OpenBSD

A fent említett címmel jelent meg egy értékelés a eWeek oldalain. Elemezték az OpenBSD 3.2-t, biztonsági, skálázhatósági, használhatósági, teljesítmény, menedzselhetőségi, stb. szempontból.

Az eredmények:

Az OpenBSD 3.2 úgy lett kiadva, hogy sebezhető benne a kadmind (távoli exploit ha a gép úgy van konfigurálva, hogy kdc legyen (ez nincs így, ha default telepítést választunk)). A javítás elérhető.

Email bejelentés:Date: Tue, 5 Nov 2002 15:39:09 +0000

From: Miod Vallat

To: security-announce@openbsd.org

Subject: OpenBSD 3.2 patch 001 released

OpenBSD 3.2, as shipped, is vulnerable to a kadmind remote exploit if the machine is configured as a kdc (which is not the case in the default install).

A fix addressing this problem is available in the -STABLE branch, and as a standalone patch file, at the following location:

ftp://ftp.openbsd.org/pub/OpenBSD/p...01_kadmin.patch

For more information about errata and patch, please read the OpenBSD errata page:

http://www.openbsd.org/errata.html

Todd C. Miller írta levelében, hogy amint az OpenBSD berkekben szokásos, a release-zel egy időben megjelent a OBSD 3.2 hivatalos dala, és dalszövege. A rendelhető OpenBSD 3.2 CD második track-je a dalt tartalmazza tömörítetlen formában. Azoknak akik nem akarják megrendelni a CD-t, nekik elérhető a dal .MP3, és .OGG formátumban.

A dalszöveg Todd levelében:To: misc@openbsd.org

Subject: OpenBSD 3.2 song now available

From: "Todd C. Miller" [Todd.Miller@courtesan.com]

Date: Fri, 01 Nov 2002 10:17:02 -0700

The 3.2 song is available via ftp from:

ftp://ftp.openbsd.org/pub/OpenBSD/songs/

ftp://ftp.usa.openbsd.org/pub/OpenBSD/songs/

Other mirrors should update shortly.

The lyrics are available from:

http://www.openbsd.org/lyrics.html#32

- todd

----------------------------------------------------------------

Song: "Goldflipper"

OpenBSD 3.2 CD2 track 2 is an uncompressed copy of this song.

MP3 version of song (3 minutes, 2.5MB)

OGG version of song (3 minutes, 2.3MB)

Goldflipper

With golden skin

and flippers as sharp as a knife

He's the machine

Designed to dismember your life

And the fish

Protecting us all from the cat

And the cat

Infecting the wo-orld for a laugh

Cyborg on a mission

To do some Puff fishin'

The doctor wants fugu tonight!

(short instrumental intro)

You'll need some machismo to

catch the spikey one

He's got guts and gizmos to

make the system run

But Flip's here for fun

and without a gun

He'll dice you with his Golden fin

She's all over Puff cause he's

such a sexy catch

Is she spying on him or

just a seafood match?

Oh double seven

Send me to Heaven

Cause for Mr. Po-o-o-ond

The women are fond

She knows what to do

She'll turn Gold to goo

Goldflipper is gone

Gold flipper's goooooooooooooone

Lyrics by Ty Semaka. Arranged by Ty Semaka & Jonathan Lewis. Base & drum programming, recording, mixing & mastering by Jonathan Lewis. Vocals by Onalea Gilbertson. Sax by Dan Meichel. Trumpet & Trombone by Craig Soby.

Megjelent a legújabb kiadása a "free, functional and secure" OpenBSD operációs rendszernek. Mától kezdve publikusan is elérhető. A 3.2-es verzió számos újdonságot, javítást hozott: jelentősen csökkentek a setuid binárisok, systrace eszköz, amely lehetővé teszi a rendszerhívások és alkalmazások finomhangolását, a privilege separation már alapbeállítás, nem-végrehajtható verem (i386, sparc (csak sun4m ), sparc64, alpha, és macppc platformon), az Apache "jail"-ben fut alapbeállításban, stb. Sokat fejlődött és javult a "pf" csomagszűrő, benne van az OpenSSH 3.5, stb.



Olvasd el changelog-ot, megrendelheted az innen, letöltheted FTP site-okról.

Folytatódik Jacek Artymiak cikksorozata az OnLamp.com-on. A most megjelent cikk folytatása a ``Securing Small Networks with OpenBSD" cikksorozatnak.

Az OnLamp gondozásában jelenik meg ez a sorozat, amire garancia az O'Reilly név. A mostani cikk címe "Egyszerű dolgok, amellyel növelhetjük rendszerünk biztonságát". A cikk írója az SSH beállításával, csoport és file engedélyek, file flagek, jelszavak kezelésével, fileok inegritásának ellenőrzésével, foglalkozik. Természetesen nem hardcore OpenBSD hackereknek szól a cikk, inkább kezdőknek.

A cikket megtalálod itt.

Kapcsolódó cikkek:

OnLamp.com: Tegyük biztonságosabbá a (kis) hálózatunkat OpenBSD-vel II.

OnLamp.com: Tegyük biztonságosabbá a (kis) hálózatunkat OpenBSD-vel I.

Daniel Hartmeiert, az OpenBSD 3.0-ás kiadásában megjelent PF eredeti íróját és jelenlegi is egyik legaktívabb fejlesztõjét kérdezte a KernelTrap.

A cikket megtalálod itt.

PF weblap

Egy részeletes cikk-HOWTO féleség jelent meg a $subject témában.

A cikket megtalálod itt.

"Biztos vagyok benne, hogy a nagy siteokat üzemeltető adminisztrátorok örömmel fogadják ezt az írást. Sokkal könnyebben kezelhetőek a "login"-ek ezzel a metódussal." - írta Josh Steele az OpenBSD Journalban.

A DVB (Digital Video Broadcasting) szolgáltatás egyre elterjedtebb dolog a világon. Aki szeretné igénybe venni ezt a szolgáltatást annak szüksége van egy ilyen szolgáltatás vételére alkalmas kártyára. A Skystar-1 DVB kártya már működik OpenBSD alatt, jelenleg nem nagyon van más ilyen kártya OBSD-re. A kártyához szükséges drivert és infókat megtalálod az alábbi URL-en:

http://www.alloyant.com/dvb/

A fejlesztők szerint további DVB kártyák követik majd ezt OpenBSD-re.

Mi is az a DVB pontosan? Olvasd tovább:



"Az európai műsorsugárzók egyesülete, az EBU DVB (Digital Video Broadcasting) néven egy csoportot hozott létre, hogy dolgozzon ki egy MPEG 2-n alapuló rendszert, amely a műholdas, kábeles és földi műsorszórásban alkalmazható. Ezenkívül képesnek kell lennie többek között elektronikus műsorújság (EPG) és más rendszer információk továbbítására, valamint lehetővé kell tennie a műsorok kódolását. Az egyes továbbítási formák külön nevet kaptak. A műholdas sugárzás szabványa a DVB-S, a kábeles továbbításé a DVB-C, míg a földi terjesztésé a DVB-T.

A DVB-ben használt hangrendszer a Musicam. A konkurens hangrendszert, az AC 3-at az USA-ban használt Digichiper 2 és a földi sugárzásban bevezetendő ATSC rendszerben használják. A Digichiper 2 és az ATSC is MPEG 2 alapú, de az eltérő kisérőinformációk és hangrendszer miatt jelenleg nincs olyan vevő, amely ezeket ill. a DVB-t ismerné. A második generációs DVB vevők azonban már képesek lesznek kezelni a Musicam és az AC 3 formátumot. "

Az OpenBSD-s kadmind(8) eszköz egy puffer túlcsorulási hibát tartalmaz. A kadmind egy szerver amely segítségével adminisztrációs hozzáférést kapunk a Kerberos adatbázisokhoz. A hiba egy távoli sebezhetőséget jelent azoknak az OpenBSD szervereknek amelyek Kerberost használnak.

A folt amint lehet felkerül az patch FTP oldalakra.

Az OpenBSD egy új funkcióval gyarapodott, ez az úgynevezett "privilégium emelés". A dolog lényege, hogy a rendszerben nincs többé szükség suid vagy sgid binárisokra. Az applikációkat teljesen privilégium nélkül lehet futtatni, és a Systrace végzi el a privilégium emelést egy egyszerű rendszer hívással, amely a konfigurált policy-tól függ. A dolog alapvetően egy új elképzelés.

A dolog kinek másnak a nevéhez fűződne mint Niels Provos? A BSD világban ismerősen cseng az úriember neve.

Niels (egyik) honlapja itt. Systrace ismerető (privilege elevation ismertetéssel együtt) itt.

A dolog nem ismeretlen a Linux világában sem. Marius Aamodt Eriksen (marius@umich.edu), és Niels Provos nekiálltak egy alap Systrace funkciót implemetálni a Linux kernelbe is. A projectről bővebben itt. Szerintem ez egy figyelemre méltó kezdeményezés, amely alapvetően megváltoztathatja a jelenlegi felhasználói privilégiumok kezelésének rendszerét. A dologgal kapcsolatos megbeszélések indultak az LKML-en is.

Jun-ichiro "itojun" Hagino levele:From: Jun-ichiro itojun Hagino (itojun_at_cvs.openbsd.org)

Date: Wed Oct 16 2002 - 10:01:09 CDT

CVSROOT: /cvs

Module name: src

Changes by: itojun@cvs.openbsd.org 2002/10/16 09:01:08

Modified files:

sys/dev : systrace.c systrace.h

bin/systrace : Makefile filter.c intercept.c intercept.h lex.l

openbsd-syscalls.c parse.y systrace.1

systrace.c systrace.h

Log message:

support for privilege elevation.

with privilege elevation no suid or sgid binaries are necessary any longer. Applications can be executed completely

unprivileged. Systrace raises the privileges for a single system call depending on the configured policy.

Idea from discussions with Perry Metzger, Dug Song and Marcus Watts.

from provos