-
GAMEPOD.hu
Mára a ProHardver!/IT.News Fórum is nagylétszámú Linuxban jártas taggal büszkélkedhet. Nehéz szinteket felállítani egy olyan rendszer ismeretében, ami annyira sokrétű, hogy teljesen szinte lehetetlen megismerni minden egyes részét. Azt azonban mindenki tudja, hogy kezdő-e vagy sem. Elsősorban nekik szólnak az alábbiak, de érdemes mindenkinek elolvasnia, mint útjelző táblát.
Új hozzászólás Aktív témák
-
Mármint StrongsWAN vagy WireGuard helyett?
Utóbbi is tök egyszerű lenne, csak OCD-s vagyok, ezért úgy akarom megcsinálni, hogy inkább a szerver oldalon kelljen csak telepítgetni/konfigolni, aztán onnantól kintről bármi elérje extra szoftver nélkül (akár Android, akár iOS telefon is, nem csak Windows, stb).
Na ez lenne az IKEv2, csak az elég bonyolult ahhoz, hogy nem jövök rá jó leírás nélkül, a disztrós wiki-k pedig úgy látszik valamennyire disztró függőek is, illetve könnyű elveszni a leírásokban, mert ezer féle dolgot lehet csinálni (ilyen-olyan tunneling, eltérő login mód...).TV/monitor kalibrálást vállalok. ||| "All right , Thom. But understand this: I do care for you. I care for all the lost souls than end up up here."
-
urandom0
aktív tag
-
bugos az xz, ssh is kompromittálódhatott.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
urandom0
aktív tag
Kicsit nyomatékosabban kell ezt csinálni.
Na szóval, veszélyes backdoort találtak az xy utilsban, ami kb. az összes disztrón jelenlévő xz tömörítő segédprogramjában. Nagyon sok disztró érintett, Red Hat származékok, Debian, Suse, Arch, stb.
A lényeg, hogy mindenki toljon egy frissítést a rendszerére/rendszereire, minél előbb!!https://archlinux.org/news/the-xz-package-has-been-backdoored/
https://www.darkreading.com/vulnerabilities-threats/are-you-affected-by-the-backdoor-in-xz-utils
https://www.theregister.com/2024/03/29/malicious_backdoor_xz/
https://gist.github.com/thesamesam/223949d5a074ebc3dce9ee78baad9e27
-
urandom0
aktív tag
válasz urandom0 #33955 üzenetére
Olvasnivaló:
https://news.ycombinator.com/item?id=39868673
https://news.ycombinator.com/item?id=39868673
https://www.openwall.com/lists/oss-security/2024/03/29/4
Izgalmas történet, bár nem tudom, mennyi az igazság belőle. Úgy tűnik, hogy egy olyan karbantartó csempészett backdoort az xz-be, aki évek óta hozzájárul a feljesztéséhez.
Azt rebesgetik, talán valamelyik szervezet embere lehet a tettes (ki tudja?). Mindenesetre a Github accountja (és egy másik emberé is) fel lett függesztve.
A végcél valószínűleg az lehetett, hogy hátsó ajtót nyissanak az SSH-ban. -
kovaax
őstag
xz: 5.6.0-ban jelent meg, Bookwormban pl. még csak 5.4.1 van.
-=- There's no place like /home -=-
-
urandom0
aktív tag
válasz kovaax #33957 üzenetére
Right now no Debian stable versions are known to be affected. Compromised packages were part of the Debian testing, unstable and experimental distributions, with versions ranging from 5.5.1alpha-0.1 (uploaded on 2024-02-01), up to and including 5.6.1-1. The package has been reverted to use the upstream 5.4.5 code, which we have versioned 5.6.1+really5.4.5-1.
Users running Debian testing and unstable are urged to update the xz-utils packages.
https://lists.debian.org/debian-security-announce/2024/msg00057.html
-
válasz urandom0 #33955 üzenetére
Az Arch elvileg nem volt közvetlen érintett, mert a supply chain attack fejlesztő berakta feltételnek, hogy csak akkor kerüljön be a kártékony patch, ha deb, vagy rpm build megy. Szerencsére viszonylag hamar észrevették, szóval csak a Debian Sid, fedora rawhide és társai voltak érintettek.
De kemény story, igen. Sajnálom, mert az lzma a kedvenc tömörítési eljárásom. Így biztosan meg fog inogni az emberek hite a szoftver amúgy elképesztő képességeiben.
Hogy hívják az éhes horgászt? Gyere Pista, kész a kaja!
-
urandom0
aktív tag
válasz Mr Dini #33959 üzenetére
Nem tudtam még alaposabban utánajárni, most is rokonokhoz megyünk épp. De kb. ezt írják a legtöbb helyen:
"Remember to update your systems.
This backdoored version was in OpenSUSE Tumbleweed, Arch, Debian Testing and Sid, Fedora Rawhide (and maybe Fedora 40 Beta), Ubuntu 24.04 development versions, NixOS Unstable, and other distros. But not all distros with the backdoored version are believed to be vulnerable.
However, the backdoor was added by a maintainer who had been committing for years, so it may be possible that even older versions may be vulnerable in some way (but this is only conjecture at this point)."
Az utolsó mondat még fontos lehet. Lényeg, hogy aki tud, frissítsen.
Én reggel lefrissítettem a rendszereim, Debian stable-hez és Fedora 39-hez nem láttam jönni új xz csomagot (ugye ők nem érintettek), OpenSuse TW-hez viszont igen. -
-
urandom0
aktív tag
válasz sh4d0w #33961 üzenetére
Csak a development verziók vannak bajban, meg a rollingok, azok közül se mind. Ubuntu 22.04, 23.10, Linux Mint, Debian Stable, Fedora 39, OpenSuse Leap nem érintettek.
Fedora 41, Rawhide, OpenSuse TW, Friss Kali érintettek, Debianból testing, unstable és experimental lehet érintett.Kivéve, ha nincs esetleg valamelyik régebbi xz-ben is backdoor.
[ Szerkesztve ]
-
Vladi
nagyúr
válasz growler #33963 üzenetére
enterspájz linuxon is 5.2. van.
Egyébként ki az az állat, aki fedora rawhide-ot használ önszántából napi szinten?
Pedig már azt hittem látok valami jó kis linuxos vírust... végül is még csak 20 éve várok rá...
Nem félünk! Nem félünk! Itthon vagyunk e földön. Nem félünk! Nem félünk! Ez nem maradhat börtön!
-
nagyúr
válasz sh4d0w #33961 üzenetére
Mint 21.3 nem testing ágból épül amúgy...
ubyegon@ubyMintC-212:~$ cat /etc/debian_version
bookworm/sidubyegon@lmde6:~$ cat /etc/debian_version
12.1A /sid szerintem azért van, mert vannak a tárolóban dev csomagok is. Egyszóval távol vagyunk a rollingtól erősen.
[ Szerkesztve ]
-
-
-
urandom0
aktív tag
Egyébként az elmúlt ~2 évben 750 commitja volt az xz projekthez a backdoort elhelyező jóembernek (név szerint Jia Tannak, aki valószínűleg Szingapúrban vagy annak közelében él), így lehet, hogy fognak még backdoort találni korábban kiadott verziókban is. Folyamatosan nézik át a régebbi kódokat, de ez elég nehéz munka, eltart egy darabig.
-
urandom0
aktív tag
válasz urandom0 #33969 üzenetére
Még egy érdekesség, a Jia Tan által beküldött commitban van egy szándékos hiba. Ezt úgy idézte elő, hogy az egyik függvény (my_sandbox) elé berakott egy .-ot: https://git.tukaani.org/?p=xz.git;a=commitdiff;h=328c52da8a2bbb81307644efdb58db2c422d9ba7
Ez megakadályozta a Landlock nevű sandboxing működésbe lépését, így az xz olyan erőforrásokhoz is hozzáférhetett a rendszeren, amikhez alapvetően nem szabadott volna.
Lasse Collin commitja javította a hibát. -
urandom0
aktív tag
válasz urandom0 #33969 üzenetére
Na még ennyit: a backdoort Andreas Freund - Microsoft dolgozó - vette észre, amikor egy friss xz csomaggal ellátott Debian Sides gépre be akart jelentkezni SSH-n keresztül. A bejelentkezés irreálisan nagy CPU terhelést okozott, és a Valgrind hibákat dobott, ezekből vette észre, hogy valami nem okés. Itt az e-mailje: [link]
-
válasz urandom0 #33971 üzenetére
"openssh does not directly use liblzma. However debian and several other distributions patch openssh to support systemd notification, and libsystemd does depend on lzma."
valahogy mindig visszajutunk a kályhához...
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
-
válasz urandom0 #33974 üzenetére
A unix úgy született, hogy megpróbáltak komplex operációs rendszert írni, de nem sikerült. Ekkor lett az alapelve, hogy keep it stupid and simple.
A systemd teljesen egyértelműen szembemegy ezzel az alapelvvel, nagy hiba volt integrálni a disztrókba.
Minél több szemetet integrálsz az oprendszerbe, annál több támadási vektort hagysz benne.Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
Vladi
nagyúr
válasz urandom0 #33970 üzenetére
ugye, ugye..! mire nem jó a transzparencia. rémlik, hogy valaki anno írt erről blogot, hogy a linux nem elsősorban azért biztonságos, mert kevesen használják.
egyébként az egyetlen valamirevaló disztró ami még sysvinitet használ az az antix, lehet arra fogok átállni.
Nem félünk! Nem félünk! Itthon vagyunk e földön. Nem félünk! Nem félünk! Ez nem maradhat börtön!
-
urandom0
aktív tag
válasz bambano #33977 üzenetére
Nem mondom, hogy nincs igazság abban, amit mondasz. Az tény, hogy a systemd marha nagyra nőtt, és ott van már PID1-ben majdnem az egész Linux, és ez nem biztos, hogy jó így.
De ez itt nem a systemd hibája volt. Ha bele akarunk menni, megkérdezhetjük, hogy miért gondolták jó ötletnek azt, hogy az sshd dependáljon a systemd-re? Én nagyjából tudom (mert utánaolvastam), azért, mert a systemd által nyújtott sd_notify() fv-t használja arra, hogy értesítse a systemd-et arról, amikor elindult.
Nem lehetett-e volna megoldani valami jó kis POSIX cuccal, vagy UNIX socket domainnel?
De biztos meg lehetett volna, de szerintem teljesen jogos volt a maintainerek törekvése arra, hogy ha már úgyis systemd-es környezetben fog futni az sshd, akkor használjuk már ki a systemd szolgáltatásait (ezzel systemd függővé tenni az sshd-t), mert hogy ennek előnyei is vannak. Nyilván, ha nem lennének előnyei, nem használnánk.
Tehát itt volt egy döntés a Debian és néhány másik disztribúció részéről, aminek lettek következményei. De szerintem ebbe nem nagyon lehet belekötni. -
urandom0
aktív tag
Persze, jó a nyílt forráskód, én a kényesebb adataimat nem is bízom zárt forráskódú programokra.
De ez a történet nem ilyen egyszerű. Itt emberi hibák is bőven belejátszottak abba, hogy ez megtörténhetett. Az egyik ilyen az volt, hogy Lasse Collin volt az xz egyedüli fejlesztője, aki mellékállásban, hobbiként csinálta, és aki egyébként mentális gondokkal is küzdött. Ami mondjuk nem meglepő, ha azt vesszük, hogy az xz egy kurva fontos szoftver az egész open source közösségben, és nyilván egy ilyen fontos szoftver fejlesztőjeként nem kis nyomás van rajtad.
Lehet, hogy ez az egész nem történt volna meg, ha a nagy cégek (Red Hat, Suse, IBM, Intel, Canonical...) kicsit jobban odafigyelnek az xz projektre, és nem egyetlen emberre bízzák az egészet. Jó lenne, ha ezek a cégek prioritizálnák a dolgaikat, és nagyobb hangsúlyt fektetnének a fontos szoftverekre, ahelyett, hogy a libadwaitát reszelgetik, hogy bugyirózsaszín ablakkeret mellé babakéket is be lehessen állítani.
Itt azért nem érvényesült a manyeyeball, mert nem volt manyeyeball. A backdoor sem azért derült ki, mert valaki vizsgálgatta a forráskódot, hanem mert a bináris túl nagy CPU loadot generált.
És mondhatnám azt, hogy zárt forráskódú programba eleve nem tud bekommitolni senki sem backdoort. De teljesen mindegy, szerintem ez a mostani egy tipikusan olyan dolog, amit nem lehet kivédeni. -
urandom0
aktív tag
Az xz backdoorhoz még annyit, hogy valaki csinált egy idővonalat, ami összefoglalja Jia Tan "fantasztikus" munkásságát, illetve néhány más érdekességet is lehoz: https://boehs.org/node/everything-i-know-about-the-xz-backdoor
Ebből is látszik, hogy már 2021-ben próbált ő backdoort csempészni a libarchive kódjába, illetve később több kamufiókkal együtt próbáltak nyomást gyakorolni, hogy a patchjeik kerüljenek bele a kódba, azután pedig el akarták érni, hogy az xz projekt vegyen be új fejlesztőket, ami sikerült is, így került be Jia Tin a fejlesztésbe. Az egyik nyomásgyakorló, "Jigar Kumar" szomorúnak tartotta (akit se előtte, se azóta nem látott senki), hogy az xz projekt nem halad, mert a jelenlegi maintainer (Lasse Collin) elvesztette az érdeklődését a projekt iránt, vagy nem törődik többé a karbantartással.
Biztos, hogy szervezett akció volt ez az egész, nem kizárt, hogy valamelyik kormányzat áll mögötte. -
urandom0
aktív tag
válasz urandom0 #33982 üzenetére
Na még itt egy érdekes összefoglaló: https://gist.github.com/thesamesam/223949d5a074ebc3dce9ee78baad9e27
-
-
-
válasz urandom0 #33980 üzenetére
az xz egy annyira fontos szoftver, hogy egyáltalán nem az, még egy debian is elgurul nélküle.
Az pedig továbbra is hiba, hogy systemd jellegű óriás bináris blobok vannak a mostani disztrókban, és ész nélkül használják is azt. Jól láthatóan az alapelvtől való eltérés lényegesen elősegítette a kendácsolást.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
válasz bambano #33986 üzenetére
Valoszinuleg utobbi miatt esett az xz-re a valasztas. A systemd felzabal mindent, korbe dependalnak egymasra, atlathatatlan az egesz, igy a tamadok felteteleztek, atcsuszik a kod.
Egyes feltetelezesek szerint nem is backdoor, hanem RCE - es mivel az sshd root kontextusban fut, a dalnak vege lett volna.
Az azert nem hagy nyugodni: ha egy Intel mernok nem futtat benchmarkokat es nem tunik fel neki, hogy tul sok CPU-t zabal az ssh, meddig terjed szet a kod?
https://www.coreinfinity.tech
-
-
Ablakos
őstag
Akkor a nyilt forrásu szoftver mégsem olyan jó találmány?
-
Vladi
nagyúr
válasz urandom0 #33996 üzenetére
nincs 3 életem, így is csomó hülyét kerülgetek.
Valamint az aktuális életfilozófiám: mivel én elmaradott faszi vagyok, csak azt hiszem el, amit a vaksi szememmel látok, süket fülemmel hallok és tompa agyammal gondolok. Akkor is ha ez nem ér fel a nagy céljaik igazságához.
Nem félünk! Nem félünk! Itthon vagyunk e földön. Nem félünk! Nem félünk! Ez nem maradhat börtön!
-
urandom0
aktív tag
Lecseréltem az oprendszer a Raspberrymen.
Eredetileg Fedora IoT-ot akartam rá, de háromszori próbálkozásra sem sikerült elindítanom az installját, aminek magától el kellett volna indulnia. Sebaj, gondoltam, úgyis kísérletezős kedvemben vagyok, feldobtam rá egy Devuant. Oké, frankó, működik, és nagyon gyors, csak hát na... az összes disztróm systemd-es, vannak systemd service fájlaim, én systemd-re vagyok berendezkedve, úgyhogy gondoltam, legyen inkább Debian (Raspberry Pi OS), mégis csak ez a hivatalosan ajánlott rendszer RPi-re.
Ez is felment, frankó, működik, elkezdtem összerakni a dolgaim, Apache virtual hostok, radicale, stb., na a radicale elhasalt, egy csodálatos hibaüzenet (valami ilyesmi volt, hogy requests.exceptions.SSLError: HTTPSConnectionPool(host='www.url.com', port=443): Max retries exceeded with url: (Caused by SSLError(SSLError(336265225, '[SSL] PEM lib (_ssl.c:3837)')))) és fél méter traceback kíséretében (persze, ezt is úgy kellett kikönyörögni tőle, alapból csak az stdout-ra logol). Valószínűleg valami Python hiba lehetett, amit azóta javítottak, de Debian-ig még nem csorgott le a javítás.Na jó, mondom, a Debian nem a barátom, keressünk mást. Mivel úgyis RHEL-alapú rendszert akartam rá, elkezdtem vacillálni a Rocky és az AlmaLinux között. A Rocky jelen pillanatban népszerűbb, úgyhogy az ment rá.
Feltelepítettem, beállítottam a szokásos dolgokat, hozzáadtam az RPM Fusiont (ez hozza magával az EPEL-t is), és összeraktam a radicale szerverem, és most teljesen jól működik. Általános használat közben egy kicsit lassabb, mint Devuannal, illetve hát a dnf jóval lassabb, de legalább minden működik.
Egyetlen egy hibába futottam bele, segfaultot dob, ha kbdrate-tel állítgatom a billentyűzetet, de ez valami RPi specifikus hiba lehet, mert másnál is előjött már évekkel ezelőtt Raspbian alatt.[ Szerkesztve ]
-
urandom0
aktív tag
Viccesek ezek az OpenBSD-s srácok, egy tegnapelőtti e-mailben felvetették, hogy gzip-ről át kéne állni xz-re, abból is a v5.6.1-es verzióra, mert az biztonságos: https://marc.info/?l=openbsd-cvs&m=171200100510963&w=2
Nem sokkal később Theo de Raadt, az OpenBSD és az OpenSSH projektek alapítója, beküldött egy olyan e-módosítást, hogy "remove useless whitespace; from Jia Tan" -
-
-
őstag
-
kovaax
őstag
Munkában beriasztott SLES-re a szekuriti, hogy XZ backdoor, mondok wtf??? De aztán kiderült, hogy egy konténert Tumbleweed-ből épít a beszállító, és abban benne van. Küldtünk neki öklözőzsírt.
-=- There's no place like /home -=-
-
https://www.coreinfinity.tech
-
kovaax
őstag
válasz urandom0 #34009 üzenetére
A SLES nem úgy kezeli az alverziókat, mint a RHEL és a Debian, lazán cserélnek csomagokat alverziók közt is, kvázi mintha mind főverzió lenne. 15.5 mikor kijött, marhára nem volt stabil, a supporttal 1 hónapig szopattam magam, míg a végén egy "zypper up" megoldotta a problémámat. Még nem jöttem rá, hogy ugyanaz az install folyamat mikor rak fel exim-et és mikor postfix-et. Ilyenek. Kedvencem az autoyast-os install, mert a lemezeket nem úgy veszi fel, ahogy megkapja a vastól (disk1 -> sda, disk2 -> sdb, stb.), hanem a leggyorsabb lesz az sda, a következő az sdb, stb., tök mindegy, ha azok tök más méretűek.
-=- There's no place like /home -=-
-
kovaax
őstag
válasz f_sanyee #34012 üzenetére
Nálunk is kb. a SAP miatt lett.
Szerk.: Most például azzal szopok, hogy egy gépet kéne újrahúzni, de úgy, hogy maradjon pár régi partició. Na az installer már egy órája homokórázik, mert töröltem egy nem szükséges particiót...
[ Szerkesztve ]
-=- There's no place like /home -=-
-
vicze
félisten
válasz sh4d0w #34008 üzenetére
Csodás clickbait cím...
Schleswig-Holstein megint megpróbálkozik a Linux-szal. Jól haladnak 2021 óta...
Majd 2027-ben lesz cikk, hogy már 35000 PC-t váltanak...Az egészben az a leghumorosabb, hogy a német közigazgatás még minding 90%-ban papíron zajlik. Szóval végső soron nem Windowsról váltanának, hanem papírról.
Mondjuk úgy hogy egyik állam se költ lószart se digitális átállásra, ja lehet az open Source olcsóbb lesz, de ahogy szokásos megint nem...Szerk: Azt hiszem elolvastam életem legszebb német mondatát.
"Die Zukunft der Verwaltung ist cloudifiziert, automatisiert, algorithmisiert und datenbasiert. "[ Szerkesztve ]
-
-
őstag
-
Rison77
senior tag
Sziasztok!
Nagyon nem találtam ennél megfelelőbb topikot az alábbi kérdésemre. Valakinek esetleg van tapasztalata, "sikerélménye" Azure erőforrások monitorozásában on-prem Zabbix-al? Valami elképesztő zero információ van a neten róla, vagy csak rossz helyen keresgélek.
-
Ablakos
őstag
Van egy /media/backup mappa, ami egy fstab bejegyzésből kapcsolódik fel.
//192.168.200.3/backup /media/backup/
cifs rw,vers=3.0,credentials=/root/.userCredentials
,gid=1000,dir_mode=0775,file_mode=0664
user@P8B75-V-desktop:/media/backup$ ll
drwxrwxr-x 2 root user 0 máj 18 2023 'Android Studio Projects - backup'/
drwxrwxr-x 2 root user 0 márc 31 13:02 Dell-Inspiron-5767/
drwxrwxr-x 2 root user 0 ápr 20 13:18 drupal/
drwxrwxr-x 2 root user 0 ápr 19 13:06 P8B75-V/
drwxrwxr-x 2 root user 0 ápr 12 15:04 Windows11-Desktop/Lehetséges a kiemelt sorban lévő mappát felruházni olyan joggal, hogy írhassa pl. www-data user? (acl: Operation not supported )
-
urandom0
aktív tag
Megjelent a Fedora 40: https://fedoraproject.org/
Mondjuk vasárnapig várhattak volna vele
[kép]
Új hozzászólás Aktív témák
- Luck Dragon: Asszociációs játék. :)
- OFF TOPIC 44 - Te mondd, hogy offtopic, a te hangod mélyebb!
- Formula-1
- Azonnali processzoros kérdések órája
- Megvan az első leégett NVIDIA tápadapter
- MG4 menetpróba
- AMD GPU-k jövője - amit tudni vélünk
- Nintendo Switch
- Samsung Galaxy S23 Ultra - non plus ultra
- Ukrajnai háború
- További aktív témák...
- PC JÁTÉKOK (OLCSÓ STEAM, EA , UPLAY KULCSOK ÉS SOKMINDEN MÁS IS 100% GARANCIA )
- Canva Pro előfizetés - 1 éves
- Bontatlan - BATTLEFIELD 1 Collectors Edition - Játékszoftver nélkül
- Steam, Windows, Origin kulcsok, előfizetések közvetlenül a kiadótól, a LEGJOBB ÁRON!
- Microsoft licencek a legolcsóbban - UTALÁSSAL IS AUTOMATIKUS KÉZBESÍTÉS - Windows és Office