OpenBSD

Az OpenBSD egy új funkcióval gyarapodott, ez az úgynevezett "privilégium emelés". A dolog lényege, hogy a rendszerben nincs többé szükség suid vagy sgid binárisokra. Az applikációkat teljesen privilégium nélkül lehet futtatni, és a Systrace végzi el a privilégium emelést egy egyszerű rendszer hívással, amely a konfigurált policy-tól függ. A dolog alapvetően egy új elképzelés.

A dolog kinek másnak a nevéhez fűződne mint Niels Provos? A BSD világban ismerősen cseng az úriember neve.

Niels (egyik) honlapja itt. Systrace ismerető (privilege elevation ismertetéssel együtt) itt.

A dolog nem ismeretlen a Linux világában sem. Marius Aamodt Eriksen (marius@umich.edu), és Niels Provos nekiálltak egy alap Systrace funkciót implemetálni a Linux kernelbe is. A projectről bővebben itt. Szerintem ez egy figyelemre méltó kezdeményezés, amely alapvetően megváltoztathatja a jelenlegi felhasználói privilégiumok kezelésének rendszerét. A dologgal kapcsolatos megbeszélések indultak az LKML-en is.

Jun-ichiro "itojun" Hagino levele:From: Jun-ichiro itojun Hagino (itojun_at_cvs.openbsd.org)

Date: Wed Oct 16 2002 - 10:01:09 CDT

CVSROOT: /cvs

Module name: src

Changes by: itojun@cvs.openbsd.org 2002/10/16 09:01:08

Modified files:

sys/dev : systrace.c systrace.h

bin/systrace : Makefile filter.c intercept.c intercept.h lex.l

openbsd-syscalls.c parse.y systrace.1

systrace.c systrace.h

Log message:

support for privilege elevation.

with privilege elevation no suid or sgid binaries are necessary any longer. Applications can be executed completely

unprivileged. Systrace raises the privileges for a single system call depending on the configured policy.

Idea from discussions with Perry Metzger, Dug Song and Marcus Watts.

from provos

Daniel Hartmeier, az OpenBSD PF írója elindította a csomagszûrõvel kapcsolatos levelezési listát.

Archívum itt: http://www.benzedrine.cx/pf/ és itt: http://marc.theaimsgroup.com/?l=openbsd-pf.

Feliratkozás: echo subscribe | pf-request@benzedrine.cx

Az előző cikkhez kapcsolódik:

Az OpenBSD következő kiadása a 3.2-es verzió 2002. november.1-én jelenik meg. A stuffra egy ún. pre-order, azaz előrendelés keretein belül már lehet jelentkezni itt.

Hogy mit fog tartalmazni?* 3 CD tokban (jewel case)

* A teljes telepítési komponenseket 6 architektúrához: i386, alpha, macppc, vax, sparc, sparc64.

* Az alábbi architektúrák csak ISOFS filerendszer image-n leszek elérhetők FTP-n keresztül: amiga, hp300, mvme68k, mac68k

* A CD-k bootolhatók i386, alpha, macppc, sparc, és sparc64 rendszereken

* A teljes forrás fa (kész AnonCVS használatra).

* A legfrissebb XFree86 binárisok az összes architektúrához

* A legfrissebb XFree86 forrás kód kisebb módosításokkal, hogy szebb legyen

* Az OpenBSD saját portjai

* Számos előre fordított csomag

* És számos más dolog...

Bővebb infó itt.

Közeleg az egyik legbiztonságosabb OS-nek reklámozott operációs rendszer, az OpenBSD 3.2-es kiadása. Hogy miből is gondolom ezt? Onnan, hogy már kinn van a legújabb kép a OpenBSD.org-on. Az OpenBSD mindig is a találó Artwork-jeiről volt felismerhető, most sincs ez másként.

A hivatalos OpenBSD 3.2 image itt.

Az egykor szinte sebezhetetlennek hitt, ám a közelmúltban több sebezhetőség által is súlytott OpenBSD kernelben újabb biztonsági résre bukkantak."A most feldezett sebezhetőség révén egy rosszindulatú lokális támadó root jogosultságokra tehet szert, így teljesen átvéve az ellenőrzést a gép felett.

Jolan Luff készített egy Mozilla fordítást, amelyet le lehet tölteni. Azt állítja, hogy körülbelül egy hónapja használ Mozillát OpenBSD boxán, és egészen stabilnak bizonyult a használat során. Levelében telepítési és fordítási útmutatót is találsz.

Email bejelentés:To: misc@openbsd.org

Subject: Mozilla builds

From: Jolan Luff

Date: Sun, 6 Oct 2002 02:42:46 -0400

I have some Mozilla builds posted for download. I've been using Mozilla for over a month now and it's been relatively stable.

The text below is actually an excerpt from:

http://cryptonomicon.org/~jolan/fil...d/mozilla/NOTES

Check the link for the whole deal.

These builds are unsupported by me, I'm offering them in case they work for you.

- jolan

MOZILLA BUILD INSTALLATION

1) You must install all Mozilla dependencies. The easiest way to do this is to download the preliminary port at:

http://cryptonomicon.org/~jolan/fil...lla-port.tar.gz

Unpack the port (it extracts to mystuff/mozilla), then invoke "make depends depends-clean".

2) Fetch a suitable Mozilla build for your set-up. Builds are at:

http://cryptonomicon.org/~jolan/files/openbsd/mozilla/${ARCH}

Please note that these are *not* OpenBSD packages, they are Mozilla generated builds. Simply unpack the tarballs to your desired

directory (they extract as mozilla/).

i386: Currently, these are the only builds available. There are builds for version 3.1 & 3.2. These were built on 3.1-current and 3.2-beta. They should work on the -stable

branches for both versions. These builds do not include support for mail, news, or irc.

3) You will need to use mozilla.sh (see PACKAGE ISSUES #2) located at:

http://cryptonomicon.org/~jolan/fil...illa/mozilla.sh

or create your own script. If using mozilla.sh, make sure to augment the MOZROOT variable in mozilla.sh accordingly.

PACKAGE ISSUES

1) Automatic theme installation does not appear to function at all (i.e. clicking links on http://themes.mozdev.org/). This has not

been investigated yet.

Manually unpacking themes and changing them via the Mozilla interface (Edit -> Preferences -> Appearance -> Themes) may work but is untested.

2) Mozilla will not function if $MOZROOT/components/compreg.dat is

present. This issue is currently being investigated.

*Workaround* Remove compreg.dat prior to executing Mozilla.

3) The flashplugin (www/flashplugin) will not work as it functions under Linux emulation. It may be possible to augment the native flash

player port (graphics/flash) to play files as a Mozilla plug-in. See:

http://www.freebsd.org/cgi/cvsweb.c...plugin-mozilla/

A lassan megjelenő OpenBSD 3.2-vel egy időben, az OpenBSD 3.0-STABLE ág karbantartása meg fog szűnni. A "out of regular maintainance" pontos dátuma 2002. december 1. Ez azt jelenti, hogy az OpenBSD 3.0-hoz semmilyen további javítás nem lesz várható. Javasoljuk, hogy frissítsd ezen verziószámmal rendelkező (és korábbi) rendszereidet.

Miod Vallat email bejelentése:Date: Fri, 4 Oct 2002 09:49:12 +0000

From: Miod Vallat

To: announce@openbsd.org

Subject: OpenBSD 3.0 End Of Life

Hello folks,

Due to the upcoming release of OpenBSD 3.2, the 3.0-STABLE branch will be out of regular maintainance starting december 1st. There will be NO MORE fixes commited to this branch after this day.

People relying on 3.0-STABLE (or older releases even) are strongly advised to upgrade to a more recent release (preferrably 3.2 as it becomes available) as soon as possible.

Thanks for reading,

Miod

A Niels Provos által, eredetileg OpenBSD-re fejlesztett systrace ha csöndben is, de fejlõdik.

Szeptember 30-án megjelent hozzá egy GTK frontend (a szabályok állítására), most már a NetBSD-ben is elérhetõ és lassan, de biztosan készül a Linux port is.

Kapcsolódó oldalak:

Systrace

Linux port

Korábbi hírünk a systrace-rõl

P. Valchev bejelentette a portok fagyasztását a nemsokára érkező 3.2-es kiadáshoz.

Úgy látszik eleget sírtunk az OpenBSD misc listán, mert Nathan Binkert hozzáadta a CURRENT-hez az Intel által írt és Henric Jungheim által FreeBSD-rõl portolt em drivert.

Az elõzõ, gx driver meglehetõsen lassú volt, reméljük az új meghajtóval már nem lesznek ilyen problémák.

Kapcsolódó oldalak:

OpenBSD em(4) manlap

Intel Server Adapterek