OpenBSD

Február elején Michael Lucas készített egy cikket arról, hogy hogyan működik a systrace, és hogyan tudunk saját irányelveket (policy) készíteni. Most folytatódik a cikksorozata az OnLamp-on. A mostani cikk címe "Creating Systrace Policies". A cikkben említésre kerül a "Hajas szemgolyó" project, és az egyéb a systrace-szel kapcsolatos tanácsok, tippek.

Kapcsolódó cikkeink:

Systrace irányelvek
Systrace - rendszerhívások korlátozása
systrace az alaprendszerben
Fejlemények systrace ügyben
OpenBSD: privilégium emelés (Privilege Elevation)
Hajas Szemgolyó - avagy a systrace irányelvek tárháza
TrojanProof a 3.2-Release-hez

Daniel Hartmeier (OpenBSD PF) egy levelében leírja, hogy miként szűri ki a nem szabványosan működő web-keresőket a webszerveréről a PF menet közben módosítható tábláival.

[OpenBSD-pf] dynamic filtering based on httpd error_log

Megjelent az Openbechede 0.12-es verziója. Mi is az az Openbechede? Egy csomag/port telepítő/eltávolító/frissítő eszköz OpenBSD-hez. Segítségével sokkal gyorsabban és könnyebben tudod kezelni a csomagjaidat (legalábbis a szerzője szerint).

Nézd itt.

Az OpenBSD project egyre jobban törekszik arra, hogy a minimálisra szorítsa azon programok számát a rendszerben amelyek a root felhasználó nevében futnak. Az erre alkalmazott módszer a ún. privilégium elkülönítés (privilege separation). Most Matthieu Herrb commitolta az erre irányuló munkáját az X window rendszerrel kapcsolatban. Jelenleg ott tart a project, hogy az OpenBSD X szerver többnyire privilégium nélküli felhasználó nevében fut. Ha sikerül magvalósítani a teljes elkülönítést, akkor talán nem kell többé rettegni az X window rendszer sebezhetősége miatt.



Matthieu Herrb levele:List: openbsd-cvs

Subject: CVS: cvs.openbsd.org: XF4

From: Matthieu Herrb

Date: 2003-02-17 23:04:21

CVSROOT: /cvs

Module name: XF4

Changes by: matthieu@cvs.openbsd.org 2003/02/17 16:04:21

Modified files:

xc/config/cf : OpenBSD.cf

xc/programs/Xserver/os: Imakefile connection.c

xc/programs/Xserver/hw/xfree86/dummylib: Imakefile

xc/programs/Xserver/hw/xfree86/os-support/bsd: bsd_init.c

xc/programs/Xserver/hw/xfree86/os-support/shared: posix_tty.c

Added files:

xc/programs/Xserver/os: privsep.c

xc/programs/Xserver/hw/xfree86/dummylib: privsep.c

Log message:

Privilege separation for X. This creates a child process in the X server that keeps root privileges in order to do the few operations that really need root to work correctly : sending SIGUSR1 to xdm and (re)opening the mouse device after each VT switch. It will fix problems with xdm and multiple VTs and kdm too. Based on some basic code by espie@, provos@ and other contributions. Ok deraadt@.

Theo de Raadt levelében - amelyet a source-changes@cvs.openbsd.org -ra küldött - megjelent egy "move to 3.3-beta" megjegyzés.

Ez azt jelenti, hogy haladunk az OpenBSD következő kiadása felé.

Bővebb infó az OpenBSD Journal oldalán itt.

OpenBSD rendszerre egy kicsit bonyolultabb felhúzni az X infrastruktúrát, mint mondjuk FreeBSD vagy Linux rendszerre. Ezzel a ténnyel szembesült dave@shintara.net is, amikor egy tartalék gépére telepitette fel az X szervert és a WindowMaker ablakkezelőt. Mivel a Neten kevés információt talált erről a telepítési műveletről, úgy döntött, hogy a tapasztalatait megosztja a nagyközönséggel. A telepítésről szóló írását megtalálod itt.

Az otthon is elérhetővé vált nagy sebességű internetkapcsolatok (pl. ADSL, kábelnet) idején egyre többen alkalmazzák azt a költségcsökkentő megoldást, hogy vesznek egy ADSL alapcsomagot, és azt "elosztják" több gép között. Ennek valamelyik szolgáltató nem örül (sőt tiltva van), van olyan szolgáltató, amely engedélyezi az egy háztartáson belüli elosztást. Az ilyen elosztásra talán a legjobb módszer a NAT (Network Address Translation). Sokan nem tudják, hogy a NAT-olt hálózatról jövő csomagokból következtetni lehet a "belső" hálózaton levő gépek számára. A szolgáltatók ezt kihasználva bírságot szabhatnak ki a NAT-oló felhasználók között (ha jól tudom volt is erre példa). Az erről szóló technológiai leírás a "NAT-olt hosztok megszámolásának technikája" elérhető itt (PDF). Mit lehet tenni az ügyben, hogy egy ilyen információ ne szivároghasson ki a hálózatunkról?

Az OpenBSD-s PF mostantól rendelkezik egy "random IP ID" opcióval, amely segítségével lecseréli az IP-k ID értékét valamilyen véletlenszerű értékkel, ezzel is megakadályozva a NAT-olt hálózaton levő gépek számának felderítését (TCP ujjlenyomat és NAT detektálás). Az új opció megvalósítása Daniel Hartmeier munkája. Ezzel az eljárással még biztonságosabbá lehet tenni a NAT mögött levő gépeket, mivel kevesebb információt kap a támadó.

A dologról bővebben itt.

Jason L. Wright bejelentette, hogy új karbantartói (maintainer) vannak a -stable branch-nak. Az új karbantartók brad@openbsd.org és margarida@openbsd.org ezután. Wright azzal indokolta lemondását a tisztségről, hogy nem tud annyi időt szakítani a karbantartásra, mint amennyi szükséges lenne.

Bővebb infó itt.

A nagy terhelés alatt álló szervereknél gyakran előfordul, hogy erőforrás-problémákkal küzdenek. Ilyenkor a szerver lelassul, a válaszadási ideje nő, és ha a hiba forrása nincs elhárítva, akkor ez a helyzet a rendszer összeomlásához is vezethet. Ahhoz, hogy az ilyen szituációkat elkerüljük, szükséges értenünk az operációs rendszer belső működését. Több fontos terület is van ebből a szempontból, az egyik ilyen a memóriakezelés.

Ez a PDF segít megérteni az OpenBSD memóriakezelését, segít a monitorozás felállításában, és a problémamegoldásban.

Michael Lucas (Absolute BSD híresség) készített egy cikket arról, hogy hogyan működik a systrace, és hogyan tudunk saját irányelveket (policy) készíteni. A systrace egy a rendszerhívások figyelésére és korlátozására való rendkívül hasznos eszköz.

"A systrace által használt policy interaktívan alakítható, így jelentősen megkönnyíti a listák elkészítését. Azok a műveletek, amelyek nincsenek bekonfigurálva az adott alkalmazáshoz riasztást generálnak, amely segítségével eldönthetjük, hogy az adott rendszerhívást engedélyezzük-e vagy sem. A systrace segítségével az alkalmazások sandboxba, vagy homokozóba zárása is megoldható végre OpenBSD-n, amely a szerző szerint főleg a bináris terjesztésű programoknál lehet hasznos, hiszen ott nem minden esetben tudjuk, hogy mit is fog valójában csinálni az alkalmazás."