OpenBSD

Működő SMP kernel az OpenBSD-hez már januárban?



Mi hiányzott eddig az OpenBSD-ből ahhoz, hogy komolyabb vállalati alkalmazásokat is lehessen futtatni rajta? Az SMP (több processzoros képesség). Most úgy néz ki, hogy több évnyi ígérgetés után (ugye emlékszünk még arra, hogy "talán a 3.0-ban már lesz SMP szupport" - kijelentésre?) valami kis reményfény derengett fel a messzeségben. A Spinlocks Project - amely a Waterloo Egyetem négy diákjából áll - nekiállt SMP képességet implementálni az OpenBSD kernelébe."A projectünk fejlesztés alatt van, éppen újratervezzük, mert a kezdeti dizájn nem jól kezeli a pmap változtatásokat. De a kernelünk spinlockolható (forgózár), többnyire működik az ütemezőnk (scheduler), és körülbelül januárra tervezzük az MP kernel elkészülését..."

Hmm. Nem rossz hírek. Csak így tovább...

Hangzott az Eweek felhívása. Sok ilyen Hackme jellegű felhívást láttunk már a NET-en az elmúlt években.Vitatható az ilyen projecteknek a hasznossága, de az Eweek bevállalta a dolgot. A dolog az OpenHack 2002 keretein belül zajlik, amely egy tesztsorozat. Az Eweek egy OpenBSD szervert tett ki az internetre, amely bárki által tesztelető, támadható. A project érdekessége, hogy kitették a szerver logjait, és pf konfigurációjukat is. Ezek a logok kielemezhetőek, és bizony lehet belőlük tanulni is. A logok nem kisméretűek, összesen 119MB-nyi .zip fileról van szó.

Akiket érdekelnek ezek a fileok, azok letölthetik innen.

A Hajas Szemgolyó (Hairy Eyeball) project azt tűzte ki céljául, hogy az OpenBSD-hez fejlesztett (de más OS alá is portolt, pl. Linux) systrace eszközhöz felhasználható irányelveket (policy) összegyűjtse, és hasznosan tárolja. A dolog felhasználható azoknak, akik nem akanak saját policy felállításával bíbelődni, vagy csak egyszerűen tanulni akarnak a tapasztaltabb felhasználóktól.

A Hairy Eyeball project honlapja itt

Mi is az a systrace?

Mint azt korábban írtuk: "Az újdonság neve systrace és a rendszerhívások figyelésére, azok használatának korlátozására való.A systrace által használt policy interaktívan alakítható, így jelentősen megkönnyíti a listák elkészítését. Azok a műveletek, amelyek nincsenek bekonfigurálva az adott alkalmazáshoz riasztást generálnak, amely segítségével eldönthetjük, hogy az adott rendszerhívást engedélyezzük-e vagy sem.

A systrace segítségével az alkalmazások sandboxba, vagy homokozóba zárása is megoldható végre OpenBSD-n, amely a szerző szerint főleg a bináris terjesztésű programoknál lehet hasznos, hiszen ott nem minden esetben tudjuk, hogy mit is fog valójában csinálni az alkalmazás. De természetesen a nem megbízhatónak vélt szabad forráskódú programok bedobozolása is hasznos lehet bizonyos esetekben (bind? :).

A systrace behatolásdetektálásra is használható, hiszen segítségével egy távoli gépen futó programok figyelhetők, amelyek ha nem definiált műveletet próbálnak végrehajtani, riasztást indítanak el. Ezek a riasztások célszerűen egy központi számítógépben futnak össze, így figyelésük egyszerű. A systrace már az OpenBSD -current része, tehát az az alaprendszerben elérhető."

A systrace Niels Provos munkája.

Kacsolódó oldalak:

Niels Provos systrace weblapja


OpenBSD

systrace az alaprendszerben

Fejlemények systrace ügyben

OpenBSD: privilégium emelés (Privilege Elevation)

Az OpenBSD létrehozója, Theo de Raadt bejelentette, hogy a ``propolice" névre hallgató biztonsági eszköz, a "stack-smashing protector" be lett olvasztva az OpenBSD kernelébe. A "stack-smashing protector" magyarra lefordítva verem-betörés védelmet jelenthet.

Hogy mi is ez a betörés védelem? Hiroaki Etoh eredeti propolice bejelentésést elolvashatod itt. A "stack-smashing protector" egy magas fokon portolható GCC kiterjesztés amely 1) újrarendezi a változókat, hogy megakadályozza a mutatók (pointer) korrupcióját, és 2) beilleszt egy védelmi kódot az alkalmazásba a fordítási időben, amely detektálja és megelőzi a puffer túlcsordulást. Hiroaki puffer túlcsorulási védelme a StackGuard nevű programon alapul. Bővebb info a project honlapján.

A BSDCon Europe 2002 rendezvényen tartott előadást Philipp Buhler és Henning Brauer a "Teljesítmény tuningolás OpenBSD hálózati szervereken" témakörben. Az előadás anyagát most közzétették, elérhető bárki által. Az OpenBSD Journal szerint az anyag egy jó kis írás, valószínűleg érdemes elolvasni ;-)

Az anyagot megtalálod itt.

Az OpenBSD-CURRENT-ben összefésülték az AltQ (Alternate Queing, sávszélesség és egyéb korlátozás, stb) és a PF részeit az OS-nek, így lassan lehetővé válik majd a két funkció beállítása egy helyen, a pf.conf-ban a csomagszűrő szabályok mellett.

Kapcsolódó oldalak:

ALTQ: Alternate Queueing for BSD UNIX

CVS log

Ted Unangst nemrég portolta a FreeBSD device polling kódját OpenBSD-re. A módszer a lassúnak tűnő eszköz-lekérdezés (polling) megfelelő implementálásán alapul, aholis nem a hálózati csatoló által generált megszakításokra vár az OS, hanem bizonyos időközönként "megkérdezi" azt, van-e új csomag.

A módszer leginkább azokban az esetekben járhat sebességnövekedéssel, ahol nagymennyiségű csomagot kell mozgatni (például Gigabit Ethernet adapterek esetén).

A Ted Unangst által portolt kód a következő adapterekkel elérhető:

rl, fxp, dc, bge, nge, lge, ti, sk, em, gem

Aki ilyen adapterekkel rendelkezik és OpenBSD-t használ, feltétlenül próbálja ki az új kódot és jelentse Tednek a sikert/hibát.

A patch elérhető Ted weblapjáról.

A módszer FreeBSD-s (eredeti) megvalósítása a polling(4) manlapban olvasható.

Hasonló megvalósítást láthatunk a Linux NAPI-jában is.

Az előző cikkhez kapcsolódva: várható, hogy sorban jelentik majd be a linux disztribútorok, *BSD variánsok készítői, hogy érintettek-e vagy sem a trójai dologban. Az OpenBSD csapat már tegnap bejelentette, hogy az OBSD nem érintett ebben a hibában.

Indoklás itt.

Bekerült az OpenBSD-be egy szoftveres WEP (Wireless Encryption Protocol) megvalósítás, amelynek segítségével bármilyen kártyával használható 128 bites titkosítás. Tervbe van véve a további WEP fejlesztések követése is.

Kapcsolódó oldalak:

Wireless Networking Reference - Security

OpenBSD

Egy fontos hír a PF-et (packet filter) használó OpenBSD felhasználóknak. Változott a pf szintakszisa. Az eddig működő "S flagek" ezentúl már nem úgy műkönek, mint ahogy azt várnánk. Mindenki kukkantson bele a pf.conf-jába, és javítsa ki a ruleset-jeit. A jó hír, hogy mostantól használhatóak makrók is a pf-fel.

Bővebb infó (és flame) a Deadly.org-on.