openbsd

OpenBSD -Current ion3 почти не конфигенный FF, pidgin (асечка! правда там спящий IRC), в заголовках можно проследить ООо, в котором прячется ересь с ужасающим непроизносимым вслух "расширением" и карой небесной на "имени", парочку aterm'ов (в одном даже запущен top не для чего), xmms с суровой музыкой и богоподобный жрец настоящего софта xcalc! с такими же цифрами на табло...

суровое место позера! Вот... "минималисты", завидуйте, я даже не знаю какая на улице погода

ЗЫ Ах да! иконка пиджина, сам не знаю для чего, но трей прикрутил в качестве то ли эксперимента, то ли от нечего делать (stalonetray)

ЗЫ Естесственно суприз с качеством и конечно же джпег

>>> Просмотр (3000x625, 325 Kb)

ComixWall - это Internet Security Gateway (ISG). Дистрибутив основан на OpenBSD.

Список ПО, установленного по-умолчанию:

• OpenBSD/pf
• OpenSSH
• OpenBSD/ftp-proxy
• OpenBSD/httpd: Apache web server
• DNS server
• DHCP server
• DansGuardian 2.10.1.1: web filter, anti-virus using ClamAV
• Snort 2.8.5.1: intrusion detection system, with latest rules
• SnortIPS 4.6: intrusion prevention system
• ClamAV 0.95.3 with periodic virus signature updates
• SpamAssassin 3.2.5: spam scanner
• P3scan 2.3.2: anti-virus/anti-spam, transparent POP3 proxy
• Smtp-gated 1.4.16.2: anti-virus/anti-spam, transparent SMTP proxy
• Dante 1.2.0: SOCKS proxy
• Squid 2.7.STABLE7: HTTP proxy
• IMSpector 0.9: IM proxy which supports MSN, IRC, Yahoo, etc.
• OpenVPN 2.1_rc22: virtual private networking
• Symon 2.79: system monitoring via graphs
• Pmacct 0.12.0rc3: network monitoring via graphs
• PHP 5.2.11: free OOP scripting language

Основные возможности web-интерфейса:

• Основная настройка системы и сервисов, включая правила pf
• контроль работы системы, сети и сервисов при помощи графиков
• Просмотр и загрузка логов (сжатые логи поддерживаются)
• Доступ к man-страницам OpenBSD и установленного ПО
• Поддерживаемые языки: английский, турецкий, китайский, голландский, русский, французский, испанский.
• Наличие непривелегированного пользователя, который имеет только возможность просмотра статистики
• изменения конфигурационных файлов, установлееные пользователем в командной строке, остаются нетронутыми после настройки модуля через веб-интерфейс.

Скриншоты

ComixWall 4.6 включает в себя все патчи к стабильной версии OpenBSD по состоянию на 1 декабря.

Новость на сайте проекта

Однако данный релиз дистрибутива последний, разработка прекращена.

>>> Подробности

Вышел релиз iptables 1.4.6 — интерфейса к Linux-фаерволу netfilter.

Основным новшеством данного релиза является поддержка критерия osf (passive OS fingerprinting), аналогичного критерию os OpenBSD-фаервола pf. Оба этих критерия позволяют по TCP SYN-пакету определить семейство и, в некоторых случаях, даже примерную версию операционной системы, отправившей этот пакет. Детекция производится на основании анализа ряда характеристик пакета, таких как размер TCP-окна, максимальный размер сегмента (MSS), опции TCP, бит DF и т.п. Совокупность значений этих параметров, позволяющая однозначно идентифицировать систему-отправителя, называет сигнатурой. Существующий на настоящий момент список сигнатур, сопровождаемый сообществом OpenBSD, весьма обширен.

Пример использования:

 
iptables -I INPUT -p tcp -m osf --genre Windows --ttl 2 -j DROP  

позволит заблокировать соединения, инициируемые операционными системами семейства Windows (опция --ttl 2 предписывает не учитывать TTL при детекции).

Критерий osf был реализован Евгением Поляковым (разработчиком POHMELFS и автором порта CARP под Linux) еще в 2003 году. Однако соответствующий модуль netfilter был принят в ядро лишь в июне текущего года, а интерфейс к нему на уровне iptables появился только сейчас.

Заметим, что для использования данного критерия необходима утилита nfnl_osf, обеспечивающая подгрузку базы сигнатур для модуля детекции через интерфейс nfnetlink. Будем надеяться, что мейнтейнеры соответствующих пакетов в наших любимых дистрибутивах вскоре обратят свое внимание на эту проблему. Пока же самые нетерпеливые могут собрать эту утилиту по старинке, через make bin (для сборки нужны заголовки библиотеки nfnetlink).

Среди других изменений в данном релизе iptables можно отметить поддержку ядра 2.6.32, исправление ряда мелких проблем в отдельных модулях (xt_iprange, xt_conntrack), поправки в man-страницах.

>>> ChangeLog

Вышла новая версия tmux (terminal multiplexer) - альтернативы GNU Screen с BSD-лицензией.

Некоторые изменения:

• Возможность определять несколько префиксных сочетаний клавиш.
• Новая опция сессии mouse-select-pane для выбора активной вкладки с помощью мыши.
• Новая опция synchronize-panes для посылания ввода во все вкладки текущего окна одновременно.
• Поддержка групп сессий.
• Поддержка автоматического переименования вкладок для Solaris.
• Добавлен флаг командной строки -c для выполнения команд оболочки.
• Мелкие изменения в коде и багфиксы.
• Многое другое (ссылка на полный changelog прилагается).

Tmux является частью базовой системы OpenBSD, но работает также и на Linux, FreeBSD, NetBSD, OS X, Solaris и AIX.

>>> Скачать tmux 1.1

>>> Сайт проекта

>>> Changelog

Clement Lecigne обнаружил в ядре OpenBSD уязвимость, позволяющую повысить привилегии локального пользователя (получить root-доступ) либо вызвать отказ в обслуживании (kernel crash).

Описанной уязвимости подвержены версии OpenBSD вплоть до 4.6 включительно. Уязвимость принадлежит к типу null pointer dereference, и в системах версий 4.3 и младше позволяет пользователю повысить свои привилегии. В версиях 4.4 и выше такая возможность заблокирована, и при помощи данной уязвимости можно лишь обрушить ядро.

Патчи уже доступны на OpenBSD errata page. Всем администраторам, использующим OpenBSD, рекомендуется срочно произвести обновление.

>>> Подробности

где-то 2 года тому уже "отмечался" сборкой current Enlightenment-cvs для OpenBSD-4.2, после чего появились пакеты, что доступны и поныне всем Пользователям (e, edje, ecore, etc...):
ftp://ftp.openbsd.org/pub/OpenBSD/4.6/packages/i386/

на выходных опять потянуло на развлечения - собрал E-current-svn (revision 43250) для OpenBSD-4.6. на недельке постараюсь как-то это всё оформить в порты/пакеты и кучу багрепортов (было весело в общем). что-то из фиксов уже в svn - но это капля в море.

в целом получилось отлично, да и прогресс 4.2 -> 4.6 порадовал. не пожалел об обновлении. нетерпеливым могу сгрузить unstripped binaries (65Mb в распакованном виде) - их можно кинуть в /usr/local - будет работать.

imho - OpenBSD-4.6 получился очень хорошим и приятным во всех отношениях релизом. поздравляю всех!

>>> Просмотр (1280x1024, 564 Kb)

Сегодня, неожиданно отступив от привычного графика, Тео де Раадт объявил о выходе OpenBSD 4.6

Это 26 релиз на CD (27 на FTP). К тому же, сегодня проекту OpenBSD сегодня исполнилось 14 лет!

Изменений в этом релизе, как всегда, много, вот основные на мой взгляд:

• Поддержка SGI Octane, SGI Origin 200 и SGI Fuel в порте на архитектуру sgi, поддержка плат MVME141 и MVME165 в порте mvme88k, улучшения в архитектурах sparc/sparc64
• Множество новых драйверов и улучшений в существующих, поддержка нового оборудования
• Первый релиз с собственным почтовым демоном OpenSMTPD - smtpd(8)
• Импорт tmux(1), замены window(1); разработка теперь ведется в основной ветке OpenBSD
• Автоматическое интеллектуальное разбиение на разделы в disklabel(8), поддержка undo
• Улучшения в работе sysmerge(8), httpd(8), systat(1), gdb(1), sendbug(1), ftpd(8), relayd(8), softraid(4), sshd(8), route(8), rtsold(8), ifconfig(8)
• Улучшения в pf(4):
  • pf теперь включен по умолчанию в rc.conf
  • Новое ключевое слово match, которое не меняет политики pass/block для пакета, но способно менять любые другие параметры, как то тегирование, маршрутизацию, очереди и т.д.
  • Изменение в поведении scrub: теперь scrub следует включать только в основных правилах, например match in all scrub, отдельных правил типа "scrub" больше нет. Также, оставлен только один тип нормализации, самый полный
  • Улучшение транзакционности в pf
  • Более жесткие проверки для ICMP и ICMPv6
  • Значительные улучшения в pfsync(4): поддержка режима работы кластера файерволлов active-active, уменьшение трафика репликации стейтов.

• Улучшения в маршрутизации и демонах динамической маршрутизации:
  • Полная поддержка множественных RIB в OpenBGPD, можно фильтровать по отдельным RIB'ом, можно назначить соседу конкретный RIB и т.д.
  • Поддержка формата ASPLAIN для 32-х битных ASN в bgp.conf и bgpctl
  • Поддержка указания альтернативных доменов маршрутизации для OpenOSPFD
  • Другие небольшие улучшения в ospfd, ripd и dvmrpd
  • Новый демон маршрутизации OpenLDPD для поддержки MPLS

• Улучшения в сетевом стеке:
  • Поддержка VRF в результате добавления множественных доменов маршрутизации
  • Поддержка указания используемого домена маршрутизации в ifconfig(8), ping(8), traceroute(8), arp(8), nc(1) и telnet(1)
  • Код, отвечающий за маршруты, теперь следит за состоянием используемых интерфейсов
  • Несколько запущенных dhclient(8) больше не мешают друг другу
  • Сообщения ICMP Redirect игнорируются по умолчанию
  • При маршрутизации проводные сетевые интерфейсы теперь имеют больший приоритет чем беспроводные
  • Интерфейсы tun(4) теперь эмулируют состояние подключения в зависимости от того, открыть ли дескриптор устройства
  • Информация из таблицы состояний pf теперь используется для ускорения принятия решения о маршрутизации

• Переписан установщик системы с целью сделать процесс более простым и наглядным, также во время установки теперь поддерживается автоматическая разбивка на разделы
• Теперь доступно более 5800 портов сторонних приложений
• Как всегда, значительны улучшения в документации и чистоте кода

Система также включает следующий набор сторонних программных продуктов:

• Xenocara (основан на X.Org 7.4 + патчи, freetype 2.3.9, fontconfig 2.6.0, Mesa 7.4.2, xterm 243 и другие)
• Gcc 2.95.3 (+ патчи) и 3.3.5 (+ патчи)
• Perl 5.10.0 (+ патчи)
• Улучшенная версия Apache 1.3, с поддержкой SSL/TLS и DSO
• OpenSSL 0.9.8k (+ патчи)
• Groff 1.15
• Sendmail 8.14.3, с libmilter
• Bind 9.4.2-P2 (+ патчи)
• Lynx 2.8.6rel.5 с поддержкой HTTPS и IPv6 (+ патчи)
• Sudo 1.7.2
• Ncurses 5.2
• Последний KAME IPv6
• Heimdal 0.7.2 (+ патчи)
• Arla 0.35.7
• Binutils 2.15 (+ патчи)
• Gdb 6.3 (+ патчи)

Более полный список изменений можно посмотреть тут.

Дистрибутив OpenBSD 4.6 как всегда доступен на CD. Набор из 3-х дисков, буклета и прикольных наклеек стоит всего $50. Помните, что продажа дисков это основной источник финансирования проекта, так что если вы или ваша организация используете OpenBSD в работе, подумайте о возможности приобретения такого набора. На второй дорожке второго диска также присутствует фирменная песенка, текст которой можно почитать тут. Там же ее можно и скачать. Те, кто не заказал диск или не хочет ждать доставки, могут загрузить дистрибутив с одного из многочисленных зеркал, полный список которых есть здесь.

Тео де Раадт благодарит артиста Ty Semaka за оформление диска и песенку, всех разработчиков за плодотворную работу, а также всех пользователей OpenBSD, особенно тех, кто присылал bugreport'ы, патчи, и оформил предзаказ на диск.

>>> Сообщение Тео в списке рассылки

Обнаружена опасная уязвимость в ядре OpenBSD.

На платформе i386 ядро неправильно обрабатывает исключения XMM. В результате локальный пользователь может вызвать kernel panic.

Ошибка исправлена в ветке -current, а также в патч-ветках OPENBSD_4_6, OPENBSD_4_5 и OPENBSD_4_4
Патч для OpenBSD 4.6: ftp://ftp.openbsd.org/pub/OpenBSD/pat...
Патч для OpenBSD 4.5: ftp://ftp.openbsd.org/pub/OpenBSD/pat...
Патч для OpenBSD 4.4: ftp://ftp.openbsd.org/pub/OpenBSD/pat...

Разработчики благодарят Slava Pestov за предоставление информации об уязвимости.

>>> Сообщение в списке рассылки security-announce

Конференция проходила в Доме Учителя по адресу г. Киев, ул. Владимирская 57

Темы докладов:

1)Ядро OpenBSD изнутри / Владимир Кириллов (UAOUG)
2)Сетевая подсистема OpenBSD в деталях / Сергей Присяжный (ATMNIS)
3)Динамическая маршрутизация в OpenBSD / Евгений Юнак (LF PP KA SHAG)
4)Использование PF для фильтрации входящего и исходящего трафика хостов ДМЗ / Юрий Дмитришин (ART)
5)Межпроцессный конфликт интересов. Пример простого скриптового диспетчера задач / Юрий Мирошник (ATMNIS)
5)ОС BBOS на страже информационной безопасности государства / Сергей Присяжный (ATMNIS)

>>> Видеоматериалы

Вслед за младшей сертификацией BSD Associate (которая доступна уже болeе года) готовится сертификация BSD Professional. Для того, чтобы лучше определить какие задачи наиболее важны для экзаменуемых, всем опытным системным администраторам BSD предлагается заполнить опросник: http://surveys.bsdcertification.org/p...

>>> Подробности

OpenKyiv это единственная в СНГ ежегодная конференция пользователей и разработчиков BSD систем. Основной упор сделан на OpenBSD.

Конференция пройдет 1 августа в Доме Учителя по адресу г. Киев, ул. Владимирская 57, начало регистрации — 9:00, начало выступлений — 10:00

В программе следующие доклады:

• Ядро OpenBSD изнутри
• Сетевая подсистема OpenBSD в деталях
• Динамическая маршрутизация в OpenBSD
• Межпроцессный конфликт интересов. Решение проблемы на примере простого скриптового диспетчера задач
• ОС BBOS на страже информационной безопасности государства

Любые предложение по улучшению приветствуются! Ждем вас на конференции!

>>> Подробности

Открыт прием докладов на конференцию разработчиков и системных администраторов OpenBSD OpenKyiv 2009.

OpenKyiv - это единственная регулярная конференция на постсоветском пространстве, посвященная исключительно BSD системам, и, в частности, OpenBSD. Конференция проходит первого августа в Киеве.

Deadline на прием докладов - первое июля, так что у вас еще есть время подготовить интересный и содержательный доклад, дерзайте! Программный комитет активно участвует в формировании и определении программы конференции, поэтому, если Вы ещё не подали заявки на выступление, лучше это сделать заранее! Помните, чем раньше Вы подадите заявку, тем более проработанный в результате получится доклад. Лучшая импровизация - хорошо подготовленная импровизация!

Возможно, вам есть чем поделиться со всем нашим OpenBSD community. Возможно, вы хотели бы получить новые знания в области программирования, использования или системного администрирования BSD систем или компьютерной безопасности, а также увидеть в живую тех людей, которые стоят за громким именем OpenBSD. Возможно, ваша компания выявит желание оказать конференции информационную или иную поддержку конференции и оказаться в списке спонсоров. Возможно, вы просто хотели бы весело провести теплый летний день в компании единомышленников.

Будем рады увидеться с Вами первого августа в Киеве!

>>> Официальный сайт

Свежие снапшоты OpenBSD включают в себя новый инсталлятор, работы над которым велись последние три недели.
Желающие могут попробовать ftp://ftp.openbsd.org/pub/OpenBSD/sna...
Любые отзывы очень приветствуются, следует только помнить, что это пока dev версия и до 4.6 пока далеко.

>>> Подробности

BSDanywhere - это десктоп-ориентированный live-cd, основанный на базе OpenBSD и рабочего стола Enlightenment 17. Существуют i386 и x86_64 образы.

Основные изменения:

• Базовая система и пакеты обновлены до OpenBSD 4.5
• Теперь система включает в себя стандартное, немодифицированное ядро OpenBSD, ранее включался модифицированный вариант ядра, что бы сделать систему менее громоздкой. Теперь, благодаря разработчику OpenBSD Kenneth R. Westerback эти изменения включены в основную ветку.
• Новый артворк.

>>> Подробности

Итак, сегодня, как всегда, точно по графику, вышла новая версия замечательной операционной системы OpenBSD 4.5!

Самые любопытные, на мой взгляд, изменения:

• Новый порт на ARM (это уже третий, после cats и zaurus). Заявлена поддержка OpenMoko и основанных на XScale Gumstix. Порт находится на ранней и активной стадии развития. Всего теперь поддерживается 17 платформ, еще 11 либо заброшены, либо малоактивны, либо в ранней стадии развития.
• Как всегда, значительно улучшены отличные драйверы подсистемы sensors.
• Множество новых драйвер для сетевых чипов, в том числе Intel WiFi Link 5100/5300, Attansic L1, Atheros AR81xx (aka Attansic L1E), Moschip MCS7730/7830 10/100, JMicron JMC250/JMC260 10/100, устройства Ralink USB IEEE 802.11a/b/g/Draft-N, ICH9 IGP M, IGP M AMT, Yukon-2 FE+ (88E8040, 88E8042).
• Множественные улучшения в подсистеме ACPI.
• Поддержка SDHC карт.
• Поддержка WPA-PSK в драйвере ath, поддержка аппаратного CCMP шифрования в драйверах wpi и iwn.
• Улучшения звуковой подсистемы, включая поддержку новых устройств, вывод через S/PDIF, общее улучшение производительности.
• Значительные улучшения в поддержке железа от Sun, новые драйвера для X, ускоренный фреймбуфер, драйвера для виртуальных жестких дисков и сетевых карт в логических доменах sun4v.
• Поддержка нескольких новых EVDO/UMTS устройств, драйверы для IBM'овских SATA/SCSI ServeRAID контроллеров, новых MegaRAID SAS (Intel, LSI Logic, Dell).
• Расширенный формат resolv.conf и соответственно доработанный libc resolver.
• Новые средства защиты в malloc. Учетные структуры теперь защищены mprotect, и аллоцируются в по возможности случайных адресах. Таким образом расширен и без того внушительный список средств защиты malloc.
• Улучшена поддержка C99 в libc, особенно gdtoa.
• Улучшены системные программы apropos, aucat, ifconfig, systat, vnconfig, disklabel, dhcpd. На самом деле, это только самые значительный изменения, подробности в changelog'e.
• Новый OpenSSH 5.2
• Более 5500 портов, около 5000 откомпилированных пакетов под основные архитектуры.

Изменения в синтаксисе pf scrub в пользу match не включены в этот релиз, не смотря на то, что уже сравнительно давно висят в -current. Будет в 4.6. Также есть шансы, что в 4.6 попадет OpenSMTPd, ведется активная работа над поддержкой MPLS. Тео де Раадт в своем письме в misc@ также предупредил пользователей, заинтересованных в тестировании новой версии, что качать образы стоит только с официальных ftp зеркал, перечисленных на http://openbsd.org/ftp.html, так как в сети присутствуют фейки, в частности, на ftp://ftp.kd85.com/.

Песенка: http://openbsd.org/lyrics.html#45

Частичный changelog: http://openbsd.org/plus45.html

Install Guide: http://openbsd.org/faq/faq4.html

>>> Release Page

При помощи одного специально сформированного IP-пакета атакующий может вызвать панику ядра (как из локальной сети, если используется правило NAT, так и извне, если используется правило RDR).

Публичного эксплоита нет, но его нетрудно сделать самому. Баг проверен (эксплоит) на OpenBSD 4.3. Уязвимости подвержены все версии OpenBSD, в которые вошел PF.

Быстрый способ устранить проблему - указать явно список траслируемых протоколов в конфиге:
nat/rdr ... inet/inet6 proto { tcp udp icmp/icmp6 } ...

Информация на русском

>>> Официальная errata и патч

Марк Балмер (msys.ch) в своём блоге рассказал о том, как он разработал систему кассовых терминалов для покупки билетов при входе в зоопарк г. Базель. Зоопарк работает круглый год на протяжении уже более 130 лет. В зоопарке можно наблюдать за Puffyfish и Xenocara в их естественной среде обитания.

Не удивительно, что в качестве операционной системы для терминалов была выбрана OpenBSD, отличающаяся стабильностью, высоким уровнем безопасности, современным пользовательским интерфейсом на основе индустриальных стандартов, многочисленными возможностями по подключению к вычислительным сетям и поддержкой современных промышленных кассовых аппаратов. Терминалы работают на аппаратуре IBM SurePOS 300.

>>> Подробности и обсуждение на undeadly

26 ноября разработчик OpenBSD Dale Rahn закомиттил CVS-репозиторий проекта изменения, которые сопровождались следующим комментарием: “Начало портирования OpenBSD на аппаратное обеспечение Openmoko. Работа в процессе”.

Автор подтвердил свой анонс приложением ряда файлов для каталога sys/arch/moko. Какое будущее ожидает этот порт, пока не совсем ясно, однако можно вспомнить неожиданный успех OpenBSD на Sharp Zaurus, связанный с повышенным интересом разработчиков к этой платформе в свое время.

>>> Новость на linuxphone.ru

Чуть более недели назад в исходное дерево кодов OpenBSD была добавлена реализация SMTP-демона. Согласно сообщениям от разработчиков проекта и обсуждению в списках рассылки, основная задача - сделать безопасный, простой и легкий почтовый сервер, пусть не обладающий практически неограниченными возможностями sendmail (а именно sendmail в данный момент является почтовым сервером в базовой поставке), зато простой в конфигурировании и удовлетворяющий большинство потребностей.

В частности, большой интерес вызывает использования pf-подобного синтаксиса для конфигурирования почты:

listen on localhost port 25
hostname localhost
accept for domain "localhost" deliver to mbox "/var/mail/%u"
accept from $local for all relay

Первая публичная версия демона ожидается в OpenBSD 4.5.

>>> Сообщение в блоге от разработчика

Известное издательство O'Reilly опубликовало интервью с ведущими разработчиками OpenBSD. В интервью обсуждались новые фичи вышедшего недавно релиза. В частности: новая релизация malloc(), добавление поддержки шифрования в softraid, пакетный фильтр pf, код которого был радикальным образом переработан, статус проекта OpenCVS, OpenSSH 5.1, поддержка USB webcams и многое другое.

>>> Подробности