A FreeBSD 4.6.1 Release Canidate 1 (RC1) már elérhető FTP-n keresztül. Murray Stokely írta: "Ez az RC kiadás még az OpenSSH merge előtt készült (kösz DES!), de tartalmazza a BIND frissítéseket, és néhány fixet a sendmail-hez, ktrace-hez, stb..."A tervezett megjelenése a FreeBSD 4.6.1-nek tegnap lett volna, de egy kicsit csúszni fog. A többi várható megjelenés listáját itt találod. Ezek közül néhány: A második developer preview az 5.0-ból július. 25-re várható, a FreeBSD 4.7 október. 1, míg a várva-várt FreeBSD 5.0 megjelenése november. 20-ra tehető.

AC nyomja ezerrel. Naponta adja ki a legújabb kernelpatchjeit. Itt a Linux 2.4.19rc1-ac7.

Letölthető: patch-2.4.19-rc1-ac7.gz.

Változások:[+ indicates stuff that went to Marcelo, o stuff that has not,

* indicates stuff that is merged in mainstream now, X stuff that proved bad and was dropped out]

Linux 2.4.19rc1-ac7

o Merge more HPPA bits

o tcp_diag alignment fixup (Richard Henderson)

| Pending DaveM making a nicer fix Im sure

o Hopefully fix the SMP APIC problems rc6 gave some people (James Cleverdon)

o Fix incorrect __init in PCI core (Takayoshi KOCHI)

| Caused hotplug bugs

o Update IBM PCI hotplug driver (Greg Kroah-Hartmann)

o Add SCSI blacklist entries for Centristor (Robert Sertic)

o Update Documentation/sysctl/vm.txt (Steven Cole)

o Fix kdev_val macro (Steven Cole)

o Allow a user to force dma 0 to be allowed for ISAPnP [be nice to autodetect this ?] (Gerald Teschl)

o Hopefully fix bogus config question bug (me)

o Fix hang on some boxes if you unload maestro audio then hit the volume buttons (Samuel Thibault)

o Fix aha152x scsi (Juergen Fischer)

o Bluetooth pcmcia drivers (Marcel Holtmann)

Steve Ballmer a Microsoft szoftveróriás vezérigazgatója elismerte, hogy a Linux futtatása nem drágább a Windows operációs rendszer üzemeltetésénél. Ez azért érdekes, mert a Microsoft hosszú időn keresztül hősiesen bizonygatta, hogy a Linux TCO-ja (Total Cost of Ownership - azaz a birtoklás teljes költsége) sokkal magasabb abban az esetben, ha egy cég Microsoft Windows szerver helyett Linuxot üzemeltet. Nem elég, hogy éveken keresztül ezt állították, de még lépésről-lépésre le is vezették, hogy ez így van. Ezt azzal indokolták, hogy igaz ugyan, hogy a Windows szerver operációs rendszert meg kell vásárolni egy bizonyos összegért, és az is igaz, hogy a Linuxhoz ingyen is hozzá lehet jutni, de végeredményképpen a Linux üzemeltetése drágább mert sokkal képzettebb, és sokkal több ember kell az üzemeltetéséhez. Ezt szépen ki is számolták, és a végén kijött nekik az eredmény: a Windows TCO-ja lényegesen alacsonyabb a Linuxénál. Most úgy látszik, hogy jobb belátásra tértek, mert Ballmer úgy nyilatkozott egy Varbusiness cikkben, hogy "Nem tudjuk kitalálni, hogyan lehetnénk olcsóbbak a Linuxnál. Nekünk mint cégnek, azon kell lennünk, hogy egy teljesen új gondolkodásmódot vezessünk be."

Megjelent a DWN, a Debian közösség szokásos heti hírlevelének a legfrissebb száma. Ez a hírlevél az ez évi 27-dik DWN kiadás.

A tartalomból:

Linus kiadta a legújabb fejlesztői Linux kernelt. A soron következő a 2.5.26-os verzió.

A patch letölthető: patch-2.5.26.gz

Változások: itt.

Egy újabb játék, ami megy wine(x)-szel...Hello.


A "nagyobb" játékok után, itt egy mind méretben, mint ráfordított időben kisebb játék, ami elindult wine(x)-szel. A neve BridgeBuilder.



Elegendő ezt az egy fájlt letölteni:



bbdemo.exe


Csak ez az egy verzió létezik, vagyis a demo, ami 122K.

Robert Love már szerepelt a HUP.hu-n cirka 8 hónappal ezelőtt. A róla szóló leírást megtalálod a hackerek topicban itt.A Kerneltrap.org ismét egy interjút készített Love-vel. Az interjúban a kernel preemptivitásról, az O(1) scheduler körül végzett fejlesztéseiről, a legújabb VM overcommit munkájáról kérdezték.

Love jelenleg Kaliforniában dolgozik a MontaVista nevű cégnél, amely egy "beágyazott-linuxszal foglalkozó cég". Robert ősszel folytatja tanulmányait a harmadik éven a Kalifornia Egyetemen.

Az interjút elolvashatod itt.

Az egyik még ki se hűlt, itt a következő. Alan Cox kiadta a hatodik foltját a mostani rc1 kernelhez.

Letölthető: patch-2.4.19-rc1-ac6.gz

Változások:From: Alan Cox

To: linux-kernel@vger.kernel.org

Subject: Linux 2.4.19-rc1-ac6

Date: Tue, 16 Jul 2002 09:45:09 -0400 (EDT)

[+ indicates stuff that went to Marcelo, o stuff that has not,

* indicates stuff that is merged in mainstream now, X stuff that proved bad and was dropped out]

Linux 2..419rc1-ac6

o Update merge using bits from newer summit diff (James Cleverdon)

o Fix problems with non SMP but io-apic build (me)

o Socket error path memory leak fix (Robert Love)

o Fix sd_varyio masks for higher drives (Kurt Garloff)

o Fix tmpfs double kunmap (Hugh Dickins)

o VIA rhine cleanup/fixes (Roger Luethi)

o Fix typos in ncr/seagate scsi (James Mayer)

o MPT fusion update (Pam Delaney)

o Trident audio code cleanups and lock fixes (Muli Ben-Yehuda)

o Fix irq balancing for summit boxes with Ingo's PIV balancer (James Cleverdon)

A pár nappal ezelőtt megjelent Debian potato hetedik kiadásához megjelentek a telepítő CD-k.

Letölthetők többen közt az ftp.fsn.hu-ról.

1920 darab Intel Xeon(TM) processzor - 2.4GHz - 9.2 teraFLOPS

A Lawrence Livermore National Laboratory (LLNL) a Linux NetworkX-et bízta meg azzal a feladattal, hogy tervezze meg, építse fel, és szállítsa le számára az eddigi legnagyobb Linux (i386) szuperszámítógépet. A szállítás 2002 őszére kell hogy teljesüljön.Az előzetes hírek szerint a gép kezelése és integrálása a mérete miatt nagyon komplex feladat lesz. A Linux NetworX Evolocity klaszter lesz a legnagyobb Intel-alapú gép amelyet eddig építettek. A gép 1920 darab Intel Xeon(TM) processzort fog tartalmazni, amelyek mindegyike 2.4GHz-en fog futni. A gép így eléri az elméleti 9.2 teraFLOPS sebességet, ami 9.2 trillió műveletet jelent másodpercenként.

Alan Cox ötödik foltja a 2.4.19-rc1 Linux kernelhez.

Letölthető: patch-2.4.19-rc1-ac5.gz.

Változások:[+ indicates stuff that went to Marcelo, o stuff that has not,


* indicates stuff that is merged in mainstream now, X stuff that proved bad and was dropped out]

Megjelent a Zack Brown által karbantartott heti rendszerességgel megjelenő LKML (Linux Kernel Mailing List) levelezési lista kivonatos formája.

A tartalomból:

Alan Cox legújabb kernel patchje a mostani utolsó stabil RC kernelhez napvilágot látott.

Letölthető: patch-2.4.19-rc1-ac4.gz

Változások:[+ indicates stuff that went to Marcelo, o stuff that has not,


* indicates stuff that is merged in mainstream now, X stuff that proved bad and was dropped out]

Múlt héten írtam, hogy nem találtam normális bannert a Debian Woodyhoz. Ez baj, mert ha esetleg megjelenik, akkor nem tudjuk mivel népszerűsíteni a dolgot. Azt is írtam, hogy esetleg mi magyarok készítsünk ilyen bannert, mert ha jól sikerül, akkor akár a hivatalos Woody banner státuszt is meg lehet vele célozni. Crown készített néhány ilyen bannert. Tehát:

A stabil 2.0-ás kernel több mint 6 évvel ezelőtt jelent meg, 1996. júniusában. Ezt követte a következő stabil kernel széria, a 2.2-es amely úgy 2 és fél évvel azután jelent meg 1999. januárjában. Most a jelenlegi stabil széria a 2.4-es, ez 2001. januárjában jelent meg. A következő stabil kernelre, a 2.6-os szériája még minimum egy évet kell várnunk.

Az elmúlt 6 évben a 2.0-ás kernel sorozat életben maradt, folyamatosan karban van tartva, jelenleg a 2.0.39 verziónál tart, amely 2001. januárjában jelent meg. Az LKML-en c0330 tagban felmerült a kérdés, hogy van-e még értelme folytatni a 2.0-ás kernel sorozat karbantartását a 2.6-os kernel megjelenése után? Szerinte a 2.0-ás kernelt nem kellene már fejleszteni a 2.6 megjelenése után.A kérdésére többen is reagáltak, köztük WLI, Riel, Cox és a jelenlegi 2.0.x kernel karbatartója David Weinehall is.

Többségük válasza egyértelmű volt: addig kell karbantartani a 2.0-ás kernelt, amíg azt használják. Cox - ahogy mondta, nem tudja mi Weinehall véleménye - de neki a 2.2-es kernelt karban tartani minimális munkát jelent már. Szerinte ez így lehet a 2.0-ás kernelnél is. Akkor meg miért ne gondozzák továbbra is?

A 2.0.40-es kernel lassan megjelenik, David Weinehall a következőket mondta:

"a 40-es egy szép kerek szám, a 42 viszont jobb arra, hogy befejezzem a karbantartást, úgyhogy lehetséges, hogy ez lesz az út vége."

A Vnunet.com egyik mostani cikke szerint jelentősen megnőttek ebben az évben a Linux és az egyéb open source rendszerek elleni támadások. Ezt az előző években készített felmérések alapján állítják. Ebben az évben jelentősen nöttek ezek a támadások, míg a Windows rendszerek ellen irányuló rosszindulatú cselekmények száma drámaian csökkent.Az első 6 hónapban 7,630 támadást regisztráltak Linux boxok ellen. Az ilyen jellegű támadások száma a tavalyi évben 5,736 volt. Ezzel egyidőben a Windows IIS (Internet Information Service) szerverek ellen irányuló támadások száma 20%-kal csökkenni látszik. Míg a tavalyi évben ezek száma 11,828 volt, addig idén ez csak 9,404 (forrás: Source: mi2g SIPS adatbázis - http://www.mi2g.com/) .

A teljes cikket megtalálod itt.

Adam Wiggins úgy gondolta, hogy meg kell osztania a világgal, hogy szerinte mi is az a 10 legrosszabb dolog, ami neki nem tetszik jelenleg a Linux terjesztésekben. Szépen sorba szedte a szerinte nem jó dolgokat, és ki is fejti pontról-pontra, hogy miért gondolja így.

Lássuk mi nem tetszik a lusernek ;) :

A Debianplanet.org egy interjút készített Ian Jacksonnal. Aki ismerős Debian körökben, a Debian terjesztést használja, annak nem ismeretlen ez a név. Ian Jackson a Debian gyerekkora óta a disztribúció fejlesztője, a '93-as évben csatlakozott a projecthez.Jackson jelenleg is tagja a technical committe-nek, szerzője a dpkg csomagkezelőnek, amely a Debian terjesztés alapját képezi. A nevéhez fűződik az eredeti BTS (Bug Tracking System), és számos más Debian fejlesztés.

Az interjút elolvashatod teljes terjedelmében itt.

Megjelent a Debian GNU/Linux 2.2 'potato' hetedik javított kiadása. A legfőbb változások ebben a kiadásban a biztonsági frissítések. Ezenkívül néhány bug kijavítása került megvalósításra. Aki rendszeresen frissíti a rendszerét a security.debian.org-ról, annak nem szükséges a frissítést letölteni.A frissítés erre a kiadásra az 'apt' eszköz használatával lehetségen on-line módba (lásd. sources.list(5) manual oldal), valamely Debian HTTP vagy FTP tükörszerverről. A mirrorok listája:

http://www.debian.org/distrib/ftplist

Bejelentés:

Debian GNU/Linux 2.2 updated (r7)

Alan Cox sorban ontja magából a foltokat a legutolsó ismert pre kernel RC1-es verziójához. Tegnapelőtt megjelent a Linux 2.4.19rc1-ac2, tegnap pedig az -ac3.

A 2.4.19rc1-ac3 letölthető: patch-2.4.19-rc1-ac3.bz2

Változások:[+ indicates stuff that went to Marcelo, o stuff that has not,

* indicates stuff that is merged in mainstream now, X stuff that proved bad and was dropped out]

This is mostly a housekeeping patch designed to shrink diff sizes down and get ready for 2.4.20pre merging. Promise users please test this with *caution*. It should fix large drives on the 20262/3 but change nothing

else but namings.

Linux 2.4.19rc1-ac3

o Remove SWSUSPEND

| With the IDE backport option and other general 2.5 improvements

| its now best worked on in 2.5

o Remove duplicate config options (Steven Cole)

o

o Newer SX6000 has PDC20276 chips. Handle this (me)

o Don't use LBA48 hack on Promise 20262/3 (Hank Yang)

o Switch to Promise namings for chips (Hank Yang)

o Update promise drive quirks (Hank Yang)

o Fix missing sem up on error in usb printer (Oliver Neukum)

o Correct FPU stack fault signal flag bits (Dave Richards)

o Resync with base JFS tree (Dave Kleikamp)

o Make it clear CMD64x drives CMD680 (Adrian Bunk)

Linux 2.4.19rc1-ac2


o Update eata and u14/34f drivers (Dario Ballabio)

o Handle 3c556 transmitter enable bit (Andrew Morton)

o Make the DRM layer use the pci mapping api (Arjan van de Ven)

o Set pci dma masks on the i2o devices (Frank Davis)

o JFFS2 bug fixes (Dave Woodhouse)

o Fix i815 APSIZE masking (Nicolas Aspert)

o Remove junk pcxxdelay function (Sergey Kononenko)

o EFI partition updates (Matt Domsch)

- I took out the MSDOS check - if both are

present we should favour MSDOS for now

o Fix ipc/shm locking (Hugh Dickins)

o Update Configure.help (Steven Cole)

o USB updates - cleanups (Greg Kroah-Hartmann)

o USB fix for intuos tablet (Christer Nilsson)

o USB scanner updates (David Nelson, Henning Meier-Geinitz,

Sergey Vlasov, Karl Heinz Kremer)

| Note - new maintainer for USB scanner - Brian Beattie

o Re-merge the ramfs limits code (David Gibson)

| * This needs good testing

| + TODO - make ramfs homour vm_accounting

o eepro100 warning fix (Pavel Machek)

o Report ok for nfs directory fsync (Trond Myklebust)

o Promise 20268 raid should be called 20270 (Hank Yang)

| Trivial item pulled out of the pending promise patches

o Speakup HZ != 100 cleanup part 1 (Arjan van de Ven)

o Report HT info in /proc/cpuinfo (Arjan van de Ven)

o PIV IRQ balancing fix (Ingo Molnar)

o Allow a non PGE PII optimised build (Arjan van de Ven)

o Elevator performance fixes (Andrea Arcangeli)

o Update cpufreq, add PIV throttling (Robert Schwebel,

Padraig Brady, Zwane Mwaikambo, Arjan van de Ven,

Tora Engstad)

o O(1) scheduler updates (Ingo Molnar)

o Fix 64bit random panic with

"I refuse to corrupt memory/swap" (Bill Nottingham)

o Fix compile with floppy disabled (Adrian Bunk)

o Quirk handler for Dunord I-3000 (Dave Close, David Mosberger)

| Plus I added real PCI idents for neatness

o Fix another vm accounting corner case (Robert Love)

o Patch up XFree 4.1 back compat problems in DRM 4.2+ (Arjan van de Ven)

Ez a tutorial végigvezet azon a folyamaton, hogy hogyan építsünk a SNARE eszköz segítségével, egy hasznos, könnyen használható powerful IDS rendszert a Linux szerverünkre (munkaállomásunkra). A tutorial segít a teleptésben, ismereteti a rendszer alapjait. A tutorial képekkel illusztrált. Nem csak expert felhasználóknak ajánlott ;)



A Behatolás Jelző Rendszerek (Intrusion Detection System - IDS) nem új dolgok a nap alatt. A Solaris operációs rendszer tartalmaz egy BSM (Basic Security Module) nevű modult, amely lehetővé teszi, hogy aprólékos-szintű kernel logolást végezzünk. Ez a dolog mostantól elérhető Linuxra is.

A SNARE egy új, host-alapú IDS, amelyet kimondottan Linuxra terveztek. Kristy Westphal kipróbálta a SNARE-t, és a tesztek során talált egy kiváló plug-in-t, amellyel nagyszerűen lehet a kernel eseményeket auditálni Linux operációs rendszer alatt.

A SNARE ingyenes, free, könnyű telepíteni és könnyű beállítani.SNARE - amely a System iNtrusion Analysis and Reporting Environment szavakból áll össze, az InterSect Alliance, egy ausztrál IT biztonsági cég által készített alkalmazás. A weboldaluk szerint (http://www.intersectalliance.com/projects/Snare) a cég azért kezdte el a SNARE projectet, hogy "kibővítsék a Linux operációs rendszer biztonságát azzal, hogy egy széleskörű logolási képességet adnak hozzá". Szerintük azért nem használnak szélesebb körben Linuxot az IT területen, mert hiányzik belőle egy széleskörű logoló eszköz. Ezt készítették el ők. Készítettek egy 'auditd' nevű programot, amely nem más mint egy dinamikusan betölthető kernel modul, és amely daemonkét (is) fut.

Jobban kifejezve azt, hogy mit értenek 'széleskörű logoló eszközön':

- logolja a megnyitott és elfogadott hálózati kapcsolatokat

- logolja a könyvtárak olvasását/írását

- figyeli a felhasználók azonosságát és csoportját

- és figyeli a programok használatát/azok megváltoztatását

Függően attól, hogy hogyan van konfigurálva a SNARE, detektálni tudjuk, ha a támadó megállított egy kulcsfontosságú programot, ha a root felhasználóra váltott, vagy ha fileokat installált a kulcsfontosságú könyvtárakba. Továbbá a SNARE képes logolni a file rendszer hívásokat, amely lehet read/write, megnyitás, átnevezés, képes észlelni ha a 'chroot', vagy a 'reboot' programokat futtatta valaki, vagy 'mkdir' és 'mknod' került felhasználásra.

Telepítés:

Azzal, hogy egy host-alapú IDS-t (Intrusion Detection System) telepítünk a rendszerre, az nem jelenti azt, hogy az egész rendszer védve van mindentől. A cikk feltételezi, hogy a rendszer amelyre a SNARE telepítésre kerül, az megfelelően van telepítve, a nem szükséges szervizek nem futnak rajta, a legutolsó biztonsági patchek is fel vannak telepítve, a file permissziók jól be vannak állítva, stb.

A SNARE telepítéséhez szükséges csomagokat megtalálod a project weboldalán itt. A SNARE két részben érkezik: van a core csomag és a hozzá kezelőszervként adott GUI (grafikus interfész). A stuff .rmp csomagokban megtalálható a weboldalon Red Hat 7.1 és Red Hat 7.2 rendszerekehez, de ott találhatjuk a forráskódot is. Ez a cikk a forrásból telepítést mutatja be. Letöltjük a legutolsó friss verziót amely a cikk írásának pillanatban a 0.9 névre hallgat. Ez két gzippelt tar filet jelent, a snare-0.9.tar.gz, és a snare-core-0.9.tar.gz.

Először a core csomagot kell telepíteni, tehát:

gunzip snare-core-0.9.tar.gz

aztán

tar xvf snare-core-0.9.tar

A SNARE egy kicsi terjesztés, a dokumentációt a weboldalukon keresd. A SNARE daemont egyszerűen le lehet fordítani:

make clean && make && make install

így egy friss példányt kapunk belőle (ajánlott így csinalni). Az auditd daemon /usr/sbin könyvtárba fog települni, az audit start/stop script helye a /etc/init.d könyvtár. Egy symlinket készítünk a /etc/rc2.d könyvtárba S98audit néven, amely a /etc/init.d/audit scriptre mutat. Innentől kezdve automatikusan indul a daemon a rendszer indításakor, vagy kézzel is indíthatjuk: belépünk a /etc/init.d könyvtárba és kiadjuk az alábbi parancsot:

./audit start

A GUI fordításához nem ajánlom, hogy a standard lépéseket kövesd, amelyek le vannak írva az INSTALL fileban. Helyette csináljuk a következőt:

Lépjünk be a snare-0.9 könyvtárba, és adjuk ki a következő parancsokat:

./autogen.sh

./make

./make install

A GUI fileok a /usr/local/share könyvtárba települnek. Így teljes a GUI telepítése, akár el is lehet indítani a

snare &

paranccsal.

Egy kép a GUI-ról

Konfiguráció:

Miután a SNARE feltelepült és fut, konfiguálni kell. Mint ahogy a syslog daemon konfigurációs fileja a syslog.conf, ennek a konfigurációs fileja az audit.conf. Ennek a helye a /etc/audit könyvtár. Javaslom, hogy ezt a filet, csak a GUI-n keresztül editáljuk, mert akkor biztos hogy megfelelően lesz formázva. Hogy beállítsuk a filet, menjünk a 'Setup, Audit Configuration' menübe. Itt meg tudunk változtatni néhány paramétert:

AuditType - alapból ez "Objective"; a többi elérhető opció az "Event"

HostID - Meg tudod határozni, hogy mely távoli host logfilejai jelenjenek meg

Objectives - Az auditálás finomságát lehet itt állítani

Events - Az összes lehetséges kernel hívás tudjuk auditálni

Output - Ahova tárolni szeretnéd a log fileokat; az alapértelmezés a /var/log/audit/audit.log

A SNARE képes a kernel vagy objective logolásra, de nem egy időben.

Új objective szabályt (rule), az 'Add an Objective' gombbal lehet megtenni.

Audit objective szerkesztése

Ez a lépés öt részre bontható:

- Magas szintű konfiguráció

- Szűrő (filter) amellyel auditálni akarsz, regexp-ek használhatók

- Hogyan akarsz auditálni egy eseményt: sikeres vagy sikertelen, sikeres és sikertelen filter

- Hogyan akarod auditálni a felhasználók eseményeit, összes felhasználó, csak kiválasztott felhasználó, stb.

- Milyen riasztási szintre van szükségünk, stb.

A riasztási szintek a Critical-tól a Clear-ig állíthatók. A Clear csak annyit jelez, hogy valami történt (jó vagy rossz). Ha valami történik, azt szín jelöléssel hozza a SNARE a tudtunkra: valami 'jó' történt akkor egy zöld pont jelenik meg. A figyelmeztetés sárga pont, a prioritásos események narancs, míg a kritikus események piros ponttal kerülnek kijelzésre.

Objective loggolás:

Az alap beállításban az alábbiak vannak beállítva: olvasás, írás, vagy létrehozás a /etc/shadow filera nézve; írás vagy létrehozás a /etc/passwd filera nézve; és olvasás, írás, vagy létrehozás az audit fileokra nézve. Továbbá, monitorozás a fileok, könyvtárak beállításaira: /sbin, /usr/sbin, /bin, és /usr/bin könyvtárak; a su program felhasználása; új kapcsolatok elfogadása; a newgrp program használata; változások a /etc és /var/log könyvtárakra; és megnyitása valamely kimenő hálózati kapcsolatnak.

Event (Kernel) logolás:

Mielőtt a kernel logoláshoz folyamodunk, ellenőrizzük mennyi szabad diszk hely áll rendelkezésünkre, mert nagyon bőbeszédű lehet.

Mit tudunk logolni?

Erőforrások hozzáférése és biztonsága, parancs végrehajtás, erőforrás (resource) létrehozás és törlés. Az erőforrás hozzáférés és biztonság tartalmazza az olyan hívások logolását mint: setuid, open, rename, chmod, és a chown. A parancs végrehajtás logolás tartalmazza a chroot, reboot, és a socket hívásokat. Az erőforrás létrehozás és törlés logolás tartalmazza a symlink, create_module, és mknod figyelését.

A SNARE nem egy tipikus host-alapú IDS, a legtöbb ilyen IDS olyan elven működik, hogy MD5 checksumot készít a kulcsfontosságú fileokról, amelyet egy adatbázisban tárol. A teljesen feltelepített _még nem használt!!!!_ rendszeren lefuttatjuk az ilyen IDS programot (pl. TripWire) amely egy snapshotot készít a rendszerről. Fontos hogy egy még nem használt rendszerről készítsük a snapshotot, mert ha már egy backdooros rendszerről készítjük, az már semmit nem ér. A következő lépés az auditálásnál, hogy újra futtatjuk az IDS-t, és a program a különbségeket jelzi ki az eredeti snapshot és a most általunk futtatott program logja között. Tulajdonképpen a checksum változásokat figyeli.

A SNARE más. A SNARE egy kiváló eszköz arra, hogy egy hasznos 'otthon-készített' csapda-rendszert építsünk (honeypot). Természetesen a daemont át tudjuk nevezni, így a tapasztaltabb felhasználók se tudják azt elsőre kiszúrni a rendszeren. Ilyenkor természetesen újra kell konfigurálni az eszközt.

Előnyök és hátrányok:

A SNARE-nek nem sok hátránya van. De meg kell említeni, hogy az alkalmazás képes némi CPU-t és memóriát felemészteni. Ez függ a megfigyelt események számától természetesen. Mindenesetre ezzel számolni kell. A második az, hogy csak a korszerű kernelekkel működik. Én azt hiszem, hogy ez a kettő dolog megbocsátható, hiszen aki ilyen eszközt telepít, az számol azzal, hogy bizonyos erőforrásokat kell allokálni erre a célra (diszk terület, cpu idő, memória), és feltételezzük, hogy egy komolyabb rendszeren nem futtat már 2.0.x kernelt sehol.

Az előnyök: egy nagyszerű eszköz a túlterhelt rendszeradminisztrátorok kezében. Hihetetlenül egyszerű a telepításe, a beállítása. Miután az IDS rendszer be van állítva, fut és működik, nincs vele más dolgunk, mint a logfileokat betömörítve eljuttatssuk egy másik gépre, ahol azokat elemezhetjük. Ezt könnyedén lehet automatizálni. Jól konfigurálható, portolható, könnyedén használható.

Bővebb információ a SNARE-ról:

http://www.intersectalliance.com/projects/Snare

Információ a Solaris BSM-ről:

Auditing in the Solaris 8 Operating Environment

és még egy olvasmány:

Implementing C2 Auditing in the Solaris Environment



Az eredeti cikk itt jelent meg.

A FreeBSD biztonsági csapat két figyelmeztetést adott ki, az egyik a tcpdump-pal (FreeBSD-SA-02:29), a másk pedig a ktrace-szel (FreeBSD-SA-02:30) kapcsolatos.

A tcpdump összes verziója a 3.7.1-ig bezárólag egy puffer túlcsorulási lehetőséget tarttalmaz, amelyet rosszul formázot NFS csomagokkal lehet triggerelni. Ezen kívül elképzelhető, hogy ás csomagokkal is ki lehet váltani a nem kívánt hatást. Jelenleg nem ismert olyan exploit, amellyel ki lehetne használni ezt a bugot.

Azokon a rendszereken ahol a ktrace engedélyezve van a KTRACE kernel opció által, ott a lokális felhasználó hozzáférhet érzékeny információkhoz. Ilyen lehet például a password file, authentikációs kulcsok, stb. Nem ismert jelenleg olyan eszköz, amellyel ki lehetne használni ezt a hibát.

A hibákat leíró bejelentéseket megtalálod a freebsd-security-notifications levlistán.

FreeBSD Security Advisory FreeBSD-SA-02:30.ktrace

FreeBSD Security Advisory FreeBSD-SA-02:29.tcpdump

A KDE team tegnap kiadta a KDE desktop környezet 3.1-es verziójának Alpha1 verzióját. Az Alpha1 kiadás célja, hogy a haladó felhasználók tesztelni tudják a KDE 3.1 új funkcióit, vagy csak egyszerűen valaki a saját kedvére telepíthesse és metekintést nyerhessen a fejlesztésbe.

A KDE 3.1 Alpha1 bejelentését itt olvashatod. Screenshotokat találsz ezen az oldalon.

Mit mondjak, biztatóan néz ki. Érdemes megnézni, bár sokak szerint XP feelengje van a dolognak.

Egy újabb hiba a mostani Linux kernelekben. A Linux Kernel Privileged File Descriptor Resource Exhaustion Vulnerability (megpróbálom lefordítani ;) : Linux Kernel privilegizált file leíró erőforrás kiürítési sebezhetőség - wtf?) hibát nem régiben fedezték fel néhány újabb Linux kernelben.

A hiba bejelentésében az alábbiakat olvashatjuk:"A Linux kernel egy szabadon elérhető, nyílt forrású kernel, amelyet eredetileg Linus Torvalds írt. Ez a magja a jelenlegi Linux terjesztéseknek.

A Linux kernelek újabb verziói tartalmaznak egy file leíró csoportot melyek fenn vannak tartva azon processzek számára, amelyet a root felhasználó futtat. Alapértékként ezen file leírók száma 10-ben van meghatározva.

Lokális, nem privilegizált felhasználónak lehetősége nyílhat arra, hogy megnyissa az összes rendszer file leírót. Rosszindulatú felhasználó ezek után ki tudja üríteni a file leírókat, megnyitva számos közös suid binárist, amelynek az eredményeként denial of service esemény jöhet létre."

Bővebb információ: SecurityFocus

Theo de Raadt egy levelet küldött az OpenBSD-misc levelezési listára, melyben bejelenti, hogy a httpd (webszerver) mostantól a /var/www könyvtárba lesz zárva (chroot - jail).A dologra azért került sor, mert az OpenBSD fejlesztők szerint mostanában veszélyes megbízni a webszerverekben (nyilván a legutolsó apache bugra céloznak). Ezt a chroot-olt megoldást nem kötelező használni, akinek nem tetszik, annak egy egyszerű '-u' flaget kell beállítani a httpd_flags értékének a /etc/rc.conf-ban. Ezzel a beállítással vissza lehet térni a hagyományos megoldáshoz.

Ahogy Theo a levelében írja, ez a legjobb dolog amit jelenleg tehetnek a webszerverek bugjai ellen. Sajnos az Apache kódja túl monolitikus, borzasztóan nagy, ezért a soronkénti auditálás nem használható. Ezért a legegyszerűbb megoldást választották, 'jail'-be zárták az alkalmazást.

Tehát az új funkciót egy egyszerű '-u' kapcsolóval lehet ki/be kapcsolni, más konfigurációs változtatásra nincs szükség.

Theo levele:

**********************************

To: misc@cvs.openbsd.org

Subject: httpd changes

From: Theo de Raadt

Date: Tue, 09 Jul 2002 15:19:07 -0600

--------------------------------------------------------------------------------

httpd by default now chroot's into /var/www.

This causes all sorts of fancy features to break. Fancy features which

we believe to be quite unsafe.

If you don't like this behaviour, use the -u flag for httpd_flags in

/etc/rc.conf to get back to the way it used to be. We bet that when

the next bug in apache comes, you'll regret it though.

This is the best approach we can currently take against such a

monolothic piece of software with such bad behaviours. It is just too

big to audit, so for simple usage, we are constraining it to within

that jail.

When you turn the -u flag on and off, no other configuration changes

are needed.

All this is documented.

Good luck.

*******************************************