OpenBSD

Niklas Hallqvist levele szerint megérkezett az OpenBSD -current-be a régen várt SMP támogatás!



Bővebben itt.

Amikor biztonságról és az OpenBSD-ről esik szó a Linuxos felhasználók gyakran teszik fel a kérdést, hogy van-e olyan patch a BSD-khez, mint a Linuxhoz a grsec. A legtöbb OpenBSD-s ilyenkor csak legyint és azt mondja, hogy nincs rá szükség, hisz a rendszer alapból biztonságos. Ez részben így is van, de amikor a részletekre terelődik a hangsúly hamar kiderül, hogy az alap rendszerben nincsenek olyan funkciók, mint a más user processeinek elrejtése vagy a TPE (Trusted Path Execution). Ezeket a hiányokat próbálja pótolni a Stephanie patch.A történet úgy indult, hogy a '98-as év végén a Phrack magazin 54. számában route|daemon9 és Mike D. Schiffman (bár szerény véleményem szerint ez csak álca és route=Mike ;) írt egy cikket "Hardening OpenBSD for Multiuser Environments" címmel amelyben egy patchet tett elérhetővé az akkor 2.4-es verziónál járó OpenBSD-hez. Ez tulajdonképpen a TPE implementációja volt és később ezt felhasználva, valamint néhány plusszt hozzárakva készült el Peter Werner keze nyomán az első Stephanie patch az OpenBSD 2.8-as verziójához. A patch elég nagy népszerűségre tett szert, mert többen jelezték, hogy segítségével sikerült meggátolni egyes feltörésre irányuló próbálkozásokat (lásd. híres krad-sploit). 3.1-es verziótól kezdve a patchet egy Brian nevű emberke tartotta karban, aki viszont a 3.4-es verzió kiadása után 5 éves katonaságba vonult, így a 3.5-ös portot most Neil Clifford végezte el.

Többszőr szóba került, hogy a patch bekerül-e az OpenBSD-be, de a fejlesztők nem hajlottak ebbe az irányba, ezért a patch a mai napig nem támogatott és nem javasolt az OpenBSD Team részéről.

De lássuk milyen extra biztonsági funkciókkal fűszerezi meg a rendszerünket a patch:

- System trust list

- Trusted path execution

- Vexec: Integrity verification

- Process privacy

Az elsőt leginkább a grsecben is megtalálható trusted gid-hez lehet hasonlítani. Olyan csoport hozható létre amelyel kiemelhetők egyes felhasználók a sima userek közül anélkül hogy wheel csoportba kellene őket tenni. A második a TPE, amelyet nyílván nem kell bemutatni. A Verified Exec a NetBSD-ből lett portolva (eredetileg Brett Lymn készítette) és segítségével minden binárisról egy digitális ujjlenyomat (hash) készíthető, melyet a rendszer minden programfuttatás előtt ellenőríz, hogy nem változott-e meg. A Process privacy pedig meggátolja, hogy a userek más felhasználók processzeiről szerezzenek információkat.

A 3.5-ös patch letölthető innen, a 3.4-es patch és a leírások pedig megtalálhatók itt.

Többszörös biztonsági hibát találtak a http(8) / mod_ssl-ben. A hibákról a CAN-2003-0020, CAN-2003-0987, CAN-2004-0488, CAN-2004-0492 hibajegyzékekben olvashatunk bővebben.

Az OpenBSD-t érintő hibáról az errata oldalon kaphatunk információt. Patchek elérhetők az OpenBSD 3.5-höz és 3.4-hez.

Nagy Róbert küldte be a hírt:



Miután már van egy statikus oldalt kezelő web szerverünk CARP-pal, felmerülhet bennünk az igény arra, hogy dinamikus oldalakat is használjunk. A PHPNuke-ra esik a választásunk. A következőkben azt fogom leírni, hogy én hogyan oldottam meg ezt a problémát. A választás a MySQL-re esett, mivel ennek van beépített replikáló funkciója.

Magát a www tartalmat (a php scripteket, képeket stb.) rsync segítségével fogjuk tükrözni. Akkor hát vágjunk a közepébe. Persze előtte mindenképpen olvasd el trey OpenBSD: magas rendelkezésre-állású webszerver készítése CARP-pal című írását, mivel itt a CARP beállításokkal nem fogok foglalkozni. Feltételezem, hogy már be van állítva mindekinek és van egy MASTER és egy SLAVE gépe. A lépéseket mindkét gépen végre kell hajtani, egy két kivétellel, az ilyen eseteknel szólni fogok. Ezért kérek mindekit, hogy először olvassa el a leírást, és utánna álljon neki a dolognak. Ha valami nem működik, akkor e-mail-ben szívesen segítek.Adatok:

---------

Thomas Walpuski jelezte, hogy hiba található az isakmpd(8) -ban. Patch az OpenBSD 3.5-höz itt, bővebb infó az errata oldalon. Az OpenBSD 3.4-hez a javítást megtalálod az errata34 oldalon.

Új OpenBSD patchek láttak napvilágot:

011: SECURITY FIX: Jun 9, 2004 (cvs)

010: RELIABILITY FIX: Jun 9, 2004 (fifofs)

Az OpenBSD 3.4-es kiadáshoz a patcheket keresd az errata34 oldalon. Bővebb infó az OpenBSD errata oldalon.

Henning Brauer tegnapi openbsd-misc@ listára postázott leveléből megtudhatjuk, hogy az OpenBSD későbbi verziójában szállított Apache verzió az 1.3.29-es lesz. Az OpenBSD csapat javítani fogja benne a hibákat, de frissítve nem lesz. Ennek az oka az, hogy az Apache fejlesztői megváltozatták az Apache web szerver licencét az 1.3.31-es verziótól kezdve.Henning egy későbbi levelében leírta, hogy természetesen lehet frissebb Apache-ot futtatni az OpenBSD-n a későbbiekben is, de ez nem javasolt. Nem javasolt, mert az OpenBSD alaprendszerben levő httpd számos biztonsági frissítést tartalmaz az eredeti Apache-hoz képest.

Az eredeti Apache-ban több komoly bug is van, amelyet az OpenBSD-sek javítottak, elküldtek az Apache fejlesztőinek, de azok eldobták azokat.

Ezért Henning azt mondta hogy a sajátkezű Apache upgrade == biztonsági downgrade.

A hosszú thread megtalálható itt.

Egy hosszú szál indult az openbsd-misc listán arról, hogy miért nem törekednek az OpenBSD-sek arra, hogy az eszköz-meghajtó programokat modulba tegyék a GENERIC kernelben ahelyett, hogy fixen bele van drótozva a kernelbe.Chuck Yerke vetette fel a kérdést a listán, arra keresve a választ, hogy valóban szükség van-e az OpenBSD felhasználóknak arra, hogy 15+ SCSI drivert tartsanak a memóriában?

Mint írja, a *BSD-k felhasználási területe gyakran a beágyazott rendszerek, ahol a rendkívül fontos a memória gazdaságos kihasználása. A hosszú threadet megtalálod itt. A témával foglalkozik a KernelTrap is.

Biztonsági hibát találtak a kdc(8) Kerberos V szerverben.


A javítások elérhetők az OpenBSD 3.5-höz itt, az OpenBSD 3.4-hez pedig itt.

Bővebb infó a hibáról itt.

Alexander Yurchenko munkájának köszönhetően az OpenBSD-current-ben megjelent az eszköz hotplug támogatás. A hotplug pszeudo-eszköz adja át az userland-nek az eszköz hozzáadás vagy eltávolítás eseményt. Mikor egy eszköz hozzáadásra vagy eltávolításra kerül, akkor kapcsolódó esemény várakozósorba kerül. A várakozósorból való kivétel a /dev/hotplug eszköz fileon végrehajtott read(2) hívással történik.

A hotplug pszeudo-eszköz az alpha, amd64, i386, macppc és sparc64 architektúrákon érhető el. Mivel a fejlesztő csak az i386 architektúrát tudta tesztelni, így a GENERIC konfigurációs fileban csak az i386 van alapértelmezetten engedélyezve.

Bővebben itt.