abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

dnes 00:22 | Nasazení Linuxu

Společnost Samsung oznámila, že skrze dokovací stanici DeX a aplikaci Linux on Galaxy bude možno na Samsung Galaxy S8 a S8+ a Galaxy Note 8 provozovat Linux. Distribuce nebyly blíže upřesněny.

Phantom Alien | Komentářů: 1
včera 23:55 | Komunita

Společnost Librem na svém blogu oznámila, že jejich notebooky Librem jsou nově dodávány se zrušeným (neutralized and disabled) Intel Management Engine (ME). Aktualizací corebootu na již prodaných noteboocích lze Management Engine také zrušit. Více v podrobném článku.

Ladislav Hagara | Komentářů: 0
včera 21:44 | Nová verze

Organizace Apache Software Foundation (ASF) na svém blogu slaví páté výročí kancelářského balíku Apache OpenOffice jako jejího Top-Level projektu. Při této příležitosti byl vydán Apache OpenOffice 4.1.4 (AOO 4.1.4). Podrobnosti v poznámkách k vydání. Dlouhé čekání na novou verzi tak skončilo.

Ladislav Hagara | Komentářů: 1
včera 19:22 | Pozvánky

Již příští týden - 26. a 27. října se v Praze v hotelu Olšanka odehraje OpenWRT Summit. Na webu konference naleznete program a možnost zakoupení lístků - ty stojí 55 dolarů. Čtvrtek bude přednáškový a v pátek se budou odehrávat převážně workshopy a meetingy.

Miška | Komentářů: 0
včera 13:44 | Nová verze

Bylo vydáno Ubuntu 17.10 s kódovým názvem Artful Aardvark. Ke stažení jsou Ubuntu Desktop a Server, Ubuntu Cloud Images, Ubuntu Netboot, Kubuntu, Lubuntu a Lubuntu Alternate, Lubuntu Next, Ubuntu Budgie, Ubuntu Kylin, Ubuntu MATE, Ubuntu Studio a Xubuntu. Podrobnosti v poznámkách k vydání.

Ladislav Hagara | Komentářů: 5
včera 13:00 | Komunita

MojeFedora.cz informuje, že Fedora 27 dostane podporu pro AAC. Podpora multimediálních formátů je ve výchozí instalaci Fedory tradičně limitovaná kvůli softwarovým patentům, ale desktopový tým Red Hatu se ji i tak snaží v poslední době co nejvíce rozšířit. Už nějaký čas obsahuje kodeky pro MP3, H.264, AC3 a nyní byl přidán také kodek pro další velmi rozšířený zvukový formát – AAC.

Ladislav Hagara | Komentářů: 2
18.10. 23:55 | Pozvánky

Spolek OpenAlt zve příznivce otevřených technologií a otevřeného přístupu na 145. brněnský sraz, který proběhne v pátek 20. října od 18:00 hodin v restauraci Time Out na adrese Novoměstská 2 v Řečkovicích. Jedná se o poslední sraz před konferencí OpenAlt 2017, jež proběhne o víkendu 4. a 5. listopadu 2017 na FIT VUT v Brně. Běží registrace účastníků.

Ladislav Hagara | Komentářů: 0
18.10. 21:44 | Nová verze

Byla vydána verze 5.2.0 multiplatformního virtualizačního nástroje Oracle VM VirtualBox. Jedná se o první stabilní verzi z nové větve 5.2. Z novinek lze zmínit například možnost exportování VM do Oracle Cloudu, bezobslužnou instalaci hostovaného systému nebo vylepšené GUI. Podrobnosti v seznamu změn. Aktualizována byla také dokumentace.

Ladislav Hagara | Komentářů: 2
18.10. 14:00 | Zajímavý projekt

Byl spuštěn Humble Down Under Bundle. Za vlastní cenu lze koupit multiplatformní hry The Warlock of Firetop Mountain, Screencheat, Hand of Fate a Satellite Reign. Při nadprůměrné platbě (aktuálně 3,63 $) také Hacknet, Hacknet Labyrinths, Crawl a Hurtworld. Při platbě 12 $ a více lze získat navíc Armello.

Ladislav Hagara | Komentářů: 0
18.10. 13:00 | Nová verze

Google Chrome 62 byl prohlášen za stabilní (YouTube). Nejnovější stabilní verze 62.0.3202.62 tohoto webového prohlížeče přináší řadu oprav a vylepšení. Vylepšeny byly také nástroje pro vývojáře (YouTube). Opraveno bylo 35 bezpečnostních chyb.

Ladislav Hagara | Komentářů: 4
Jak se vás potenciálně dotkne trend odstraňování analogového audio konektoru typu 3,5mm jack z „chytrých telefonů“?
 (11%)
 (1%)
 (1%)
 (1%)
 (74%)
 (12%)
Celkem 108 hlasů
 Komentářů: 7, poslední včera 23:06
    Rozcestník

    Jaderné noviny – 29. 3. 2012: Ověřování integrity systému

    16. 4. 2012 | Luboš Doležel | Jaderné noviny | 2996×

    Aktuální verze jádra. Citáty týdne: Ingo Molnar, Andrew Morton, Casey Schaufler. Ovladač Nouveau opouští staging. Začleňovací okno verze 3.4, druhá část. Rozšíření IMA pro ověřování integrity.

    Obsah

    Aktuální verze jádra

    link

    Začleňovací okno pro verzi 3.4 zůstává otevřené, takže nevyšla žádná vývojová verze jádra. Pro přehled změn přetažených do jádra 3.4 vizte článek níže.

    Stabilní aktualizace: verze 3.0.26 a 3.2.13 vyšly 23. března; obě obsahují několik důležitých oprav.

    Aktualizace 2.6.34.11 vyšla 22. března; má notně dlouhý seznam oprav.

    Citáty týdne: Ingo Molnar, Andrew Morton, Casey Schaufler

    link

    Současný trend je takovýto: mezi 1000 zaslanými patchi je možná jeden patch, který má v přehledu změn příliš mnoho informací – ale alespoň obsahem přehledu změn pobaví, takže je stále v pořádku. 990 patchů má příliš málo informací. Zbylých 9 je v pořádku.

    -- Ingo Molnar

    Když jsem se tuto věc pokoušel zkontrolovat, zamotala se mi z toho hlava a pak jsem se sklátil na zem.

    -- Andrew Morton má nebezpečné zaměstnání

    V běžném počítačovém prostředí je žádoucí naplnit log upozorněními, aby s nimi mohl uživatel něco udělat. Na telefonu, set-top boxu, televizi nebo domácím kině je systémové logování špatná věc. Nikdo, komu nepřísluší se na zprávy v logu dívat, nechce žádné vidět. Je úplně jedno, jak důležitá tato zpráva může být.

    Je čím dál obtížnější mít rozumné ošetřování chyb na úrovni OS, protože se prostředí aplikací posouvají na čím dál vyšší úroveň a směrem k vyšší abstrakci.

    -- Casey Schaufler

    Ovladač Nouveau opouští staging

    link

    Linus začlenil patch, který přesouvá grafický ovladač Nouveau z jeho symbolického umístění ve staging do plnohodnotné hlavní řady; tento krok je mimo jiné znamením toho, že se neočekávají žádné změny v ABI (ke kterým už nějakou dobu stejně nedošlo). Taktéž byla začleněna počáteční podpora pro nastavování režimu na právě vydaných čipsetech „Kepler“ od NVIDIA.

    („Symbolického“, protože kód Nouveau nikdy ve stromu staging nebyl; jen tam byla umístěna konfigurační volba.)

    Začleňovací okno verze 3.4, druhá část

    link

    V oznámení verze 3.3 Linus vývojáře upozorňoval, že si během začleňovacího okna dopřeje trochu oddychu; to se během minulého týdne skutečně stalo. Přesto se mu podařilo přetáhnout nějakých 4000 změn od přehledu změn z minulého týdne. Některé z důležitějších změn začleněných za poslední týden obsahují:

    • PowerPC získalo nový nástroj pro vytváření dumpů za pomoci firmwaru za účelem rychlého vytvoření a analýzy crash dumpů.
    • Souborový systém GFS2 nyní podporuje ioctl() příkaz FITRIM, který je možné použít pro zaslání požadavku na zahození (discard) dat.
    • Systémové volání prctl() má novou volbu PR_SET_CHILD_SUBREAPER. Označení procesu touto volbou znamená, že všechny sirotčí podprocesy budou mít jako nového rodiče právě tento proces namísto init. Existuje i odpovídající volba PR_GET_CHILD_SUBREAPER.
    • Architektura Microblaze má nyní podporu pro high memory.
    • Připojovací volby noacl a noattr u ext4 byly obě označeny jako zastaralé a chystá se jejich odstranění. Bez těchto voleb nebude v budoucnu možné zakázat podporu ACL a rozšířených atributů. Žádný jiný souborový systém neumožňuje zákaz této funkčnosti. Volby „journal=update“ a „resize“ byly odstraněny úplně. Na druhou stranu sešlo z odstraňování voleb „bsd_df“, „minix_df“, „grpid“ a „nogrpid“ kvůli stížnostem od uživatelů.
    • Přibyla podpora pro spoustu nového hardwaru.

    Změny viditelné jaderným vývojářům zahrnují:

    • Byl začleněn nový subsystém „remoteproc“; umožňuje řízení vzdálených procesorů (těch, co běží na stejném SoC, ale běží na nich něco jiného než Linux) skrze sdílenou paměť. Nový subsystém „rpmsg“ je mechanismus na bázi virtio pro komunikaci s těmito procesory. Více najdete v dokumentaci remoteproc.txt a rpmsg.txt.
    • Nové makro for_each_clear_bit() prochází každým nenastaveným bitem ve slově.
    • Nová funkce poll_requested_events() umožňuje ovladačům zjišťovat, jaké konkrétní události uživatelský prostor polluje. Přibylo i:
      bool poll_does_not_wait(const poll_table *p);
      které vrátí true, pokud se ví, že volání poll() nebude blokovat.

    Za zmínku stojí i to, že bylo odvedeno mnoho práce ve stromu architektury ARM; aktivně se pracuje na konsolidaci a pročišťování kódu.

    Začleňovací okno verze 3.4 by normálně skončilo kolem 2. dubna. Když Linus oznamoval, že bude mít dovolenou, tak řekl, že prodlouží začleňovací okno, pokud to bude potřeba – i když upozorňoval, že bude brát v potaz jen požadavky na přetažení zaslané během tohoto okna. Jak se to nakonec přihodí, se teprve uvidí; tak či tak se v příštím vydání podíváme na další zařazenou funkčnost.

    Rozšíření IMA pro ověřování integrity

    link

    "Integrita" linuxového systému je založena na tom, zda na něm běží kód, který administrátor očekává. Pokud tomu tak není, tak mohlo dojít ke kompromitaci systému. Linuxový subsystém integrity má právě takovéto neočekávané změny v souborech detekovat, aby byl systém proti kompromitaci ochráněn. Toho je možné docílit vytvářením „měření“ integrity (hashe obsahu a metadat) u hlídaných souborů.

    Většina toho, co je pro správu integrity nutné, se už dostala do hlavní řady, ale pár kousků ještě schází. Sada patchů pro rozšíření IMA (architektura pro měření integrity) od Mimiho Zohara a Dmitryho Kasatkina doplňuje jeden chybějící dílek: ukládání a ověřování měření kontrolovaných souborů. Hash obsahu souboru a metadat bude uložen v rozšířeném atributu security.ima souboru a tato sada patchů bude vytvářet a spravovat tyto atributy. Navíc umožní vynucování toho, že obsah souboru musí být při otevírání pro čtení nebo spuštění „správný“, a to na základě uložených údajů.

    Subsystém integrity měl poněkud trnitou cestu do jádra. Byl navržen už v roce 2005, ale pak byl postupně rozdělen do menších kousků. Většina IMA byla přidána do jádra ve verzi 2.6.30, ale další kus „extended verification module“ (EVM) se toho dočkal až ve verzi 3.2. Podpora digitálních podpisů byla do EVM zařazena ve verzi 3.3 a vyhodnocovací kód pro IMA se právě reviduje.

    Na webové stránce IMA se píše, že subsystém integrity je určen k zastavení různých útoků proti obsahu souborů, a to online i offline. Neočekávané změny v souborech, zejména pak spustitelných, mohou být znamením, že systém byl kompromitován. Kromě toho subsystém umožňuje použití modulu TPM pro shromažďování měření integrity a jejich podepisování tak, aby se systém mohl za integritu zaručit. Toto potvrzení by mohlo být zasíláno jinému systému jako důkaz, že systém je nedotčen – běží pouze schválený kód.

    Aktuální jádra mohou generovat měření integrity spouštěných souborů, shromažďovat je a digitálně je podepisovat pomocí klíčů z TPM (nebo jaderné klíčenky) a používat tyto informace pro vzdálené ověřování. EVM přidává možnost překazit offline útoky na soubory hashováním hodnot rozšířených atributů souboru (např. security.selinux, security.ima), jejich podepsáním a uložením jako security.evm.

    Ale zatím jsme se ještě nedostali k tomu, co by zabránilo systému číst nebo spustit soubor, který byl změněn. Pokud je soubor s hashem IMA otevřen pro čtení a zápis, rozšíření ověří, zda obsah odpovídá hashi. Pokud nesouhlasí, tak o tom, co se bude dít, rozhoduje argument jádra ima_appraise. Pokud je nastaven na „enforce“, pak je přístup k souboru odepřen, zatímco „fix“ zaktualizuje atribut IMA na novou hodnotu. „off“ pak znamená, že je posuzování zcela vypnuto.

    Aby se docílilo vytvoření počátečních hodnot atributů security.ima na souborech, které se mají hlídat (ve výchozím stavu všechny soubory vlastněné rootem), stačí spustit jádro s parametrem ima_appraise_tcb a ima_appraise=fix a následně otevřít všechny soubory, o které máme zájem (např. pomocí příkazu find, jak je navrhováno na webu IMA).

    V reakci na starší verzi patche se James Morris zeptal, zda některá distribuce plánuje používat IMA a EVM, jakmile bude všechno pohromadě. George Wilson sdělil, že IBM má plány je používat interně, jakmile to distribuce zařadí. Kromě něj se ozvali Ryan Ware a Kasatkin s tím, že mobilní distribuce Tizen bude toto používat pro některé typy produktů.

    Ale než k tomu dojde, tak rozšíření pro posuzování musí změnit svůj způsob zamykání, aby se dostalo přes zamítnutí od Ala Vira. V aktuálním patchi je závěrečné __fput() odloženo, pokud je soubor zavřen před zavoláním munmap(). Viro má obavy, že změna chování na základě toho, jestli jádro IMA používá, nebo ne, může zkomplikovat odhalování problémů se zámky. Také řekl, že přidaná režie je pro takto vytěžované místo příliš vysoká a že patch nepokrývá všechna místa, kde je __fput() používáno. Zatím nebylo nalezeno žádné východisko, ačkoliv Al Viro navrhl používání jiného mutexu pro změny rozšířených atributů, i když by to znamenalo spoustu zkoumání kódu, aby se vůbec zjistilo, jestli je možné to udělat.

    Vzhledem k tomu, že patch dokončuje to, co započalo EVM, a z větší části završí subsystém pro ověřování integrity, je pravděpodobné, že se řešení nakonec najde. Stále je tu ještě několik kousků zhodnocování IMA, které ještě zbývá dodělat, alespoň podle tohoto PDF. Jsou zmíněny dvě konkrétní věci – přidat schopnost digitálního podepisování u souborů podepsaných výrobcem a pak ještě možnost ochrany obsahu adresářů (např. názvů souborů). I když aktuálně navržené patche ještě potřebují trochu úsilí, vývojáři pracující na subsystému integrity už pravděpodobně konečně vidí světlo na konci velmi dlouhého tunelu.

           

    Hodnocení: 100 %

            špatnédobré        

    Nástroje: Tisk bez diskuse

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Vložit další komentář

    16.4.2012 08:16 Honz
    Rozbalit Rozbalit vše Re: Jaderné noviny – 29. 3. 2012: Ověřování integrity systému
    Sklátil-spíš skácel...
    Bedňa avatar 16.4.2012 08:35 Bedňa | skóre: 33 | blog: Žumpa | Horňany
    Rozbalit Rozbalit vše Re: Jaderné noviny – 29. 3. 2012: Ověřování integrity systému
    Dík za článok, len malá chybka: Začleňovací okno verze 2.3, druhá část
    Pokecajte si s umelou stupiditou na http://www.kernelultras.org/
    Conscript89 avatar 16.4.2012 09:43 Conscript89 | Brno
    Rozbalit Rozbalit vše Re: Jaderné noviny – 29. 3. 2012: Ověřování integrity systému

    Argument jadra ima_appraise:

    • ima_appraise_tcb
    • ima_appraise=fix

    Nemelo by to prvni byt spis: ima_appraise=tcb ?

    I can only show you the door. You're the one that has to walk through it.
    Conscript89 avatar 16.4.2012 19:58 Conscript89 | Brno
    Rozbalit Rozbalit vše Re: Jaderné noviny – 29. 3. 2012: Ověřování integrity systému
    Tak po opetovnym precteni asi ne, protoze oba parametry se pouzivaji zaroven :)
    I can only show you the door. You're the one that has to walk through it.

    Založit nové vláknoNahoru

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.