OpenBSD

Aki ma próbálta elérni a OpenBSD project hivatalos honlapját, az minden bizonnyal észrevette, hogy nem elérhető. Az OpenBSD misc@ levlistára küldött Mike [mike@jeke.fdns.net] amelyben megindokolja a leállást.A levélben olvashatjuk, hogy augusztus. 18-án vasárnap reggel 06.00 órától 14.00 óráig (MDT) azaz GMT szerint 12.00 órától 20.00 óráig masszív átkábelezés miatt többé-kevésbé nem lesz elérhető a SunSITE Alberta szerver. Ezen a szerveren kap helyet a ftp.openbsd.org, www.openbsd.org, anoncvs1.ca.openbsd.org, és ennek megfelelően az ftp, http, és anoncvs szervizek (melyek a openbsd.sunsite.ualberta.ca szerveren helyezkednek el).

A kábelezésen dolgozók probálják a leállás idejét minél kisebbre csökkenteni.



Majd elfelejtettem ;)



A bejelentés:



From: Mike [mike@jeke.fdns.net]

To: jaymo@hiwaay.net

Cc: misc@openbsd.org

Subject: Re: www.openbsd.org Down?

Date: 18 Aug 2002 15:35:37 -0500




from a previous post (thursday aug 15):



Greetings,



This Sunday, August 18 from 0600 to 1400 MDT (1200 to 2000 GMT)
our data centre is undergoing a massive rewiring. For some or all of
that period (depending on how well it all goes), the SunSITE Alberta
servers will be unavailable.



This includes ftp.openbsd.org, www.openbsd.org,
anoncvs1.ca.openbsd.org, with the corresponding ftp, http, and anoncvs
services (which are all on openbsd.sunsite.ualberta.ca).



Needless to say, we will do all we can to minimize the outage,
but this time it is *really* out of my control.



-Larry




(... I'm going back under my desk to hide now ...)



--

Larry McCann SunSITE Alberta Technical Lead
sunsite.ualberta.ca



Email: lmccann@hill.ucs.ualberta.ca UNIX Technical Response Group

Web: http://www.unix.ualberta.ca/ Computing and Network Services

Phone: (780) 492-9344 University Of Alberta

Fax: (780) 492-1729 Edmonton, Alberta, Canada

Srebrenko Sehic [haver@insecure.dk] egy érdekes projectnek kezdett neki. Pár héttel ezelőtt egy rpfcd implementáció megvalósításába fogott bele. A project egy távolról irányítható OpenBSD PF (packet filter) control daemon megvalósítását tűzte ki céljául.Az rpfcd célja, hogy egy keretrendszert adjon, melynek segítségével távolról irányíthatjuk, és monitorozhatjuk az OpenBSD PF-jét. Sehic írt egy ad-hoc parsing scriptet, amely az eredményeket mailben küldi el. Az rpfcd tulajdonképpen egy transzparens szerver-kliens rendszerben épül fel. Egy CLI/GUI klienssel együtt használva a szervert, a PF firewall monitorozás nagyon egyszerűvé válhat. A szerző szerint ez akkor válhat igazán érdekessé, ha egyszerre több tűzfalat is üzemeltetünk.

Sajnos a GUI kliens még nincs kész, és mivel a szerző saját bevallása szerint nem tud GUI-t programozni, vállalkozó szellemű fejlesztőket keres, akik ezen a területen segítenének neki.

Addig is elérhetővé teszi az rpfcd snapshotokat. ezeket megtalálod itt.

Az OpenBSD kernelében lévő select rendszerhívásban lévő határellenőrzések gyengesége miatt lehetőség van kernel memória felülírására és a kernelen belüli tetszőleges kódvégrehajtásra.

A hiba kihasználásával a helyi felhasználók magasabb szintű privilégiumra tehetnek szert, illetve kikerülhetik a biztonsági szintek (securelevel) által nyújtott védelmeket.

A patch itt érhető el:

ftp://ftp.openbsd.org/pub/


OpenBSD/patches/3.1/common/014_scarg.patch

Az OPENBSD_3_1 CVS ág (-STABLE) már tartalmazza a javítást.

Niels Provos commitolta az OpenBSD -current forrásfába azokat a patcheket amelyekkel a TCP socket teljesítményt lehet növelni. A folt Jason R. Thorpe NetBSD-s fejlesztéséből való. Ezek a foltok nem régen kerültek bele a NetBSD-current forrásfájába, és Thorpe szerint számos alkalmazás nagyobb teljesítmény növekedéssel reagált az új TCP socket kódra.A kezdeményezés, hogy ezt a NetBSD kódot az OpenBSD-be portolják nem egyedülálló, hetekkel ezelőtt Jedi/Sector One hasonló dolgot követett el.

Kapcsolódó linkek:

OpenBSD: TCP Socket Speedup

NetBSD: nagyobb socket teljesítmény javítások a NetBSD- current-ben)

Most, hogy megjelent az OpenBSD-ben, megnézem mikor fog megjelenni a Linux kernelben is ;)

Hetedik részéhez érkezett el az a cikksorozat, amely a ``Securing Small Networks with OpenBSD" címet viselni. Az OnLamp gondozásában jelenik meg ez a sorozat, amire garancia az O'Reilly név. A cikksorozatot Jacek Artymiak szerkeszti. Érdemes elolvasni azoknak, akik OpenBSD hálózatot adminisztrálnak, terveznek adminisztrálni, de azoknak is akik a megépítendő OpenBSD hálózatuk tervezési fázisánál tartanak éppen. Nagy segítséget nyújthat biztonságtechnikai tervezésban, elméleti és gyakorlati segítséget is meríthet belőle az érdeklődő.

A cikksorozat megjelent részei:Securing Small Networks with OpenBSD, Part 1

Small networks are often more vulnerable than large ones because they lack the money to implement good security. Artymiak Jacek explains how to secure a small network on a tight budget. Feb. 28, 2002

Securing Small Networks With OpenBSD, Part 2

OpenBSD switched from using IPFilter as its default firewall to PF, or Packet Filter, as the new default. Jacek Artymiak explains how to make a smooth transition from ipf to pf. Apr. 11, 2002

Securing Small Networks With OpenBSD, Part 3

In the third installment of our series on OpenBSD networking, Jacek Artymiak examines pf rules and potential sendmail problems. Apr. 25, 2002

Securing Small Networks with OpenBSD, Part 4

Jacek Artymiak covers pf log file analysis. Jun. 6, 2002

Securing Small Networks with OpenBSD, Part 5

On a busy network, your firewall logs could quickly fill up your hard drive or be deleted by log file rotations. Jacek Artymiak shows how not to let this happen. Jun. 20, 2002

Archiving PF Firewall Logs

Jacek Artymiak tackles automating the transfer of logs from the firewall to one of the workstations connected to the internal private network segment. Jul. 25, 2002

Securing Remote PF Firewall Logs

Jacek Artymiak shows us how to improve the security of remotely logged firewall logs and how to calculate how much storage space we need to keep a reasonable amount of logs for convenient analysis. Aug. 8, 2002

Jó szórakozást.

Egy új BSD-s oldal jelent meg az interneten. Az oldal célbaveszi a kezdő felhasználókat, a felhasználókat, és a rendszergazdákat is. De egyébként is hasznos lehet minden BSD usernek. Az oldal neve: screaming electron.

És a rajta lévő fórumot elérheted itt.

(Az oldal ujdonságát jelzi az is, hogy én még csak a 11. regisztrált felhasználójuk vagyok :-) )

A G.O.B.I.E., azaz a Graphic OpenBSD Installation Engine egy olyan projekt, amelyet Theo de Raadt egészen biztosan messziről el fog kerülni :)
A G.O.B.I.E. célja egy grafikus telepítő létrehozása OpenBSD-hez, amelyet hat francia diák indított el nemrég. A telepítő maga az XFree86 4.2.0-ás verzióját és jónéhány újraírt, a rendszer beállításához szükséges alkalmazást (pld. disklabel és fdisk) tartalmaz. A csapat ígérete szerint nemsokára letölthető lesz egy ISO is, amely már ezt az installert használja.

Kapcsolódó oldalak:
A projekt weblapja
OpenBSD

Napjainkban a széles sávú Internet hozzáférések idején (DSL, kábelmodem, stb.) egyre többünknek van állandó Internet kapcsolata otthon. Nem ritka, hogy akár több gépünk is van, ée egy kis lokális hálózat tulajdonosai vagyunk. Általában az ISP-nktől limitált számú IP címet kapunk (többnyire egyet). Természetesen van lehetőségünk több IP címet is vásárolni, de ennek elég nagy költségvonzata van. Sokunknak van szüksége hathatós védelemre az Internet káoszával szemben. Védeni szeretnénk az otthoni, idodai, céges lokális hálózatunkat, az Internet sötét részeiben bújkáló támadók ellen. Mit tehetünk olyankor, ha kevés IP cím áll rendelkezésünkre, és mégis szeretnénk robosztus, stateful csomagszűrőt használni IP cím felhasználása nélkül?Az egyik megoldás lehet az, hogy ilyenkor az OpenBSD-hez fordulunk segítségért. Köszönhetően az OpenBSD beépített "invisible firewall" (láthatatlan tűzfal) támogatásának, ezt könnyen megvalósíthatjuk a bridge interface és az új pf segítségével (minimum OpenBSD 3.0 vagy magasabb verzió kell hozzá).

És ezt hogyan valósítsuk meg? Ezt írja le ez a howto.

Mint ahogy Theo bejelentette a misc@ levlistán, a non-executable stack támogatás megjelent az OpenBSD legújabb snapshotjaiban. Más szóval nyugodtan búcsút inthetünk a nagy mennyiségű 'buffer overflow' (a verem túlcsordítását megcélzó) támadásoknak, amelyek mostanában az OpenBSD boxokat támadta :-)

Bejelentés:To: misc@openbsd.org

Subject: non-exec stack

From: Theo de Raadt

Date: Tue, 23 Jul 2002 20:44:32 -0600

non-executable stacks can now be found on the following architectures:

i386

sparc

sparc64

alpha

macppc

and also on the hppa, which is not a real release yet.

the snapshots that are up contain this code.

Note that none of the other non-exec stacks out there (Solaris, OpenWall, Pax, etc) are immune to all problems, but this does raise the bar for attackers.

Jedi/Sector One portolta Jason Thorpe TCP socket patchjét a NetBSD-ből OpenBSD-current -re.

(Jason Thorpe socket patchjéről nem régen írtam : NetBSD: nagyobb socket teljesítmény javítások a NetBSD- current-ben).

A stuffot megtalálhatod a weboldalán."The patch was successfully tested with OpenBSD-current, but it may apply to OpenBSD 3.1 as well.". - "A patch sikeresen tesztelve van OpenBSD-current alatt, és elképzelhető, hogy jól alkalmazható OpenBSD 3.1 alatt is."

A patch alkalmazásával a NetBSD-n jelentős applikációs sebességjavulást mértek, így nem kizárt, hogy OpenBSD-n is hasonló eredménnyel járna egy tesztelés. Tesztelni nem tesztelte még senki, így itt a lehetőség, hogy leteszteld.

Esetleg ha van valakinek kedve, akár portolhatná Thorpe zero copy patchjét is OpenBSD alá.