abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

včera 19:33 | Zajímavý článek Marek Stopka | Komentářů: 2
včera 17:55 | Nová verze

Bylo oznámeno vydání nové verze 3.0.0 a krátce na to opravných verzí 3.0.1 a 3.0.2 nástroje mitmproxy určeného pro vytváření interaktivních MITM proxy pro HTTP a HTTPS komunikaci. Přehled novinek v příspěvku na blogu. Přispělo 56 vývojářů. Aktualizována byla také dokumentace [Hacker News].

Ladislav Hagara | Komentářů: 0
včera 01:11 | Nová verze

Byla vydána nová major verze 3.0 svobodného multiplatformního geografického informačního systému QGIS (Wikipedie). Její kódové jméno je Girona, dle názvu města, ve kterém proběhlo 15. setkání vývojářů QGISu. Přehled novinek i s náhledy a animacemi v poznámkách k vydání.

Ladislav Hagara | Komentářů: 0
23.2. 20:33 | Zajímavý článek

Nadace Raspberry Pi vydala sedmašedesáté číslo (pdf) anglicky psaného časopisu MagPi věnovanému Raspberry Pi a projektům postaveným na tomto jednodeskovém počítači a čtvrté číslo (pdf) časopisu pro kutily HackSpace věnovanému navíc 3D tisku, pájení, řezání nebo i elektronice a IoT.

Ladislav Hagara | Komentářů: 0
23.2. 18:33 | Komunita

Morevna Project, který stojí za řadou svobodného softwaru pro animátory (např. Synfig Studio, RenderChan nebo Papagayo-NG) a svobodnými (CC-BY-SA) animovanými filmy/komiksy Morevna (3. díl) a Pepper&Carrot: The Potion Contest (6. díl), sbírá do 1. března příspěvky na 4. díl svého animovaného filmu Morevna. Mezi odměnami přispěvatelům lze najít např. i videokurzy animace v Synfigu či Blenderu.

xHire | Komentářů: 0
23.2. 12:22 | Bezpečnostní upozornění

Ve středu vydaná "npm@next" verze 5.7.0 správce balíčků pro JavaScript npm (Wikipedie, Node Package Manager) přinesla řadě uživatelů Linuxu nečekanou nepříjemnost. V závislosti na způsobu instalace a ve spojení s příkazem sudo mohlo dojít ke změně vlastníka u systémových souborů, také například /. Chyba je opravena v před několika hodinami vydané verzi npm 5.7.1 [reddit].

Ladislav Hagara | Komentářů: 12
23.2. 10:00 | Nová verze

Byla vydána verze 10.5 open source alternativy GitHubu, tj. softwarového nástroje s webovým rozhraním umožňujícího spolupráci na zdrojových kódech, GitLab (Wikipedie). Představení nových vlastností v příspěvku na blogu. Zdůraznit lze integrovanou podporu Let's Encrypt.

Ladislav Hagara | Komentářů: 0
22.2. 12:33 | Komunita

Příspěvek na blogu Signalu (Wikipedie) informuje o založení neziskové nadace Signal Foundation, jež bude zastřešovat další vývoj tohoto svobodného bezpečného komunikátoru běžícího také na Linuxu (Signal Desktop). Brian Acton, spoluzakladatel WhatsAppu, věnoval nadaci 50 milionů dolarů [Hacker News].

Ladislav Hagara | Komentářů: 1
22.2. 05:55 | Zajímavý článek

Článek na Fedora Magazine krátce představuje programovací jazyk Rust a několik zajímavých v Rustu naprogramovaných terminálových aplikací. Jedná se o alternativu k příkazu grep ripgrep, moderní barevnou alternativu k příkazu ls exa, příkazem cloc inspirovaný tokei a zvířátko v terminálu ternimal.

Ladislav Hagara | Komentářů: 0
21.2. 23:55 | Zajímavý projekt

Byl spuštěn Humble Classics Return Bundle. Za vlastní cenu lze koupit hry Broken Sword 5 - The Serpent's Curse, Shadowrun Returns a Shadowrun: Dragonfall - Director's Cut. Při nadprůměrné platbě (aktuálně 8,48 $) také Shadowrun: Hong Kong - Extended Edition, Wasteland 2: Director's Cut - Standard Edition, Age of Wonders III a Xenonauts. Při platbě 15 $ a více lze získat navíc Torment: Tides of Numenera a Dreamfall Chapters: The Final Cut Edition.

Ladislav Hagara | Komentářů: 0
Který webový vyhledávač používáte nejčastěji?
 (2%)
 (28%)
 (62%)
 (2%)
 (3%)
 (0%)
 (1%)
 (1%)
Celkem 450 hlasů
 Komentářů: 35, poslední 21.2. 19:51
    Rozcestník

    Jaderné noviny – 29. 3. 2012: Ověřování integrity systému

    16. 4. 2012 | Luboš Doležel | Jaderné noviny | 2996×

    Aktuální verze jádra. Citáty týdne: Ingo Molnar, Andrew Morton, Casey Schaufler. Ovladač Nouveau opouští staging. Začleňovací okno verze 3.4, druhá část. Rozšíření IMA pro ověřování integrity.

    Obsah

    Aktuální verze jádra

    link

    Začleňovací okno pro verzi 3.4 zůstává otevřené, takže nevyšla žádná vývojová verze jádra. Pro přehled změn přetažených do jádra 3.4 vizte článek níže.

    Stabilní aktualizace: verze 3.0.26 a 3.2.13 vyšly 23. března; obě obsahují několik důležitých oprav.

    Aktualizace 2.6.34.11 vyšla 22. března; má notně dlouhý seznam oprav.

    Citáty týdne: Ingo Molnar, Andrew Morton, Casey Schaufler

    link

    Současný trend je takovýto: mezi 1000 zaslanými patchi je možná jeden patch, který má v přehledu změn příliš mnoho informací – ale alespoň obsahem přehledu změn pobaví, takže je stále v pořádku. 990 patchů má příliš málo informací. Zbylých 9 je v pořádku.

    -- Ingo Molnar

    Když jsem se tuto věc pokoušel zkontrolovat, zamotala se mi z toho hlava a pak jsem se sklátil na zem.

    -- Andrew Morton má nebezpečné zaměstnání

    V běžném počítačovém prostředí je žádoucí naplnit log upozorněními, aby s nimi mohl uživatel něco udělat. Na telefonu, set-top boxu, televizi nebo domácím kině je systémové logování špatná věc. Nikdo, komu nepřísluší se na zprávy v logu dívat, nechce žádné vidět. Je úplně jedno, jak důležitá tato zpráva může být.

    Je čím dál obtížnější mít rozumné ošetřování chyb na úrovni OS, protože se prostředí aplikací posouvají na čím dál vyšší úroveň a směrem k vyšší abstrakci.

    -- Casey Schaufler

    Ovladač Nouveau opouští staging

    link

    Linus začlenil patch, který přesouvá grafický ovladač Nouveau z jeho symbolického umístění ve staging do plnohodnotné hlavní řady; tento krok je mimo jiné znamením toho, že se neočekávají žádné změny v ABI (ke kterým už nějakou dobu stejně nedošlo). Taktéž byla začleněna počáteční podpora pro nastavování režimu na právě vydaných čipsetech „Kepler“ od NVIDIA.

    („Symbolického“, protože kód Nouveau nikdy ve stromu staging nebyl; jen tam byla umístěna konfigurační volba.)

    Začleňovací okno verze 3.4, druhá část

    link

    V oznámení verze 3.3 Linus vývojáře upozorňoval, že si během začleňovacího okna dopřeje trochu oddychu; to se během minulého týdne skutečně stalo. Přesto se mu podařilo přetáhnout nějakých 4000 změn od přehledu změn z minulého týdne. Některé z důležitějších změn začleněných za poslední týden obsahují:

    • PowerPC získalo nový nástroj pro vytváření dumpů za pomoci firmwaru za účelem rychlého vytvoření a analýzy crash dumpů.
    • Souborový systém GFS2 nyní podporuje ioctl() příkaz FITRIM, který je možné použít pro zaslání požadavku na zahození (discard) dat.
    • Systémové volání prctl() má novou volbu PR_SET_CHILD_SUBREAPER. Označení procesu touto volbou znamená, že všechny sirotčí podprocesy budou mít jako nového rodiče právě tento proces namísto init. Existuje i odpovídající volba PR_GET_CHILD_SUBREAPER.
    • Architektura Microblaze má nyní podporu pro high memory.
    • Připojovací volby noacl a noattr u ext4 byly obě označeny jako zastaralé a chystá se jejich odstranění. Bez těchto voleb nebude v budoucnu možné zakázat podporu ACL a rozšířených atributů. Žádný jiný souborový systém neumožňuje zákaz této funkčnosti. Volby „journal=update“ a „resize“ byly odstraněny úplně. Na druhou stranu sešlo z odstraňování voleb „bsd_df“, „minix_df“, „grpid“ a „nogrpid“ kvůli stížnostem od uživatelů.
    • Přibyla podpora pro spoustu nového hardwaru.

    Změny viditelné jaderným vývojářům zahrnují:

    • Byl začleněn nový subsystém „remoteproc“; umožňuje řízení vzdálených procesorů (těch, co běží na stejném SoC, ale běží na nich něco jiného než Linux) skrze sdílenou paměť. Nový subsystém „rpmsg“ je mechanismus na bázi virtio pro komunikaci s těmito procesory. Více najdete v dokumentaci remoteproc.txt a rpmsg.txt.
    • Nové makro for_each_clear_bit() prochází každým nenastaveným bitem ve slově.
    • Nová funkce poll_requested_events() umožňuje ovladačům zjišťovat, jaké konkrétní události uživatelský prostor polluje. Přibylo i:
      bool poll_does_not_wait(const poll_table *p);
      které vrátí true, pokud se ví, že volání poll() nebude blokovat.

    Za zmínku stojí i to, že bylo odvedeno mnoho práce ve stromu architektury ARM; aktivně se pracuje na konsolidaci a pročišťování kódu.

    Začleňovací okno verze 3.4 by normálně skončilo kolem 2. dubna. Když Linus oznamoval, že bude mít dovolenou, tak řekl, že prodlouží začleňovací okno, pokud to bude potřeba – i když upozorňoval, že bude brát v potaz jen požadavky na přetažení zaslané během tohoto okna. Jak se to nakonec přihodí, se teprve uvidí; tak či tak se v příštím vydání podíváme na další zařazenou funkčnost.

    Rozšíření IMA pro ověřování integrity

    link

    "Integrita" linuxového systému je založena na tom, zda na něm běží kód, který administrátor očekává. Pokud tomu tak není, tak mohlo dojít ke kompromitaci systému. Linuxový subsystém integrity má právě takovéto neočekávané změny v souborech detekovat, aby byl systém proti kompromitaci ochráněn. Toho je možné docílit vytvářením „měření“ integrity (hashe obsahu a metadat) u hlídaných souborů.

    Většina toho, co je pro správu integrity nutné, se už dostala do hlavní řady, ale pár kousků ještě schází. Sada patchů pro rozšíření IMA (architektura pro měření integrity) od Mimiho Zohara a Dmitryho Kasatkina doplňuje jeden chybějící dílek: ukládání a ověřování měření kontrolovaných souborů. Hash obsahu souboru a metadat bude uložen v rozšířeném atributu security.ima souboru a tato sada patchů bude vytvářet a spravovat tyto atributy. Navíc umožní vynucování toho, že obsah souboru musí být při otevírání pro čtení nebo spuštění „správný“, a to na základě uložených údajů.

    Subsystém integrity měl poněkud trnitou cestu do jádra. Byl navržen už v roce 2005, ale pak byl postupně rozdělen do menších kousků. Většina IMA byla přidána do jádra ve verzi 2.6.30, ale další kus „extended verification module“ (EVM) se toho dočkal až ve verzi 3.2. Podpora digitálních podpisů byla do EVM zařazena ve verzi 3.3 a vyhodnocovací kód pro IMA se právě reviduje.

    Na webové stránce IMA se píše, že subsystém integrity je určen k zastavení různých útoků proti obsahu souborů, a to online i offline. Neočekávané změny v souborech, zejména pak spustitelných, mohou být znamením, že systém byl kompromitován. Kromě toho subsystém umožňuje použití modulu TPM pro shromažďování měření integrity a jejich podepisování tak, aby se systém mohl za integritu zaručit. Toto potvrzení by mohlo být zasíláno jinému systému jako důkaz, že systém je nedotčen – běží pouze schválený kód.

    Aktuální jádra mohou generovat měření integrity spouštěných souborů, shromažďovat je a digitálně je podepisovat pomocí klíčů z TPM (nebo jaderné klíčenky) a používat tyto informace pro vzdálené ověřování. EVM přidává možnost překazit offline útoky na soubory hashováním hodnot rozšířených atributů souboru (např. security.selinux, security.ima), jejich podepsáním a uložením jako security.evm.

    Ale zatím jsme se ještě nedostali k tomu, co by zabránilo systému číst nebo spustit soubor, který byl změněn. Pokud je soubor s hashem IMA otevřen pro čtení a zápis, rozšíření ověří, zda obsah odpovídá hashi. Pokud nesouhlasí, tak o tom, co se bude dít, rozhoduje argument jádra ima_appraise. Pokud je nastaven na „enforce“, pak je přístup k souboru odepřen, zatímco „fix“ zaktualizuje atribut IMA na novou hodnotu. „off“ pak znamená, že je posuzování zcela vypnuto.

    Aby se docílilo vytvoření počátečních hodnot atributů security.ima na souborech, které se mají hlídat (ve výchozím stavu všechny soubory vlastněné rootem), stačí spustit jádro s parametrem ima_appraise_tcb a ima_appraise=fix a následně otevřít všechny soubory, o které máme zájem (např. pomocí příkazu find, jak je navrhováno na webu IMA).

    V reakci na starší verzi patche se James Morris zeptal, zda některá distribuce plánuje používat IMA a EVM, jakmile bude všechno pohromadě. George Wilson sdělil, že IBM má plány je používat interně, jakmile to distribuce zařadí. Kromě něj se ozvali Ryan Ware a Kasatkin s tím, že mobilní distribuce Tizen bude toto používat pro některé typy produktů.

    Ale než k tomu dojde, tak rozšíření pro posuzování musí změnit svůj způsob zamykání, aby se dostalo přes zamítnutí od Ala Vira. V aktuálním patchi je závěrečné __fput() odloženo, pokud je soubor zavřen před zavoláním munmap(). Viro má obavy, že změna chování na základě toho, jestli jádro IMA používá, nebo ne, může zkomplikovat odhalování problémů se zámky. Také řekl, že přidaná režie je pro takto vytěžované místo příliš vysoká a že patch nepokrývá všechna místa, kde je __fput() používáno. Zatím nebylo nalezeno žádné východisko, ačkoliv Al Viro navrhl používání jiného mutexu pro změny rozšířených atributů, i když by to znamenalo spoustu zkoumání kódu, aby se vůbec zjistilo, jestli je možné to udělat.

    Vzhledem k tomu, že patch dokončuje to, co započalo EVM, a z větší části završí subsystém pro ověřování integrity, je pravděpodobné, že se řešení nakonec najde. Stále je tu ještě několik kousků zhodnocování IMA, které ještě zbývá dodělat, alespoň podle tohoto PDF. Jsou zmíněny dvě konkrétní věci – přidat schopnost digitálního podepisování u souborů podepsaných výrobcem a pak ještě možnost ochrany obsahu adresářů (např. názvů souborů). I když aktuálně navržené patche ještě potřebují trochu úsilí, vývojáři pracující na subsystému integrity už pravděpodobně konečně vidí světlo na konci velmi dlouhého tunelu.

           

    Hodnocení: 100 %

            špatnédobré        

    Nástroje: Tisk bez diskuse

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Vložit další komentář

    16.4.2012 08:16 Honz
    Rozbalit Rozbalit vše Re: Jaderné noviny – 29. 3. 2012: Ověřování integrity systému
    Sklátil-spíš skácel...
    Bedňa avatar 16.4.2012 08:35 Bedňa | skóre: 34 | blog: Žumpa | Horňany
    Rozbalit Rozbalit vše Re: Jaderné noviny – 29. 3. 2012: Ověřování integrity systému
    Dík za článok, len malá chybka: Začleňovací okno verze 2.3, druhá část
    KERNEL ULTRAS video channel >>>
    Conscript89 avatar 16.4.2012 09:43 Conscript89 | Brno
    Rozbalit Rozbalit vše Re: Jaderné noviny – 29. 3. 2012: Ověřování integrity systému

    Argument jadra ima_appraise:

    • ima_appraise_tcb
    • ima_appraise=fix

    Nemelo by to prvni byt spis: ima_appraise=tcb ?

    I can only show you the door. You're the one that has to walk through it.
    Conscript89 avatar 16.4.2012 19:58 Conscript89 | Brno
    Rozbalit Rozbalit vše Re: Jaderné noviny – 29. 3. 2012: Ověřování integrity systému
    Tak po opetovnym precteni asi ne, protoze oba parametry se pouzivaji zaroven :)
    I can only show you the door. You're the one that has to walk through it.

    Založit nové vláknoNahoru

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.