Megjelent a Debian GNU/Linux 2.2 'potato' hetedik javított kiadása. A legfőbb változások ebben a kiadásban a biztonsági frissítések. Ezenkívül néhány bug kijavítása került megvalósításra. Aki rendszeresen frissíti a rendszerét a security.debian.org-ról, annak nem szükséges a frissítést letölteni.A frissítés erre a kiadásra az 'apt' eszköz használatával lehetségen on-line módba (lásd. sources.list(5) manual oldal), valamely Debian HTTP vagy FTP tükörszerverről. A mirrorok listája:

http://www.debian.org/distrib/ftplist

Bejelentés:

Debian GNU/Linux 2.2 updated (r7)

Alan Cox sorban ontja magából a foltokat a legutolsó ismert pre kernel RC1-es verziójához. Tegnapelőtt megjelent a Linux 2.4.19rc1-ac2, tegnap pedig az -ac3.

A 2.4.19rc1-ac3 letölthető: patch-2.4.19-rc1-ac3.bz2

Változások:[+ indicates stuff that went to Marcelo, o stuff that has not,

* indicates stuff that is merged in mainstream now, X stuff that proved bad and was dropped out]

This is mostly a housekeeping patch designed to shrink diff sizes down and get ready for 2.4.20pre merging. Promise users please test this with *caution*. It should fix large drives on the 20262/3 but change nothing

else but namings.

Linux 2.4.19rc1-ac3

o Remove SWSUSPEND

| With the IDE backport option and other general 2.5 improvements

| its now best worked on in 2.5

o Remove duplicate config options (Steven Cole)

o

o Newer SX6000 has PDC20276 chips. Handle this (me)

o Don't use LBA48 hack on Promise 20262/3 (Hank Yang)

o Switch to Promise namings for chips (Hank Yang)

o Update promise drive quirks (Hank Yang)

o Fix missing sem up on error in usb printer (Oliver Neukum)

o Correct FPU stack fault signal flag bits (Dave Richards)

o Resync with base JFS tree (Dave Kleikamp)

o Make it clear CMD64x drives CMD680 (Adrian Bunk)

Linux 2.4.19rc1-ac2


o Update eata and u14/34f drivers (Dario Ballabio)

o Handle 3c556 transmitter enable bit (Andrew Morton)

o Make the DRM layer use the pci mapping api (Arjan van de Ven)

o Set pci dma masks on the i2o devices (Frank Davis)

o JFFS2 bug fixes (Dave Woodhouse)

o Fix i815 APSIZE masking (Nicolas Aspert)

o Remove junk pcxxdelay function (Sergey Kononenko)

o EFI partition updates (Matt Domsch)

- I took out the MSDOS check - if both are

present we should favour MSDOS for now

o Fix ipc/shm locking (Hugh Dickins)

o Update Configure.help (Steven Cole)

o USB updates - cleanups (Greg Kroah-Hartmann)

o USB fix for intuos tablet (Christer Nilsson)

o USB scanner updates (David Nelson, Henning Meier-Geinitz,

Sergey Vlasov, Karl Heinz Kremer)

| Note - new maintainer for USB scanner - Brian Beattie

o Re-merge the ramfs limits code (David Gibson)

| * This needs good testing

| + TODO - make ramfs homour vm_accounting

o eepro100 warning fix (Pavel Machek)

o Report ok for nfs directory fsync (Trond Myklebust)

o Promise 20268 raid should be called 20270 (Hank Yang)

| Trivial item pulled out of the pending promise patches

o Speakup HZ != 100 cleanup part 1 (Arjan van de Ven)

o Report HT info in /proc/cpuinfo (Arjan van de Ven)

o PIV IRQ balancing fix (Ingo Molnar)

o Allow a non PGE PII optimised build (Arjan van de Ven)

o Elevator performance fixes (Andrea Arcangeli)

o Update cpufreq, add PIV throttling (Robert Schwebel,

Padraig Brady, Zwane Mwaikambo, Arjan van de Ven,

Tora Engstad)

o O(1) scheduler updates (Ingo Molnar)

o Fix 64bit random panic with

"I refuse to corrupt memory/swap" (Bill Nottingham)

o Fix compile with floppy disabled (Adrian Bunk)

o Quirk handler for Dunord I-3000 (Dave Close, David Mosberger)

| Plus I added real PCI idents for neatness

o Fix another vm accounting corner case (Robert Love)

o Patch up XFree 4.1 back compat problems in DRM 4.2+ (Arjan van de Ven)

Ez a tutorial végigvezet azon a folyamaton, hogy hogyan építsünk a SNARE eszköz segítségével, egy hasznos, könnyen használható powerful IDS rendszert a Linux szerverünkre (munkaállomásunkra). A tutorial segít a teleptésben, ismereteti a rendszer alapjait. A tutorial képekkel illusztrált. Nem csak expert felhasználóknak ajánlott ;)



A Behatolás Jelző Rendszerek (Intrusion Detection System - IDS) nem új dolgok a nap alatt. A Solaris operációs rendszer tartalmaz egy BSM (Basic Security Module) nevű modult, amely lehetővé teszi, hogy aprólékos-szintű kernel logolást végezzünk. Ez a dolog mostantól elérhető Linuxra is.

A SNARE egy új, host-alapú IDS, amelyet kimondottan Linuxra terveztek. Kristy Westphal kipróbálta a SNARE-t, és a tesztek során talált egy kiváló plug-in-t, amellyel nagyszerűen lehet a kernel eseményeket auditálni Linux operációs rendszer alatt.

A SNARE ingyenes, free, könnyű telepíteni és könnyű beállítani.SNARE - amely a System iNtrusion Analysis and Reporting Environment szavakból áll össze, az InterSect Alliance, egy ausztrál IT biztonsági cég által készített alkalmazás. A weboldaluk szerint (http://www.intersectalliance.com/projects/Snare) a cég azért kezdte el a SNARE projectet, hogy "kibővítsék a Linux operációs rendszer biztonságát azzal, hogy egy széleskörű logolási képességet adnak hozzá". Szerintük azért nem használnak szélesebb körben Linuxot az IT területen, mert hiányzik belőle egy széleskörű logoló eszköz. Ezt készítették el ők. Készítettek egy 'auditd' nevű programot, amely nem más mint egy dinamikusan betölthető kernel modul, és amely daemonkét (is) fut.

Jobban kifejezve azt, hogy mit értenek 'széleskörű logoló eszközön':

- logolja a megnyitott és elfogadott hálózati kapcsolatokat

- logolja a könyvtárak olvasását/írását

- figyeli a felhasználók azonosságát és csoportját

- és figyeli a programok használatát/azok megváltoztatását

Függően attól, hogy hogyan van konfigurálva a SNARE, detektálni tudjuk, ha a támadó megállított egy kulcsfontosságú programot, ha a root felhasználóra váltott, vagy ha fileokat installált a kulcsfontosságú könyvtárakba. Továbbá a SNARE képes logolni a file rendszer hívásokat, amely lehet read/write, megnyitás, átnevezés, képes észlelni ha a 'chroot', vagy a 'reboot' programokat futtatta valaki, vagy 'mkdir' és 'mknod' került felhasználásra.

Telepítés:

Azzal, hogy egy host-alapú IDS-t (Intrusion Detection System) telepítünk a rendszerre, az nem jelenti azt, hogy az egész rendszer védve van mindentől. A cikk feltételezi, hogy a rendszer amelyre a SNARE telepítésre kerül, az megfelelően van telepítve, a nem szükséges szervizek nem futnak rajta, a legutolsó biztonsági patchek is fel vannak telepítve, a file permissziók jól be vannak állítva, stb.

A SNARE telepítéséhez szükséges csomagokat megtalálod a project weboldalán itt. A SNARE két részben érkezik: van a core csomag és a hozzá kezelőszervként adott GUI (grafikus interfész). A stuff .rmp csomagokban megtalálható a weboldalon Red Hat 7.1 és Red Hat 7.2 rendszerekehez, de ott találhatjuk a forráskódot is. Ez a cikk a forrásból telepítést mutatja be. Letöltjük a legutolsó friss verziót amely a cikk írásának pillanatban a 0.9 névre hallgat. Ez két gzippelt tar filet jelent, a snare-0.9.tar.gz, és a snare-core-0.9.tar.gz.

Először a core csomagot kell telepíteni, tehát:

gunzip snare-core-0.9.tar.gz

aztán

tar xvf snare-core-0.9.tar

A SNARE egy kicsi terjesztés, a dokumentációt a weboldalukon keresd. A SNARE daemont egyszerűen le lehet fordítani:

make clean && make && make install

így egy friss példányt kapunk belőle (ajánlott így csinalni). Az auditd daemon /usr/sbin könyvtárba fog települni, az audit start/stop script helye a /etc/init.d könyvtár. Egy symlinket készítünk a /etc/rc2.d könyvtárba S98audit néven, amely a /etc/init.d/audit scriptre mutat. Innentől kezdve automatikusan indul a daemon a rendszer indításakor, vagy kézzel is indíthatjuk: belépünk a /etc/init.d könyvtárba és kiadjuk az alábbi parancsot:

./audit start

A GUI fordításához nem ajánlom, hogy a standard lépéseket kövesd, amelyek le vannak írva az INSTALL fileban. Helyette csináljuk a következőt:

Lépjünk be a snare-0.9 könyvtárba, és adjuk ki a következő parancsokat:

./autogen.sh

./make

./make install

A GUI fileok a /usr/local/share könyvtárba települnek. Így teljes a GUI telepítése, akár el is lehet indítani a

snare &

paranccsal.

Egy kép a GUI-ról

Konfiguráció:

Miután a SNARE feltelepült és fut, konfiguálni kell. Mint ahogy a syslog daemon konfigurációs fileja a syslog.conf, ennek a konfigurációs fileja az audit.conf. Ennek a helye a /etc/audit könyvtár. Javaslom, hogy ezt a filet, csak a GUI-n keresztül editáljuk, mert akkor biztos hogy megfelelően lesz formázva. Hogy beállítsuk a filet, menjünk a 'Setup, Audit Configuration' menübe. Itt meg tudunk változtatni néhány paramétert:

AuditType - alapból ez "Objective"; a többi elérhető opció az "Event"

HostID - Meg tudod határozni, hogy mely távoli host logfilejai jelenjenek meg

Objectives - Az auditálás finomságát lehet itt állítani

Events - Az összes lehetséges kernel hívás tudjuk auditálni

Output - Ahova tárolni szeretnéd a log fileokat; az alapértelmezés a /var/log/audit/audit.log

A SNARE képes a kernel vagy objective logolásra, de nem egy időben.

Új objective szabályt (rule), az 'Add an Objective' gombbal lehet megtenni.

Audit objective szerkesztése

Ez a lépés öt részre bontható:

- Magas szintű konfiguráció

- Szűrő (filter) amellyel auditálni akarsz, regexp-ek használhatók

- Hogyan akarsz auditálni egy eseményt: sikeres vagy sikertelen, sikeres és sikertelen filter

- Hogyan akarod auditálni a felhasználók eseményeit, összes felhasználó, csak kiválasztott felhasználó, stb.

- Milyen riasztási szintre van szükségünk, stb.

A riasztási szintek a Critical-tól a Clear-ig állíthatók. A Clear csak annyit jelez, hogy valami történt (jó vagy rossz). Ha valami történik, azt szín jelöléssel hozza a SNARE a tudtunkra: valami 'jó' történt akkor egy zöld pont jelenik meg. A figyelmeztetés sárga pont, a prioritásos események narancs, míg a kritikus események piros ponttal kerülnek kijelzésre.

Objective loggolás:

Az alap beállításban az alábbiak vannak beállítva: olvasás, írás, vagy létrehozás a /etc/shadow filera nézve; írás vagy létrehozás a /etc/passwd filera nézve; és olvasás, írás, vagy létrehozás az audit fileokra nézve. Továbbá, monitorozás a fileok, könyvtárak beállításaira: /sbin, /usr/sbin, /bin, és /usr/bin könyvtárak; a su program felhasználása; új kapcsolatok elfogadása; a newgrp program használata; változások a /etc és /var/log könyvtárakra; és megnyitása valamely kimenő hálózati kapcsolatnak.

Event (Kernel) logolás:

Mielőtt a kernel logoláshoz folyamodunk, ellenőrizzük mennyi szabad diszk hely áll rendelkezésünkre, mert nagyon bőbeszédű lehet.

Mit tudunk logolni?

Erőforrások hozzáférése és biztonsága, parancs végrehajtás, erőforrás (resource) létrehozás és törlés. Az erőforrás hozzáférés és biztonság tartalmazza az olyan hívások logolását mint: setuid, open, rename, chmod, és a chown. A parancs végrehajtás logolás tartalmazza a chroot, reboot, és a socket hívásokat. Az erőforrás létrehozás és törlés logolás tartalmazza a symlink, create_module, és mknod figyelését.

A SNARE nem egy tipikus host-alapú IDS, a legtöbb ilyen IDS olyan elven működik, hogy MD5 checksumot készít a kulcsfontosságú fileokról, amelyet egy adatbázisban tárol. A teljesen feltelepített _még nem használt!!!!_ rendszeren lefuttatjuk az ilyen IDS programot (pl. TripWire) amely egy snapshotot készít a rendszerről. Fontos hogy egy még nem használt rendszerről készítsük a snapshotot, mert ha már egy backdooros rendszerről készítjük, az már semmit nem ér. A következő lépés az auditálásnál, hogy újra futtatjuk az IDS-t, és a program a különbségeket jelzi ki az eredeti snapshot és a most általunk futtatott program logja között. Tulajdonképpen a checksum változásokat figyeli.

A SNARE más. A SNARE egy kiváló eszköz arra, hogy egy hasznos 'otthon-készített' csapda-rendszert építsünk (honeypot). Természetesen a daemont át tudjuk nevezni, így a tapasztaltabb felhasználók se tudják azt elsőre kiszúrni a rendszeren. Ilyenkor természetesen újra kell konfigurálni az eszközt.

Előnyök és hátrányok:

A SNARE-nek nem sok hátránya van. De meg kell említeni, hogy az alkalmazás képes némi CPU-t és memóriát felemészteni. Ez függ a megfigyelt események számától természetesen. Mindenesetre ezzel számolni kell. A második az, hogy csak a korszerű kernelekkel működik. Én azt hiszem, hogy ez a kettő dolog megbocsátható, hiszen aki ilyen eszközt telepít, az számol azzal, hogy bizonyos erőforrásokat kell allokálni erre a célra (diszk terület, cpu idő, memória), és feltételezzük, hogy egy komolyabb rendszeren nem futtat már 2.0.x kernelt sehol.

Az előnyök: egy nagyszerű eszköz a túlterhelt rendszeradminisztrátorok kezében. Hihetetlenül egyszerű a telepításe, a beállítása. Miután az IDS rendszer be van állítva, fut és működik, nincs vele más dolgunk, mint a logfileokat betömörítve eljuttatssuk egy másik gépre, ahol azokat elemezhetjük. Ezt könnyedén lehet automatizálni. Jól konfigurálható, portolható, könnyedén használható.

Bővebb információ a SNARE-ról:

http://www.intersectalliance.com/projects/Snare

Információ a Solaris BSM-ről:

Auditing in the Solaris 8 Operating Environment

és még egy olvasmány:

Implementing C2 Auditing in the Solaris Environment



Az eredeti cikk itt jelent meg.

A FreeBSD biztonsági csapat két figyelmeztetést adott ki, az egyik a tcpdump-pal (FreeBSD-SA-02:29), a másk pedig a ktrace-szel (FreeBSD-SA-02:30) kapcsolatos.

A tcpdump összes verziója a 3.7.1-ig bezárólag egy puffer túlcsorulási lehetőséget tarttalmaz, amelyet rosszul formázot NFS csomagokkal lehet triggerelni. Ezen kívül elképzelhető, hogy ás csomagokkal is ki lehet váltani a nem kívánt hatást. Jelenleg nem ismert olyan exploit, amellyel ki lehetne használni ezt a bugot.

Azokon a rendszereken ahol a ktrace engedélyezve van a KTRACE kernel opció által, ott a lokális felhasználó hozzáférhet érzékeny információkhoz. Ilyen lehet például a password file, authentikációs kulcsok, stb. Nem ismert jelenleg olyan eszköz, amellyel ki lehetne használni ezt a hibát.

A hibákat leíró bejelentéseket megtalálod a freebsd-security-notifications levlistán.

FreeBSD Security Advisory FreeBSD-SA-02:30.ktrace

FreeBSD Security Advisory FreeBSD-SA-02:29.tcpdump

A KDE team tegnap kiadta a KDE desktop környezet 3.1-es verziójának Alpha1 verzióját. Az Alpha1 kiadás célja, hogy a haladó felhasználók tesztelni tudják a KDE 3.1 új funkcióit, vagy csak egyszerűen valaki a saját kedvére telepíthesse és metekintést nyerhessen a fejlesztésbe.

A KDE 3.1 Alpha1 bejelentését itt olvashatod. Screenshotokat találsz ezen az oldalon.

Mit mondjak, biztatóan néz ki. Érdemes megnézni, bár sokak szerint XP feelengje van a dolognak.

Egy újabb hiba a mostani Linux kernelekben. A Linux Kernel Privileged File Descriptor Resource Exhaustion Vulnerability (megpróbálom lefordítani ;) : Linux Kernel privilegizált file leíró erőforrás kiürítési sebezhetőség - wtf?) hibát nem régiben fedezték fel néhány újabb Linux kernelben.

A hiba bejelentésében az alábbiakat olvashatjuk:"A Linux kernel egy szabadon elérhető, nyílt forrású kernel, amelyet eredetileg Linus Torvalds írt. Ez a magja a jelenlegi Linux terjesztéseknek.

A Linux kernelek újabb verziói tartalmaznak egy file leíró csoportot melyek fenn vannak tartva azon processzek számára, amelyet a root felhasználó futtat. Alapértékként ezen file leírók száma 10-ben van meghatározva.

Lokális, nem privilegizált felhasználónak lehetősége nyílhat arra, hogy megnyissa az összes rendszer file leírót. Rosszindulatú felhasználó ezek után ki tudja üríteni a file leírókat, megnyitva számos közös suid binárist, amelynek az eredményeként denial of service esemény jöhet létre."

Bővebb információ: SecurityFocus

Theo de Raadt egy levelet küldött az OpenBSD-misc levelezési listára, melyben bejelenti, hogy a httpd (webszerver) mostantól a /var/www könyvtárba lesz zárva (chroot - jail).A dologra azért került sor, mert az OpenBSD fejlesztők szerint mostanában veszélyes megbízni a webszerverekben (nyilván a legutolsó apache bugra céloznak). Ezt a chroot-olt megoldást nem kötelező használni, akinek nem tetszik, annak egy egyszerű '-u' flaget kell beállítani a httpd_flags értékének a /etc/rc.conf-ban. Ezzel a beállítással vissza lehet térni a hagyományos megoldáshoz.

Ahogy Theo a levelében írja, ez a legjobb dolog amit jelenleg tehetnek a webszerverek bugjai ellen. Sajnos az Apache kódja túl monolitikus, borzasztóan nagy, ezért a soronkénti auditálás nem használható. Ezért a legegyszerűbb megoldást választották, 'jail'-be zárták az alkalmazást.

Tehát az új funkciót egy egyszerű '-u' kapcsolóval lehet ki/be kapcsolni, más konfigurációs változtatásra nincs szükség.

Theo levele:

**********************************

To: misc@cvs.openbsd.org

Subject: httpd changes

From: Theo de Raadt

Date: Tue, 09 Jul 2002 15:19:07 -0600

--------------------------------------------------------------------------------

httpd by default now chroot's into /var/www.

This causes all sorts of fancy features to break. Fancy features which

we believe to be quite unsafe.

If you don't like this behaviour, use the -u flag for httpd_flags in

/etc/rc.conf to get back to the way it used to be. We bet that when

the next bug in apache comes, you'll regret it though.

This is the best approach we can currently take against such a

monolothic piece of software with such bad behaviours. It is just too

big to audit, so for simple usage, we are constraining it to within

that jail.

When you turn the -u flag on and off, no other configuration changes

are needed.

All this is documented.

Good luck.

*******************************************

Fejlesztők segítségét várom a cdw project-hez!Ez év elején kezdtem el írni a cdw nevű frontend-et, mely egy menüvezérelt cdíró "felület" a cdrecord-ra és az mkisofs-re, mindez konzolon.

Christian Ludwig egy új patchet küldött az LKML-re, melynek célja, hogy bzip2 tömörítési lehetőséget adjon a Linux kernelhez. A patch egy olyan választási lehetőséget biztosít, melynek segítségével lehetőség nyílik arra, hogy bzip2 tömörítést használhassunk a kernelhez, és a ramdisk image (initrd) kompresszálásához is. Az eredeti bzip tömörítő - a lossless data compressor - nem használatos az open source fejlesztésekben, mert szabadalmi megkötésekkel kell szembenéznie a fejlesztőnek, ha ehhez az eszközhöz nyúl. Az újabb, és magas fokon portolható bzip2 a Burrows-Wheeler block-rendező text tömörítő algoritmust és a Huffman kódolást használja. Ez a dokumentum leírja, hogy miért a bzip2-t használjuk inkább a bzip-pel szemben. Ez a kód teljesen szabadalom mentes, állítja a szerző, Julian Seward.A jelenleg létező 'make bzImage' parancs nem azt jelenti, hogy a kernel bzip-pel van tömörítve. A jelentése make "big zImage". A linux kernel dokumentációban (Documentation/kbuild/commands.txt) világosan le van írva, hogy "a különbség a 'zImage' file és a 'bzImage' file között az, hogy a 'bzImage' más elrendezést, és más betöltő algoritmust használ, és nagyobb a kapacitása. Mindkét file a gzip tömörítést használja."

Christian Ludwig patche a 2.4.18 kernel ellen készült. Ez tulajdonképpen nem más mint a korábbi 2.2-es kernelhez készült, Tom Oehser által fejlesztett kód tisztított, és portolt verziója.

Egy nagyon érdekes thread tárgyalja a FreeBSD -hackers levelezési listán, hogy hogyan is működik a swap a high-end gépeken (természestesen FreeBSD környezetben). A felvetett kérdés arról szól, hogy hogyan is működik a swap egy olyan gépen amelyben 2GB fizikai memória van, és mondjuk 4GB-nyi swap terület van beállítva. A kérdés arra irányult, hogy hogyan kezeli a FreeBSD a swapot egy 32bites gépen ha a swap terület nagyobb mint 2^32 byte.A beszélgetésben a 32 és 64 bites gépek is összehasonlításra kerültek, mind 4.x, mind az eljövendő 5.x kernel tükrében (-current).

A hozzászólók között van Matthew Dillon (FreeBSD kernelhacker) is, aki a szerzője a virtuális memória szekciónak, amely a FreeBSD Developers' Handbook része.

A thread itt kezdődik.

Rik van Riel kernel oldalán olvashatjuk a következőket:

"Linus bejelentette (két héttel ezelőtt, a Linux kernelfejlesztők találkozóján), hogy érdeklődik egy minimális -rmap kernelpatch után. A patchet a 2.5-be lehetne illeszteni."Craig Kulesa készített egy minimális -rmap patchet a legutolsó fejlesztői kernel számára, kódtisztításokat hajtott végra rajta. Andrew Morton számos bugot fixált a patchben.

Ez azért érdekes, mert néhány hónappal ezelőtt nagy port kavart fel, amikor Linus kicserélte a virtuális memória alrendszert a Linux kernelben. Sokan támadták amiért az Andrea Arcangeli által fejlesztett VM-et támogatta, mert számos fejlesztő meg volt/van győződve róla, hogy az -rmap (reverse mapping) alapú VM alrendszer stabilabb, robosztusabb, és nagyobb teljesítményre képes. Most itt a lehetőség a Riel féle VM előtt, hogy mégis bekerülhessen a fejlesztői, majd a stabil kernelbe is.

Kapcsolódó hírek:

A kernelfák erdeje - Linux VM régen és most

Rik van Riel - a Linux kicsit más szemmel

Andrea Arcangeli: 'Ne használd a 2.4-es kernelt enélkül a patch nélkül'

További kapcsolódó hírek itt.

Megjelent a DWN (Debian Weekly News), a Debian közösség szokásos heti hírlevelének a 26. száma.

A tartalomból:

Alan Cox mester megjelentette az első javítófoltját a 2.4.19-rc1-es kernelhez.

Letölthető: patch-2.4.19-rc1-ac1.gz

Változások:From: Alan Cox

To: linux-kernel@vger.kernel.org

Subject: Linux 2.4.19-rc1-ac1

Date: Tue, 9 Jul 2002 10:33:16 -0400 (EDT)



[+ indicates stuff that went to Marcelo, o stuff that has not,

* indicates stuff that is merged in mainstream now, X stuff that proved bad and was dropped out]



This is to get stuff moving again primarily. There is a lot of other pending stuff in the queue including promise and osb4 ide, fixing the pci fixup for the IDE bios mapping bugs etc.



Linux 2.4.19rc1-ac1

o Merge with 2.4.19-rc1

-Drop out mm fixes

o Shmem fixes for -ac (Hugh Dickins)

o Fix vm accounting corner cases (Hugh Dickins)

o Fix utimes permission check error (Stephen Rothwell)

| It was overstrong

o Fix JFS error handling down_write_trylock (David Kleikamp)

o Module loader off by 1 fix (Peter Oberparleiter)

o Allow irda modem bits to be arch set (Grant Grundler)

o ALI M1671 GART support (Arjan van de Ven)

o IDE scsi off by one transformation fix (Mark Lord)

o Printk fixes

o USBserial semaphore fix (Pete Zaitcev)

o Alpha updates for O(1) scheduler (Robert Love)

Az OSNews.com interjút készített David Dawes-szel, aki jelenleg az egyik legaktívabb Xfree86 fejlesztő és a Tungsten Graphics alkalmazottja. Annak a Tungsten Graphics cégnek a dolgozója, amely az XFree, DRI és a Mesa kódjaival foglalkozik jelenleg.

Dawes az interjúban válaszol arra a kérdére, hogy miért a Weather Channel [régebbi cikk] támogatja az ATI Radeon 8500 kártyák Open Source driverének fejlesztését? hogy mi is tulajdonképpen a Tungsten Graphics célja? mik a tervek a Kyro/Kyro-II 2D driverekre nézve? hogy miért nincs failsafe mód az XFfree-ben (amikor a video adapter nem támogatott, akkor a rendszer automatikusan betöltené a VESA 2.0 kompatibilis drivert, ezzel is segítve a kezdőket)?A Xfree86 protokol a '80-as években született. Nyilván tartalmaz egy rakás örökölt kódot azokból az időkből, a kompatibilitás miatt. A riportot készítő feltette a kérdést, hogy igaz-e az az állítás, hogy ezek az örökölt kódok visszafogják az XFree86-ot, és lényegesen a mai technika mögött tartják azt? Mik azok a fő dolgok, amelyeket javítani kell az XFree86-ban? Mik a tervek a jövőre nézve?

A teljes interjút megtalálod itt.

Steve Woodford, a Wabashi System nevében bejelentette, hogy elkezdte letenni az alapjait egy a későbbiekben megjelenő SuperH(tm) SH-5 CPU architektúrára fejlesztett NetBSD portnak.A kezdeményező reméli, hogy egy hosszú és gyümölcsöző kezdeményezésnek állt neki. A kódot a Wabashi System támogatja, és egy kezdeti támogatást biztosít a Hitachi SuperH(tm) SH-5 CPU-s gépekhez. Jelenleg a NetBSD/evbsh5 csak a SH-5 core szimulátoron fut, amely sajnos egyelőre nem tud más eszközt szimulálni, mint egy egyszerű konzolt. Viszont ez már elegendő ahhoz, hogy egy "root device: " promptot kapjunk.

Bővebb információt a projectről itt találsz.

Lassan (remélhetőleg) megjelenik a Debian soron következő stabil kiadása a Woody kódnévre hallgató 3.0-ás release. Ha megjelenik számos weboldal fog beszámolni az eseményről, és számos weboldal szeretne megjelentetni hivatalos Debian Woody bannert. Annak idején, amikor a Potato megjelent néhány ember készített ilyen reklámcsíkot. Ezeket megtalálod www.debian.org/banners link alatt.Vasárnap a DebianPlanet.org-on feltettem azt a kérdést a közösségnek, hogy dolgozik-e valaki ilyen hivatalos banneren? A kérdésemre több válasz is érkezett, ezeket elolvashatod itt.

Lehetne esetleg készíteni hivatalos bannert, mert nagy esély van rá, hogy ha magyar, jó grafikus készséggel megáldott Debian felhasználó készít egy minőségi bannert, az lehetne akár a Woody hivatalos logója is.

Esetleg ha valaki ilyet készít és elküldni nekem, akkor esetleg megszervezek egy banner szépség-versenyt, és a győztes kap egy csokit, vagy valamit ;)

Válaszul a 2.5-ös kernelben régóta instabil állapotban levő IDE réteg kódra, Jens Axboe elkészített hét patchet a 2.5.25-ös kernelhez, azzal, hogy portolta az IDE core kódot 2.4.19-pre10-ac2 kernelből a 2.5-ös fába. Ahogy Jens mondja:

"Szükségem van egy stabil IDE kódra ahhoz, hogy tesztelni tudjam a 2.5-ös kernelt....Addig fogom ezt a patchet karban tartani, amíg úgy nem gondolom, hogy 2.5 IDE kód elegendően stabil...."

A patch letölthető Jens kernel.org-on levő könyvtárából, vagy kinyerhető a BK fából.

A FreeBSD 4.6.1 kiadását a 4.6 megjelenése után körülbelül egy hónapra tervezték. Murray Stokely úgy jellemezte az érkező ``point release"-t, hogy konzervatív változásokat tartalmaz.

Ilyenek például: Soren féle one-line ATA patch amely javítja a bejelentett ATA problémákat [korábbi cikk], biztonsági frissítéseket tartalmaz SSH, BIND, ktrace, és lehet sendmail-hez is.

A FreeBSD 4.6.1 várhatóan 2002. július. 17-én jelenik meg.

Murray teljes bejelentése:From: Murray Stokely

To: stable AT FreeBSD.ORG

Subject: Upcoming 4.6.1

Date: Sun, 7 Jul 2002 01:55:20 -0700

The release engineers, port managers, and security officer team are currently working on a conservative set of changes to merge to the RELENG_4_6 branch in preparation for a 4.6.1 release. This point release will include Soren's one-line ATA patch that fixes some of the

reported ATA problems, along with security-related updates for SSH, BIND, ktrace, and possibly sendmail. 4.6.1 is currently scheduled for July 17. If you have any questions or comments about this point release, please let us (re@) know. Thanks!

- Murray

Egy patch érkezett az OpenBSD-misc levelezési listára, amelyben bemutatkozik az Unified Buffer Cache (UBC). A patch jelenleg csak az i386 platformra érhető el, és egy kezdete a NetBSD UCB kód portolásának. A szerző azt állítja a patchről, hogy csak saját éredklődésének kielégítésére készítette, és hogy a patch alkalmazásával számos alkalmazás jelentősen felgyorsult.Ha valakit jobban érdekel a NetBSD UCB implementációja (amelyen a fent említett patch alapul, az olvassa el az UBC: An Efficient Unified I/O and Memory Caching Subsystem for NetBSD című írást. A dokumentumban az alábbiakat olvashatjuk:

"A modern operációs rendszerek két módón teszik lehetővé a filerendszerhez való hozzáférést. Az egyik mód a memory mapping, a másik mód I/O rendszerhívásokon keresztül read() és write() függvényekkel. A tradícionális Unix-like operációs rendszerek a memory mapping kéréseket a virtuális memória alrendszeren keresztül szolgálják ki, míg az I/O hívásokat az I/O alrendszeren keresztül kezelik le. Ez a két alrendszert általában egymástól elkülönülten fejlesztik, és nincsenek szorosan integrálva. A patch fejlesztőjének célja a két alrendszer egybe integrálása.

Az UCB nem csak a NetBSD privilégiuma, régebb óta része a FreeBSD-nek [info] és a Linux kernel is tartalmazza a 2.4.10 kernel óta [info].

Egy német programozó kijelentette, hogy megtette az első lépéseket afelé, hogy Linuxot futtasson a Microsoft közkedvelt jatékkonzolán az XBox-on.Michael Steil - egy német programozó - bejelentette, hogy készített egy 'linuxprewiev' nevű alkalmazást, amelyet beleépített az XBox-ba. Az alkalmazás nem csinál mást, mint egy Pingvint rajzol az XBox indító-képernyőjére, és tájékozztat minket: "Xbox Linux Coming Soon!" (az XBox Linux hamarosan megérkezik). Ezen kívül még egy linket mutat az XBox Linux weboldalára. Ez az első olyan alkalmazás, amely úgy fut a konzolgépen, hogy nem használja a hivatalosan kiadott Xbox Software Development Kit-et (SDK), és az első lépés afelé, hogy az XBox-ból Linuxot futtató PC-t kapjunk.

Steil a vezetője a Xbox Linux Project-nek, amely olyan önjelölt fejlesztőkből áll, amelyeknek a célja az, hogy kitalálják, hogyan lehetne Linuxot futtatni az XBox-on, lehetőleg anélkül, hogy törvényt vagy licensz jogot sértenének. Annak, hogy a dolog sikerül, nagy az esélye, hiszen az XBox egy Intel alapú PC hardverre épül.

Bővebb információ: ZDNet cikk

A UnitedLinux -- Caldera International, Inc., Conectiva S.A., SuSE Linux AG, és a Turbolinux, Inc.-- tegnap bejelentette, hogy a UnitedLinux megjelenő verziója támogatni fogja az új Intel Itanium 2 processzorokat. A UnitedLinux várható megjelenése az év végére tehető, és támogatni fog minden olyan technológiát, amely a magasfokú megbizhatóságot, széles körű skálázhatóságot biztosít a felhasználóknak. - olvashatjuk a UnitedLinux sajtó bejelentésében.A UnitedLinux célja egy olyan Linux disztribúció megteremtése, amely a vállalati felhasználóknak biztosít egy egységes, hardver és szoftver oldalról is jól összefogott rendszert. A cél érdekében olyan vállalatok fogtak össze mint az AMD, Borland, Computer Associates, Fujitsu Siemens, Fujitsu, Hewlett- Packard, IBM, Intel, NEC, Progress Software és az SAP, amelyek teljes mértékben támogatják a UnitedLinux elképzelést.

Bővebb információ: www.unitedlinux.com

Intel Itanium 2 támogatás bejelentése: itt

A GARNOME egy bad-ass, pengeél GNOME terjesztés, amely kimondottan fejlesztőknek, és tuninolóknak készült. Ha ki szeretnéd próbálni a GNOME 2.0 Desktop-ot, de nem akarsz CVS-sel, dependency hibák tömkelegével foglalokozni, akkor a GARNOME-t pont neked találták ki.

Szóval a GARNOME egy új GNOME terjesztés, amely Nick Moffitt GAR ports rendszerén alapul. Jelenleg amire ez a terjesztés képes az az, hogy egy GNOME 2.0 Desktop rendszert fordít tarball-ból, és tartalmaz néhány hasznos segédprogramot is, amelyet GNOME 2.0-ra portoltak.Most megjelent ennek a terjesztésnek a legújabb verziója, a 0.12.1-es, amely a 'Can't Dance In These Old Shoes' (Nem tudok táncolni ezekben a régi cipőkben) fedőnévre hallgat.

Egy kis szilikon-cukorka:

Egy optimalizált ""time make -j install" meta/gnome-desktop garball fordítása, Dual AMD 1800+, 512MB DDR RAM, az egész forgatás tempfs-en, a diszk ext3 filerendszeren:

real 55m6.347s

user 63m25.590s

sys 16m48.420s

Bővebb információ a project honlapján.

Május 23-án a következőkről számoltunk be:

"A gnu/linux világ egyik kedvelt 3d render software a Blender nehéz helyzetbe került. Fejlesztőcége a holland NaN pénzügyi problémákkal küzd és így bizonytalanná vált a Blender jövője."

Úgy tűnik, hogy a Blender jó kezekbe kerül, és elmúlik a veszélyhelyzet a kiváló szoftver fölül:Most úgy látszik a NaN Holding részvényesei végleg megegyezésre jutottak a Blender jövőjét illetően. Ez tulajdonképpen azt jelenti, hogy egy non-profit szerverzet - a Blender Foundation (Alapítvány) - fogja a szoftver jövőbeli útját egyengetni. A részvényesek beleegyeztek, hogy a Blender Alapítvány végrehajtsa terveit, azaz a Blender fejlesztése open source körülmények között folytatódhat.

A megállapodást valószínűlrg jövő héten pénteken (2002. 17. 12) írják alá.

Nem rossz hír.

A Blender honlapja: http://www.blender3d.com/

Egy lehetséges lokális 'root' exploit van a KDE 2.2 verziójától kezdve a KDE 3.0.2 verzióig bezárólag az 'artswrapper' nevű alkalmazásban (amely a KDE 2 pre-releasekben mutatkozott be).Ezt egy jól ismert, biztonságtechnikával foglalkozó híroldal jelentette be vasárnap késő este. A hiba csak azokat a telepítéseket érinti, ahol az 'artswrapper' 'setuid root'-ként kerül installálásra. A patch (GPG aláírással rendelkezik) a KDE 3.0.2 ellen készült, és azonnal elérhető volt. Köszönet érte George Staikos-nak és Dirk Mueller-nek. Az új csomagok fordítása elkezdődött.

Jelenleg a workaround: erősen ajánlott az adminisztrátoroknak, hogy távolítsák el a setuid bitet az 'artswrapper'-ről (pl. chmod ug-s artswrapper). Ez kimondottan többfelhasználós gépeken ajánlott (magunkat csak nem hax0ljuk meg, nem igaz? ;)

Bővebb információ a KDE 3.0.2 Info oldal-on.

Lassan, de biztosan haladunk a Debian GNU/Linux következő stabil kiadása felé. Az új kiadás neve gondolom nem okoz senkinek meglepetést. A Woody 11 architektúrára jelenik meg, és a Potato 3 CD-nyi terjedelmével szemben 8 CD-t fog megtölteni.



Sokaknak nem lesz lehetősége letölteni ekkora adatmennyiséget (5GB feletti csak az i386 architektúra) ezért Risko Gergely úgy döntött, hogy készít a terjesztésből DVD verziót. A 8 lemezes disztribúcióból, 7-et tud a DVD lemezre írni anélkül, hogy licensz jogokat sértene.A DVD verzió előnyeit gondolom nem kell sorolnom: