Figure 3.1: Seth Chandler, aka sethbc
Na edição da semana passada, que foi convenientemente atrasada um dia para chegar no dia Primeiro de Abril, contém uma história sobre a adoção do formato RPM para gerenciamento de pacotes. O resultado desta Mentira de Primeiro de Abril obteve muito mais sucesso do que imaginávamos. (Alguns dizem que teve sucesso demais). Desnecessário dizer, isto foi uma piada e a equipe de desenvolvimento do Gentoo não tem nenhum plano para mudar do formato ebuild como o seu método padrão de gerenciar pacotes.
Agora, por favor, parem de nos mandar emails raivosos.
Portage muda para um novo, e mais seguro formato
Como parte de um esforço geral para promover a segurança do Gentoo Linux, a equipe de desenvolvimento do Portage esta começando a implementar algumas novas caracteristicas no Portage que permitirão aumentar a segurança de nossa administração de pacotes e sistemas de distribuição. Uma das primeiras caracteristicas que os usuários perceberão é o comentário de cada arquivo envolvido no processo de merge, incluindo ebuilds, patches e os tarballs fontes. Adicionalmente à oferta de segurança, estes comentários ajudarão a isolar e encontrar ebuilds corrompidos ou outros arquivos em nosso rsync ou nos espelhos.
O próximo passo do processo é assinatura destes arquivos de comentários com uma chave GPG para garantir o não repudio. Enquanto existe alguma discussão entre a equipe de desenvolvedores sobre a melhor maneira de arquivar isto, a solução mais bem vista envolve cada desenvolvedor assinar os ebuilds individualmente através de chaves públicas, assim como no uma "super chave" mestra do Gentoo assinando todos os desenvolvedores para estabelecer uma "teia de confiança" Gentoo. As chaves dos desenvolvedores estarão disponiveis através de chaves públicas, assim como no www.gentoo.org
O objetivo do que será chamado de "Portage Seguro" é prover um robusto sistema de gerenciamento de pacotes que oferece de ponta a ponta segurança no processo de emerge. Ainda não existe nenhuma previsão de tempo confirmada ou quando todo o sistema estará disponivel, mas a parte de criar os relatórios esta em testes agora e o resto vem na sequência em breve.
O MTA do sendmail tem uma vulnerabilidade de stack overflow na maneira de checar os endereços de email. Esta vulnerabilidade pode ser explorada remotamente para executar um ataque DOS, conquistando o controle do servidor sendmail, ou potencialmente executando um código arbitrário com os privilégios do servidor (tipicamente root).
Multiplas vulnerabilidades no krb5 e mit-krb5 na implementação do protocolo de autenticação Kerberos foram identificados. Estes incluem um buffer underrun que permite o ataque DOS no daemon de administração Kerberos, ataque com texto plano escolhido que permite a penetração de outro principal, e problemas de buffer overrun e underrun que permitem nomes e hosts não usuais (que podem ser usados em outros ataques).
Uma deficiência criptográfica no Kerberos 4 permite um ataque de texto plano escolhido para penetração de outro principal. O sistema de arquivos distribuidos openafs usa Kerberos 4, e em consequência é vulnerável a um ataque.
A funçao xdrmem_getbytes() incluida no dietlibc contém uma vulnerabilidade de integer overflow que pode ser usada pelo atacante remoto para executrar uma chamada rpc que permite explorar o serviço vulnerável.
Anúncio de Novos Bugs de Segurança
Não há nenhum bug de segurança esta semana que seja destacado
Marcus Martin postou uma idéia sobre incluir a função "emerge security" que automaticamente atualizaria os pacotes lançados pelo GLSA. Isto gerou uma certa discussão, com o consenso de que é uma boa idéia. (entretanto uma que não deve ser tão fácil de implementar) e já foi documentada em bug #5835.
Chris Frey postou um script para prover um conjunto de md5sums no servidor master do portage que permite os gentoistas checar por ebuilds troianos. Isto foi proposto como uma medida preventiva enquanto esperamos por ebuilds assinados. O post iniciou alguma discussão, incluindo criticas de sobrecarregar servidores e seus administradores, assim como de direcionar recursos para uma solução final mais robusta no portage. Esta discussão gerou uma conclusão através do post de Nicholas Jones que apontou que o problema é amplo porque não consegue ver uma solução tão cedo como o portage-2.0.47.
Seth Chandler
Figure 3.1: Seth Chandler, aka sethbc |
|
Todos gostam de reclamar o quão lento o OpenOffice é, mas continua a ser uma das mais completas suites compativeis com o MS-Office até agora. O desenvolvedor desta semana, Seth Chandler, esta encarregado dos pacotes do openoffice e openoffice-bin, e também mantem keychain, escreve alguma documentação, e também é um dos três co-lideres do PPC. Sua função primária é corrigir bugs que aparecem no Open Office, isto toma muito tempo, mas ele também ajuda a preencher lacunas quando algum desenvolvedor esta faltando. Seth iniciou-se com o Gentoo a dois anos atrás, e foi convidado pela equipe de desenvolvedores do Gentoo a cinco meses através de Spanky, que ele conhece da escola, porque necessitavam alguém para o Open Office. Através deste trabalho com o Gentoo, ele tornou-se um frequentador do canal de IRC e de listas de mailing relacionadas ao Open Office, e esta contribuindo com o IssueZilla do Open Office porque a natureza de topo de linha do Gentoo permite que os problemas apareçam primeiro que em outras distribuições.
Durante o dia, Seth é um estudante na Worcester Polytechnic Institute, e irá para a Cornell Law School quando graduar-se. Seus três computadores (um Dual P3, um Dual Athlon MP 2100, e um 15.2-inch Powerbook) todos usam Gentoo, entretanto o Mac é dual boot com o OS X. Ele usa Waimea-cvs e qmail em todas as suas máquinas, e seus favoritos incluem gaim-cvs, xchat-2, kmail, aterm e gkrellm. As duas x86 usam as últimas fontes do kernel, que durante a entrevista era 2.5.65-mm2, mas quando sente problemas ele usa o BitKeeper repo.
Seth é membro do time de baseball Atlanta Braves e esta gostando deste trabalho, nestes últimos 15 anos. O seu pai é o médico da equipe. Ele diz que vai para a escola só nas férias.
Na crista da onda
O desenvolvimento do kernel 2.6 do Linux está avançando rapidamente, e várias seções do forum estão mostrando claramente que os Gentooistas estão acompanhando o desenvolvimento bem de perto. Não sem alguns problemas ocasionais, pelo que parece...
A melhor piada de Primeiro de Abril de todos os tempos
Veja o primeiro link da nossa lista: Nos forums já se tinha previsto que ia acontecer... Mas a ameaça do desaparecimento do Portage acertou em cheio nos nervos de muitos fiéis usuários Gentoo; muitos entram em choque, alguns por frações de segundo, outros por muitas horas. Gritaram absurdos para suas telas ou para seu companheiros, ameaçaram apagar o diretório do portage antes mesmo do amanhecer: Esses caíram direitinho... E no meio dessa fúria sobre o Gentoo adotar o formato RPM, apenas alguns poucos alemães perceberam que também era mentira a segunda falsa notícia do GWN.
Grupo de usuários Gentoo de New Jersey
Usuários Gentoo de New Jersey podem estar interessados na mensagem enviada por dweigert no Gentoo Chat essa semana sobre criar um Grupo de Usuários de New Jersey. O foco é New Jersey central por enquanto, e todos os residentes de NJ residentes estão convidados. Veja o forum abaixo para mais informações.
Uso de Gentoo nas Corporações?
Com mais de 69 respostas até agora, o assunto mais falado em gento-user da semana foi sobre empresas (de preferência grandes empresas) que estejam usando Gentoo em áreas produtivas. Muita gente respondeu dizendo que não acha que o Gentoo é apropriado para uso empresarial, apontando muitos problemas que têm com seus computadores pessoais. Outros mostram que Gentoo roda muito bem, servindo mais de 150,000 clientes. As respostas são claramente diversas e, em muitos casos fora do assunto, mas a discussão tem vários "insights" bem interessantes sobre os esforços e tribulações de se usar Gentoo Linux no meio produtivo.
Administração de Pacotes para sotware não-ebuild
Jan Drugowitsch perguntou sobre a administração de pacotes instalados fora do Portage em um sistema Gentoo Linux. As respostas foram variadas e úteis, apontando para vários projétos de software aberto que tem uma resposta para a questão.
Programando Portage
Robin H. Johnson perguntou da disponibilidade de documentação do Portage DB API, e ficou surpreso quando lhe foi dito para digitar: python [RETURN] help() [RETURN] portage e assim utilizar a ajuda interativa do Python.
Equivalente para ACCEPT_KEYWORDS="~arch"?
Jani Monoses estava imaginando se existiria uma maneira mais fácil do que a de ter que usar ACCEPT_KEYWORDS="~arch" emerge package_name. Thomas M. Beaudry mandou a sugestão to usar um Bash alias (veja em man bash). E um outro Thomas contribuiu com o alias que usa alias expmerge='ACCEPT_KEYWORDS="~x86" emerge'.
Um Meta-Projeto Francês para a Meta-Distribuição
Gentoo da França esta se reemergendo: Depois de criar o gentoofr.org em Julho do ano passado (mantendo o bom relacionamento com o projeto antigo), a nova organização fundada por Baptiste Simon, Guillaume Morin and Mark Krauth chamada frgentoo.net está juntando colaboradores e ativistas para ajudar com a nova iniciativa de tradução da documentação e tutoriais Gentoo para o francês, organizando canais IRC e listas de email, numa tentativa de juntar mais gente aos já então conhecidos. O novo clube quer prover uma variedade de serviços em volta do Gentoo Linux da França, e está determinado a fazer isto junto à comunidade desde seu primeiro dia. As primeiras eleições para os cargos dentro da associação serão organizados para o fim do mes; candidaturas para coordenador e líder de projetos serão aceitas até o dia 11 de Abril, e a eleição será feita com voto eletrônico entre 14 e 20 Abril. Visite alpha.gentoo.org para maiores informações.
Calendário Internacional
Enquanto a comunidade Köln-Bonn ainda está publicamente discustindo a agenda para sua primeira reunião, dois outros acontecimentos emergiram nos USA:
Os seguintes pacotes estáveis foram adicionados ao portage esta semana
Atualizações notáveis de pacotes
A comunidade Gentoo usa o Bugzilla (bugs.gentoo.org) para receber e rastrear bugs, notificações, sugestões e outras interações com a equipe de desenvolvimento. Nos últimos 7 dias, a atividade do site resultou em:
Existe atualmente 2895 bugs abertos no bugzilla. Destes: 63 estão marcados como 'blocker', 107 estão marcados como 'critical', e 227 estão marcados como 'major'.
Os desenvolvedores e times que fecharam mais bugs esta semana
Os desenvolvedores e times que receberam mais bugs novos essa semana:
Mudando Atributos de Arquivos
A dica da semana mostra como usar chattr para manter arquivos de sistema seguros. O comando "change attribute", ou chattr, pode ser usado para mudar os atributos para atualizações sincronizadas, maior segurança de arquivo e mais. Note que este comando só é disponível para partições ext2 e ext3.
Os atributos mais comuns e suas opções (flags) estão listadas a seguir. Para uma lista mais completai: man chattr.
Note: A opção 'j' só pode ser usada com ext3. |
Note: A opção 'j', 'a' e 'i' só estão disponíveis para o superusuário |
Primeiro tenha certeza de que tem o chattr instalado emergendo e2fsprogs.
Code Listing 8.1: Installing Required Files |
# emerge e2fsprogs
|
Para mudar atributos de arquivos use o chattr, e para listar os atributos use o lsattr.
Code Listing 8.2: Examples of using chattr and lsattr |
(Ative o bit imutável do arquivo para que este não possa ser modificado ou removido) # chattr +i myfile # lsattr myfile ----i-------- myfile (Testando a propriedade imutável, tentativa de remover o arquivo) # rm myfile rm: cannot remove `myfile': Operation not permitted (Faça que com o myfile só se possa adicionar conteúdo (append-only)) # chattr +a myfile # lsattr myfile -----a------- myfile # echo testing > myfile myfile: Operation not permitted # echo testing >> myfile (não há erros - conteúdo adicionado) |
Isto pode ser útil para evitar que arquivos importantes sejam deletados. Lembre-se que mesmo root não pode deletar um arquivo que seja imutável ou append-only sem primeiro explicitamente remover estes atributos. Usando esses 'flags' com /etc/passwd e /etc/shadow os mantém seguros contra um rm -f e pode prevenir que novas contas sejam adicionas em caso de violação do sistema. Os arquivos em modo 'append-only' só podem ter conteúdo adicionado e portanto ficam com os dados existentes protegidos de serem modificados. Logs são bons candidatos para este atributo, protegendo-os de serem adulterados. Com chattr e lsattr, você agora tem novas ferramentas para manter seu sistema seguro.
Os seguintes desenvolvedores recentemente deixaram a equipe Gentoo:
Os seguintes desenvolvedores recentemente entraram para a equipe Gentoo:
Os seguintes desenvolvedores recentemente mudaram de atividade no projeto Gentoo:
10. Contribua com GWN (Jornal Semanal Gentoo)
Interessado em contribuir para o Jornal Semanal Gentoo? Nos envie um email.
Por favor nos envie feedback e ajude a fazer o GWN melhor.
O Jornal Semanal Gentoo é também disponível nas seguintes línguas: