5-rc2/2.6.5-rc2-mm4/

Andrew levele a változások listájával itt.

A kernel patcheléshez segítséget itt találsz.

Hans Reiser - a ResierFS és az új generációs Reiser4 filerendszer fejlesztői projekt vezetője - az LKML-en bejelentette, hogy a Reiser4 filerendszerben még egy NFS-sel és egy mmap-pal kapcsolatos bug van, valamint teljesítmény problémákkal is küzdenek, amelyet várhatóan a heti snapshotban kijavítanak.

Amint a bugok javításra kerülnek, elküldik a patchet Andrew Mortonnak, hogy az bekerülhessen az -mm kernelbe, majd utána a mainline kernelbe is.Hans Reiser reméli, hogy ezeket a bugokat leszámítva a Reiser4 már elegendően stabil ahhoz, hogy az átlagos userek nekiálljanak használni. A Reiser4 teszteléséhez több ember kellene, ezért Hans kér mindenkit, hogy aki teheti tesztelje az új FS-t.

A Reiser4 legújabb snapshotja a 2.6.5-rc2 kernelhez megtalálható itt. Hans Reiser levele itt.

A CBBB (Council of Better Business Bureaus) tanácsásra az Apple Inc. felhagy azzal, hogy az új platformját a Power Mac G5-öt (korábbi cikk) a ``világ leggyorsabb, legerősebb személyi számítógépe''-ként reklámozza.

A tanács azt javasolta az Apple-nek, hogy fejezze be az összehasonlító teljesítmény adatokat tartalmazó állítások publikálását. A rivális Dell közbenjárására kezdte meg a vizsgálatát a National Advertising Division (NAD), amely megállapította, hogy az Apple által biztosított bizonyítékok nem adnak elegendő alapot arra, hogy az Apple a fent említett szlogennel reklámozza a G5-öt.

A C|net cikke itt.

Kész az új VM alrendszer.

Andrea Arcangeli befejezte az új VM alrendszer fejlesztését a 2.6-os Linux kernelhez.

Mint ismert, az olasz származású hacker azon dolgozik, hogy lecserélje a Rik van Riel-féle ``reverse-mapping" (rmap) elgondoláson alapuló virtuális memória kezelő (VM) alrendszert. A váltás célja az, hogy egy olyan VM szülessen, amely nagy vasakon jobban skálázódik a jelenleginél.

Andrea a bejelentésében jelezte, hogy kész az összes új tulajdonság implementálása. Mind a nem-lineáris swapping, mind a prio_tree (priority-based radix search tree - prioritás-alapú radix kereső fa) elérhető már.

A fejlesztő abbéli reményének adott hangot, hogy az általa fejlesztett objrmap-core+anon-vma+prio_tree VM alrendszer hamarosan része lesz a mainline kernelnek, de szerinte elég jó már most is ahhoz, hogy az -mm kernelfa része legyen.

Andrea levele itt.

Con Kolivas egy új, kísérleti processz ütemezővel állt elő a Linux kernel listán. Az ütemező a ``staircase (lépcső) process scheduler'' névre hallgat, amely utal a scheduler lefelé haladó, többszintű felépítésére. Az új ütemező tervezésekor a kiváló interaktivitás megőrzése volt a fő cél, de emellett a skálázhatóság, az alacsony ütemezési késedelem, és az alacsony overhead is fontos szempont volt.

Az ausztrál doktor a bejelentés mellé mellékelt néhány benchmark adatot is. A szerző szerint az ütemezési teljesítmény SMP rendszereknél azonos vagy alkalmanként jobb (mint a jelenlegi Molnár Ingo-féle O(1) ütemezőé, annak ellenére, hogy ez az ütemező is az O(1)-re épül), de emellett az interaktivitás és a reakciókészség javul.

Con szerint a 2.6-os kernelt futtató desktop felhasználók ezzel az ütemezővel sokkal jobb (ütemezési) teljesítményt kapnak, például az alkalmazásaik gyorsabban indulhatnak el.

Az ütemező teljes, pontos leírása és a benchmark eredmények Con levelében itt.