Aktív fórumtémák

Tárgy Válaszok Legutóbbi beküldés Fórum Szerző
  "Litvánia figyelmeztet, hogy senki ne használjon kínai gyártmányú mobiltelefont" 148  2021-09-28T01:02:55+0200 HUP cikkturkáló trey
  Levelezés tárhely szolgáltatónál (pl. mikrovps) 10  2021-09-27T23:23:49+0200 Web, mail, IRC, IM, hálózatok ghoman
  [Megrendelve] HP MicroServer Gen8 - szünetmentes? 88  2021-09-27T21:53:06+0200 Virtualizáció soproni
  HP ProLiant DL360G6 hirtelen, véletlen szerűen el-bootol :-( 2021-09-27T21:17:48+0200 Szerverek informer
  putty kulcs alapú hitelesítéssel 43  2021-09-27T19:53:45+0200 Debian GNU/Linux pista_
  Big Sur login screen-ről hiányzik az egyik user 2021-09-27T19:53:03+0200 macOS sfe19
  Hogyan készítsünk webböngésző-alapú videószerkesztőt? 51  2021-09-27T19:38:51+0200 HUP cikkturkáló Charybdis
  régi androidos tablet felhasználása valamire, ami még értelmes 16  2021-09-27T17:52:07+0200 Android bzs
  hibás pendrive - opciók 2021-09-27T17:19:11+0200 Merevlemezek, vezérlők wowbagger
  Wifi repeater, extender 16  2021-09-27T15:40:04+0200 Hálózati eszközök makgab
  Konstruktiv hozzáállású külső auditor cég SOC2 audithoz? 2021-09-27T15:25:11+0200 Security-all abli
  ftp elérés korlátozása országkód alapján 27  2021-09-27T13:22:32+0200 Szerverek bzs
  Windows Srv. 2016 Std. :: eldobja a hálózatot 17  2021-09-27T11:20:20+0200 Microsoft Windows soproni
  Android - push notifications 54  2021-09-27T11:05:33+0200 Android mauzi
  Packt Free eBook 438  2021-09-27T09:30:33+0200 Közösségi kerekasztal elod
  [megoldva] kprobe vagy trace funkcio parameter feldolgozas 2021-09-27T09:26:41+0200 Linux-haladó mhmxs
  IPv4 Mikrotik ovpn szerver vs ipv6 kliens 2021-09-27T09:17:20+0200 Hálózati eszközök 1soproni
  C __randomize_layout talany 2021-09-27T07:07:47+0200 C/C++ mhmxs
  Villámakció: játékok ingyen 1,274  2021-09-27T06:43:35+0200 Játékok endi123
  [Ötletbörze] Jó filmet szeretnék nézni 797  2021-09-26T23:01:36+0200 Közösségi kerekasztal pepo

Zack Brown: Kernel Traffic #175

Címkék

Megjelent a Zack Brown által karbantartott heti rendszerességgel megjelenő LKML (Linux Kernel Mailing List) levelezési lista kivonatos formája.

A tartalomból:

  • a diszk fordulatszámának csökkentése, ha az akkumulátor kezd lemerülni (notebook)
  • X86 oldal méretek
  • beszélgetések a harver detektálásról
  • SCHED_IDLE implementáció
  • az O(1) scheduler helyzete a 2.4-ben
  • UML (User Mode Linux) biztonsági kérdések
  • Új rmap patch a VM alrendszerhez
  • 2.5.25 bejelentése
  • stb.
  • Hivatalos banner a megjelenő Woodyhoz II.

    Címkék

    Múlt héten írtam, hogy nem találtam normális bannert a Debian Woodyhoz. Ez baj, mert ha esetleg megjelenik, akkor nem tudjuk mivel népszerűsíteni a dolgot. Azt is írtam, hogy esetleg mi magyarok készítsünk ilyen bannert, mert ha jól sikerül, akkor akár a hivatalos Woody banner státuszt is meg lehet vele célozni. Crown készített néhány ilyen bannert. Tehát:

    Linux: a 2.0-ás kernel jövője

    Címkék

    A stabil 2.0-ás kernel több mint 6 évvel ezelőtt jelent meg, 1996. júniusában. Ezt követte a következő stabil kernel széria, a 2.2-es amely úgy 2 és fél évvel azután jelent meg 1999. januárjában. Most a jelenlegi stabil széria a 2.4-es, ez 2001. januárjában jelent meg. A következő stabil kernelre, a 2.6-os szériája még minimum egy évet kell várnunk.

    Az elmúlt 6 évben a 2.0-ás kernel sorozat életben maradt, folyamatosan karban van tartva, jelenleg a 2.0.39 verziónál tart, amely 2001. januárjában jelent meg. Az LKML-en c0330 tagban felmerült a kérdés, hogy van-e még értelme folytatni a 2.0-ás kernel sorozat karbantartását a 2.6-os kernel megjelenése után? Szerinte a 2.0-ás kernelt nem kellene már fejleszteni a 2.6 megjelenése után.A kérdésére többen is reagáltak, köztük WLI, Riel, Cox és a jelenlegi 2.0.x kernel karbatartója David Weinehall is.

    Többségük válasza egyértelmű volt: addig kell karbantartani a 2.0-ás kernelt, amíg azt használják. Cox - ahogy mondta, nem tudja mi Weinehall véleménye - de neki a 2.2-es kernelt karban tartani minimális munkát jelent már. Szerinte ez így lehet a 2.0-ás kernelnél is. Akkor meg miért ne gondozzák továbbra is?

    A 2.0.40-es kernel lassan megjelenik, David Weinehall a következőket mondta:

    "a 40-es egy szép kerek szám, a 42 viszont jobb arra, hogy befejezzem a karbantartást, úgyhogy lehetséges, hogy ez lesz az út vége."

    Megnőttek a Linux és egyéb open source rendszerek elleni támadások

    A Vnunet.com egyik mostani cikke szerint jelentősen megnőttek ebben az évben a Linux és az egyéb open source rendszerek elleni támadások. Ezt az előző években készített felmérések alapján állítják. Ebben az évben jelentősen nöttek ezek a támadások, míg a Windows rendszerek ellen irányuló rosszindulatú cselekmények száma drámaian csökkent.Az első 6 hónapban 7,630 támadást regisztráltak Linux boxok ellen. Az ilyen jellegű támadások száma a tavalyi évben 5,736 volt. Ezzel egyidőben a Windows IIS (Internet Information Service) szerverek ellen irányuló támadások száma 20%-kal csökkenni látszik. Míg a tavalyi évben ezek száma 11,828 volt, addig idén ez csak 9,404 (forrás: Source: mi2g SIPS adatbázis - http://www.mi2g.com/) .

    A teljes cikket megtalálod itt.

    Linux: A TOP10 legrosszabb dolog a Linuxban, napjainkban

    Címkék

    Adam Wiggins úgy gondolta, hogy meg kell osztania a világgal, hogy szerinte mi is az a 10 legrosszabb dolog, ami neki nem tetszik jelenleg a Linux terjesztésekben. Szépen sorba szedte a szerinte nem jó dolgokat, és ki is fejti pontról-pontra, hogy miért gondolja így.

    Lássuk mi nem tetszik a lusernek ;) :

  • Nincs "legjobb" böngésző
  • Várakozás a filerendszer scannelésnél
  • A nyomtatásnak könnyebben konfigurálhatónak kellene lennie
  • Könnyebbé kellene tenni a felhasználóknak, hogy jobban kitalálhassák, mit hogyan kell csinalni
  • Tisztább képernyő frissítés/újrarajzolás
  • A nem kellő processzeket ne kézzel kelljen killellni
  • Könnyebb filemegosztás kellene
  • Hang támogatás
  • Nincsen editor, ami támogatná a "soft wrapping"-ot
  • Nincs mód arra, hogy könnyen konfiguráljuk az X-et

    A magyarázatokat megtalálod itt.

    A nagy részét a felsorolásnak élből meg lehet támadni ;)

    Ezt a lehetőséget meghagyom nektek. No comment.....

  • Interjú Ian Jackson-nal, a dpkg szerzőjével

    A Debianplanet.org egy interjút készített Ian Jacksonnal. Aki ismerős Debian körökben, a Debian terjesztést használja, annak nem ismeretlen ez a név. Ian Jackson a Debian gyerekkora óta a disztribúció fejlesztője, a '93-as évben csatlakozott a projecthez.Jackson jelenleg is tagja a technical committe-nek, szerzője a dpkg csomagkezelőnek, amely a Debian terjesztés alapját képezi. A nevéhez fűződik az eredeti BTS (Bug Tracking System), és számos más Debian fejlesztés.

    Az interjút elolvashatod teljes terjedelmében itt.

    Debian: Debian GNU/Linux 2.2r7 kiadás

    Címkék

    Megjelent a Debian GNU/Linux 2.2 'potato' hetedik javított kiadása. A legfőbb változások ebben a kiadásban a biztonsági frissítések. Ezenkívül néhány bug kijavítása került megvalósításra. Aki rendszeresen frissíti a rendszerét a security.debian.org-ról, annak nem szükséges a frissítést letölteni.A frissítés erre a kiadásra az 'apt' eszköz használatával lehetségen on-line módba (lásd. sources.list(5) manual oldal), valamely Debian HTTP vagy FTP tükörszerverről. A mirrorok listája:

    http://www.debian.org/distrib/ftplist

    Bejelentés:

    Debian GNU/Linux 2.2 updated (r7)

    Alan Cox: Linux 2.4.19rc1-ac2 | ac3

    Címkék

    Alan Cox sorban ontja magából a foltokat a legutolsó ismert pre kernel RC1-es verziójához. Tegnapelőtt megjelent a Linux 2.4.19rc1-ac2, tegnap pedig az -ac3.

    A 2.4.19rc1-ac3 letölthető: patch-2.4.19-rc1-ac3.bz2

    Változások:[+ indicates stuff that went to Marcelo, o stuff that has not,

    * indicates stuff that is merged in mainstream now, X stuff that proved bad and was dropped out]

    This is mostly a housekeeping patch designed to shrink diff sizes down and get ready for 2.4.20pre merging. Promise users please test this with *caution*. It should fix large drives on the 20262/3 but change nothing

    else but namings.

    Linux 2.4.19rc1-ac3

    o Remove SWSUSPEND

    | With the IDE backport option and other general 2.5 improvements

    | its now best worked on in 2.5

    o Remove duplicate config options (Steven Cole)

    o

    o Newer SX6000 has PDC20276 chips. Handle this (me)

    o Don't use LBA48 hack on Promise 20262/3 (Hank Yang)

    o Switch to Promise namings for chips (Hank Yang)

    o Update promise drive quirks (Hank Yang)

    o Fix missing sem up on error in usb printer (Oliver Neukum)

    o Correct FPU stack fault signal flag bits (Dave Richards)

    o Resync with base JFS tree (Dave Kleikamp)

    o Make it clear CMD64x drives CMD680 (Adrian Bunk)

    Linux 2.4.19rc1-ac2


    o Update eata and u14/34f drivers (Dario Ballabio)

    o Handle 3c556 transmitter enable bit (Andrew Morton)

    o Make the DRM layer use the pci mapping api (Arjan van de Ven)

    o Set pci dma masks on the i2o devices (Frank Davis)

    o JFFS2 bug fixes (Dave Woodhouse)

    o Fix i815 APSIZE masking (Nicolas Aspert)

    o Remove junk pcxxdelay function (Sergey Kononenko)

    o EFI partition updates (Matt Domsch)

    - I took out the MSDOS check - if both are

    present we should favour MSDOS for now

    o Fix ipc/shm locking (Hugh Dickins)

    o Update Configure.help (Steven Cole)

    o USB updates - cleanups (Greg Kroah-Hartmann)

    o USB fix for intuos tablet (Christer Nilsson)

    o USB scanner updates (David Nelson, Henning Meier-Geinitz,

    Sergey Vlasov, Karl Heinz Kremer)

    | Note - new maintainer for USB scanner - Brian Beattie

    o Re-merge the ramfs limits code (David Gibson)

    | * This needs good testing

    | + TODO - make ramfs homour vm_accounting

    o eepro100 warning fix (Pavel Machek)

    o Report ok for nfs directory fsync (Trond Myklebust)

    o Promise 20268 raid should be called 20270 (Hank Yang)

    | Trivial item pulled out of the pending promise patches

    o Speakup HZ != 100 cleanup part 1 (Arjan van de Ven)

    o Report HT info in /proc/cpuinfo (Arjan van de Ven)

    o PIV IRQ balancing fix (Ingo Molnar)

    o Allow a non PGE PII optimised build (Arjan van de Ven)

    o Elevator performance fixes (Andrea Arcangeli)

    o Update cpufreq, add PIV throttling (Robert Schwebel,

    Padraig Brady, Zwane Mwaikambo, Arjan van de Ven,

    Tora Engstad)

    o O(1) scheduler updates (Ingo Molnar)

    o Fix 64bit random panic with

    "I refuse to corrupt memory/swap" (Bill Nottingham)

    o Fix compile with floppy disabled (Adrian Bunk)

    o Quirk handler for Dunord I-3000 (Dave Close, David Mosberger)

    | Plus I added real PCI idents for neatness

    o Fix another vm accounting corner case (Robert Love)

    o Patch up XFree 4.1 back compat problems in DRM 4.2+ (Arjan van de Ven)

    SNARE: építsünk Behatolás Jelző Rendszert Linuxra - step-by-step tutorial ;)

    Ez a tutorial végigvezet azon a folyamaton, hogy hogyan építsünk a SNARE eszköz segítségével, egy hasznos, könnyen használható powerful IDS rendszert a Linux szerverünkre (munkaállomásunkra). A tutorial segít a teleptésben, ismereteti a rendszer alapjait. A tutorial képekkel illusztrált. Nem csak expert felhasználóknak ajánlott ;)



    A Behatolás Jelző Rendszerek (Intrusion Detection System - IDS) nem új dolgok a nap alatt. A Solaris operációs rendszer tartalmaz egy BSM (Basic Security Module) nevű modult, amely lehetővé teszi, hogy aprólékos-szintű kernel logolást végezzünk. Ez a dolog mostantól elérhető Linuxra is.

    A SNARE egy új, host-alapú IDS, amelyet kimondottan Linuxra terveztek. Kristy Westphal kipróbálta a SNARE-t, és a tesztek során talált egy kiváló plug-in-t, amellyel nagyszerűen lehet a kernel eseményeket auditálni Linux operációs rendszer alatt.

    A SNARE ingyenes, free, könnyű telepíteni és könnyű beállítani.SNARE - amely a System iNtrusion Analysis and Reporting Environment szavakból áll össze, az InterSect Alliance, egy ausztrál IT biztonsági cég által készített alkalmazás. A weboldaluk szerint (http://www.intersectalliance.com/projects/Snare) a cég azért kezdte el a SNARE projectet, hogy "kibővítsék a Linux operációs rendszer biztonságát azzal, hogy egy széleskörű logolási képességet adnak hozzá". Szerintük azért nem használnak szélesebb körben Linuxot az IT területen, mert hiányzik belőle egy széleskörű logoló eszköz. Ezt készítették el ők. Készítettek egy 'auditd' nevű programot, amely nem más mint egy dinamikusan betölthető kernel modul, és amely daemonkét (is) fut.

    Jobban kifejezve azt, hogy mit értenek 'széleskörű logoló eszközön':

    - logolja a megnyitott és elfogadott hálózati kapcsolatokat

    - logolja a könyvtárak olvasását/írását

    - figyeli a felhasználók azonosságát és csoportját

    - és figyeli a programok használatát/azok megváltoztatását

    Függően attól, hogy hogyan van konfigurálva a SNARE, detektálni tudjuk, ha a támadó megállított egy kulcsfontosságú programot, ha a root felhasználóra váltott, vagy ha fileokat installált a kulcsfontosságú könyvtárakba. Továbbá a SNARE képes logolni a file rendszer hívásokat, amely lehet read/write, megnyitás, átnevezés, képes észlelni ha a 'chroot', vagy a 'reboot' programokat futtatta valaki, vagy 'mkdir' és 'mknod' került felhasználásra.

    Telepítés:

    Azzal, hogy egy host-alapú IDS-t (Intrusion Detection System) telepítünk a rendszerre, az nem jelenti azt, hogy az egész rendszer védve van mindentől. A cikk feltételezi, hogy a rendszer amelyre a SNARE telepítésre kerül, az megfelelően van telepítve, a nem szükséges szervizek nem futnak rajta, a legutolsó biztonsági patchek is fel vannak telepítve, a file permissziók jól be vannak állítva, stb.

    A SNARE telepítéséhez szükséges csomagokat megtalálod a project weboldalán itt. A SNARE két részben érkezik: van a core csomag és a hozzá kezelőszervként adott GUI (grafikus interfész). A stuff .rmp csomagokban megtalálható a weboldalon Red Hat 7.1 és Red Hat 7.2 rendszerekehez, de ott találhatjuk a forráskódot is. Ez a cikk a forrásból telepítést mutatja be. Letöltjük a legutolsó friss verziót amely a cikk írásának pillanatban a 0.9 névre hallgat. Ez két gzippelt tar filet jelent, a snare-0.9.tar.gz, és a snare-core-0.9.tar.gz.

    Először a core csomagot kell telepíteni, tehát:

    gunzip snare-core-0.9.tar.gz

    aztán

    tar xvf snare-core-0.9.tar

    A SNARE egy kicsi terjesztés, a dokumentációt a weboldalukon keresd. A SNARE daemont egyszerűen le lehet fordítani:

    make clean && make && make install

    így egy friss példányt kapunk belőle (ajánlott így csinalni). Az auditd daemon /usr/sbin könyvtárba fog települni, az audit start/stop script helye a /etc/init.d könyvtár. Egy symlinket készítünk a /etc/rc2.d könyvtárba S98audit néven, amely a /etc/init.d/audit scriptre mutat. Innentől kezdve automatikusan indul a daemon a rendszer indításakor, vagy kézzel is indíthatjuk: belépünk a /etc/init.d könyvtárba és kiadjuk az alábbi parancsot:

    ./audit start

    A GUI fordításához nem ajánlom, hogy a standard lépéseket kövesd, amelyek le vannak írva az INSTALL fileban. Helyette csináljuk a következőt:

    Lépjünk be a snare-0.9 könyvtárba, és adjuk ki a következő parancsokat:

    ./autogen.sh

    ./make

    ./make install

    A GUI fileok a /usr/local/share könyvtárba települnek. Így teljes a GUI telepítése, akár el is lehet indítani a

    snare &

    paranccsal.

    snare gui

    Egy kép a GUI-ról

    Konfiguráció:

    Miután a SNARE feltelepült és fut, konfiguálni kell. Mint ahogy a syslog daemon konfigurációs fileja a syslog.conf, ennek a konfigurációs fileja az audit.conf. Ennek a helye a /etc/audit könyvtár. Javaslom, hogy ezt a filet, csak a GUI-n keresztül editáljuk, mert akkor biztos hogy megfelelően lesz formázva. Hogy beállítsuk a filet, menjünk a 'Setup, Audit Configuration' menübe. Itt meg tudunk változtatni néhány paramétert:

    AuditType - alapból ez "Objective"; a többi elérhető opció az "Event"

    HostID - Meg tudod határozni, hogy mely távoli host logfilejai jelenjenek meg

    Objectives - Az auditálás finomságát lehet itt állítani

    Events - Az összes lehetséges kernel hívás tudjuk auditálni

    Output - Ahova tárolni szeretnéd a log fileokat; az alapértelmezés a /var/log/audit/audit.log

    A SNARE képes a kernel vagy objective logolásra, de nem egy időben.

    Új objective szabályt (rule), az 'Add an Objective' gombbal lehet megtenni.

    snare config

    Audit objective szerkesztése

    Ez a lépés öt részre bontható:

    - Magas szintű konfiguráció

    - Szűrő (filter) amellyel auditálni akarsz, regexp-ek használhatók

    - Hogyan akarsz auditálni egy eseményt: sikeres vagy sikertelen, sikeres és sikertelen filter

    - Hogyan akarod auditálni a felhasználók eseményeit, összes felhasználó, csak kiválasztott felhasználó, stb.

    - Milyen riasztási szintre van szükségünk, stb.

    A riasztási szintek a Critical-tól a Clear-ig állíthatók. A Clear csak annyit jelez, hogy valami történt (jó vagy rossz). Ha valami történik, azt szín jelöléssel hozza a SNARE a tudtunkra: valami 'jó' történt akkor egy zöld pont jelenik meg. A figyelmeztetés sárga pont, a prioritásos események narancs, míg a kritikus események piros ponttal kerülnek kijelzésre.

    Objective loggolás:

    Az alap beállításban az alábbiak vannak beállítva: olvasás, írás, vagy létrehozás a /etc/shadow filera nézve; írás vagy létrehozás a /etc/passwd filera nézve; és olvasás, írás, vagy létrehozás az audit fileokra nézve. Továbbá, monitorozás a fileok, könyvtárak beállításaira: /sbin, /usr/sbin, /bin, és /usr/bin könyvtárak; a su program felhasználása; új kapcsolatok elfogadása; a newgrp program használata; változások a /etc és /var/log könyvtárakra; és megnyitása valamely kimenő hálózati kapcsolatnak.

    Event (Kernel) logolás:

    Mielőtt a kernel logoláshoz folyamodunk, ellenőrizzük mennyi szabad diszk hely áll rendelkezésünkre, mert nagyon bőbeszédű lehet.

    Mit tudunk logolni?

    Erőforrások hozzáférése és biztonsága, parancs végrehajtás, erőforrás (resource) létrehozás és törlés. Az erőforrás hozzáférés és biztonság tartalmazza az olyan hívások logolását mint: setuid, open, rename, chmod, és a chown. A parancs végrehajtás logolás tartalmazza a chroot, reboot, és a socket hívásokat. Az erőforrás létrehozás és törlés logolás tartalmazza a symlink, create_module, és mknod figyelését.

    A SNARE nem egy tipikus host-alapú IDS, a legtöbb ilyen IDS olyan elven működik, hogy MD5 checksumot készít a kulcsfontosságú fileokról, amelyet egy adatbázisban tárol. A teljesen feltelepített _még nem használt!!!!_ rendszeren lefuttatjuk az ilyen IDS programot (pl. TripWire) amely egy snapshotot készít a rendszerről. Fontos hogy egy még nem használt rendszerről készítsük a snapshotot, mert ha már egy backdooros rendszerről készítjük, az már semmit nem ér. A következő lépés az auditálásnál, hogy újra futtatjuk az IDS-t, és a program a különbségeket jelzi ki az eredeti snapshot és a most általunk futtatott program logja között. Tulajdonképpen a checksum változásokat figyeli.

    A SNARE más. A SNARE egy kiváló eszköz arra, hogy egy hasznos 'otthon-készített' csapda-rendszert építsünk (honeypot). Természetesen a daemont át tudjuk nevezni, így a tapasztaltabb felhasználók se tudják azt elsőre kiszúrni a rendszeren. Ilyenkor természetesen újra kell konfigurálni az eszközt.


    Előnyök és hátrányok:

    A SNARE-nek nem sok hátránya van. De meg kell említeni, hogy az alkalmazás képes némi CPU-t és memóriát felemészteni. Ez függ a megfigyelt események számától természetesen. Mindenesetre ezzel számolni kell. A második az, hogy csak a korszerű kernelekkel működik. Én azt hiszem, hogy ez a kettő dolog megbocsátható, hiszen aki ilyen eszközt telepít, az számol azzal, hogy bizonyos erőforrásokat kell allokálni erre a célra (diszk terület, cpu idő, memória), és feltételezzük, hogy egy komolyabb rendszeren nem futtat már 2.0.x kernelt sehol.

    Az előnyök: egy nagyszerű eszköz a túlterhelt rendszeradminisztrátorok kezében. Hihetetlenül egyszerű a telepításe, a beállítása. Miután az IDS rendszer be van állítva, fut és működik, nincs vele más dolgunk, mint a logfileokat betömörítve eljuttatssuk egy másik gépre, ahol azokat elemezhetjük. Ezt könnyedén lehet automatizálni. Jól konfigurálható, portolható, könnyedén használható.

    Bővebb információ a SNARE-ról:

    http://www.intersectalliance.com/projects/Snare

    Információ a Solaris BSM-ről:

    Auditing in the Solaris 8 Operating Environment

    és még egy olvasmány:

    Implementing C2 Auditing in the Solaris Environment



    Az eredeti cikk itt jelent meg.

    FreeBSD Advisory: tcpdump (FreeBSD-SA-02:29), ktrace (FreeBSD-SA-02:30)

    Címkék

    A FreeBSD biztonsági csapat két figyelmeztetést adott ki, az egyik a tcpdump-pal (FreeBSD-SA-02:29), a másk pedig a ktrace-szel (FreeBSD-SA-02:30) kapcsolatos.

    A tcpdump összes verziója a 3.7.1-ig bezárólag egy puffer túlcsorulási lehetőséget tarttalmaz, amelyet rosszul formázot NFS csomagokkal lehet triggerelni. Ezen kívül elképzelhető, hogy ás csomagokkal is ki lehet váltani a nem kívánt hatást. Jelenleg nem ismert olyan exploit, amellyel ki lehetne használni ezt a bugot.

    Azokon a rendszereken ahol a ktrace engedélyezve van a KTRACE kernel opció által, ott a lokális felhasználó hozzáférhet érzékeny információkhoz. Ilyen lehet például a password file, authentikációs kulcsok, stb. Nem ismert jelenleg olyan eszköz, amellyel ki lehetne használni ezt a hibát.

    A hibákat leíró bejelentéseket megtalálod a freebsd-security-notifications levlistán.

    FreeBSD Security Advisory FreeBSD-SA-02:30.ktrace

    FreeBSD Security Advisory FreeBSD-SA-02:29.tcpdump

    KDE 3.1 Alpha1 kiadás és screenshotok

    Címkék

    A KDE team tegnap kiadta a KDE desktop környezet 3.1-es verziójának Alpha1 verzióját. Az Alpha1 kiadás célja, hogy a haladó felhasználók tesztelni tudják a KDE 3.1 új funkcióit, vagy csak egyszerűen valaki a saját kedvére telepíthesse és metekintést nyerhessen a fejlesztésbe.

    A KDE 3.1 Alpha1 bejelentését itt olvashatod. Screenshotokat találsz ezen az oldalon.

    Mit mondjak, biztatóan néz ki. Érdemes megnézni, bár sokak szerint XP feelengje van a dolognak.

    Linux Kernel Privileged File Descriptor Resource Exhaustion Vulnerability

    Címkék

    Egy újabb hiba a mostani Linux kernelekben. A Linux Kernel Privileged File Descriptor Resource Exhaustion Vulnerability (megpróbálom lefordítani ;) : Linux Kernel privilegizált file leíró erőforrás kiürítési sebezhetőség - wtf?) hibát nem régiben fedezték fel néhány újabb Linux kernelben.

    A hiba bejelentésében az alábbiakat olvashatjuk:"A Linux kernel egy szabadon elérhető, nyílt forrású kernel, amelyet eredetileg Linus Torvalds írt. Ez a magja a jelenlegi Linux terjesztéseknek.

    A Linux kernelek újabb verziói tartalmaznak egy file leíró csoportot melyek fenn vannak tartva azon processzek számára, amelyet a root felhasználó futtat. Alapértékként ezen file leírók száma 10-ben van meghatározva.

    Lokális, nem privilegizált felhasználónak lehetősége nyílhat arra, hogy megnyissa az összes rendszer file leírót. Rosszindulatú felhasználó ezek után ki tudja üríteni a file leírókat, megnyitva számos közös suid binárist, amelynek az eredményeként denial of service esemény jöhet létre."

    Bővebb információ: SecurityFocus

    OpenBSD: httpd változások az OpenBSD-ben

    Címkék

    Theo de Raadt egy levelet küldött az OpenBSD-misc levelezési listára, melyben bejelenti, hogy a httpd (webszerver) mostantól a /var/www könyvtárba lesz zárva (chroot - jail).A dologra azért került sor, mert az OpenBSD fejlesztők szerint mostanában veszélyes megbízni a webszerverekben (nyilván a legutolsó apache bugra céloznak). Ezt a chroot-olt megoldást nem kötelező használni, akinek nem tetszik, annak egy egyszerű '-u' flaget kell beállítani a httpd_flags értékének a /etc/rc.conf-ban. Ezzel a beállítással vissza lehet térni a hagyományos megoldáshoz.

    Ahogy Theo a levelében írja, ez a legjobb dolog amit jelenleg tehetnek a webszerverek bugjai ellen. Sajnos az Apache kódja túl monolitikus, borzasztóan nagy, ezért a soronkénti auditálás nem használható. Ezért a legegyszerűbb megoldást választották, 'jail'-be zárták az alkalmazást.

    Tehát az új funkciót egy egyszerű '-u' kapcsolóval lehet ki/be kapcsolni, más konfigurációs változtatásra nincs szükség.

    Theo levele:

    **********************************

    To: misc@cvs.openbsd.org

    Subject: httpd changes

    From: Theo de Raadt

    Date: Tue, 09 Jul 2002 15:19:07 -0600

    --------------------------------------------------------------------------------

    httpd by default now chroot's into /var/www.

    This causes all sorts of fancy features to break. Fancy features which

    we believe to be quite unsafe.

    If you don't like this behaviour, use the -u flag for httpd_flags in

    /etc/rc.conf to get back to the way it used to be. We bet that when

    the next bug in apache comes, you'll regret it though.

    This is the best approach we can currently take against such a

    monolothic piece of software with such bad behaviours. It is just too

    big to audit, so for simple usage, we are constraining it to within

    that jail.

    When you turn the -u flag on and off, no other configuration changes

    are needed.

    All this is documented.

    Good luck.

    *******************************************

    Linux: Kernel tömörítés bzip2-vel

    Címkék

    Christian Ludwig egy új patchet küldött az LKML-re, melynek célja, hogy bzip2 tömörítési lehetőséget adjon a Linux kernelhez. A patch egy olyan választási lehetőséget biztosít, melynek segítségével lehetőség nyílik arra, hogy bzip2 tömörítést használhassunk a kernelhez, és a ramdisk image (initrd) kompresszálásához is. Az eredeti bzip tömörítő - a lossless data compressor - nem használatos az open source fejlesztésekben, mert szabadalmi megkötésekkel kell szembenéznie a fejlesztőnek, ha ehhez az eszközhöz nyúl. Az újabb, és magas fokon portolható bzip2 a Burrows-Wheeler block-rendező text tömörítő algoritmust és a Huffman kódolást használja. Ez a dokumentum leírja, hogy miért a bzip2-t használjuk inkább a bzip-pel szemben. Ez a kód teljesen szabadalom mentes, állítja a szerző, Julian Seward.A jelenleg létező 'make bzImage' parancs nem azt jelenti, hogy a kernel bzip-pel van tömörítve. A jelentése make "big zImage". A linux kernel dokumentációban (Documentation/kbuild/commands.txt) világosan le van írva, hogy "a különbség a 'zImage' file és a 'bzImage' file között az, hogy a 'bzImage' más elrendezést, és más betöltő algoritmust használ, és nagyobb a kapacitása. Mindkét file a gzip tömörítést használja."

    Christian Ludwig patche a 2.4.18 kernel ellen készült. Ez tulajdonképpen nem más mint a korábbi 2.2-es kernelhez készült, Tom Oehser által fejlesztett kód tisztított, és portolt verziója.

    FreeBSD: Hogyan működik a Swap?

    Címkék

    Egy nagyon érdekes thread tárgyalja a FreeBSD -hackers levelezési listán, hogy hogyan is működik a swap a high-end gépeken (természestesen FreeBSD környezetben). A felvetett kérdés arról szól, hogy hogyan is működik a swap egy olyan gépen amelyben 2GB fizikai memória van, és mondjuk 4GB-nyi swap terület van beállítva. A kérdés arra irányult, hogy hogyan kezeli a FreeBSD a swapot egy 32bites gépen ha a swap terület nagyobb mint 2^32 byte.A beszélgetésben a 32 és 64 bites gépek is összehasonlításra kerültek, mind 4.x, mind az eljövendő 5.x kernel tükrében (-current).

    A hozzászólók között van Matthew Dillon (FreeBSD kernelhacker) is, aki a szerzője a virtuális memória szekciónak, amely a FreeBSD Developers' Handbook része.

    A thread itt kezdődik.

    Linux: minimális -rmap VM

    Címkék

    Rik van Riel kernel oldalán olvashatjuk a következőket:

    "Linus bejelentette (két héttel ezelőtt, a Linux kernelfejlesztők találkozóján), hogy érdeklődik egy minimális -rmap kernelpatch után. A patchet a 2.5-be lehetne illeszteni."Craig Kulesa készített egy minimális -rmap patchet a legutolsó fejlesztői kernel számára, kódtisztításokat hajtott végra rajta. Andrew Morton számos bugot fixált a patchben.

    Ez azért érdekes, mert néhány hónappal ezelőtt nagy port kavart fel, amikor Linus kicserélte a virtuális memória alrendszert a Linux kernelben. Sokan támadták amiért az Andrea Arcangeli által fejlesztett VM-et támogatta, mert számos fejlesztő meg volt/van győződve róla, hogy az -rmap (reverse mapping) alapú VM alrendszer stabilabb, robosztusabb, és nagyobb teljesítményre képes. Most itt a lehetőség a Riel féle VM előtt, hogy mégis bekerülhessen a fejlesztői, majd a stabil kernelbe is.

    Kapcsolódó hírek:

    A kernelfák erdeje - Linux VM régen és most

    Rik van Riel - a Linux kicsit más szemmel

    Andrea Arcangeli: 'Ne használd a 2.4-es kernelt enélkül a patch nélkül'

    További kapcsolódó hírek itt.

    Debian Weekly News - 2002. július. 9

    Címkék

    Megjelent a DWN (Debian Weekly News), a Debian közösség szokásos heti hírlevelének a 26. száma.

    A tartalomból:

  • Elérte 500. felhasználóját a Debianforum.de oldal: Az oldal 6 hónapos fennállása után ennyi regisztrált tagot számlál.
  • Debian FreeBSD i386 fejlesztése: Nathan Hawkins bejelentette, hogy szeretné portolni a Debiant a FreeBSD kernel alá, i386 architektúrán.
  • Experimental NetBSD Install lemezek: Matthew Garrett bejelentette, hogy egy nagyon kezdetleges, fejlesztői állapotban levő Debian NetBSD telepítő lemezeket készített. Miután a rendszer bebootolt, a telepítés hálózatról folytatódik tovább. A rendszer jelenleg csak fejlesztére való, az installer nem a teljes rendszert telepíti fel.
  • Woody Kiadási Állapot: Anthony Towns ismét kiadott egy release status jelentést, amely a Woody kiadásának késéséről értekezik.
  • Bemutatkozik a NEWS.Debian: Valószínűleg be fog mutatkozni egy NEWS.Debian file, amely kiegészíti majd a README.Debian és changelog.Debian fileokat. Ez majd egy apt-listchanges eszközt fog igényelni, amely majd értelmezni és megjeleníteni fogja a NEWS.Debian filet.
  • A MAKEDEV újraírása: Andres Salomon elkezdte újraírni a MAKEDEV scriptet, amely jelenleg számos hibát tartalmaz.
  • Új, és említésre méltó csomagok
  • Elárvult csomagok
  • stb.

    A teljes hírlevelet elolvashatod itt.

  • Alan Cox: 2.4.19-rc1-ac1

    Címkék

    Alan Cox mester megjelentette az első javítófoltját a 2.4.19-rc1-es kernelhez.

    Letölthető: patch-2.4.19-rc1-ac1.gz

    Változások:From: Alan Cox

    To: linux-kernel@vger.kernel.org

    Subject: Linux 2.4.19-rc1-ac1

    Date: Tue, 9 Jul 2002 10:33:16 -0400 (EDT)



    [+ indicates stuff that went to Marcelo, o stuff that has not,

    * indicates stuff that is merged in mainstream now, X stuff that proved bad and was dropped out]



    This is to get stuff moving again primarily. There is a lot of other pending stuff in the queue including promise and osb4 ide, fixing the pci fixup for the IDE bios mapping bugs etc.



    Linux 2.4.19rc1-ac1

    o Merge with 2.4.19-rc1

    -Drop out mm fixes

    o Shmem fixes for -ac (Hugh Dickins)

    o Fix vm accounting corner cases (Hugh Dickins)

    o Fix utimes permission check error (Stephen Rothwell)

    | It was overstrong

    o Fix JFS error handling down_write_trylock (David Kleikamp)

    o Module loader off by 1 fix (Peter Oberparleiter)

    o Allow irda modem bits to be arch set (Grant Grundler)

    o ALI M1671 GART support (Arjan van de Ven)

    o IDE scsi off by one transformation fix (Mark Lord)

    o Printk fixes

    o USBserial semaphore fix (Pete Zaitcev)

    o Alpha updates for O(1) scheduler (Robert Love)

    XFree86: Interjú David Dawes-szel

    Az OSNews.com interjút készített David Dawes-szel, aki jelenleg az egyik legaktívabb Xfree86 fejlesztő és a Tungsten Graphics alkalmazottja. Annak a Tungsten Graphics cégnek a dolgozója, amely az XFree, DRI és a Mesa kódjaival foglalkozik jelenleg.

    Dawes az interjúban válaszol arra a kérdére, hogy miért a Weather Channel [régebbi cikk] támogatja az ATI Radeon 8500 kártyák Open Source driverének fejlesztését? hogy mi is tulajdonképpen a Tungsten Graphics célja? mik a tervek a Kyro/Kyro-II 2D driverekre nézve? hogy miért nincs failsafe mód az XFfree-ben (amikor a video adapter nem támogatott, akkor a rendszer automatikusan betöltené a VESA 2.0 kompatibilis drivert, ezzel is segítve a kezdőket)?A Xfree86 protokol a '80-as években született. Nyilván tartalmaz egy rakás örökölt kódot azokból az időkből, a kompatibilitás miatt. A riportot készítő feltette a kérdést, hogy igaz-e az az állítás, hogy ezek az örökölt kódok visszafogják az XFree86-ot, és lényegesen a mai technika mögött tartják azt? Mik azok a fő dolgok, amelyeket javítani kell az XFree86-ban? Mik a tervek a jövőre nézve?

    A teljes interjút megtalálod itt.

    NetBSD: Támogatás a SuperH(tm) SH-5 CPU architectúrához

    Címkék

    Steve Woodford, a Wabashi System nevében bejelentette, hogy elkezdte letenni az alapjait egy a későbbiekben megjelenő SuperH(tm) SH-5 CPU architektúrára fejlesztett NetBSD portnak.A kezdeményező reméli, hogy egy hosszú és gyümölcsöző kezdeményezésnek állt neki. A kódot a Wabashi System támogatja, és egy kezdeti támogatást biztosít a Hitachi SuperH(tm) SH-5 CPU-s gépekhez. Jelenleg a NetBSD/evbsh5 csak a SH-5 core szimulátoron fut, amely sajnos egyelőre nem tud más eszközt szimulálni, mint egy egyszerű konzolt. Viszont ez már elegendő ahhoz, hogy egy "root device: " promptot kapjunk.

    Bővebb információt a projectről itt találsz.

    Hivatalos banner a megjelenő Debian Woody-hoz

    Címkék

    Lassan (remélhetőleg) megjelenik a Debian soron következő stabil kiadása a Woody kódnévre hallgató 3.0-ás release. Ha megjelenik számos weboldal fog beszámolni az eseményről, és számos weboldal szeretne megjelentetni hivatalos Debian Woody bannert. Annak idején, amikor a Potato megjelent néhány ember készített ilyen reklámcsíkot. Ezeket megtalálod www.debian.org/banners link alatt.Vasárnap a DebianPlanet.org-on feltettem azt a kérdést a közösségnek, hogy dolgozik-e valaki ilyen hivatalos banneren? A kérdésemre több válasz is érkezett, ezeket elolvashatod itt.

    Lehetne esetleg készíteni hivatalos bannert, mert nagy esély van rá, hogy ha magyar, jó grafikus készséggel megáldott Debian felhasználó készít egy minőségi bannert, az lehetne akár a Woody hivatalos logója is.

    Esetleg ha valaki ilyet készít és elküldni nekem, akkor esetleg megszervezek egy banner szépség-versenyt, és a győztes kap egy csokit, vagy valamit ;)

    Linux: 2.4 IDE Core patchek a 2.5-ös kernelhez

    Címkék

    Válaszul a 2.5-ös kernelben régóta instabil állapotban levő IDE réteg kódra, Jens Axboe elkészített hét patchet a 2.5.25-ös kernelhez, azzal, hogy portolta az IDE core kódot 2.4.19-pre10-ac2 kernelből a 2.5-ös fába. Ahogy Jens mondja:

    "Szükségem van egy stabil IDE kódra ahhoz, hogy tesztelni tudjam a 2.5-ös kernelt....Addig fogom ezt a patchet karban tartani, amíg úgy nem gondolom, hogy 2.5 IDE kód elegendően stabil...."

    A patch letölthető Jens kernel.org-on levő könyvtárából, vagy kinyerhető a BK fából.