Nézegetem az LKML leveleket, és észreveszek egy levelet aminek a subjectje "Linux Security Protection System". Na nézzük csak mi ez. Bosko Radivojevic küldte a levelet, amelyben bejelenti az első publikus stabil verzióját a LinSec-nek. A LinSec a "Mandatory Access Control (MAC)" mechanizmust valósítja meg a Linux rendszerekben. A LinSec két részből áll, egy kernel patchből, és "user space" eszközökből. Az első publikus verzió a 2.4.18-as kernelhez készült.

Részletes dokumentáció, letöltés, levelező lista a project honalpján:

http://www.linsec.org

Bosko levele:From: Bosko Radivojevic

To: linux-kernel@vger.kernel.org

Subject: Linux Security Protection System

Date: 16 Oct 2002 16:08:54 +0200

LinSec team is proud to announce first stable release of LinSec.

LinSec, as the name says, is Linux Security Protection System. The main aim of LinSec is to introduce Mandatory Access Control (MAC) mechanism into Linux (as opposed to existing Discretionary Access Control mechanism).

LinSec model is based on:

* Capabilities

* Filesystem Access Domains

* IP Labeling Lists

* Socket Access Control

As for Capabilities, LinSec heavily extends the Linux native capability model to allow fine grained delegation of individual capabilities to both users and programs on the system. No more allmighty root!

Filesystem Access Domain subsystem allows restriction of accessible filesystem parts for both individual users and programs. Now you can restrict user activities to only its home, mailbox etc. Filesystem Access Domains works on device, dir and individual file granularity.

IP Labeling lists enable restriction on allowed network connections on per program basis. From now on, you may configure your policy so that no one except your favorite MTA can connect to remote port 25

Socket Access Control model enables fine grained socket access control by associating, with each socket, a set of capabilities required for a local process to connect to the socket.

LinSec consists of two parts: kernel patch (currently for 2.4.18) and userspace tools.

Detailed documentation, download & mailing list information -

http://www.linsec.org

Tegnap írtuk, hogy hibát találtak a syslog-ng debian csomagban. Gyu írta, hogy a hibát scott fedezte fel. Viszont kiderült, hogy valójában nem ő, hanem Bazsi találta meg a hibát. Kérte, hogy javítsam, hát javítom ;-).

Scott levele:"Halli!

Sajnos a hibát Bazsi fedezte fel nem én. Én csak announceoltam a bugtraq-ra, mert az ilyemi mostanában az én feladatom! Szal lécci javítsd. Martin is rossul értelmezte a ZAS-t

http://www.balabit.hu/static/zsa/ZSA-2002-014-en.txt

Höltzl Péter"

"Nagy patch küldési láz vette kezdetét a feature freeze miatt..., a nagyobb változás az RCU és az oprofile, de változások vannak az egész kernelben..." - írta Linus az LKML-re.

Letölthető patch-2.5.43.gz, FULL

Változások logja itt.

"Itt a pre11, néhány különböző javítással." - írta Tosatti.

Letölthető patch-2.4.20-pre11.gz.

Változások logja itt.

A CERT jelzése szerint az állapottartó tűzfalakban (SPF) megfelelően célzott támadással TCP (Synflood, UDP flood) elérhető, hogy az állapottábla beteljen, és így a tűzfal nem fogad további kérést egy darabig. Egyelőre a problémára nincs megoldás. Az érintett rendszerek között van (a teljesség igénye nélkül) a Checkpoint és a Netfilter is. A Netfilter révén bekerült a veszélyeztetett körbe a Linux és a BSD is.

További információ itt.

A Minix egy free unix klón az x86 gépekhez, amelyet Andrew S. Tanenbaum írt, és amely Linus Torvaldsot inspirálta a Linux megírására. A Minix eltűnt azóta a színről, nem sokat hallani róla. Az Xfree86-os xterm legutolsó foltja elhagyja a Minix támogatását, mert mint írják a 1996 óta nincs felhasználója.



Hát ha ez nem is jelenti a Minix végét, de mindenesetre egy intő jel lehet, ami figyelmezteti a Minix felhasználókat, hogy könnyen támogatás nélkül maradhatnak, ha nem lesznek egy kicsit aktívabbak.

Markus Friedl bejelentette, hogy megjelent az OpenSSH 3.5.Elérhető a mirrorokon. A változások bugfixek, jobb Privilege Separation támogatás (portabilitás, Kerberos, PermitRootLogin kezelés), stb.

Markus levele:Date: Tue, 15 Oct 2002 20:58:07 +0200

From: Markus Friedl

To: announce@openbsd.org

Subject: OpenSSH 3.5 released

OpenSSH 3.5 has just been released. It will be available from the

mirrors listed at http://www.openssh.com/ shortly.

OpenSSH is a 100% complete SSH protocol version 1.3, 1.5 and 2.0

implementation and includes sftp client and server support.

We would like to thank the OpenSSH community for their continued

support and encouragement.

Changes since OpenSSH 3.4:

============================

* Improved support for Privilege Separation (Portability, Kerberos,

PermitRootLogin handling).

* ssh(1) prints out all known host keys for a host if it receives an

unknown host key of a different type.

* Fixed AES/Rijndael EVP integration for OpenSSL
problems with bounds checking patches for gcc).

* ssh-keysign(8) is disabled by default and only enabled if the

HostbasedAuthentication option is enabled in the global ssh_config(5)

file.

* ssh-keysign(8) uses RSA blinding in order to avoid timing attacks

against the RSA host key.

* A use-after-free bug was fixed in ssh-keysign(8). This bug

broke hostbased authentication on several platforms.

* ssh-agent(1) is now installed setgid in order to avoid ptrace(2)

attacks.

* ssh-agent(1) now restricts the access with getpeereid(2) (or

equivalent, where available).

* sshd(8) no longer uses the ASN.1 parsing code from libcrypto when

verifying RSA signatures.

* sshd(8) now sets the SSH_CONNECTION environment variable.

* Enhanced "ls" support for the sftp(1) client, including globbing and

detailed listings.

* ssh(1) now always falls back to uncompressed sessions, if the

server does not support compression.

* The default behavior of sshd(8) with regard to user settable

environ variables has changed: the new option PermitUserEnvironment

is disabled by default, see sshd_config(5).

* The default value for LoginGraceTime has been changed from 600 to 120

seconds, see sshd_config(5).

* Removed erroneous SO_LINGER handling.

Checksums:

==========

- MD5 (openssh-3.5p1.tar.gz) = 42bd78508d208b55843c84dd54dea848

- MD5 (openssh-3.5.tgz) = 79fc225dbe0fe71ebb6910f449101d23

Reporting Bugs:

===============

- please read http://www.openssh.com/report.html

and http://bugzilla.mindrot.org/

OpenSSH is brought to you by Markus Friedl, Niels Provos, Theo de Raadt,

Kevin Steves, Damien Miller and Ben Lindstrom.

Újra megnyitotta kapuit a Hungarian Linux Gaming Portál.

Szeretettel várjuk az érdeklődőket.


Hungarian Linux Gaming Portál

Dominik Brodowski nekiállt írni egy új CPU frekvencia szabályzó alrendszert, amelyet Linus beintegrált a 2.5.40-es verziójú Linux kernelbe. Ez a kód lehetővé teszi, hogy a CPU(k) frekvenciáját "user-space", azaz felhasználói szinten állítani tudjuk. Természetesen csak azoknál a processzoroknál lehetséges ez, amelyek támogatják ezt a funkciót.

Valaki csodálkozhat azon, hogy miért jó az, ha egy CPU-t a névleges frekvenciája alatt akarunk hajtani. Ennek mi értelme? Tehetné fel bárki a kérdést. Hiszen így lassabb lesz a gép. Az ok az lehet, hogy csökkentsük a processzor által felemésztett energia mennyiségét, azaz takarékoskodjunk az energiával. A másik ok a hőmérséklet szabályozás lehet. A gyorsabb CPU több energiát fogyaszthat. Ha például a notebookodat használod egy repülőgépen, akkor nem biztos, hogy az a célod, hogy titkosított kulcsokat törjél fel, vagy éppen megdöntsd a kernelfordítás világrekordját. Viszont lehet, hogy azt akarod, hogy a processzor lassuljon le egy kicsit, hiszen a sebesség ilyenkor nem a legfontosabb tényező, viszont sokat számít ha a notebook tovább bírja energiával. A másik dolog pedig akkor jöhet szóba, ha a processzor érzékeli, hogy túlmelegedett, és ezért veszi vissza a sebességet, a saját védelme érdekében.Jelenleg több modern processzor is támogatja ezt a frekvencia szabályozási funkciót. Ha a processzor érzékeli, hogy egy ideje üresben jár (idle), akkor elvárható tőle, hogy lassuljon le. Viszont ha az szükséges, akkor önmagától tudjon "felpörögni" újra.

Szóval nem lenne baj, ha lehetne a CPU sebességét valamilyen módon változtani, vagy ezt a dolgot rá lehetne bízni valahogy az operációs rendszerre. A CPU frekvencia kód a 2.5.40 kernelbe lett beolvasztva. Ez lehetővé teszi a felhasználóknak, hogy egy skálán mozogva állítani tudják a CPU frekvenciáját és megfelelő CPU használati policy-t ki tudjanak választani. Ha a felhasználó a "teljesítmény" policy-t választja, akkor a processzor értesítést kap arról, hogy a teljesítményének a felső sávjában kell futnia, és ha le akar lassulni, akkor azt lehetőleg fokozatosan tegye. Ha a felhasználó az "energiatakarékos" üzemmódot választja, akkor a sebességet tartsa lehetőleg alacsonyan, és inkább az akkumulátor energiájával takarékoskodjon. Összegezve, az új felület, egy irányitó, szabályozó eszközt ad a felhasználó kezébe, amellyel be tud avatkozni a rendszere működésébe. Természetesen ez a felület el van kódolva a /proc filerendszerben, amit egy "mezei" felhasználó nem biztos, hogy tud vagy akar "echo" parancsokkal állítgati. Ezért erősen valószínű, hogyel fognak terjedni a KDE és a GNOME alkalmazások, appletek, amelyekel ezt a funkciót tudjuk majd irányítani.

Jelenleg a beolvasztott kód csak az i386 architektúrát támogatja. A kód elérhető lesz több más processzorhoz is a jövőben.

Hogy is működik ez? Valahogy így:

root@notebook:#echo -n "0:0:0:powersave" > /proc/cpufreq

root@notebook:#echo -n "1%100%100%performance" > /proc/cpufreq

root@notebook:#echo -n "1000000:2000000:performance" > /proc/cpufreq

Bővebb infóért nézd meg a Documentation/cpufreq -t a 2.5.40 kernelforrásban.

Az UHU a letölthető iso image mellett már a csomagok forráskódjait is közzé tette. Így mostmár bárki letöltheti továbbuherálhatja, kinyomtathatja és a falra teheti, stb. a forráskódokat, eddig ui. csak a snapshot CD-k voltak elérhetők.
A források az uhu ftp sitejáról az ftp://ftp.uhulinux.hu/sources/ címről érhetők el.

Megjelent a Debian közösség szokásos heti hírlevelének, a DWN-nek az ez évi 40-ik száma.



A témákból: A Debian és a CPU szabadsága, az emberi jogok szabad szoftver igényelnek, a debian sendmailjét nem fertőzte meg a trójai, apsfilter licensz frissítés, tesztelési célból elérhető Sarge CDk, az Ispell szótárak új policyje, Debian jabber szerver, és még sok egyéb...



A hírlevelet elolvashatod itt.

A mobiltelefon tulajdonosok jelezték, hogy a HUP wap funkciója nem tökéletes. Ez így is volt, mégpedig azért, mert tervbe volt véve, hogy lesz wap modul, de idő hiányában nem lett ;-)

Most viszont van, így lehet iskolában unalmas órákon is wap-ozni idefele... ;-)

A wap funkció erősen beta jellegű, kéretik tesztelni, megjegyzéseket, javaslatokat a hozzászólásokba kérek.

A wap oldal elérhetősége:

www.hup.hu/modules.php?name=Wap

vagy

wap.hup.hu

Teszteld, használd, bugreportolj!

Ma a Progeny, a "Linux Platform Company" bejelentette, hogy elkezdenek egy ún. "Platform Services" szolgáltatást nyújtani. Meglepő ez az után, hogy a Progeny abbahagyta a Debian GNU/Linux üzleti változatának fejlesztését és disztributálását.

Sajtó bejelentés itt.

Kapcsolódó hírek:

Debian Progeny Linux

Progeny: Befejeződik a Progeny fejlesztése =(


Interjú a (volt) Progeny-s Steven Schafer-rel

Az OpenOffice vasárnap 2 éves lett.. Tegnap az OpenOffice.org ünnepelt, és ebből az alkalomból egy speciális archhív oldalt állítottak fel.

Az oldal elérhető itt.

Boldog szülinapot!

Gondolom mindenki tudja mi az a Microsoft Exchange szerver. Vagy használja a munkahelyén vagy kénytelen valamilyen módon kapcsolatba kerülni vele, vagy csak egyszerűen hallott már róla. A Microsoft kedves kis mailszerver és komplett hálózati munkacsoport kiszolgáló szervere most vetélytársra akadt a SuSE személyében.

A Microsoft termék kihívója nem más, mint a SuSE Linux ezen a héten bejelentésre kerülő új Openexchange Server terméke, amely valamikor november közepétől lesz elérhető.A termék ára (nem, nem ingyenes lesz) 1,249USD körül lesz, amely magában fogja foglalni 10 darab grupware kliens árát is, és végtelen számú email klienssel lesz használható. A termék a SuSE Linx Advanced Server termékre fog épülni. 4darab CD-t és 30 napos telepítési támogatást kaphatunk hozzá.

A teljes cikk a eWEEK oldalain.

Az SFS (Self-Certifying File System) a készítők definíciója szerint egy biztonságos, globális filerendszer, amely teljesen decentralizált irányítással bír. Az SFS lehetővé teszi számodra, hogy hozzáférj a filejaidhoz bárhonnan, hogy megoszd a filejaidat bárkivel, bárhol. Bárki fel tud állítani egy SFS szervert, és bármely felhasználó hozzá tud férni bármely szerverhez, bármely kliensről.Az SFS számos Unix verzióval működik. Könnyen portolható bármely más Unix rendszerre, amely támogatja az NFS3-at. A készítők használják az SFS-t OpenBSD-n, FreeBSD-n, Solaris-on, OSF/1-en, és Linuxon (2.4-es kernellel). Az SFS működik NetBSD-n is (gcc 2.95.2 vagy újabb verzióval).

SFS honlap, Screenshotok, dokumentáció

Csomag: syslog-ng

Sebezhetőség: puffer túlcsordulás

Probléma típus: távoli

Debian-specifikus: nem



Höltzl Péter (alias scott) fedezte fel a syslog-ng-ben azt a problémát, hogy hibásan kezeli a makró kifejtést. Amikot egy makrót fejt ki, akkor egy statikus hosszúságú puffert használ egy számlálóval. Így amikor konstans karaktereket ad hozzá, a számláló nincs helyesen frissítve, ami ahhoz vezet, hogy nem lesznek a határok rendesen ellenőrizve. Egy támadü ezt használhatja arra is, hogy speciálisan elrontott log üzeneteket juttasson be UDP-n keresztül, aminek hatására a puffer túlcsordul.A probléma javítva van a 1.5.15-1.1 verzióban, az aktuális stabil terjesztésben (woody), illetve a 1.4.0rc3-3.2 verzióban a régi stabil terjesztésben (potato). és a 1.5.21-1 verzióban az instabil (sid) terjesztésben.



A syslog-ng csomagok azonnali frissítését javasoljuk.



Martin Schultze levele a debian-security-announce listán.

A frissítésről szóló FAQ-nk.

Megérkezett a Mozilla forrására támaszkodó böngésző legújabb verziója.

2002. október 17-én a Sun és üzleti partnerei félnapos konferenciát tartanak a gyártóiparban alkalmazható számítástechnikai megoldásokról. A konferencián való részvétel ingyenes. Gyártóipari megoldások Sun alapokon - 2002. október. 17.

Tisztelettel meghívjuk Önt és érdeklődő munkatársait a Sun Microsystems és üzleti partnereinek közös rendezvényére, amely elsősorban a gyártóiparban dolgozó informatikai és gazdasági vezetőknek szól.

A konferencia időpontja: 2002. október 17. 9.00 - 13.00

Helyszín: Thermál Hotel Hélia (1113 Budapest, Kárpát u. 62-64.)

Program:

9.00 - 9.30 Regisztráció

9.30 - 9.40 Megnyitó

Sun Microsystems Kft.

9.40 - 10.10 A Sun, mint informatikai platform a gyártásban

Sun Microsystems Kft.

10.10 - 10.40 Mérnöki/tervezői megoldás

Haitec Kft.

10.40 - 11.10 Elektronikus kereskedelem

LLP

11.10 - 11.30 Kávészünet

11.30 - 12.00 ERP és SCM megoldás

Oracle Hungary Kft.

12.40 - Ebéd

Az előadásokkal egyidejűleg az emeleti galérián az üzleti partnerek élő bemutatókat tartanak, ahol az érdeklődők működés közben is megtekinthetik az alkalmazásokat.

A rendezvényen a részvétel díjtalan, jelentkezéseket korlátozott számban tudunk elfogadni.

Kérjük részvételi szándékát a regisztrációs formula kitöltésével és visszaküldésével legkésobb október 11-ig szíveskedjen jelezni.

Az előadások anyagai a konferenciát követő 2 hétben elektronikus formában is elérhetővé válnak jelen weboldalunkon.

Regisztráció

Csomag: heartbeat

Sebezhetőség: puffer túlcsordulás

Probléma típus: távoli

Debian-specifikus: nem

Upstream URL: http://linux-ha.org/security/sec01.txt



Nathan Wallwork fedezett fel egy puffer túlcsordulást a heartbeatben, ami egy alrendszer a magas elérhetőségű linux rendszerekhez. Egy távoli támadó speciálisan elrontott TCP csomagot küldhet, ami túlcsordít egy puffert, és a heartbeat hagyja, hogy tetszőleges kódot futtasson rootként.A probléma javítva van a 0.4.9.0l-7.2 verziójú csomagban a jelenlegi stabil terjesztésben (woody), és a 0.4.9.2-1 verziójú csomagban az unstabil terjesztéshez (sid). A régebbi stabil terjesztés, a potato nem érintett ebben a hibában. lévén az nem tartalmazza a heartbeat csomagot.



Javasoljuk azonnal frissítsd a heartbeat package ha vannak internetre kötött szervereid, amiket a heartbeat felügyel.



Martin Schultze levele a debian-security-announce listán.

A frissítésről szóló FAQ-nk.

"Today, Sunday oct 13, 2002, we've launched the Blender sources as GNU GPL to the Internet. Blender has become Free Software forever! From now on we'll use this site, www.blender.org, as the main platform to communicate with everyone, and to provide the necessary services and tools to maintain Blender and make it a better product."

A Blender tehát GPL-essé vált.

Blender

A NAI Labs egy BSD licenszelésû privilege separation API-t adott közzé a napokban. A Privmannak elkeresztelt programozói könyvtár arra hivatott, hogy azokat a programokat, amelyek extra privilégiumokkal kell, hogy fussanak, biztonságosabbá tegye azáltal, hogy a kódot két részre választja. Az egyik rész a privilégiumok birtokában fut, míg a másik azok hiányában. Utóbbi lehetõleg a nagyobb...

A NAI Labs a könyvtáron kívül rendelkezésre bocsátotta annak leírását és két foltot, a BSD és a WU-FTPD-hez.

Kapcsolódó oldalak:

NAI Labs Privman

Privman dokumentáció

Daniel Hartmeier, az OpenBSD PF írója elindította a csomagszûrõvel kapcsolatos levelezési listát.

Archívum itt: http://www.benzedrine.cx/pf/ és itt: http://marc.theaimsgroup.com/?l=openbsd-pf.

Feliratkozás: echo subscribe | pf-request@benzedrine.cx

Az IBM ún. vörös könyvei (Redbooks) már elég régóta elérhetõek, számtalan témát feldolgoztak már, véleményem szerint meglehetõsen jó minõségben.

A jelenleg 1520 részbõl álló sorozat tagjaként most jelent meg az "IBM eServer xSeries 440 Planning and Installation Guide" címû, amelyik az IBM új x440-es gépeivel foglalkozik.

Ezek a gépek a cég definíciója szerint a high-end IA-32-es szerverek, amelyek egyenként 8 Intel Xeon processzorig, párba kapcsolva pedig legfeljebb 16 processzorig és 64 GB memóriáig skálázhatóak. A régebbi Netfinity sorozat csúcskategóriás darabjainál elérhetõ redundanciát növelõ elemek ebben a gépben is megtalálhatók, ilyen például a memória tükrözés is.

Érdemes olvasmány annak, aki jó minõségû PC szervert szeretne vásárolni és pénze is van rá...

Kapcsolódó oldalak:

IBM eServer xSeries 440 Planning and Installation Guide

IBM Redbooks

Tegnap megjelent a 2.5.42. Nem sikerült valami jól, számos fordítási hibát tartalmazott. Mondtam akkor, hogy majd Alan mester rendbeteszi. Valahogy így is lett. Itt az első -ac patch a 2.5.42-höz.

Alan mondja:

"Erősen ajánlom, hogy mondj "N"-t az IDE TCQ opcióra, amúgy le kell fordulnia és futnia kell."

Nem is tudom mi lenne a Linux fejlesztéssel Cox apó nélkül. Szóval a Tagged Command Queue opciót kihagyni, és mehet a tesztelés.

Letölthető patch-2.5.42-ac1.gz

Változások:Linux 2.5.42-ac1

Merge with Linus 2.5.42

o Merge the LVM2 device mapper (Joe Thornber)

o Drop uid16 S/390 bits pending resolution (me)

o Fix iphase build (Adrian Bunk)

o Fix UML build (Kai Germaschewski)

o Fix cpufreq compile (Adrian Bunk)

o Move dead verify_area code from sh port (Brian Gerst)

o Fix missing AIO symbols (Ben LaHaise)

o Fix ATM makefile (Sam Ravnborg)

o Fix esp build (Andres Salmon)

o Fix cifs/jfs symbol name collision (Steve F)

o Update CPIA to match 2.4 tree (Duncan Haldane)

o Fix cifs 64bit and cifs scsi name collision (Steve F)

o Fix a compile of missing sysrq updates (James Simmons)

o Fix sparc timer build (Pete Zaitcev)

o Fix comile without networking (Miles Bader)

o Remove some left over _ret functions (SL Baur)

o Update syncppp code (Paul Fulghum)

o Fix n_hdlc leak (Paul Fulghum)

o Make synclink_cs build again (Paul Fulghum)

o Make synclinkmp build again (Paul Fulghum)

o Make synclink build again (Paul Fulghum)

o Fix NFS symbols for NFS as a module (Olaf Dietsche)

o Fix problem with scsidriver docbook (Joaquim Fellmann)

o Kill dead suspend code in IDE (Pavel Machek)

o Kill unreferenced workqueue define (Pavel Machek)

o Fix swsuspend with discontiguous memory bits (Pavel Machek)

o Fix cpqfc ioctl sense buffer handling (Francis Wiran)

o Sym53c416 from cli to real locking (Bjoern Zeeb)

o Fix a case where sd uses freed memory (Patrick Mansfield)

o Fix p4-clockmod on HT processors (Dominic Brodowski)

o CPUfreq interface update (Dominic Brodowski)

o Fix eicon build (me)

o Restore disconnect field in devices for (me)

driver use