abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 20:44 | Nová verze

Po více než 3 měsících vývoje od vydání verze 238 oznámil Lennart Poettering vydání verze 239 správce systému a služeb systemd (GitHub, NEWS).

Ladislav Hagara | Komentářů: 0
dnes 15:00 | Nová verze

Bylo oznámeno vydání nové stabilní verze 1.28 a beta verze 1.29 open source textového editoru Atom (Wikipedie). Přehled novinek i s náhledy v příspěvku na blogu. Podrobnosti v poznámkách k vydání. Atom 1.28 je postaven na Electronu 2.0.

Ladislav Hagara | Komentářů: 0
dnes 14:00 | Nová verze

Byla vydána nová verze 2.3.0 multiplatformního svobodného frameworku pro zpracování obrazu G'MIC (GREYC's Magic for Image Computing, Wikipedie). Přehled novinek i s náhledy na PIXLS.US.

Ladislav Hagara | Komentářů: 0
dnes 13:00 | Komunita

Akční RPG hra Shadowrun Returns Deluxe, kterou lze hrát i na Linuxu je nyní zdarma na Humble Bundle. Hra vyšla díky kampani na Kickstarteru v roce 2013.

tajny_007 | Komentářů: 0
dnes 01:00 | Nová verze

Byla vydána verze 1.27 programovacího jazyka Rust (Wikipedie). Z novinek je nutno zmínit podporu SIMD (Single Instruction Multiple Data). Podrobnosti v poznámkách k vydání. Vyzkoušet Rust lze například na stránce Rust by Example.

Ladislav Hagara | Komentářů: 4
včera 16:22 | IT novinky

CEO Intelu Brian Krzanich rezignoval (tisková zpráva). Oficiálním důvodem je "vztah na pracovišti". S okamžitou platností se dočasným CEO stal Robert Swan.

Ladislav Hagara | Komentářů: 37
včera 14:11 | Komunita

Konsorcium Linux Foundation ve spolupráci s kariérním portálem Dice.com zveřejnilo 2018 Open Source Jobs Report. Poptávka po odbornících na open source neustále roste.

Ladislav Hagara | Komentářů: 1
včera 12:44 | Zajímavý článek

Na stránkách linuxové distribuce Ubuntu Studio byla publikována příručka Ubuntu Studio Audio Handbook věnována vytváření, nahrávaní a úpravě zvuků a hudby nejenom v Ubuntu Studiu. Jedná se o živý dokument editovatelný na jejich wiki.

Ladislav Hagara | Komentářů: 0
včera 12:11 | Zajímavý projekt

Společnost Red Hat koupila na konci ledna společnost CoreOS stojící mimo jiné za odlehčenou linuxovou distribucí optimalizovanou pro běh kontejnerů Container Linux. Matthew Miller, vedoucí projektu Fedora, představil v článku na Fedora Magazine nový podprojekt Fedory s názvem Fedora CoreOS. Fedora CoreOS má být to nejlepší z Container Linuxu a Fedora Atomic Hostu. Podrobnosti v často kladených otázkách (FAQ) a v diskusním fóru.

Ladislav Hagara | Komentářů: 0
včera 08:00 | Nová verze

Po více než devíti měsících vývoje od vydání verze 11.0 byla vydána verze 12.0 zvukového serveru PulseAudio. Přehled novinek v poznámkách k vydání.

Ladislav Hagara | Komentářů: 11
Jak čtete delší texty z webových stránek?
 (78%)
 (22%)
 (4%)
 (7%)
 (2%)
 (10%)
Celkem 243 hlasů
 Komentářů: 39, poslední včera 17:44
    Rozcestník

    Jaderné noviny – 29. 3. 2012: Ověřování integrity systému

    16. 4. 2012 | Luboš Doležel | Jaderné noviny | 2997×

    Aktuální verze jádra. Citáty týdne: Ingo Molnar, Andrew Morton, Casey Schaufler. Ovladač Nouveau opouští staging. Začleňovací okno verze 3.4, druhá část. Rozšíření IMA pro ověřování integrity.

    Obsah

    Aktuální verze jádra

    link

    Začleňovací okno pro verzi 3.4 zůstává otevřené, takže nevyšla žádná vývojová verze jádra. Pro přehled změn přetažených do jádra 3.4 vizte článek níže.

    Stabilní aktualizace: verze 3.0.26 a 3.2.13 vyšly 23. března; obě obsahují několik důležitých oprav.

    Aktualizace 2.6.34.11 vyšla 22. března; má notně dlouhý seznam oprav.

    Citáty týdne: Ingo Molnar, Andrew Morton, Casey Schaufler

    link

    Současný trend je takovýto: mezi 1000 zaslanými patchi je možná jeden patch, který má v přehledu změn příliš mnoho informací – ale alespoň obsahem přehledu změn pobaví, takže je stále v pořádku. 990 patchů má příliš málo informací. Zbylých 9 je v pořádku.

    -- Ingo Molnar

    Když jsem se tuto věc pokoušel zkontrolovat, zamotala se mi z toho hlava a pak jsem se sklátil na zem.

    -- Andrew Morton má nebezpečné zaměstnání

    V běžném počítačovém prostředí je žádoucí naplnit log upozorněními, aby s nimi mohl uživatel něco udělat. Na telefonu, set-top boxu, televizi nebo domácím kině je systémové logování špatná věc. Nikdo, komu nepřísluší se na zprávy v logu dívat, nechce žádné vidět. Je úplně jedno, jak důležitá tato zpráva může být.

    Je čím dál obtížnější mít rozumné ošetřování chyb na úrovni OS, protože se prostředí aplikací posouvají na čím dál vyšší úroveň a směrem k vyšší abstrakci.

    -- Casey Schaufler

    Ovladač Nouveau opouští staging

    link

    Linus začlenil patch, který přesouvá grafický ovladač Nouveau z jeho symbolického umístění ve staging do plnohodnotné hlavní řady; tento krok je mimo jiné znamením toho, že se neočekávají žádné změny v ABI (ke kterým už nějakou dobu stejně nedošlo). Taktéž byla začleněna počáteční podpora pro nastavování režimu na právě vydaných čipsetech „Kepler“ od NVIDIA.

    („Symbolického“, protože kód Nouveau nikdy ve stromu staging nebyl; jen tam byla umístěna konfigurační volba.)

    Začleňovací okno verze 3.4, druhá část

    link

    V oznámení verze 3.3 Linus vývojáře upozorňoval, že si během začleňovacího okna dopřeje trochu oddychu; to se během minulého týdne skutečně stalo. Přesto se mu podařilo přetáhnout nějakých 4000 změn od přehledu změn z minulého týdne. Některé z důležitějších změn začleněných za poslední týden obsahují:

    • PowerPC získalo nový nástroj pro vytváření dumpů za pomoci firmwaru za účelem rychlého vytvoření a analýzy crash dumpů.
    • Souborový systém GFS2 nyní podporuje ioctl() příkaz FITRIM, který je možné použít pro zaslání požadavku na zahození (discard) dat.
    • Systémové volání prctl() má novou volbu PR_SET_CHILD_SUBREAPER. Označení procesu touto volbou znamená, že všechny sirotčí podprocesy budou mít jako nového rodiče právě tento proces namísto init. Existuje i odpovídající volba PR_GET_CHILD_SUBREAPER.
    • Architektura Microblaze má nyní podporu pro high memory.
    • Připojovací volby noacl a noattr u ext4 byly obě označeny jako zastaralé a chystá se jejich odstranění. Bez těchto voleb nebude v budoucnu možné zakázat podporu ACL a rozšířených atributů. Žádný jiný souborový systém neumožňuje zákaz této funkčnosti. Volby „journal=update“ a „resize“ byly odstraněny úplně. Na druhou stranu sešlo z odstraňování voleb „bsd_df“, „minix_df“, „grpid“ a „nogrpid“ kvůli stížnostem od uživatelů.
    • Přibyla podpora pro spoustu nového hardwaru.

    Změny viditelné jaderným vývojářům zahrnují:

    • Byl začleněn nový subsystém „remoteproc“; umožňuje řízení vzdálených procesorů (těch, co běží na stejném SoC, ale běží na nich něco jiného než Linux) skrze sdílenou paměť. Nový subsystém „rpmsg“ je mechanismus na bázi virtio pro komunikaci s těmito procesory. Více najdete v dokumentaci remoteproc.txt a rpmsg.txt.
    • Nové makro for_each_clear_bit() prochází každým nenastaveným bitem ve slově.
    • Nová funkce poll_requested_events() umožňuje ovladačům zjišťovat, jaké konkrétní události uživatelský prostor polluje. Přibylo i:
      bool poll_does_not_wait(const poll_table *p);
      které vrátí true, pokud se ví, že volání poll() nebude blokovat.

    Za zmínku stojí i to, že bylo odvedeno mnoho práce ve stromu architektury ARM; aktivně se pracuje na konsolidaci a pročišťování kódu.

    Začleňovací okno verze 3.4 by normálně skončilo kolem 2. dubna. Když Linus oznamoval, že bude mít dovolenou, tak řekl, že prodlouží začleňovací okno, pokud to bude potřeba – i když upozorňoval, že bude brát v potaz jen požadavky na přetažení zaslané během tohoto okna. Jak se to nakonec přihodí, se teprve uvidí; tak či tak se v příštím vydání podíváme na další zařazenou funkčnost.

    Rozšíření IMA pro ověřování integrity

    link

    "Integrita" linuxového systému je založena na tom, zda na něm běží kód, který administrátor očekává. Pokud tomu tak není, tak mohlo dojít ke kompromitaci systému. Linuxový subsystém integrity má právě takovéto neočekávané změny v souborech detekovat, aby byl systém proti kompromitaci ochráněn. Toho je možné docílit vytvářením „měření“ integrity (hashe obsahu a metadat) u hlídaných souborů.

    Většina toho, co je pro správu integrity nutné, se už dostala do hlavní řady, ale pár kousků ještě schází. Sada patchů pro rozšíření IMA (architektura pro měření integrity) od Mimiho Zohara a Dmitryho Kasatkina doplňuje jeden chybějící dílek: ukládání a ověřování měření kontrolovaných souborů. Hash obsahu souboru a metadat bude uložen v rozšířeném atributu security.ima souboru a tato sada patchů bude vytvářet a spravovat tyto atributy. Navíc umožní vynucování toho, že obsah souboru musí být při otevírání pro čtení nebo spuštění „správný“, a to na základě uložených údajů.

    Subsystém integrity měl poněkud trnitou cestu do jádra. Byl navržen už v roce 2005, ale pak byl postupně rozdělen do menších kousků. Většina IMA byla přidána do jádra ve verzi 2.6.30, ale další kus „extended verification module“ (EVM) se toho dočkal až ve verzi 3.2. Podpora digitálních podpisů byla do EVM zařazena ve verzi 3.3 a vyhodnocovací kód pro IMA se právě reviduje.

    Na webové stránce IMA se píše, že subsystém integrity je určen k zastavení různých útoků proti obsahu souborů, a to online i offline. Neočekávané změny v souborech, zejména pak spustitelných, mohou být znamením, že systém byl kompromitován. Kromě toho subsystém umožňuje použití modulu TPM pro shromažďování měření integrity a jejich podepisování tak, aby se systém mohl za integritu zaručit. Toto potvrzení by mohlo být zasíláno jinému systému jako důkaz, že systém je nedotčen – běží pouze schválený kód.

    Aktuální jádra mohou generovat měření integrity spouštěných souborů, shromažďovat je a digitálně je podepisovat pomocí klíčů z TPM (nebo jaderné klíčenky) a používat tyto informace pro vzdálené ověřování. EVM přidává možnost překazit offline útoky na soubory hashováním hodnot rozšířených atributů souboru (např. security.selinux, security.ima), jejich podepsáním a uložením jako security.evm.

    Ale zatím jsme se ještě nedostali k tomu, co by zabránilo systému číst nebo spustit soubor, který byl změněn. Pokud je soubor s hashem IMA otevřen pro čtení a zápis, rozšíření ověří, zda obsah odpovídá hashi. Pokud nesouhlasí, tak o tom, co se bude dít, rozhoduje argument jádra ima_appraise. Pokud je nastaven na „enforce“, pak je přístup k souboru odepřen, zatímco „fix“ zaktualizuje atribut IMA na novou hodnotu. „off“ pak znamená, že je posuzování zcela vypnuto.

    Aby se docílilo vytvoření počátečních hodnot atributů security.ima na souborech, které se mají hlídat (ve výchozím stavu všechny soubory vlastněné rootem), stačí spustit jádro s parametrem ima_appraise_tcb a ima_appraise=fix a následně otevřít všechny soubory, o které máme zájem (např. pomocí příkazu find, jak je navrhováno na webu IMA).

    V reakci na starší verzi patche se James Morris zeptal, zda některá distribuce plánuje používat IMA a EVM, jakmile bude všechno pohromadě. George Wilson sdělil, že IBM má plány je používat interně, jakmile to distribuce zařadí. Kromě něj se ozvali Ryan Ware a Kasatkin s tím, že mobilní distribuce Tizen bude toto používat pro některé typy produktů.

    Ale než k tomu dojde, tak rozšíření pro posuzování musí změnit svůj způsob zamykání, aby se dostalo přes zamítnutí od Ala Vira. V aktuálním patchi je závěrečné __fput() odloženo, pokud je soubor zavřen před zavoláním munmap(). Viro má obavy, že změna chování na základě toho, jestli jádro IMA používá, nebo ne, může zkomplikovat odhalování problémů se zámky. Také řekl, že přidaná režie je pro takto vytěžované místo příliš vysoká a že patch nepokrývá všechna místa, kde je __fput() používáno. Zatím nebylo nalezeno žádné východisko, ačkoliv Al Viro navrhl používání jiného mutexu pro změny rozšířených atributů, i když by to znamenalo spoustu zkoumání kódu, aby se vůbec zjistilo, jestli je možné to udělat.

    Vzhledem k tomu, že patch dokončuje to, co započalo EVM, a z větší části završí subsystém pro ověřování integrity, je pravděpodobné, že se řešení nakonec najde. Stále je tu ještě několik kousků zhodnocování IMA, které ještě zbývá dodělat, alespoň podle tohoto PDF. Jsou zmíněny dvě konkrétní věci – přidat schopnost digitálního podepisování u souborů podepsaných výrobcem a pak ještě možnost ochrany obsahu adresářů (např. názvů souborů). I když aktuálně navržené patche ještě potřebují trochu úsilí, vývojáři pracující na subsystému integrity už pravděpodobně konečně vidí světlo na konci velmi dlouhého tunelu.

           

    Hodnocení: 100 %

            špatnédobré        

    Nástroje: Tisk bez diskuse

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Vložit další komentář

    16.4.2012 08:16 Honz
    Rozbalit Rozbalit vše Re: Jaderné noviny – 29. 3. 2012: Ověřování integrity systému
    Sklátil-spíš skácel...
    Bedňa avatar 16.4.2012 08:35 Bedňa | skóre: 34 | blog: Žumpa | Horňany
    Rozbalit Rozbalit vše Re: Jaderné noviny – 29. 3. 2012: Ověřování integrity systému
    Dík za článok, len malá chybka: Začleňovací okno verze 2.3, druhá část
    KERNEL ULTRAS video channel >>>
    Conscript89 avatar 16.4.2012 09:43 Conscript89 | Brno
    Rozbalit Rozbalit vše Re: Jaderné noviny – 29. 3. 2012: Ověřování integrity systému

    Argument jadra ima_appraise:

    • ima_appraise_tcb
    • ima_appraise=fix

    Nemelo by to prvni byt spis: ima_appraise=tcb ?

    I can only show you the door. You're the one that has to walk through it.
    Conscript89 avatar 16.4.2012 19:58 Conscript89 | Brno
    Rozbalit Rozbalit vše Re: Jaderné noviny – 29. 3. 2012: Ověřování integrity systému
    Tak po opetovnym precteni asi ne, protoze oba parametry se pouzivaji zaroven :)
    I can only show you the door. You're the one that has to walk through it.

    Založit nové vláknoNahoru

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.