Figure 3.1: Seth Chandler, aka sethbc
De issue van vorige week, die heel toevallig een dag werd uitgesteld zodat het op 1 april kon uitgegeven worden, bevatte een verhaal over het aanwenden van het RPM formaat voor package management. De resultaten van deze aprilvis waren succesvoller dan we hadden gehoopt. (Sommige zullen zelfs zeggen dat het te succesvol was) Het was natuurlijk een grap en het Gentoo ontwikkelingsteam heeft geen plannen om over te schakelen van het ebuild formaat als standaard voor het package management.
Stop nu a.u.b. met het sturen van dreig-mails.
Portage schakelt nu over naar een nieuw en meer beveiligd formaat
Als onderdeel van de poging om het Gentoo Linux beveiligingssysteem te verbeteren is het Portage ontwikkelingsteam gestart met het implementeren van enkele nieuwe features in Portage die meer beveiliging in ons package management -en distributiesysteem zullen toelaten.
De volgende stap in het proces is het tekenen van deze digest bestanden met een GPG sleutel. Terwijl er nog steeds discussie is binnen het ontwikkelingsteam over hoe dit het best kan gebeuren, is de huidige oplossing het tekenen van de ebuilds door elke individuele ontwikkelaar. De master Gentoo "ubersleutel" tekent dan alle sleutels van de ontwikkelaars om een Gentoo "web van vertrouwen" te creeren. De sleutels van de ontwikkelaars worden beschikbaar gesteld via de publieke sleutelservers en op www.gentoo.org
Het doel van wat de"Secure Portage" zal worden genoemd is het aanbieden van een robuust package management systeem dat end-to-end beveiliging aanbiedt in het emerge proces. Voorlopig is er nog geen tijdsschema bevestigd dat aangeeft wanneer het systeem beschikbaar zal zijn, maar het digesting gedeelte bevindt zich nu in de testfase en de rest zal snel volgen.
Het sendmail MTA heeft enkele stack overflow kwetsbaarheden in de manier waarop het email adressen controleert. Deze kwetsbaarheid kan gebruikt worden om op afstand een DoS aanval uit te voeren, de werking van de sendmail server over te nemen of om misschien zelfs willekeurige code onder de privileges van de server (meestal root) uit te voeren.
Meerdere kwetsbaarheden in de krb5 en mit-krb5 implementaties van het Kerberos Multiple Authentication protocol zijn geindentificeerd. Deze bevatten een buffer overrun dat een DoS aanval toelaat op de Kerberos administratie daemon, een plaintext aanval dat toelaten wordt met andere bedoelingen, en buffer overrun en onderrun problemen dat ongebruikelijke namen en hosts toelaat, die eventueel voor andere aanvallen gebruikt kunnen worden.
Een cryptografische zwakheid in Kerberos 4 staat een plaintext aanval toe. Het openafs bestandssysteem gebruikt Kerberos 4, en is daarmee ook gevoelig voor deze aanvallen.
De xdrmem_getbytes() functies die in dietlibc zitten bevatten een overflow zwakheid die gebruikt kan worden door een aanvaller om een rpc call uit te voeren die het toestaat gebruik te maken van deze zwakheid
Nieuwe veiligheidsbugs reports
Er zijn deze week geen nieuwe veiligheidsbugs die nog niet zijn opgelost.
Marcus Martin postte een idee om "emerge security" toe te voegen, dat automatisch packages zou updaten die voor GLSA zijn uitgegeven. Dit veroorzaakte wat discussie. De uitkomst van deze discussie was dat het een goed idee was, ook al zou het moeilijk te implementeren zijn. Dit is gedocumenteerd in bug #5835.
Chris Frey postte een script dat door middel van md5sums controleert of er geen trojan ebuilds worden binnen gehaald. Dit script zal gebruikt worden zolang we nog moeten wachten op 'ondertekende' ebuilds. Dit bericht van Chris Frey veroorzaakte ook wat discussie. Critici dachten dat het misschien de servers zou overbelasten, en de administrators extra werk zou opleveren. De conclusie van de discussie werd aangedragen door Nicholas Jone zijn bericht. Dit bericht wees uit dat het probleem een twistpunt was omdat we een oplossing in portage-2.9.47 zouden kunnen zien.
Seth Chandler
Figure 3.1: Seth Chandler, aka sethbc |
|
Iedereen klaagt graag over hoe traag OpenOffice is, maar het is wel nog steeds een van de meest uitgebreide en MS Office-compatibele paketten beschikbaar. De ontwikkelaar van deze week heeft de leiding van de openoffice en openoffice-bin packages. Hij heeft ook keychains onder zijn hoede, schrijft wat documentatie en is één van de drie PPC leiders. Het meeste van zijn tijd gaat op aan het oplossen van bugs die in openoffice opduiken. Hij springt ook bij wanneer mensen achter dreigen te raken. Seth begon Gentoo ongeveer 2 jaar geleden te gebruiken, en werd 5 maanden geleden uitgenodigd door het Gentoo development team. Er was nog iemand nodig die de verantwoordelijkheid voor OpenOffice in Gentoo voor zijn rekening nam, en Seth werd hiervoor aangewezen. Ondanks zijn drukke bezigheid is hij vaak te vinden op een van de IRC channels en mailing lists die betrekking hebben op OpenOffice. Hij is ook actief bezig met IssueZillavan OpenOffice omdat de bleeding-edge basis van Gentoo betekent dat problemen met OpenOffice sneller door deze distributie worden ontdekt dan door andere.
Doordeweeks is Seth student op het Worcester Polytechnic Institute, en zal hij naar Cornell Law School gaan zodra hij is geslaagd. Al zijn drie computers (een Dual P3, Dual Athlon MP2100 en een 15.2-inch Powerbook) draaien Gentoo, waarbij hij op zijn Mac nog een OS X heeft staan. Hij gebruikt Waimea-cvs en qmail op al zijn computers, en zijn favoriete programma's zijn gaim-cvs, xchat-2, kmail, aterm en gkrellm. Beide x86 machines gebruiken de nieuwste sources, dat op het moment van schrijven kernel versie 2.5.65-mm2 was.
Seth is lid van de Atlanta Braves grond bemanning en heeft daar met plezier gewerkt voor maar liefst 15 jaar; zijn vader is de team dokter. Volgens eigen zeggen gaat hij naar de nieuwe school in het buitenseizoen.
Glibberen langs de bleeding edge
De development tree van de linux kernel vordert snel naar 2.6, en verschillende threads in de forums maken het duidelijke dat verschillende Gentooisten de ontwikkelingen op de voet volgen. Blijkbaar niet zonder problemen...
Beste aprilgrap ooit
Kijk eens naar de eerste link in onze lijst: De forums hadden eigenlijk al voorspeld dat dit zou gebeuren... Maar de thread van Portage zijn verdwijning raakte een gevoelige snaar bij veel trouwe Gentoo gebruikers. Velen raakten in shock voor enkele uren. Ze begonnen te schelden tegen hun huisgenoten en dreigden hun portage te deleten voordat ze eindelijk het licht zagen. Slechts een paar Duitsers vonden het tweede onjuiste bericht in de vorige GWN.
Zakelijk Gentoo gebruik?
Met tot nu toe meer dan 60 reacties is de thread met het onderwerp welke bedrijven Gentoo gebruiken, het meest actief geweest. Veel mensen reageerden door aan te geven dat ze vonden dat Gentoo niet geschikt is voor zakelijk gebruik, vanwege de vele problemen waar ze zelf tegenaan liepen. Anderen gaven aan dat Gentoo goed liep in hun eigen werkomgeving, waarbij in een enkel geval zelfs 150,000 clients verzorgd werden. De reacties waren duidelijk verschillend van aard, en in veel gevallen off-topic. Deze thread geeft echter wel een aantal inzichten over Gentoo Linux een een werkomgeving.
Package management voor non-ebuild software
Jan Drugowitsch informeerde naar hoe Gentoo omgaat met packages die buiten Portage om geinstalleerd worden. Verschillende nuttige reacties kwamen binnen die naar enkele open source projecten leidden.
Portage programmeer vraag
Robin H. Johnson vroeg naar de beschikbaarheid van documentatie over de Portage DB API. Er stond een aangename verrassing te wachten voor hem toen hem werd verteld om python [RETURN] help() [RETURN] portage in te toetsen om interactieve hulp hierbij te krijgen.
ACCEPT_KEYWORDS="~arch" gelijkwaardig?
Jani Monoses vroeg zich af of er geen eenvoudige oplossing is van het gebruik van het lange ACCEPT_KEYWORDS="~arch" emerge package_name. Thomas M. Beaudry kwam ertussen met de suggestie Bash aliases (zie man bash). Een andere Thomas droeg bij met zijn alias definition alias expmerge='ACCEPT_KEYWORDS="~x86" emerge'.
Een Frans Meta-Project voor de Meta-Distributie
Gentoo France is zichzelf aan het re-ermergen: Na het opzetten van gentoofr.org in juli vorig jaar (en het voorzichtig onderhouden van hun goede relatie met hun oudere project), is een nieuwe organisatie opgericht door Baptiste Simon, Guillaume Morin and Mark Krauth genaamd frgentoo.net. Ze zijn nu supporters en vrijwilligers aan het zoeken die willen helpen met een nieuw begin voor de Franse vertaling van de Gentoo documentatie en tutorials, het organiseren van IRC channels en mailing lists, en die in het algemeen meer willen doen dan de gebruikelijke zaken. De nieuwe club wil een hele nieuwe lijn van diensten aanbieden rond Gentoo Linux in Frankrijk, en is vastberaden dingen te doen voor de community vanaf het begin. frgentoo's eerste verkiezingen voor alle berichten in de vereniging zullen gehouden worden aan het eind van de maand, inschrijvingen voor coordinator en projectleider zijn mogelijk tot 11 april, de verkiezingen zullen 14 en 20 april gehouden worden door middel van elektronisch stemmen. Ga naar alpha.gentoo.org voor gedetailleerde informatie
Internationale evenementenkalender
Terwijl de Köln-Bonn community nog steeds publiekelijk aan het discussiëren is over hun eerste meeting, zijn twee evenementen in de VS wat sneller naar voren gekomen:
De volgende stabiele pakketten zijn deze week aan portage toegevoegd
Updates aan belangrijke pakketten
De Gentoo community gebruikt Bugzilla (bugs.gentoo.org) om bugs, verwittigingen, suggesties en andere interacties met het ontwikkelingsteam vast te leggen. In de laatste 7 dagen heeft de activiteit op de site geresulteerd in:
Op het moment zijn er 2895 bugs open in bugzilla. Van deze zijn er 63 gemarkeerd als 'blocker', 107 als 'critical'en 227 als 'major'.
De ontwikkelaars en teams die de meeste bugs hebben gesloten zijn deze week:
De ontwikkelaars en teams die de meeste bugs zijn toegewezen deze week zijn:
Veranderen File Attributes
De tip van deze week legt uit hoe chattr te gebruiken om belangrijke systeembestanden veilig te houden. Het 'change attribute' commando, ofwel chattr, kan gebruikt worden om veranderingen te brengen aan nieuwe, of al bestaande file attributes zoals gesyngroniseerde updates, strengere bestands-veiligheid en nog meer. Dit commando is alleen bruikbaar bij ext2 en ext3 partities.
Een lijst van gebruikelijke attributes en hun bijbehorende flags staan hieronder. Voor een volledige lijst kan er man chattr gebruikt worden.
Note: De 'j' optie kan alleen bij een ext3 partitie gebruikt worden. |
Note: De 'j', 'a' en 'i' optie zijn alleen beschikbaar voor de superuser. |
Om te beginnen moet je zeker weten dat je chattr hebt, door e2fsprogs te hebben ge-emerged.
Code Listing 8.1: Installeren van benodigde bestanden |
# emerge e2fsprogs
|
Om attributes toe te passen heb je het chattr commando nodig. Om de attributes gewoon te bekijken gebruik je lsattr.
Code Listing 8.2: Voorbeelden van het gebruik van chattr en lsattr |
(De immutable bit zetten zodat het bestand niet kan worden gewijzigd of verwijderd) # chattr +i myfile # lsattr myfile ----i-------- myfile (Proberen om het bestand te verwijderen) # rm myfile rm: cannot remove `myfile': Operation not permitted (myfile instellen op enkel toevoegen) # chattr +a myfile # lsattr myfile -----a------- myfile # echo testing > myfile myfile: Operation not permitted # echo testing >> myfile (geen fouten, er werd toegevoegd aan het bestand) |
In gevallen waarbij voorkomen moet worden dat belangrijke bestanden gewist worden is dit handig. Houd in gedachten dat ook een root deze bestanden niet kan verwijderen. Gebruik van deze flags /etc/passwd of /etc/shadow op bestanden zorgt dat deze bestanden veilig zijn van een per ongeluk ingevoerd rm -f, en zorgt er bovendien voor dat geen accounts meer kunnen worden toegevoegd in de zin van een exploit. Als je files append-only houdt, betekent dit dat de data in die files niet meer veranderd kunnen worden. Logs kunnen dit voorkomen. Met chattr en lsattr heb je een aantal goede tools om je systeem veilig te houden.
9. Verplaatsingen, toevoegingen en wijzigingen
De volgende developers hebben recent het ontwikkelteam verlaten:
De volgende developers zijn er recent bijgekomen:
De volgende ontwikkelaars wijzigden hun functie binnen het team:
Geinteresseerd om bij te dragen aan Gentoo Wekelijkse Nieuwsbrief? Stuur ons een email.
Stuur ons alsjeblieft je feedback en help ons GWN te verbeteren.
De Gentoo Wekelijkse Nieuwsbrief is ook beschikbaar in de volgende talen: