BSD bináris frissítés: beta teszterek kerestetnek

FreeBSD

Napjainkban megnőtt a bizalom a számítógépes rendszerek iránt (banki rendszerek, közlekedés irányítás, online áruházak, ...). Nyilvánvaló, hogy ahhoz, hogy ez a bizalom fennmaradhasson, a számítógépes rendszerekkel foglalkozni kell, azokat biztonságtechnikai szempontból karban kell tartani. Itt jönnek a képbe a biztonsági patchek. Annak érdekében, hogy egy operációs rendszer biztonságos legyen, elkerülhetetlen, hogy rendszeresen frissítsük, naprakész állapotban tartsuk. Bizonyított, hogy az elmúlt években a biztonságot veszélyeztető támadások nagymértékben megnőttek. Egyes felmérések szerint a frissítés nélküli, sebezhető operációs rendszerek az Internetre való kapcsolás után órákkal, de nem ritka, hogy már percekkel, másodpercekkel később kompromittálódnak. Tehát az idő kritikus!

A BSD-k világában a biztonsági frissítés többnyire abból áll, hogy a disztribútor az általa bejelentett hibákra kiad egy patchet. A patchet alkalmaznunk kell az operációs rendszer forrásfájára, majd újra kell fordítanunk a rendszer érinetett részét. Ez az eljárás számos embernek okoz problémát. Sokan jönnek ún. point-and-click rendszerekből, ahol megszokták, hogy az eféle frissítések két kattintással elvégezhetők. Lassú gépeken az újrafordítás akár órákat is igénybe vehet. Beágyazott rendszereken előfordulhat, hogy nincs elegendő hely a forráskód és a fordítás közben keletkező fileok tárolására... A BSD listák forgalmát elemezve észrevehető, hogy a BSD világába újoncként csöppenő felhasználóknak gondot okoz az egész rendszer ily módon történő frissítése.

Akkor vajon mi lehet a megoldás? Néhány FreeBSD fejlesztő szerint a bináris frissítés...Colin Percival (a bináris patchelés ötletgazdája) és egy csapat azon dolgozik, hogy egy olyan bináris formában történő frissítési metódust dolgozzon ki a FreeBSD-hez, amely akár automatikusan, időzítve elvégzi a rendszer kritikus frissítését. A munka már évekkel ezelőtt elkezdődött, és most már olyan állapotba került a projekt, hogy beta felhasználókat keresnek a rendszer teszteléséhez.

Létrejött egy oldal, a BSD Updates. Az oldal céljaként tűzte ki, hogy az összes jelentősebb BSD terjesztéshez (NetBSD, FreeBSD, OpenBSD és DragonFly BSD) fog ingyen bináris biztonsági frissítéseket kiadni. Az oldal szerint az alábbi előnyei vannak a bináris frissítésnek:

- A biztonsági lyukak befoltozása a rendszer újrafordítása nélkül

- A biztonsági frissítések automatikus alkalmazása

- A rendszerek távoli frissítése (?)

A BSD Updates jelenleg a FreeBSD 5.3 i386-hoz ad bináris frissítési lehetőséget, de a jövőben ezt kiterjesztik a többi BSD rendszerre is.

A BSD Updates a -RELESE-ekhez biztosít ingyen biztonsági frissítést. Azoknak, akik a -STABLE-t követik fel kell iratkozniuk a frissítésekre, és azok díjazás fejében érhetők el számukra. A projekt gazdái a -STABLE vonalhoz kiadott biztonsági patchek ``árából'' kívánják finanszírozni a projektet. Természetesen akinek ez nem felel meg, az továbbra is használhatja a megszokott cvsup / rendszer fordítása / telepítés metódust.

A BSD Updates már most biztosít bináris patcheket (FreeBSD 5.3 i386) az elmúlt időkben kiadott figyelmeztetők szerint. A FreeBSD 5.3 Security Patch 1 és 2 a korábban kiadott fetch, telnet, procfs és sendfile hibákra ad gyors segítséget.

A projektről bővebben a BSD Updates oldalon, bináris patch működéséről pedig Colin Percival korábbi írásában olvashatsz bővebben.

( Anomamusz | 2005. 04. 09., szo – 10:59 )

NetBSDn eleg ritka esetben kell az egesz rendszert ujraforgatni. FreeBSDn mindig?

A kernelt erinto hiba eseten a kernelt ujra kell forditani. Az userland programok eseten csak azt a programot kell, ami erintett (pl. nemreg a fetch). De a forraskodnak akkor is ott kell lennie a gepeden. Szerintem az emberek tobbsege az egesz rendszert ujraforditja hiba eseten (kernel + world).

( dzsekijo | 2005. 04. 09., szo – 13:16 )

On 2005-04-09, Micskó Gábor <trey@hup.hu> wrote:
> A BSD-k világában a biztonsági frissítés többnyire abból áll, hogy a
> disztribútor az általa bejelentett [0] hibákra [1] kiad egy patchet [2]. A
> patchet alkalmaznunk kell az operációs rendszer forrásfájára, majd újra
> kell fordítanuk az egész rendszert.

Ez az "egesz rendszer" kiszolas kicsit fishy...

Igazad van. Azert irtam, hogy tobbnyire, mert szerintem nagyon kevesen patchelik a igy a FreeBSD-t szerintem. Ahogy en latom, az emberek nagy resze fogja, cvsup az src-re, aztan leporgeti ujra. Mint fentebb irtam, ha kernel hiba akkor a kernelt kell, ha userland binaris akkor azt kell forditani. Ettol fuggetlenul a src-nek ott kell lennie a gepeden, lassu gepen egy kernelforditas akar orakat is igenybe vehet, a kezdoknek eppugy lenyegtelen, hoyg az egeszet forditjak ujra, vagy csak egy reszet, stb.

( dzsekijo | 2005. 04. 09., szo – 18:41 )

On 2005-04-09, Micskó Gábor <trey@hup.hu> wrote:
> Colin Percival (a bináris patchelés ötletgazdája) és egy csapat azon
> dolgozik, hogy egy olyan bináris formában történ? frissítési metódust
> dolgozzon ki a FreeBSD-hez, amely akár automatikusan, id?zítve elvégzi a
> rendszer kritikus frissítését. A munka már évekkel ezel?tt elkezd?dött, és
> most már olyan állapotba került a projekt, hogy beta felhasználókat
> keresnek a rendszer teszteléséhez.

Namost ez szep, meg jo, de azon filozok, miert kell a dolgot csak a
binarisbol felhuzott BSD-kre korlatozni. (Attol hogy valaki nem nez,
mint Rozi a moziban, ha azt mondjak neki, cc vagy Makefile, nem biztos
hogy hobbija a manualis peccselgetes.)

Hiszen epp a BSD-k azok, ahol az alaprendszer forrasa mindvegig keznel
van, kitomoritve, jol definialt helyen. Siman lehetne egy Makefile alapu
autoupdate-et csinalni. A frontend util eleddobna egy listat, milyen uj
fixek jottek ki, beikszeled a neked tetszoeket, aztan minden szepen le
lenne szivva a repobol, es a Makefile-ok megcsinalnak a szukseges
forraspatchet, meg leporgetnenek mindent, and there you go.