Book Review -- The Debian System: Concepts and Techniques | Linux Journal - interessant klingendes Buch über die Konzepte in Debian.
linux - 22.9.2004 - 2.2.2006
ApplicationCatalog - Maemo Wiki - Anwendungen für das Nokia 770 Internet Tablet
FUDMachine SCO
Man sollte meinen, SCO kapiert irgendwann die Zeichen der Zeit - aber dem ist nicht so.
Sams Teach Yourself Shell Programming in 24 Hours - Ein ganzes Buch über Shell-Programmierung. Und damit natürlich auch eine recht gute Einführung in die diversen Tools, die Unix-Systeme zur Verfügung stellen. Sicherlich jedem zu empfehlen, der sich z.B. einen Root-Server zugelegt hat und da jetzt mehr mit machen will - aber eben sonst Linux eher vom GUI her kennt.
Linux Daemon Writing HOWTO - wie man unter Linux einen Daemon schreiben sollte (allgemeine Infos)
Nur so eine Überlegung
Was wäre eigentlich, wenn die Gnome-Entwickler in die Linux Kernel Mainlingliste gingen und dort verkünden, das sie Usern empfehlen FreeBSD zu benutzen, weil ja das chroot Modell von Linux armselig ist, und die Kernel APIs sowieso ein Chaos sind und Linux bis heute keine richtig guten Filesystem Notifikationen hat und die Entwicklung von Linux einfach viel zu wenig auf GUI-Anforderungen eingeht. Deshalb würden sie eben Usern den Einsatz von FreeBSD vorschlagen, denn die Kernelprogrammierer von Linux sind ja eh alles Idioten.
Wie würde Linus' Reaktion dann aussehen?
pyinotify - sehr schön, endlich ein brauchbarer Wrapper für die notify-Funktion in Linux. Damit können Python-Programme sich über Änderungen an Dateisystemen informieren lassen - ideal für Verzeichnismonitoring.
Ubuntu und Powerbook
Ok, da mein Mac Mini fleissig rödelt und alles funktioniert wie es soll, hab ich dann mal die Gelegenheit genutzt und auf meinem Powerbook Ubuntu installiert. Ich wollte ja endlich mal wieder gucken wie gut sowas heute klappt - früher waren Notebooks ja noch echtes Abenteuer mit Linux.
Grundsätzlich sieht das ganze sehr gut aus - wie schon der erste Eindruck von der Live-DVD. Alles startet ordentlich, die Komponenten werden grösstenteils gut erkannt und die Einstellungen sind weitestgehend sinnvoll - gerade die einfache Installation (für einen Testflug benutze ich gerne den DAU-Modus, einfach um zu gucken wie gut die Leute ihren Job verstehen) hinterlässt ein rundum gut eingerichtetes Desktop System.
Blöderweise habe ich aber ein Notebook. Und zwar ein Powerbook.
Naja, die Software an sich läuft. Der Desktop ist nett eingerichtet und die Auswahl an Software ist sehr brauchbar - auch die ganzen Notebooksachen sind weitestgehend installiert. Was fehlte?
Nunja, fangen wir mit dem einfachsten an: ein Powerbook hat nunmal eine feste Tastaturbelegung - die Tasten sind beschriftet. Ich hab nicht vor die Beschriftung abzurubbeln und auf PC umzulackieren. Wieso liefern die Torfnasen keine Powerbook-Tastaturbelegung mit? Ich hab zwar was im Netz gefunden, aber um das dann einzuhängen sind grössere Handstände (entweder einen nicht vollständig funktionierenden Patch einspielen oder den X-Startprozess anpassen - beides nicht unbedingt DAU-geeignet) nötig. Wieso kommt sowas nicht direkt mit dem System? Schliesslich sieht doch jeder, der ne Mac-Tastatur mal vor der Nase hat, das die nun wirklich nicht identisch mit PC-Tastaturen ist. Verschärft wird das ganze noch dadurch, das durchaus einige Mac-Tastaturlayouts dabei sind - die aber alle nur mit alten ADB-Tastaturen Sinn machen, denn sie haben völlig andere Tastaturcodes.
Dann das nächste: Powermanagement. Es wird ein Haufen Software installiert, der grösstenteils ohne brauchbare Doku daher kommt. Das macht nix - eigentlich sollte alles einfach nur eingerichtet sein. Und es ist grösstenteils auch eingerichtet: schliesse ich mein Display und öffne ich es, wird im daemon.log ordentlich eingetragen das pbbuttonsd das passende Script ordentlich ausführen konnte.
Wäre nur nett gewesen, wenn das Script dann auch irgendwas gemacht hätte ...
Leute, Powermanagement ist nicht irgendwie nice to have mit einem Notebook, das ist essentiell. Und eigentlich ist alles dafür notwendige vorhanden. Packt es bitte mit drauf und benutzt es auch. Die Installation von Ubuntu sieht jedenfalls so aus, als ob da einfach irgendwie der Teil, der die Aktionen ausführen würde, weggelassen wurde. Und in welchem Paket das nun wieder stecken könnte, hab ich auf die Schnelle nicht gefunden.
Dann Bluetooth. Das System erkennt alles mögliche und irgendwas wird auch irgendwie gemacht mit irgendwem - aber wie und was und wo man jetzt mit Bluetooth machen kann, das sieht man irgendwie nicht. Hey Leute, Bluetooth ist ja nun wirklich nicht mehr ultraneu, und für Linux gibts da auch schon länger was - wir wärs denn mal mit wenigstens rudimentären Werkzeugen, die einem den Status anzeigen?
WLAN tuts immer noch nicht - kann aber Ubuntu nix für, ist der blöde Hersteller der Karten. 3D-Beschleunigung der Grafik tut auch nicht, weshalb der Desktop doch etwas zäher ist als nötig wäre - gleicher Grund wie bei WLAN. Wirklich schade, das Hardware-Hersteller einem freien Betriebssystem noch extra Steine in den Weg legen.
NIckeligkeiten am Rande: das Trackpad ist bescheuert hektisch eingestellt - nahezu unbedienbar für Menschen mit motorischen Problemen. Konservativere Einstellungen wären deutlich sinnvoller. Und Gnome ist immer noch recht verschwenderisch mit Bildschirmplatz - hey, mein Notebook hat nunmal nur 1024x768, ich kann da nicht einfach Pixel anbauen!
Alles in allem bestätigt Ubuntu seine gute Eignung als Desktop-System - denn das installierte System an sich ist wirklich brauchbar. Aber Notebooks sind immer noch das letzte Abenteuer für die ganz Harten.
Und mein Notebook? Naja, ich werd wohl einfach wieder den Tiger drüberbügeln
Linux-Vserver on Debian Sarge - da sagt der Titel schon alles. Bookmark für später - könnte für meinen Server interessant werden.
Mac-on-Linux - komischerweise nie geblogmarkt, daher jetzt. Mac Betriebssysteme in einer virtuellen Umgebung unter Linux auf Macs laufen lassen - ideal für Linux-betriebene Mac-Minis auf denen man doch noch das eine oder andre OS X Programm haben will ...
Mac-on-Mac ist das inverse Gegenstück zu Mac-on-Linux - ein Port der virtuellen Maschine nach OS X, mit der man dann Linux oder andere Mac-Systeme unter OS X in einer virtuellen Umgebung laufen lassen kann. Status ist noch sehr roh ...
Launch Box ist ein QuickSilver Clone für Gnome. Scheint noch etwas roh zu sein und die Installation könnte wegen der harten Abhängigkeiten etwas haarig sein.
Linux and RAW Digital Photography liefert einiges an Informationen über RAW-Formate und Linux.
Lphoto ist eine Fotodatenbank für Linux, aufgebaut ähnlich wie iPhoto für den Mac.
Ubuntu Breezy Badger
Ich hab mir mal die Live+Installations DVD gezogen (hey, T-DSL 3000 rules! und muss sagen, ich bin echt erstaunt. Ok, ein paar Haken hat das ganze: das Tastaturlayout ist als Standard für den PC vorgeschlagen - aber ein Mac-Notebook kann unterschiedliche Layouts haben (extern eine PC-Tastatur, intern aber immer eine Mac-Tastatur), da müsste die Auswahl etwas geschickter sein. Stellt man auf die Macintosh-Tastatur der Auswahl um, funktionieren Sonderzeichen wie das Pipe-Symbol und die geschweiften und eckigen Klammern und AT und sowas alles nicht mehr - bei PC-Belegung stimmt aber die Beschriftung der Mac-Tastatur nicht. Und eine Belegung für die Mac-Sonderzeichen gibts nicht.
Was ebenfalls nicht funktioniert ist der zweite Monitor - er wird einfach nicht erkannt und aktiviert, nicht mal initialisiert wid er. Schon schade, denn Macs haben ja nunmal von Hause aus Multi-Monitor-Unterstützung, jedenfalls die PowerBooks und PowerMac Modelle (die iBooks und iMac nur teilweise und dann nur mit Hacks). Das sollte meiner Meinung auch noch mit rein.
Aber ansonsten - nette Sache. Das WLAN nicht erkannt wird, ist normal - bzw. es wird erkannt, aber ist nicht nutzbar. Apples WLAN Chips sind da öfter nicht unterstützt. Wo das Bluetooth konfiguriert wird, weiss ich auch nicht - warscheinlch müsste ich dazu erstmal Pakete installieren. Aber das könnte meiner Meinung nach auch automatisch gemacht werden, wenn ein Bluetooth-Adapter erkannt wird. Trotzdem, im Grossen und Ganzen wirkt Ubuntu recht nett - es kommt mit brauchbaren Defaults hoch und unterstützt schon gleich eine Menge des Rechners. Und die recht weitgehende Übersetzung zumindestens von Menüs und Dialogen im Gnome ist sehr angenehm.
Und das unten drunter eine Debian-Architektur werkelt ist mir natürlich ganz besonders lieb
Katastrophal ist aber, das in der Live-CD scheinbar nirgendwo ein Terminal gestartet werden kann ...
Coooool!
BlackDog ist ein PowerPC-Rechner mit 64 MB Speicher und 512 MB Flash-Disc in einem Mini-Gehäuse das man in jeden PC mit Windows oder Linux in den USB-Port stöpseln kann. Dort übernimmt dann der PowerPC-Prozessor die Tastatur, die Maus und den Bildschirm und startet sein Debian Linux, dessen Desktop man dann auf dem PC sieht.
Das Teil läuft nur aus der USB Stromversorgung und hat noch zusätzlich eine biometrische Zugangssicherung per Fingerabdruck. Wow. Schöne kleine Hackerkiste für unterwegs, man muss nur einen Wirtsrechner vorfinden.
Und es ist komplett in der Architektur offen und hackbar - es gibt sogar einen Hack-Wettbewerb um interessante Anwendungen dazu zu entwickeln. Wobei mir schon klar wäre was ich draufpacken würde - all die notwendigen Netzwerktools. Ich glaube ich muss mal in der Firma den Chef motivieren das wir dringend mal gucken müssen was man mit so einem Teil machen kann. So einen heftigen haben wollen Reflex hatte ich schon lange nicht mehr.
Oracle Cluster File System 2 für Linux
Das Oracle Cluster File System könnte schon eine nette Alternative zu GFS und Coda sein - jedenfalls wenn das hier wirklich passiert:
Der für den Linux-Kernel 2.6 verantwortliche Linux-Entwickler Andrew Morton will das Oracle Cluster File System in der Version 2 möglichst bald in den offiziellen Linux-Kernel aufnehmen. Schon Linux 2.6.14 könnte das OCFS 2 enthalten und wäre dann die erste Cluster-Komponente im offiziellen Linux-Kernel.
Den bisherige Clusterfilesysteme kranken gerade unter der fehlenden Integration - meist kann man sie eben nicht in jeder Kernelversion benutzen. Für mich interessant ist natürlich noch wie selbstständig die Knoten wirklich sind und ob es auch beim Oracle Cluster Filesystem einen single point of failure gibt, wie in es z.B. der Lockingdaemon bei OpenGFS ist. Bisher waren wir in der Firma nicht sehr erfolgreich in der Evaluierung von Clusterfilessystemen, eigentlich waren alle irgendwie dämlich ...
Und nun, Herr McBride?
Shit hits Fan für SCO:
A: There was a release of SCO LinuxWare release 7.1.2 that included the Linux kernel personality and SCO Linux-release 7.1.3 included the Linux kernel personality. At first when it first shipped it did include the Linux kernel packages which were subsequently removed.
Find ich schon irgendwie passend, wenn SCO erwischt wird das es selber den Linux-Kernel - der ja immerhin unter GPL steht - in ihren Produkten zumindestens zeitweilig benutzt und mit ihnen ausgeliefert haben. Könnte mit ein Grund sein, warum sie jetzt versuchen die GPL als unamerikanisch und nicht verfassungskonform zu denunzieren
Man reiche Darl McBride die Frog Pills
denn jetzt dreht er völlig ab:
Im Einzelnen zählt McBride zehn Punkte auf, die für SCO und gegen Linux sprechen. So sei der OpenServer wesentlich preiswerter als Linux-Systeme, die mit versteckten Jahreslizenzen arbeiten, habe einen überlegenen Kernel und biete wesentlich höhere Sicherheit als Linux-Systeme, bei denen Sicherheitslücken wochenlang offen bleiben würden. Mehrfach betont McBride, dass seine Firma Eigentümer von Unix ist und aus diesem Grunde höheres Vertrauen bei der Kundschaft besitze. Außerdem sorge SCO als Eigentümer dafür, dass es keine Absplitterungen inkompatibler Systemvarianten gebe.
Selten einen so kompakten Block von Bullshit gesehen
Crypt::PasswdMD5 ist ein Perl-Modul das MD5 Passwörter so hashed wie es Linux und Solaris auch tun.
md5crypt.py ist der gleiche Algorithmus für MD5 Passwörter, nur diesmal in Python.
Das Äquivalent zum Apple FileSafe unter Linux: Automatically mount dm-crypt encrypted home with pam_mount. Gerade für Notebooks sehr sinnvoll, aber auch bei Arbeitsplatzrechnern von Administratoren (wegen der vielen sicherheitsrelevanten Files die sich so im Homeverzeichnis ansammeln).
Und noch einer Linux-auf-Mac Story. Diesmal ein iBook und Gentoo. Für eine kleine und preiswerte Linux-Kiste für Unterwegs ganz brauchbar.
Die Linux on an Apple Powerbook HOWTO liefert genau das was ich bräuchte, wenn ich mein 12" Powerbook auf Linux umstellen wollen würde - der Autor benutzt sogar genau mein Modell. Und nein, noch will ich nicht umsteigen
Novell will SCO an den Kragen
Und ihre Betrachtungen über die Rechtslage würden - wenn sie denn vor Gericht Bestand haben - SCO wirklich eine empfindliche Schlappe verpassen.
Der ganze SCO-Linux-Film ist ja recht spannend, aber ganz ehrlich: die Längen zwischen den Actionszenen sind doch ein bischen übertriebn
Linux-VServer ist ein Kernel-Patch und ein Satz Utilities die es ermöglichen auf einer Basismaschine eine Reihe von virtuellen Linux-Kisten laufen zu haben deren Resourcen stark gegeneinander abgeschottet sind. chroot on steroids, oder am ehesten mit BSD Jails zu vergleichen. Interessant für Hosting-Projekte bei denen virtuelle Rootserver gefordert sind. Ist sogar in der aktuellen Debian drin.
SCO stolpert über die eigenen Füsse
Zumindestens scheint es so wenn es eine eMail über No 'smoking gun' in Linux code gibt.
The e-mail, which was sent to SCO Group CEO Darl McBride by a senior vice president at the company, forwards on an e-mail from a SCO engineer. In the Aug. 13, 2002, e-mail, engineer Michael Davidson said "At the end, we had found absolutely nothing ie (sic) no evidence of any copyright infringement whatsoever."
Die Mail ist schon länger bekannt, aber jetzt erst veröffentlicht worden - vorher war sie als Teil der Gerichtsunterlagen noch unter Verschluss. Schon peinlich für SCO wenn so nach und nach die ganzen traurigen Details zum Vorschein kommen. Vor allem peinlich: SCO argumentiert mit dem gleichen Consultant der wohl hier nix gefunden hat aber vorher mal behauptet hat es gäbe gleichen Code. Irgendwie sollte SCO mal so langsam die Argumentation auf die Reihe bringen, sonst bringts das ganze Gelüge und Erpressen auf Dauer nicht ...
Plash: the Principle of Least Authority shell
Interessantes Konzept: Plash ist eine Shell die Programmen eine Library unterschiebt über die alle Zugriffe auf das Filesystem schicken. Dadurch kann man kontrollieren welche Funktionen ein Programm wirklich ausführen darf. Das dient diesmal nicht dem Schutz vor Aktivitäten des Benutzers, sondern dem Schutz des Benutzers vor Aktivitäten des Programms. Gerade wenn man Programme installiert die man nicht kennt kann man unter Umständen sich Trojaner einfangen - Plash hilft da, indem man explizit nur die Bereiche der Platte für das Programm freischaltet, die dieses auch braucht.
Dazu werden alle Zugriffe auf das Dateisystem intern über einen eigenen Miniserver geroutet - das eigentliche Programm wird unter einem frisch allozierten Benutzer in einem eigenen chroot-Jail ausgeführt, hat also gar keine Chance irgendwas ausserhalb zu machen das nicht explizit erlaubt wird.
Sehr interessantes Konzept, vor allem für Systemadministratoren. Funktioniert leider (erwartungsgemäß) nicht mit grsecurity zusammen - klar, grsecurity soll ja gerade einige der in Plash verwendeten Tricks genau verhindern helfen. In diesem Fall scheitert es an der Anforderung von executable Stack.
Boot KNOPPIX from an USB Memory Stick - vielleicht eine Alternative zu spblinux, speziell mit der c't-Knoppix-Variante?
SPB-Linux ist ein sehr kleines Linux das man von einem USB-Memory-Stick booten kann und mit diversen Erweiterungen (X, Mozilla, XFCE Desktop) aufgewertet werden kann. Müsste man auch relativ leicht um diverse Systemadmin-Tools erweitern können.
Wieder eine gefärbte Studie von Microsoft
Studie: Sicherheitsupdates bei Windows kostengünstiger als bei Open Source - nichts neues, nur eine weitere von Microsoft bezahlte und daher im Ergebnis vorher festgelegte Studie ohne jeden Wert. Interessant an den Studien ist nur der Name des jeweiligen Unternehmens was die Studie macht - das kann man dann auf die Korruptionsliste schreiben und sich merken, falls man selber mal irgendwelche Aussagen mit gefälschten und gefärbten Studien untermauern muss ...
Ansonsten? Naja, die Standardfehler halt. Erstmal keine wirklichen Belege, sondern eine nicht näher spezifizierte Liste von Unternehmen die gefragt wurden was sie dazu meinen (im Gegensatz zu Erhebung von harten Fakten). Und natürlich die Gleichsetzung von Red Hat mit Linux - was an sich schon grober Unfug ist.
Aus persönlicher Erfahrung mit beiden Systemen kann ich sagen das unsere Debian GNU/Linux Systeme wesentlich einfacher auf aktuellem Stand zu halten sind und damit beim Patchen wesentlich billiger sind als die Windows-Kisten. Und das obwohl beide dazu ihre integrierten Update-Mechanismen über das Netz nutzen (und für unsere Windows-Systeme sogar Betankungsplätze und interne Update-Server existieren). Aber mich fragt man für so eine Studie ja auch nicht - ich würd ja nicht ins von Microsoft bezahlte Bild passen ...
VIA legt EPIA-Treiber offen - könnte Jutta interessieren - der ganze X-Bereich und die Spezialchips sind ja bisher ziemlich bescheiden dokumentiert und unterstützt.
Studie bescheinigt Windows bessere Sicherheit als Linux
Studie bescheinigt Windows bessere Sicherheit als Linux - klar, wenn ich die Sicherheit von RedHat und Windows vergleiche und herausbekomme das die Firma RedHat noch langsamer als die Firma Microsoft ist, dann schliesse ich daraus das Linux unsicherer als Windows ist. Denn es ist ja völlig undenkbar das Leute die Server betreiben wesentliche Pakete entweder von Upstream betreiben oder ihre Patches auch anderswo bekommen. Und andere Distributionen als die einer Firma die Schweinegeld für Open Source verlangt und auch ansonsten im Geschäftsgebahren eher an Microsoft erinnert gibts natürlich auch nicht. Und das ganze dann finanziert von Microsoft. Das ist sicherlich eine völlig relevante Untersuchung.
Das nebenbei nirgendwo betrachtet wird ob die jeweiligen Fehler tatsächlich überhaupt für Angriffe genutzt werden konnten und ob sie für das Szenario überhaupt relevant sind - egal. Schmeissen wir alles in einen Haufen. Das Microsoft garnicht alle Bugs veröffentlicht und daher eine objektive Beurteilung offener Bugs an Windows dadurch völlig unmöglich ist, egal. Das nirgendwo unabhängig dokumentiert ist wann Microsoft tatsächlich ein Bug das erste Mal bekannt war und daher eine Beurteilung über die tatsächliche Dauer die man dem jeweiligen Bug ungeschützt war nicht möglich ist, egal. Das Microsoft in letzter Zeit mal wieder Bugs reinbringt (ich erinnere an die LAND-Attacke), die schon lange raus waren und das sowas ein ziemlich mieses Licht auf deren Entwicklungsmethodik wirft, egal.
Wie die jetzt allerdings glauben das irgendjemand den Mist als objektive Messung von Verwundbarkeit ansehen könnte und wieso sowas unter dem Stichwort "Research" läuft, das find ich schon wirklich lächerlich ...
SCO Uses Legal Documents from Groklaw and Tuxrocks - jau, klasse, die Verfechter der eigenen intellectual Property klauen für ihre Webseiten die IP von anderen Autoren ohne die Quelle anzugeben. Wie peinlich ist denn sowas ...
Agata Report ist sowas wie Crystal Reports, nur für Linux und Open Source. Könnte mal gelegentlich ganz praktisch sein, zumal es wohl auch Reports generieren kann die leicht auf einem Webserver laufen können.
FUD Kampagne gegen Linux
Linux für Großunternehmen ungeeignet? Behauptet zumindestens die Agility Allianz. Und wer ist das? Schaun mer mal bei Pro-Linux:
Die Agility Allianz, ein Zusammenschluss verschiedener Branchenschwergewichte wie EDS, Fuji Xerox, Cisco, Microsoft, Sun, Dell und EMC warnt Großunternehmen vor dem Einsatz von Linux auf Grund von Sicherheitsbedenken, Problemen bei der Skalierbarkeit sowie fehlender zwingender Kostenvorteile.
Ok. Microsoft. SUN. Cisco. Das sind natürlich vor allem drei Unternehmen die geradezu dafür prädestiniert sind den Unternehmen den Einsatz von Linux vorzuschlagen
Die besondere Sorge Rasmussens gilt dem möglichen Einsatz von Linux auf Mainframes, so genannten Supercomputern. Hier glaubt man in der Agility Allianz, dass Linux gegenüber den von der Initiative propagierten Betriebssystemen keinen zwingenden Kostenvorteil besitzt und zudem Probleme mit der Skalierbarkeit habe.
Jau. Wo ist eigentlich IBM in der Runde - ich mein, wenns um Mainframes geht, wär das nicht praktisch wenn einer dabei wäre, der auch tatsächlich echte Mainframes anbietet? Achso, IBM propagiert durchaus den Einsatz von Linux auf dem Mainframe. Na sowas aber auch, die Schelme ...
SCO OpenServer 6 mit viel Open Source - ja, auch das bedeutet Open Source: das Firmen wie SCO sie benutzen dürfen. Ist auch in Ordnung: wenn die SCO-Kunden erst auf die ganzen Open Source Anwendungen und Plattformen umgestellt sind, wird der Umstieg auf Linux für diese wesentlich einfacher
Debian plant Verringerung der Architekturanzahl - ob das so die pralle Idee ist, weiss ich nicht. Gerade die vielen Architekturen waren mit ein Pro-Argument für Debian. Klar, Exotenarchitekturen können Probleme machen - speziell wenn sie bei den für einen Release anstehenden Recompile-Orgien einfach nicht mitkommen (ich denke da an die 68K Architektur). Trotzdem ist es schade, wenn dieser Aspekt von Debian geschwächt wird.
grsecurity installieren
Ich hab früher schon mal mit grsecurity gespielt, aber die Installation war etwas hakelig - vor allem wusste man nicht was man wie konfigurieren sollte als Start und wie eine vernünftige rule-based Security anfangen sollte - das ganze war damals eher ein trial-and-error-Gehopse als eine verständliche Installation. Für eine Security-Lösung für ein Betriebssystem ist es aber eher negativ wenn man nicht das Gefühl bekommt zu verstehen was dort passiert.
Mit den aktuellen Versionen von grsecurity hat sich das allerdings weitestgehend geändert. Zum Einen laufen die Patches völlig problemlos in den Kernel rein, zum Anderen gibt es zwei wesentliche Features die den Einstieg leichter machen: einen Quick Guide und RBACK Full System Learning.
Der Quick Guide liefert eine kurze und knappe Installationsanleitung für grsecurity mit einer Startkonfiguration für die ganzen Optionen die schon eine recht gute Basis bietet und problematische Optionen (die manchen Systemdienst ausgrenzen könnten) ausschliesst. Dadurch kriegt man eine grsecurity-Installation hin die eine Menge Schutz bietet, aber normalerweise nicht mit üblichen Systemdiensten in Konflikt gerät. Das ist besonders wichtig für Leute mit Root-Servern - eine falsche Grundkonfiguration könnte sie selber aus dem System aussperren und damit das System unbenutzbar und zum Servicefall machen.
Richtig nett ist aber das Full System Learning: hier wird die RBAC-Engine in ein Logging-System umgewandelt und mitprotokolliert welche Benutzer was ausführen und was für Rechte dafür von Nöten sind. Gesteuert wird das ganze noch durch entsprechende Basisconfigs die verschiedene Systembereiche unterschiedlich einstufen (z.B. sicherstellen das der Benutzer auf alles in seinem Home zugreifen kann, aber nicht zwingend auf alles in diversen Systemverzeichnissen). Man lässt das System einfach ein paar Tage laufen (um auch Cron-Jobs mitzubekommen) und lässt daraus dann eine Startkonfiguration für RBAC erzeugen. Die kann man dann natürlich noch finetunen (sollte man auch später machen - aber als Start ist das schon ganz brauchbar).
RBAC ist im Prinzip eine zweite Sicherheits/Rechte-Schicht oberhalb der klassischen user/group Mechanismen von Linux. Der Root-Benutzer hat also nicht automatisch alle Rechte und Zugriffe auf alle Bereiche. Statt dessen muss ein Benutzer sich parallel zu seiner normalen Anmeldung (die bei Systemdiensten ja implizit durch den Systemstart geschieht!) noch an das RBAC-Subsystem anmelden. Dort werden Regeln hinterlegt die beschreiben wie verschiedene Rollen im System verschiedene Zugriffserlaubnis haben.
Der Vorteil: auch automatisch gestartete Systemdiensten dürfen eben nur auf das zugreifen was in der RBAC-Konfiguration vorgesehen ist - selbst wenn sie unter root-Rechten laufen. Sie haben nur eingeschränkte Fähigkeiten im System bis sie sich am RBAC Subsystem anmelden - dazu ist aber bei den höheren Rollen in der Regel eine manuelle Passworteingabe nötig. Angreifer von aussen können also zwar die von RBAC eingeschränkten Benutzerrechte erlangen, in der Regel aber nicht auf die höheren Rollen hochkommen und daher nicht so weit in das System eingreifen wie es ohne RBAC möglich wäre.
Der Nachteil (sollte man nicht verschweigen): RBAC ist komplex. Und kompliziert. Macht man was falsch, ist das System gesperrt - bei Rootservern die irgendwo draussen im Netz stehen ziemlich lästig. Man sollte also immer Fallback-Strategien haben, damit man ein blockiertes System noch erreichen kann. Zum Beispiel nach Änderungen der RBACs die automatische Aktivierung beim Systemstart auskommentieren, so das bei Problemen ein Reboot das System in einen offeneren Zustand versetzt. Oder einen Notzugang haben, über den man auch ein blockiertes System noch einigermaßen administrieren kann. Generell gilt wie bei allen komplexen Systemen: Pfoten weg wenn man nicht weiss was man tut.
Zusätzlich zu dem sehr mächtigen RBAC bietet grsecurity noch eine ganze Reihe weiterer Mechanismen. Der zweite grosse Block ist pax(wichtig: hier muss eine aktuelle Version benutzt werden, in allen älteren ist ein böses Sicherheitsloch) - ein Subsystem das Bufferoverflow-Attacken einschränkt in dem es Speicherblöcken die Ausführbarkeit und/oder die Schreibbarkeit entzieht. Vor allem wichtig für den Stack, da gerade dort die meissten Buffer-Overflows ansetzen. Pax sorgt dafür, das beschreibbare Bereiche nicht gleichzeitig ausführbar sind.
Ein dritter grösserer Block ist die bessere Absicherung von chroot-Jails. Die klassischen Möglichkeiten für Prozesse aus einem chroot-Jail auszubrechen sind nicht mehr gegeben, da viele dafür nötige Funktionen in einem chroot Jail einfach deaktiviert sind. Gerade für Admins die ihre Dienste in chroot-Jails laufen lassen bietet grsecurity wichtige Hilfsmittel, da eben diese chroot-Jails nur sehr umständlich wirklich ausbruchsicher hinzubekommen waren.
Der Rest von grsecurity befasst sich mit einer ganzen Sammlung von kleineren Patches und Änderungen im System, viele beschäftigen sich mit besserer Randomization von Ports/Sockets/Pids und anderen System-IDs. Dadurch werden Angriffe schwieriger, weil das Verhalten des Systems weniger vorhersagbar ist - besonders wichtig bei diversen local exploits, bei denen zum Beispiel die Kenntniss der PID eines Prozesses dazu genutzt wird um Zugriffe auf Bereiche zu erlangen, die über die PID identifiziert werden (Speicherbereiche, temporäre Files etc.). Auch die Sichtbarkeit von Systemprozessen wird eingeschränkt - normale Benutzer bekommen einfach keinen Zugriff auf die gesamte Prozessliste und werden auch im /proc Filesystem eingeschränkt - und können deshalb nicht so leicht laufende Systemprozesse angreifen.
Eine komplette Liste der Features von grsecurity ist online.
Alles in allem bietet grsecurity eine sehr sinnvolle Zusammenstellung von Sicherheitspatches die jedem Betreiber eines Servers ans Herz gelegt werden sollte - die Möglichkeit von Remote Exploits wird drastisch eingeschränkt und auch die lokale Systemsicherheit durch die RBAC deutlich aufgewertet. Es gibt bei der doch recht einfachen Implementierung des grsecurity-Patches in ein bestehendes System (einfach den Kernel patchen und neu installieren, booten, lernen, aktivieren - fertig) keinen Grund den Patch nicht zum Beispiel auf Rootservern standardmäßig zu nutzen. Eigentlich sollte ein Security-Patch genauso zur Systemeinrichtung gehören wie eine Backupstrategie.
Jetzt wärs natürlich noch schöner wenn die eigentliche Dokumentation des Systems etwas grösser als die man-Pages und ein paar Whitepapers wäre - und vor allem auf aktuellem Stand wäre. Das ist noch immer ein echtes Manko, weil eben das richtige Gefühl das System verstanden zu haben sich ohne qualifizierte Dokumentation nicht so recht einstellen will ...
SCO vs. Linux: SCO verlangt Einsicht in IBMs Konstruktionspläne - mich würde der medizinische Fachterminus interessieren der beschreibt woran die SCO Führungsriege leidet
Virtualisierte Server unter Linux
rHype ist ein IBM Projekt das ganz frisch unter Open Source Lizenz (GPL) gestellt veröffentlicht wurde. Dieses Projekt ist im Prinzip eine Virtualisierungsmaschine für Linux. Vergleichbar mit den LPARs von IBM-Grossrechnern, nur natürlich für deutlich kleinere Maschinen ausgelegt.
Es könnte die ideale Ergänzung zu Xen sein - einem anderen GPL Projekt zur Virtualisierung auf Linux-Basis. Beides zusammen genommen könnte dann eine interessante Open Source Alternative zu VMWare werden.
Virtualisierte Server sind für viele Zwecke sehr interessant, da man in der Regel bei Problemen nur eine virtuelle Maschine verliert und die Migration von Diensten auf virtuellen Maschinen einfacher ist als mit realer Hardware rumzuschieben. Lieber einige dicke Kisten mit virtualisierten Servern drauf als viele kleinere Kisten mit dediziertem System.
Virtualisierte Server im realen Einsatz kann man mit User Mode Linux übrigens schon heute machen. Dabei wird ein Linux Kernel statt direkt auf der Hardware über spezielle APIs im User Modus als eigener Prozess unter dem eigentlichen Hardware-Kernel betrieben. Jede virtualisierte Maschine hat ihren eigenen User Mode Kernel, ihren eigenen Speicher, ihre eigenen virtuellen Plattenbereiche.
LynuxWorks Introduces First User-Mode Linux Software for Apple PowerPC G5 Based on the Linux 2.6 Kernel - damit kann man jetzt auch auf PPC-Maschinen logisch getrennte virtuelle Umgebungen unter Linux aufbauen.
Zyklische Dependencies
Debian hat ein wunderschönes Paketsystem. Und es hat eine ganze Reihe von sehr brauchbaren Werkzeugen um Backports einfacher zu machen - zum Beispiel in dem man mit debootstrap ein chroot-Environment zusammenstellt in dem man gefahrlos die Pakete zusammentragen kann die man für den Build braucht und dann ein entsprechendes Paket erstellt. Ich habe das ganze schon mehrfach benutzt, es ist wirklich klasse.
Allerdings kann einen das auch manchmal in den Wahnsinn treiben. Ich wollte die neuste SQLite aus der Debian Testing installieren. Dazu brauche ich erstmal die nötigen Tools um das Paket builden zu können. Da ich ein neues chroot Environment aufgesetzt hatte, war noch nicht alles da - zum Beispiel fehlte mir cdbs, ein sehr mächtiges (und mitlerweile viel benutztes) Tool zur einfachen Erstellung von Debian Paketen. Das hatte ich schon mal vorher portiert, aber ich dachte mir die Gelegenheit sei günstig da mal eine aktuelle Version zu bauen.
Dachte ich. Fing auch ganz harmlos an - es braucht für die Dokumentation springgraph - ein Tool zur Formatierung von Grafen. Das Tool selber hat eigentlich keine Builddependencies (ausser den obligatorischen Debhelpern). Fein. Baut auch sehr schnell. Bei der Installation meckert es dann über fehlende Perlmodule für die GD2 Einbindung. Ok, Perlmodule zu portieren ist oft nervig, aber dieses sah eigentlich ganz simpel aus. Eine Reihe von Buildabhängigkeiten, klar, aber sonst harmlos. Bis auf den Fakt, das es zum Builden cdbs braucht.
Aaaaarghl!!!!
Okok, ich weiss was man machen muss. Trotzdem. Manchmal hab ich das Gefühl die Debian-Maintainer setzen sich heimlich zusammen um mich in den Wahnsinn zu treiben
Linux: Tuning The Kernel With A Genetic Algorithm
Cool - Genetische Algorithmen zur Kernel-Optimierung einzusetzen, das hat was.
Allerdings kommt dann irgendwann das Problem das der Kernel schlauer ist als sein Benutzer ...
Renaissance - GNUStep GUI Beschreibungssprache und Bibliothek auch für OS X Cocoa
freshmeat.net: Project details for Kernel TCP Virtual Server - Virtuelle Server (Performance- oder Failsafe-Cluster) auf Protokollinhalt aufbauend direkt im Linux Kernel
Index of /data/gnustep/ - GNUstep live CD - ähnlich wie Knoppix, aber ein anständiger Desktop
OpenPsion - Linux for Psion Computers - Linux auf Psion Serie 5 und Netbook
SFTP Chroot Howto - Erläuterung wie man ssh so einrichtet, das sftp chrooted läuft
:: radiant data :: - replizierendes Dateisystem auf P2P Basis für Linux