OpenBSD

Távoli PF control daemon

( trey | 2002. 08. 15., cs – 20:53 )
OpenBSD

Srebrenko Sehic [haver@insecure.dk] egy érdekes projectnek kezdett neki. Pár héttel ezelőtt egy rpfcd implementáció megvalósításába fogott bele. A project egy távolról irányítható OpenBSD PF (packet filter) control daemon megvalósítását tűzte ki céljául.Az rpfcd célja, hogy egy keretrendszert adjon, melynek segítségével távolról irányíthatjuk, és monitorozhatjuk az OpenBSD PF-jét. Sehic írt egy ad-hoc parsing scriptet, amely az eredményeket mailben küldi el. Az rpfcd tulajdonképpen egy transzparens szerver-kliens rendszerben épül fel. Egy CLI/GUI klienssel együtt használva a szervert, a PF firewall monitorozás nagyon egyszerűvé válhat. A szerző szerint ez akkor válhat igazán érdekessé, ha egyszerre több tűzfalat is üzemeltetünk.

Sajnos a GUI kliens még nincs kész, és mivel a szerző saját bevallása szerint nem tud GUI-t programozni, vállalkozó szellemű fejlesztőket keres, akik ezen a területen segítenének neki.

Addig is elérhetővé teszi az rpfcd snapshotokat. ezeket megtalálod itt.

Kernel hiba!

( bra | 2002. 08. 12., h – 11:14 )
OpenBSD

Az OpenBSD kernelében lévő select rendszerhívásban lévő határellenőrzések gyengesége miatt lehetőség van kernel memória felülírására és a kernelen belüli tetszőleges kódvégrehajtásra.

A hiba kihasználásával a helyi felhasználók magasabb szintű privilégiumra tehetnek szert, illetve kikerülhetik a biztonsági szintek (securelevel) által nyújtott védelmeket.

A patch itt érhető el:

ftp://ftp.openbsd.org/pub/


OpenBSD/patches/3.1/common/014_scarg.patch

Az OPENBSD_3_1 CVS ág (-STABLE) már tartalmazza a javítást.

OpenBSD: TCP Socket Speedup patch elfogadva

( trey | 2002. 08. 11., v – 15:03 )
OpenBSD

Niels Provos commitolta az OpenBSD -current forrásfába azokat a patcheket amelyekkel a TCP socket teljesítményt lehet növelni. A folt Jason R. Thorpe NetBSD-s fejlesztéséből való. Ezek a foltok nem régen kerültek bele a NetBSD-current forrásfájába, és Thorpe szerint számos alkalmazás nagyobb teljesítmény növekedéssel reagált az új TCP socket kódra.A kezdeményezés, hogy ezt a NetBSD kódot az OpenBSD-be portolják nem egyedülálló, hetekkel ezelőtt Jedi/Sector One hasonló dolgot követett el.

Kapcsolódó linkek:

OpenBSD: TCP Socket Speedup

NetBSD: nagyobb socket teljesítmény javítások a NetBSD- current-ben)

Most, hogy megjelent az OpenBSD-ben, megnézem mikor fog megjelenni a Linux kernelben is ;)

OnLamp.com: Tegyük biztonságosabbá a (kis) hálózatunkat OpenBSD-vel

( trey | 2002. 08. 11., v – 13:21 )
OpenBSD

Hetedik részéhez érkezett el az a cikksorozat, amely a ``Securing Small Networks with OpenBSD" címet viselni. Az OnLamp gondozásában jelenik meg ez a sorozat, amire garancia az O'Reilly név. A cikksorozatot Jacek Artymiak szerkeszti. Érdemes elolvasni azoknak, akik OpenBSD hálózatot adminisztrálnak, terveznek adminisztrálni, de azoknak is akik a megépítendő OpenBSD hálózatuk tervezési fázisánál tartanak éppen. Nagy segítséget nyújthat biztonságtechnikai tervezésban, elméleti és gyakorlati segítséget is meríthet belőle az érdeklődő.

A cikksorozat megjelent részei:Securing Small Networks with OpenBSD, Part 1

Small networks are often more vulnerable than large ones because they lack the money to implement good security. Artymiak Jacek explains how to secure a small network on a tight budget. Feb. 28, 2002

Securing Small Networks With OpenBSD, Part 2

OpenBSD switched from using IPFilter as its default firewall to PF, or Packet Filter, as the new default. Jacek Artymiak explains how to make a smooth transition from ipf to pf. Apr. 11, 2002

Securing Small Networks With OpenBSD, Part 3

In the third installment of our series on OpenBSD networking, Jacek Artymiak examines pf rules and potential sendmail problems. Apr. 25, 2002

Securing Small Networks with OpenBSD, Part 4

Jacek Artymiak covers pf log file analysis. Jun. 6, 2002

Securing Small Networks with OpenBSD, Part 5

On a busy network, your firewall logs could quickly fill up your hard drive or be deleted by log file rotations. Jacek Artymiak shows how not to let this happen. Jun. 20, 2002

Archiving PF Firewall Logs

Jacek Artymiak tackles automating the transfer of logs from the firewall to one of the workstations connected to the internal private network segment. Jul. 25, 2002

Securing Remote PF Firewall Logs

Jacek Artymiak shows us how to improve the security of remotely logged firewall logs and how to calculate how much storage space we need to keep a reasonable amount of logs for convenient analysis. Aug. 8, 2002

Jó szórakozást.

Új BSDs fórumoldal

( gyu | 2002. 08. 07., sze – 09:59 )
OpenBSD

Egy új BSD-s oldal jelent meg az interneten. Az oldal célbaveszi a kezdő felhasználókat, a felhasználókat, és a rendszergazdákat is. De egyébként is hasznos lehet minden BSD usernek. Az oldal neve: screaming electron.

És a rajta lévő fórumot elérheted itt.

(Az oldal ujdonságát jelzi az is, hogy én még csak a 11. regisztrált felhasználójuk vagyok :-) )

Grafikus OpenBSD telepítő

( bra | 2002. 08. 05., h – 10:04 )
OpenBSD

A G.O.B.I.E., azaz a Graphic OpenBSD Installation Engine egy olyan projekt, amelyet Theo de Raadt egészen biztosan messziről el fog kerülni :)
A G.O.B.I.E. célja egy grafikus telepítő létrehozása OpenBSD-hez, amelyet hat francia diák indított el nemrég. A telepítő maga az XFree86 4.2.0-ás verzióját és jónéhány újraírt, a rendszer beállításához szükséges alkalmazást (pld. disklabel és fdisk) tartalmaz. A csapat ígérete szerint nemsokára letölthető lesz egy ISO is, amely már ezt az installert használja.

Kapcsolódó oldalak:
A projekt weblapja
OpenBSD

OpenBSD: Transzparens csomagszűrés howto

( trey | 2002. 07. 27., szo – 09:43 )
OpenBSD

Napjainkban a széles sávú Internet hozzáférések idején (DSL, kábelmodem, stb.) egyre többünknek van állandó Internet kapcsolata otthon. Nem ritka, hogy akár több gépünk is van, ée egy kis lokális hálózat tulajdonosai vagyunk. Általában az ISP-nktől limitált számú IP címet kapunk (többnyire egyet). Természetesen van lehetőségünk több IP címet is vásárolni, de ennek elég nagy költségvonzata van. Sokunknak van szüksége hathatós védelemre az Internet káoszával szemben. Védeni szeretnénk az otthoni, idodai, céges lokális hálózatunkat, az Internet sötét részeiben bújkáló támadók ellen. Mit tehetünk olyankor, ha kevés IP cím áll rendelkezésünkre, és mégis szeretnénk robosztus, stateful csomagszűrőt használni IP cím felhasználása nélkül?Az egyik megoldás lehet az, hogy ilyenkor az OpenBSD-hez fordulunk segítségért. Köszönhetően az OpenBSD beépített "invisible firewall" (láthatatlan tűzfal) támogatásának, ezt könnyen megvalósíthatjuk a bridge interface és az új pf segítségével (minimum OpenBSD 3.0 vagy magasabb verzió kell hozzá).

És ezt hogyan valósítsuk meg? Ezt írja le ez a howto.

OpenBSD: Non-exec stack a snapshotokban

( trey | 2002. 07. 25., cs – 13:45 )
OpenBSD

Mint ahogy Theo bejelentette a misc@ levlistán, a non-executable stack támogatás megjelent az OpenBSD legújabb snapshotjaiban. Más szóval nyugodtan búcsút inthetünk a nagy mennyiségű 'buffer overflow' (a verem túlcsordítását megcélzó) támadásoknak, amelyek mostanában az OpenBSD boxokat támadta :-)

Bejelentés:To: misc@openbsd.org

Subject: non-exec stack

From: Theo de Raadt

Date: Tue, 23 Jul 2002 20:44:32 -0600

non-executable stacks can now be found on the following architectures:

i386

sparc

sparc64

alpha

macppc

and also on the hppa, which is not a real release yet.

the snapshots that are up contain this code.

Note that none of the other non-exec stacks out there (Solaris, OpenWall, Pax, etc) are immune to all problems, but this does raise the bar for attackers.

OpenBSD: TCP Socket Speedup

( trey | 2002. 07. 23., k – 22:14 )
OpenBSD

Jedi/Sector One portolta Jason Thorpe TCP socket patchjét a NetBSD-ből OpenBSD-current -re.

(Jason Thorpe socket patchjéről nem régen írtam : NetBSD: nagyobb socket teljesítmény javítások a NetBSD- current-ben).

A stuffot megtalálhatod a weboldalán."The patch was successfully tested with OpenBSD-current, but it may apply to OpenBSD 3.1 as well.". - "A patch sikeresen tesztelve van OpenBSD-current alatt, és elképzelhető, hogy jól alkalmazható OpenBSD 3.1 alatt is."

A patch alkalmazásával a NetBSD-n jelentős applikációs sebességjavulást mértek, így nem kizárt, hogy OpenBSD-n is hasonló eredménnyel járna egy tesztelés. Tesztelni nem tesztelte még senki, így itt a lehetőség, hogy leteszteld.

Esetleg ha van valakinek kedve, akár portolhatná Thorpe zero copy patchjét is OpenBSD alá.

Új/Alternatív BSD logoló eszköz

( trey | 2002. 07. 22., h – 23:29 )
OpenBSD

Gustavo Rios, egy levelet küldött az openbsd misc levelezési listára, amelyben bejelentette, hogy tervezett és megvalósított egy alternatív log adat tároló/feldolgozó mechanizmust (log data storage processing mechanism). Ezt úgy hívja, hogy "Ant Fast Logging Utilities". Magában foglal egy logoló szervizt a STDIN_FILENO-n vagy egy fifo-n keresztül. Azt állítja hogy ez a mechanizmus hatékony, megbízható és portolható, ezen kívül teljesen illeszkedik az IEEE Std1003.1-1990 és ANSI C (ANSI X3.159-1989) szabványokhoz.

Bejelentés:***************************************

To: misc@openbsd.org

Subject: ASD Project

From: Gustavo Vieira Gonçalves Coelho Rios

Date: Sat, 20 Jul 2002 21:06:40 -0300

Organization: Alstom Transport Information Solutions

Hi folks!

I have just released my very open source program. It's designed to deliver reliable/efficient log data storage processing.

Some of it's features:

It's reliable, it never loses data (Provided OS/Hardware level workd Ok).

VERY efficient: Low consum of CPU power and memroy usage.

Standards: Designed to runs on every system that conforms with SUSV3 and compiled by any thing that meets ANSI C requirements.

License: BSD like.

I hope you appreciate.

Go to http://www.rootshell.be/~grios/logging.html

Feliratkozás a következőre: OpenBSD