Jornal Semanal do Gentoo: 14 de fevereiro de 2005Mudança da plataforma de hardware e software dos Fóruns do Gentoo Como antecipado no artigo Para o Futuro três semanas atrás, os Fóruns do Gentoo mudaram para uma nova plataforma de hardware e uma versão atualizada do phpBB, que esta rodando num código de base limpo, normalizando todos os patches que foram aplicados na versão antiga, e mais funções que a versão que rodava nos Fóruns antes. Entre os embelezamentos estão um melhor pacote de línguas para Fóruns que não são em inglês, novo estilos de URI com links absolutos que permitem programas de busca indexem todo o Fórum, e outras coisas pequenas que são pouco aparentes, como a habilidade dos moderadores de se associar a um tópico -- mudar mensagens de tópicos que estão fora do contexto para um local mais apropriado, o que não era possível antes. Algumas problemas aparte, a mudança foi tão tranqüila que nenhum usuário percebeu até que tudo foi terminado. Os agradecimentos vão para Christian Hartmann e Lance Albertson por uma migração sem falhas! Calendários de eventos do Gentoo para fevereiro/março de 2005 Dias ocupados para evangelizadores do Gentoo: Suas agendas nunca estiveram tão cheias com shows, conferencias e apresentações nas próximas quatro semanas. Aqui está a lista dos eventos que estão para acontecer, com o último anuncio para a LWE (Linux World Expo) que começa amanhã em Boston em primeiro lugar.
Equipe de Segurança do Gentoo -- Entrevista com Thierry Carrez Se você tem o hábito de acompanhar o padrão de questão de segurança e as respostas no mundo Linux, você provavelmente percebeu que os alertas do Gentoo e respostas aos problemas tendem a surgir logo após a descoberta inicial do problema. Na verdade, os Anúncios de Segurança do Gentoo Linux (GLSAs) são freqüentemente citados como fonte para notificações de segurança e status de consertos mesmo fora da comunidade Gentoo. Esta reputação de alta resposta aos problemas é um fato fora do comum para uma comunidade que não tem um braço comercial dando suporte a um centro de segurança. Thierry Carrez (koon), um dos Gerentes Operacionais da Equipe de Segurança do Gentoo, foi muito legal em gastar alguns minutos para explicar algumas das práticas que permitiram a equipe ser tão eficiente identificando e respondendo aos problemas de segurança. Você pode nos dar uma rápida visão geral do processo envolvendo a identificação e conserto dos problemas? Quais passos são necessários? Quem executa esses passos? Quais são as ferramentas usadas? Nás acompanhamos a Política de Tratamento a Vulnerabilidades para lidar com os bugs de segurança. Em resumo, as vulnerabilidades publicas são submetidas pelos usuários, nossos observadores de segurança ou os desenvolvedores de segurança, aquele que achar primeiro. Algumas vezes nós somos notificados através de canais confidenciais (a lista vendor-sec ou contato direto dos desenvolvedores principais ou auditores). Então o processo de segurança dos bugs através do estado do upstream (onde nos esperamos um consertos dos mantenedores principais); o estado de ebuild (onde nós chamamos os mantenedores do do pacote do Gentoo e pedimos por uma ebuild consertada); estado stable, onde nós pedimos que todas arquiteturas suportadas para testar e marcar o pacote com o conserto estável; e finalmente o estado glsa onde nós criamos uma GLSA se necessário. Algumas vezes nós ficamos presos em algum dos estados e temos que desenvolver um patch por nós mesmos. Algumas vezes nós não encontramos a solução e temos que mascarar um pacote porque seria um risco de segurança deixar o pacote na arvore sem um conserto. Lidar com bugs de Segurança e na maior parte contatar as pessoas certas na hora certa e tentar passar a bola sempre. Essa tarefa é feita pelos coordenadores da GLSA, e não é automatizada. Nós confiamos muito nos outros desenvolvedores do Gentoo (mantenedores dos pacotes e equipes arch ) para fazer o patching e o teste. Onde você acha informações a respeito das falhas de segurança? Listas de discussão? Alertas? Nos testamos por nos mesmos? Nós confiamos na nossa base de usuários para submeter o maior numero de vulnerabilidades que for possível. A equipe de seguranca Gentoo tentar pegar todas as vulnerabilidades que possam despercebidas. Falhas de segurança chegam através de listas de discussão que são publicas como BugTraq ou Full-Disclosure, e também noticias de segurança de dos desenvolvedores principais e outras notícias de segurança de outras distribuições. Nós estamos sendo mais e mais aceitos como sendo parte da comunidade de segurança do Linux e portanto nós ficamos sabendo que algumas vulnerabilidades antes de tornarem-se públicas. Para contribuir nós criamos recentemente o subprojeto de auditoria de seguranças para descobrir vulnerabilidades nós mesmos, e nossos mantenedores dos pacotes também encontram muitas vulnerabilidades nos testes. Quando uma falha é identificada, como ela e documentada? Na maior parte do tempo nós somente copiamos a notícia pública de segurança, e prosseguimos verificando que esta aplica ao Gentoo Linux, e damos uma nota de acordo com o nível de severidade. Essa severidade gera as prioridades, e nós tentamos respeitar os atrasos indicados na Política de Tratamento a Vulnerabilidades. Existe algum processo formal onde a resolução da falha é designada a alguém? Como as prioridades são determinadas? Como o conserto é documentado e testado? Cada coordenador GLSA pode pegar um bug e ser responsável em manter a bola rolando sempre nesse bug. Mas se o bug fica parado, todos os desenvolvedores de segurança podem intervir e consertar o bug. Prioridades são determinadas pelo nível de severidade, seguindo as regras descritas na Política de Tratamento a Vulnerabilidades. Quando um conserto está disponível, como é documentado? Quem cria a GLSA? Como as GLSA são transmitidas? Como elas são arquivadas e armazenadas? Nós documentamos o conserto em um rascunho de GLSA, que precisa ter recebido pelo menos duas revisões positivas antes de ser lançado. Nós usamos uma ferramenta chamada GLSAMaker para ajudar a manter a consistência entre todos os GLSA. O GLSA é escrito pelo coordenador de GLSA ou às vezes por um dos nossos Aprendizes de Segurança (coordenadores GLSA em treinamento). GLSAs são enviadas por email para a gentoo-announce e outras listas de discussão, e aparecem automaticamente no live RDF feed e na página de Segurança do Gentoo . Finalmente, eles são copiados por um dos moderadores dos fóruns e aparecem como anúncios nos fóruns. Fontes de XML de GLSA são parte da árvore do portage (em metadata/glsa) e são sincronizados nos sistemas dos usuários, para permitir o uso (ainda experimental) da ferramenta glsa-check (que é parte do pacote gentoolkit). Quem são os consumidores principais dos GLSA? Além de usuários do Gentoo, existem outras organizações que são alertadas? Nós avisamos a linuxsecurity.com para que eles possam incluir o GLSA na página de avisos. O MITRE CVE dictionary também inclui referencias aos GLSA. Existem algumas ferramentas automatizadas ou scripts que as equipes usam para para controlar esse trabalho? Nós usamos o GLSAMaker, uma ferramenta escrita por Tim Yamin (plasmaroo), para ajudar na escrita da fonte de XML da GLSA e do texto do mesmo. Qual é o status do "emerge security", funcionalidade para identificar e consertar os problemas de seguranças usando o portage? "Emerge security" está no momento em testes com a ferramenta "glsa-check", que é parte do pacote gentoolkit. Este permite que identifiquemos quais GLSAs afetam nossos sistemas e aplicar o conserto nos pacotes vulneráveis automaticamente. Quando estiver pronto, a equipe do portage vai integrar isto nas ferramentas principais como o emerge. Usuários são encorajados a usar o último glsa-check e relatar qualquer problema usando o bugzilla. Onde os usuários podem conseguir maiores informações sobre a equipe de segurança do Gentoo? Nossa pagina principal é o portal de Segurança do Gentoo security.gentoo.org. Este contém todos os indicadores para os documentos de política de segurança, os últimos GLSA e muitas informações úteis. Pessoas que gostariam de unir-se à Equipe de Segurança do Gentoo devem ler a página do Projeto de Segurança, e em particular o guia de coordenadores do GLSA e a Security padawans page para entender de que nós precisamos. Quais são algumas das iniciativas que a equipe de segurança tomou recentemente? No ano passado, nós aplicamos alguns procedimentos de forma que todos as regras não escritas seguidas pelo grupo tenham um documento de referência. Nós também criamos um novo grupo que irá manter uma checagem consistente na segurança em todos os momentos. O que nós esquecemos de perguntar que seria importante sabermos? Talvez nossa estrutura gerencial. Kurt Lieber (klieber) é o nosso líder estratégico, Sune Kloppenborg Jeppesen (jaervosz) e eu somos gerentes operacionais. Open-Xchange (OX) é o servidor groupware de código aberto no qual o servidor Linux Openexchange da Novell/Suse (SLOX) é baseado. Open-Xchange era de código fechado até 30 de agosto 2004 quando ele foi lançado usando a licença GNU Public License. O OX estimula o uso de tecnologias de servidor de código aberto integrando projetos existentes como (SMTP, IMAP, LDAP, Apache, Tomcat, e PostgreSQL) para criar um poderoso ambiente de colaboração e mensagem. Algumas características incluem e-mail, coordenação de projeto, armazenamento de documentos em versões, calendario colaborativo, e uma base de conhecimento (knowledge base). Ele pode ser acessado por uma web interface ou através de clientes mais robustos como Evolution, a suíte Mozilla (Thunderbird e Sunbird) e qualquer outra aplicação que suporte WebDAV. Atualmente, Open-Xchange está em desenvolvimento com uma versão quase estável (v0.8) em março de 2005. Se você quer ver como o OX funciona antes de arriscar uma instalação, você pode testar usando o demo online. Instalação e Suporte Existem atualmente duas formas de instalação do OX no Gentoo Linux: usando o ebuild do Bugzilla (não está na arvore do Portage), ou fazendo uma instalação manual. A página do Wiki explica a instalação usando o ebuild, mas para os passos necessários manuais para ter o OX rodando com sucesso, um Guia de instalação manual cobre os pré-requisitos da configuração e também como ampliar e estender o Open-Xchange. Para questões específicas do Gentoo um tópico do Fórum do Gentoo com centenas de mensagens tem a maior parte das respostas que estão disponíveis atá o momento. Se você não está familiarizado com servidores que o OX usa, esteja preparado para um processo longo de aprendizado e muita leitura. A maioria dos problemas encontrados atá agora envolvem a configuração do LDAP, integração do Apache/Tomcat, e autenticação SASL. Todos os servidores de que o OX depende precisam estar configurados e funcionando corretamente antes de você prosseguir com a instalação do Open-Xchange.
OpenMotif: Vulnerabilidades múltiplas no libXpm Vulnerabilidades múltiplas foram descobertas no libXpm, que é incluído com o OpenMotif, que pode potencialmente levar à execução de código remota. (Nota: Esta é a mesma vulnerabilidade que foi consertada no xorg-x11 no último novembro) Para mais informações, por favor veja o Anúncio do GLSA PostgreSQL: escalação de privilégios locais O servidor do PostgreSQL pode ser enganado por um indivíduo local para executar código arbitrário. Para mais informações, por favor veja o Anúncio do GLSA Python: Execução de código arbitrário atrás de SimpleXMLRPCServer Servidores de XML-RPC baseados em Python podem estar vulneráveis à execução remota de código arbitrário. Para mais informações, por favor veja o Anúncio do GLSA pdftohtml: Vulnerabilidades no Xpdf incluso pdftohtml contém código de Xpdf vulnerável para lidar com arquivos PDF, tornando-o vulnerável à execução de código arbitrário através da conversão de um arquivo PDF malicioso. Para mais informações, por favor veja o Anúncio do GLSA Mailman: vulnerabilidade de diretório transversa O Mailman deixa de sanitizar entrada corretamente, levando à divulgação de informações. Para mais informações, por favor veja o Anúncio do GLSA Webmin: Vazamento de informações no pacotes binário do Gentoo Pacotes binários construídos pelo Portage incluem acidentalmente um arquivo contendo a senha de administrador local criptografada. Para mais informações, por favor veja o Anúncio do GLSA Perl: Vulnerabilidades do wrapper de perl-suid Vulnerabilidades levando à sobre-escrita de arquivos e execução de código com privilégios elevados foram descobertas no wrapper de perl-suid. Para mais informações, por favor veja o Anúncio do GLSA mod_python: vulnerabilidade no Publisher Handler mod_python contém uma vulnerabilidade no Publisher Handler potencialmente levando ao vazamento de informações. Para mais informações, por favor veja o Anúncio do GLSA Tirar variáveis de USE de sem [coloque função aqui] da árvore Michiel de Bruijne escreve: "Existem algumas ebuilds na árvore que fazem uso de uma variável de USE sem [coloque função aqui]. Basicamente, desligando a opção de USE você obtém mais funções. A vinda de novas dependência ao desativar a opção de USE é uma possibilidade. Isto tem alguns efeitos colaterais feios ..." A discussão seguinte mostra bem porque essas opções de USE não são boas. Estabilização automática de pacotes Aproxidamente a cada 6 meses a mesma discussão aparece: Como os pacotes na árvore do portage podem ser mantidos atualizados? O método inocente seria a estabilização automática após um certo período de tempo. Este tópico mostra porque isto não é uma boa idéia geralmente ... Fechando ou resolvendo bugs, qual? Marius Mauch escreve: "Eu notei uma nova tendência introduzida por alguns novos devs: mudar estados de bug de RESOLVED para CLOSED. Pessoalmente acho muito inconveniente e completamente inútil. Nós podemos concordar em não fazer isto a menos que haja uma razão técnica? Não vejo nenhum benefício nisso, simplesmente significa que bugs fechados são divididos em duas "categorias" sem nenhuma diferença real." USA: Evento de Bugday do Gentoo no LUG da Oregon State University Os Gentoo Bugdays são freqüentemente feitos todo primeiro sábado de cada mês, com desenvolvedores e usuários de todos cantos juntando-se no IRC e procurando no bugzilla do Gentoo qualquer coisa que precise ser consertada. Dia 5 de fevereiro, o grupo de usuários de Linux (LUG) da Oregon State University tiveram a oportunidade de tornar o evento virtual em um evento real. Doze membros do OSLUG encontraram-se no Weatherford Hall, a construção residencial da OSU. Com a ajuda de uma lista pré-compilada de bugs preparados pelos organizadores do Bugday do Gentoo para a ocasião, eles mantiveram-se terminando com bugs das 9:00 às 16:00, com o canal oficial de IRC #gentoo-bugs sendo projetado na tela, e computadores espalhadas pela sela, cada um um número determinado de caçador de bug na frente da tela.
Alemanha: lançamento de ferramenta de armazenamento para Gentoo Linux Lançamentos comerciais de aplicações de Linux com suporte oficial fora da terra de RedHat/SuSE/Mandrake são poucos e distantes. Uma companhia alemã, SEP AG, agora anunciou a disponibilidade de seu produto de gerenciamento de armazenamento "SEP sesam" para Gentoo Linux. "Nós estivemos tradicionalmente alinhados com o SuSE Linux, mas passamos a observar o Gentoo desde que nós assistimos a impressionante instalação que Lars Weiler fez em um cluster de HP Proliant na LinuxTag do último ano em Karlsruhe," diz o diretor de vendas da SEP Johann Krahfuss (cf. Notícia do JSG de 28 de junho de 2004). "Então quando nossos primeiros consumidores pediram uma adaptação do SEP sesam para Gentoo Linux, nós não ficamos exatamente surpresos." O instituto de pesquisas federal alemão Fraunhofer Gesellschaft foi o primeiro a pedir uma instalação do SEP sesam dentro de um ambiente de Gentoo Linux, "e desde que não encontramos quaisquer problemas, nós achamos que está na hora de um lançamento oficial," diz Krahfuss. Um versão de testes de 30 dias (incluindo suporte) pode ser baixada da seção de arquivos do website da corporativo. SEP sesam é desenhado para o gerenciamento de armazenamento de dados em redes heterogêneas, incluindo Linux, BSD, Solaris, TRU/64, OpenVMS, Windows e Mac OS X. A companhia estará presente na próxima semana no CRN Storage Solution Days 2005 em Neuss (link só em alemão). Newsforge (8 e 9 de fevereiro de 2005) O Newsforge publicou um artigo em duas partes sobre como usar o MySQL para fazer benchmark de performance de sistema operacional, como analisado e escrito por Tony Bourke. A verificação de performance passou pelos sistemas operacionais de servidor Open-, Net- e FreeBSD, Solaris 10, e Linux como plataformas para a execução de bancos de dados de MySQL, e "de uma grande quantidade de distribuições" o Gentoo foi escolhido como a parte de Linux do teste, rodando tanto kernéis 2.4 como 2.6 (gentoo-sources) em ReiserFS. "Com o Gentoo foi relativamente fácil instalar NPTL para 2.6, que eu usei nos testes de 2.6," diz Tony Bourke, "embora não tenham feito qualquer diferença na comparação com resultados de 2.6 sem NTPL." Enquanto a primeira parte só explica as ferramentas e a metodologia, a comparação real de performance está publicada em um artigo separado - com resultados surpreendentes, o Gentoo Linux venceu claramente todos testes de benchmark individuais. De maneira engraçada, a performance superior do Gentoo até legou a reclamações sobre a "vantagem injusta" de usar uma distribuição de Linux baseada em fontes, possivelmente otimizada para o processador como uma plataforma para a comparação. O presidente da Sun Jonathan Schwartz diz sim para o esforço do OpenSolaris do Gentoo em uma entrevista publicada na CNET semana passada. Enquanto explica o modelo de gerência do OpenSolaris para o entrevistador Stephen Shankland, ele diz que "O Solaris é agora oficialmente de plataforma neutra" e espera "10 ou mais" distribuições de OpenSolaris sem ser da Sun aparecendo no mercado. Foco de segurança (2 de fevereiro de 2005) O colunista Jason Miller diz que o modo de lidar-se com segurança no kernel do Linux tem problemas, "e deve ser consertado agora mesmo." O artigo em securityfocus.com, uma publicação lida principalmente por profissionais de segurança, é altamente crítica do jeito que bugs de segurança no kernel do Linux estão sendo tratados. Mas o autor, um auto-proclamado "grande seguidor de sistemas operacionais baseados em BSD," tem boas notícias, também: "Uma vez que começamos a ver distribuições reais do kernel do Linux como um sistema operacional completo, nós encontramos algumas distribuições com contatos de segurança oficiais, bem como páginas relacionadas a segurança semelhantes às providenciadas pelos principais sistemas baseados em BSD. O Gentoo Linux Security é um bom exemplo disso." Réseaux & Télécoms (3 de february de 2005, em francês) Respondendo diretamente à coluna da Security Foces de Jason Miller, a revista de rede e telecomunicações francesa enxerga além do kernel como um problema de segurança: Ambas falhas em aplicações individuais não dependentes do kernel, e a distribuição de informações relacionadas à segurança são identificadas como campos de atividade igualmente importantes para os "caçados de bugs do código aberto." O artigo "Noyau Linux : Mais où est la sécurité ?" reconhece a conclusão de Miller de "coisas mudando, rápido e na direção certo," e elogia Thierry Carrez (veja nossa entrevista acima) como um exemplo de "trabalho impressionante." Com o ritmo atual da discussão sobre a estrutura de atendimento à segurança e a distribuição de informações, está "na hora de mostrar otimismo," diz o autor Marc Olanie, argumentando que a Microsoft levou dezoito anos para padronizar seus próprios procedimentos de segurança -- "fizeram mesmo?" Sun blogs (31 de janeiro de 2005) Eric Boutilier, um engenheiro da Sun, Inc. está preparando-se para o desenvolvimento do Gentoo no OpenSolaris, e postou acerca de suas primeiras tentativas de familiarizar-se com o Portage no Linux em seu blog no website da Sun. Enquanto sua escolha de material de instalação é peculiar - o clone do Gentoo Vidalinux ao invés de uma instalação padrão, e em um laptop Portégé de cinco anos - ele rapidamente acostuma-se com o comportamento de usuários do Portage para longas compilações: "Pois é. Eu deixei compilando e fui para o trabalho." A comunidade do Gentoo usa o Bugzilla(bugs.gentoo.org) para gravar e rastrear bugs, e outras interações com a equipe de desenvolvimento. Entre 6 de fevereiro de 2005 e 13 de fevereiro de 2005, a atividade no site resultou em:
Dos 8036 bugs atualmente abertos: 102 são rotulados 'blocker', 243 são rotulados 'critical', e 600 são rotulados 'major'. Os desenvolvedores e equipes que fecharam o maior número de bugs durante este período são:
Os desenvolvedores e equipes aos quais foram atribuídos o trabalho de resolução do maior numero de novos bugs durante o período são:
Mágica do Portage: identifique pacotes obsoletos O desenvolvedor do Gentoo Brian Harring desenhou um jeito inteligente de identificar todas versões instaladas de pacotes não disponíveis mais no Portage - tanto de pacotes oficiais e de pacotes de PORTDIR_OVERLAY. Aqui está o método que ele inventou, juntando o máximo de beleza de Python que cabe em uma só linha de comando:
Se isto foi demais para sua cabeça, vamos ver exatamente o que ele faz. Por exemplo, se um pacote, digamos, foo-1.2.3 estiver instalado, e a versão 1.2.3 não estiver mais na árvore, o script irá avisar. Uma verificação simples por pacotes que não estão mais disponíveis sem independente das versões, pareceria-se com isso:
Finalmente, se você quiser ignorar o pacote foo-1.2.3 mesmo se já não estiver mais na árvore, mas uma revisão foo-1.2.3-r1 estiver, o seguinte script irá ignorar o pacote, só ativando em aplicações que desapareceram completamente do Portage.
Finalmente, nenhum dos métodos acima leva em consideração pacotes injetados, só aqueles que foram instalados de uma árvore disponível. Agora, suponha que você quer ignorá-los, também, aqui está o que fazer:
Sim, nós sabíamos que você ia gostar disso. Todos métodos acima funcionam com pacotes individuais que você mantém em uma árvore de overlay, por exemplo /usr/local/portage, estão sendo levados em consideração com pacotes da ávore oficial. Experimente, você não pode quebrar nada, ele só notifica você sobre o que encontrar, deixando ao usuário decidir o que fazer com a informação. Os seguintes desenvolvedores deixaram a equipe do Gentoo recentemente:
Os seguintes desenvolvedores uniram-se à equipe do Gentoo:
Os seguintes desenvolvedores recentemente mudaram de tarefa no projeto do Gentoo Linux:
10. Contribua para o JSG (GWN) Interessado em contribuir com o Jornal Semanal Gentoo? Envie-nos um email. Por favor envie-nos seu feedback e ajude a melhorar o JSG (GWN). 12. Informações sobre assinaturas Para assinar o Jornal Semanal do Gentoo (Gentoo Weekly Newsletter), envie um email em branco para gentoo-gwn-subscribe@gentoo.org. Para cancelar sua assinatura, envie um email em branco para gentoo-gwn-unsubscribe@gentoo.org do endereço sob o qual você está inscrito. O Jornal Semanal do Gentoo também está disponível nas seguintes línguas:
|
|
