OpenBSD

A Gentoo felhasználók szerint a Gentoo csomagkezelője (szoftver disztribúciós rendszere a pontos meghatározás szerint), a portage van olyan jó, mint mondjuk a FreeBSD ports rendszer. Az egyik Gentoo fejlesztő azon gondolkodott, hogy mi lenne ha összegyúrná a Gentoo csomagkezelőjét és az OpenBSD-t. Megcsinálta. Aztán, ha már belekezdett, akkor úgy gondolta, hogy ez jó volna FreeBSD-vel is. Azt is elkészítette.A fejlesztések egyelőre még gyerekcipőben járnak, de már mindegyik verzió kipróbálható. Nem újdonság az olyan törekvés, hogy meglevő Linuxos rendszert házasítsanak össze BSD kernellel. Ilyen törekvés például a Debian NetBSD és a Debian FreeBSD.

g2boojum Gentoo BSD projektjeit megtalálod:

Gentoo OpenBSD

Gentoo FreeBSD

Passzív operációs rendszer fingerprinting (ujjlenyomat) képességet építettek a PF-be (OpenBSD packet filter) amellyel lehetőség nyílik arra, hogy a forrás host operációs rendszerének verzióját egy szűrőnek átadja. Hogy mire használható ez?

Például a webszerverünket meglátogató, régi operációs rendszerrel ellátott gépeket átirányíthatjuk egy olyan weboldalra, amelyen felhívjuk a figyemüket a frissítésre. Vagy blokkolhatjuk az összes windows gépet a mail szerverünktől, hogy óvakodjunk a windowsos vírusoktól (állítólag nagyon jól működik a SoBig.F ellen).A stuffról egy leírást találsz itt. A készítők kérnek mindenkit, hogy segítsék a fejlesztést azzal, hogy segítenek feltölteni a OS fingerprint adatbázist a saját adataikkal. Ezt megteheted itt. Ha a weboldal nem ismerné fel az operációs rendszeredet és az egyéb adatokat, akkor azokat meg tudod adni az oldalon.

Bővebben itt.

Egy téves határellenőrzési hiba van a semget(2) rendszerhívásban, amely a rosszindulatú helyi felhasználó számára lehetővé teszi azt, hogy kernel pánikot okozzon. A hiba kihasználásának során privilégium szint emelésre nincs lehetősége a támadónak.A támadás során a támadó rá tudja venni a kernelt, hogy az kifusson a rendelkezésre álló memóriából. A bug az OpenBSD 3.3-ban jelent meg, az előző verziók nem érintettek.

A hiba javítva van az OpenBSD-current-ben és a 3.3 stable ágban is. A patch elérhető az OpenBSD 3.3-hoz itt:

ftp://ftp.openbsd.org/pub/OpenBSD/patches/3.3/common/002_semget.patch

Pár nappal ezelőtt jelentették be, hogy az OpenBSD 3.3 tag 3.4-beta-ra változott a CVS-ben. Az OpenBSD projekt FTP szerveréről már letölthető az OpenBSD 3.4-beta snapshot.

Letölthető innen.

Ajánlott olvasmány:

INSTALLATION NOTES for OpenBSD/i386 3.4

Linux + OpenBSD: it's possible

Az OpenBSD Journal szerint az OpenBSD ismét elérkezett egy fontos állomása előtti állapothoz. Ez azt jelenti, hogy az eddig OpenBSD 3.3-current néven futó stuff átneveződött OpenBSD 3.4-beta-ra. Legalábbis a cvs log szerint:

"CVSROOT: /cvs

Module name: src

Changes by: deraadtcvs.openbsd.org 2003/08/11 08:52:43

Modified files:

distrib/miniroot: install.sub

etc/root : root.mail

sys/conf : newvers.sh

sys/sys : param.h

share/mk : sys.mk

share/tmac/mdoc: doc-common doc-syms

sys/arch/macppc/stand/tbxidata: bsd.tbxi

Log message:

move to 3.4-beta

[...]"

Mintha felgyorsultak volna a fejlesztések az OpenBSD körül.

Az OpenBSD ports fa mostantól támogatja a systrace-szel való program fordítást.

A systrace a rendszerhívások figyelésére, azok használatának korlátozására való.

A systrace-s ports használathoz az alábbit kell tenni:A /etc/mk.conf-ba be kell írni a

USE_SYSTRACE=Yes

sort (a "sort" szót nem kell beírni. remélem tudja az akinek szól ;-)

Bővebben itt.



A systrace related HUP hírek itt.

Anil Madhavapeddy egyik az openbsd-cvs listára küldött leveléből az derül ki, hogy az OpenBSD-s syslogd ezentúl privilégium elkülönítéssel (privilege separation - ismerős lehet az sshd-ből) fog rendelkezni.

Todd Miller egy figyelmeztetést postázott a security-announce levlistára, amelyben felhívja a figyelmet néhány lehetséges bugra az OpenBSD-ben. Egy ún. off-by-one hibát tartalmaz a C könyvtár realpath(3) függvénye. Ez a bug ugyanaz, amelyet pár nappal ezelőtt találtak a wu-ftpd ftpd szerverben.

Az OpenBSD ftp daemona nem használja olyan módon a realpath(3) függvényt, hogy azt ki lehetne használni. Ennek ellenére viszont számos más OpenBSD rendszeralkalmazás használja ezt a függvényt. Egyelőre nem ismert, hogy ez a bug biztonsági hibához vezethet-e vagy sem, de mivel a wu-ftpd-ben kihasználható hibát okoz a bug, elképzelhető, hogy azok a programok amelyek használják a realpath(3) függvényt, azok támadhatóakká válnak. Az OpenBSD 3.3 (vagy újabb) felhasználóknak némi védelmet nyújthat a ProPolice stack protector, de ez nem garantált.A bug javítva van a OpenBSD-current-ben, a 3.2 és 3.3 -stable ágakban. A patch-ek elérhetőek az OpenBSD 3.2-höz és a 3.3-hoz.

OpenBSD 3.2: ftp://ftp.OpenBSD.org/pub/OpenBSD/patches/3.2/common/015_realpath.patch

OpenBSD 3.3: ftp://ftp.OpenBSD.org/pub/OpenBSD/patches/3.3/common/001_realpath.patch

Az OpenBSD 3.2 előtti verziót használóknak egyszerűen le kell tölteniük a realpath.c jelenlegi verzióját a

ftp://ftp.OpenBSD.org/pub/OpenBSD/src/lib/libc/stdlib/realpath.c

helyről, majd újra kell fordítaniuk a libc-t az új realpath.c file-lal.

Bővebb infó a wu-ftpd fp_realpath bugról: http://isec.pl/vulnerabilities/isec-0011-wu-ftpd.txt

Az OpenBSD srácok sem veszik mindig komolyan a dolgot. Erre legjobb példa a theo.c (cvs-ből) ;-) file, amelyben Theo de Raadt - az OpenBSD alapítójának - (méltán híres, és hírhedt) aranyköpéseit gyűjtötték össze. Ezeket a szólásokat lehet most előcsalogatni a fortune program segítségével. Andre Nathan munkájának nyomán most letölthető a szükséges .dat file és az olvasható text verzió innen.



Kérdés mennyi haszna van :-)

Egy hasznos képességgel bővült az OpenBSD. A source-changes@ levelezőlista szerint az OpenBSD mostantól kezdve rendelkezi growfs(8) támogatással.Az OpenBSD operációs rendszer telepítésekor nagyon fontos művelet a filerendszerek méretének gondos megválasztása, mert a későbbiek folyamán nem lehet a kiválasztott fs méretét változtatni. Így volt ez eddig. Mostantól azonban lehet majd növelni, köszönhetően a growfs(8)-nek. A FreeBSD felhasználóknak már ismerős lehet ezt a program, hiszen a FreeBSD a 4.4-RELEASE óta rendelkezik ezzel az utility-vel.

Egy FreeBSD specifikus leírást találsz itt a growfs(8)-ről.