Re: [FUG-BR] ALTQ + Intel Drivers.
Please confirm if you put me in your mailloop wrongly, thanks. Thanks & Best Regards Adam Xu Innoveco Electronics Ltd. From: Marcelo Gondim Date: 2013-05-22 09:59 To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Subject: Re: [FUG-BR] ALTQ + Intel Drivers. Em 21/05/13 19:56, Bruno Araújo escreveu: > Em 21/05/2013, às 19:38, Marcelo Gondim escreveu: > >> Em 21/05/13 18:14, Renato Botelho escreveu: >>> On 05/21/2013 04:52 PM, Bruno Araújo wrote: Em 21/05/2013, às 16:32, Renato Botelho escreveu: > On 05/21/2013 04:28 PM, Marcelo Gondim wrote: >> Em 21/05/13 15:52, Renato Botelho escreveu: >>> On 05/21/2013 02:57 PM, vic wrote: Em 2013-05-21 12:01, Luiz Gustavo Costa escreveu: > EXATAMENTE garga !!! eu sou um que to doido pra ver o vimage 100% !! > mas > ele ainda é experimental e as panes são normais. > > isso tá bem documentado. > > eu acho que a dedicação agora esteja no bhyve (Acho que é assim que > escreve :p) > Sim, é experimental, mas eu tenho usado com sucesso o vimage. Contudo esqueça de usar o pf ou algum módulo externo do FreeBSD (como o virtualbox por exemplo). Meu ambiente está rodando FreeBSD 9.1 + vimage + RCTL (esse último compilado mas não está em uso) e está funcionando à 128 dias sem parar e com 7 jails. >>> Ah sim, o fato de ser experimental não quer dizer que absolutamente não >>> irá funcionar. Serve mais pra te alertar que pode dar problema, que não >>> é estável. >>> >>> É que do jeito que o Marcelo colocou ficou parecendo que o FreeBSD 9.1 >>> não está estável, sendo que ele optou por usar algo experimental. Quando >>> você faz essa escolha está sujeito as consequências :) >>> >>> []s >> Sim é mesmo Renato, mas tipo foi mais como exemplo. O OSPF também dava >> uns paus no curso que fiz na FreeBSD Brasil e que parecia de longa data >> o bug. O uso do ntfs com leitura e escrita também dava um monte de >> kernel panic. Não sei agora como está. > OSPF é um pacote não? Então não dá pra dizer o que SO tá instável por > conta de um pacote. NTFS pra leitura e escrita é um módulo nativo do > kernel ou é FUSE? Se for FUSE eu acho que cai no mesmo caso do OSPF. > >> Teve kernel panic que descobri também no geom mas esse foi corrigido >> rápido. Tenho tido hardwares rebootando do nada e sem gerar qualquer >> dump no /var/crash. Esse problema do crash vi alguns relatos também, que >> mesmo habilitando não funcionava em alguns casos. Mas tipo isso é só uma >> preocupação que estou tendo. Todos os meus servidores em produção estão >> rodando muito bem e sem reboots. >> Meu medo é termos algo que aconteceu na versão 5.0, que eu não >> vivenciei, mas que muitos tiveram problemas. > Esses crashs estranhos e sem explicação são coisas que têm que ser > diagnosticadas, e em muitos casos no final o problema tá no hardware. > Sugiro habilitar debugs no kernel e ver se consegue algo. > > Sobre o que aconteceu no 5.0, foi uma história bem diferente, e acredito > que o time aprendeu com o erro, uma versão com tantas mudanças como > ocorreu do 4 pro 5 não deve acontecer mais. > Quando um mero pacote ou software derruba o S.O. não é uma falha grave do S.O? >>> Isso é relativo, o FUSE por exemplo é um pacote que compila um módulo de >>> kernel, não vejo o fato de um módulo de kernel derrubar o SO como algo >>> falho do SO. Mas fica difícil falar pois não tenho detalhes sobre os bugs. >>> >> Opa Renato, >> >> Esse lance do fuse depois que fiz um pr, rapidamente foi corrigido. Era >> um bug sinistro mesmo. Porque era só montar a partição ntfs e começar à >> copiar para dar um panic e o sistema reiniciar. Mas acho que pouca gente >> devia estar usando esse cara porque o panic era instantâneo mesmo. Bem >> esse foi resolvido rápido. >> Agora esse race condition que é brabo porque ele está lá em algum lugar >> e tipo não posso colocar um server e pendurar 4000 assinantes nele >> sabendo que se alguém na minha rede fizer um ataque de login incorreto >> por um certo tempo, vai causar um kernel panic derrubando os meus 4000 >> assinantes. Eu fiz uma atualização ontem no sistema e parece que não >> ocorreu mais mas ainda quero testar mais e ter certeza. >> Vou testar com o 8.3 ainda pra saber se isso é só do 9.1. Não tenho o >> que reclamar do Freeba todos os meus servidores estão 100% estáveis. Só >> tive mesmo esses pipoucos estranhos em alguns testes e fiquei preocupado. >> >> Grande abraço à todos >> >> - >> Histórico: http://www.fug.com.br/historico/html/freebsd/ >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > Por favor poste o resulta pois quero substituir um concentrador pppoe > mikrotik por freebsd. > A única coisa que ainda tá pegando é o
Re: [FUG-BR] Quedas na internet , FreeBSD não detecta
Please help to remove my mail address from your loop, thanks. Many thanks & Best Regards Adam Xu Innoveco Electronics Ltd. Tel: +86-755-27336484 Fax: +86-755-23082655 MB: +86-1376 0147 670 From: Nenhum_de_Nos Date: 2013-06-01 03:04 To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Subject: Re: [FUG-BR]Quedas na internet , FreeBSD não detecta On Fri, May 31, 2013 14:34, Marcelo Gondim wrote: > Em 31/05/13 13:12, Paulo Olivier Cavalcanti escreveu: >> Nos últimos dias estamos com constantes quedas em nosso serviço de >> internet ( NET Virtua ) e o FreeBSD não detecta quando a internet volta, >> precisamos usar netif restart. Explicando melhor: quando o modem da >> Virtua perde o sinal, o FreeBSD aparentemente não detecta quando o sinal >> volta; a internet fica morta, não manda ping nem nada, só normaliza se >> usar o comando netif restart. São quedas breves, às vezes de dois ou >> três minutos, mas que nos causam um transtorno danado. O pior é que >> quando usávamos Windows Server não me lembro de ter tido este problema... :( >> >> Estamos fazendo alguma coisa errada? Usamos o FreeBSD como gateway e >> distribuímos a internet via natd. Para WAN e LAN usamos re0 e re1. >> > Paulo, > > Muito estranho isso acontecer. Você tem algum firewall rodando nesse > gateway? Se sim você está bloqueando pacotes de camada 2 como arp? > Eu não lembro ao certo mas o Net Virtua eles lhe dão um IP para colocar > na interface de rede do seu gateway ou usam PPPoE? > Instala o pacote arping e quando ocorrer isso experimenta fazer um > arping para o gateway deles e checa se haverá retorno. Se funcionar, > tente o ping após o arping. > > []'s > Gondim Paulo, é cable modem ? se eu entendi correto, e minha mente pensou direito, não há queda de sinal na placa ethernet do FreeBSD. A queda de link é lógica, não física. Não é isso ? Seja o que for, quando o modem tá ligado a ethernet vai ter status: active. falei besteira ? matheus -- We will call you Cygnus, The God of balance you shall be A: Because it messes up the order in which people normally read text. Q: Why is top-posting such a bad thing? http://en.wikipedia.org/wiki/Posting_style - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Happy Birthday FreeBSD! Now you are 20 years old and your security is the same as 20 years ago... :)
REMOVE, thanks.
Many thanks & Best Regards
Adam Xu
Innoveco Electronics Ltd.
Tel: +86-755-27336484
Fax: +86-755-23082655
MB: +86-1376 0147 670
From: Patrick Tracanelli
Date: 2013-06-21 04:28
To: Lista Brasileira de Discuss�o sobre FreeBSD (FUG-BR)
Subject: Re: [FUG-BR] Happy Birthday FreeBSD! Now you are 20 years old and your
security is the same as 20 years ago... :)
Em 20/06/2013, �s 16:03, Daniel Bristot de Oliveira
escreveu:
> o FreeBSD come�ou em 1993, este ano comemora-se 20th anivers�rio do Freebsd.
>
> Os problemas de "20 anos atr�s" vem do fato de que o FreeBSD ?20 anos
> atr�s, como era um sistema "nascendo", com muitas features novas, tinha
> bugs facilmente explor�veis, como este.
>
> Ent�o, o que ele quis dizer foi, com um tom de ironismo:
>
> O FreeBSD tem falhas de seguran�a, como ?20 anos atr�s, quando estava
> nascendo. Ele quis ent�o dizer que o FreeBSD ?um sistema imaturo, mas pelo
> e-mail, n�o mais imaturo quanto ele (o cara que escreveu).
Pois ?tem bastante coisa errada hehehe
FreeBSD faz 20 anos esse ano mas n�o esse m�s; ou muito me engano ou o ramo do
RELENG_1 foi criado em Setembro de 1993, n�o sei o dia do primeiro commit
porque ainda tenho alguma vida social, mas algu�m deve saber ao certo. Ent�o
FreeBSD foi "gerado" em Setembro mas veio ao mundo, oficialmente, viu a luz, em
1 de Novembro de 1993.
Ent�o a data correta e o an�ncio do FreeBSD 1.0 marca seu anivers�rio, 1 de
Novembro (de 1993). Mas tudo bem comemorar o ano inteiro :D
Uma copia do anuncio feito pelo Jordan Hubbard:
http://ftp.netbsd.org/pub/NetBSD/misc/release/FreeBSD/FreeBSD-1.0
O ports ?de 21/08/1994, data que o mk do ports foi commitado e data que os
primeiros 2 ports foram commitados, emacs, jove e bash.
Sobre a falha de seguran�a ela n�o existe ha 20 anos. Ela foi introduzida no
FreeBSD 9.0. O exploit em quest�o explora a falha do MMAP mas n�o ?um exploid
0day. Esse mesmo exploit tem 100% de efetividade em FreeBSD 9.1, 9.0-STABLE mas
falha em 30% dos casos em FreeBSD 9.0-RELEASE.
Sobre a mitiga玢o mencionada, colocar security.bsd.unprivileged_proc_debug=0
mitiga APENAS o exploit publico:
# sysctl security.bsd.unprivileged_proc_debug=0
security.bsd.unprivileged_proc_debug: 1 -> 0
# ^D%
%
% ./a.out
FreeBSD 9.{0,1} mmap/ptrace exploit
by Hunger
a.out: ptattach: a.out: Operation not permitted
ptraceme: Operation not permitted
%
Ou seja n�o mitiga a falha do mmap. Esse exploid foi feito pra explorar da
forma a falha de uma forma espec�fica mas n�o ?a �nica. Desligar essa sysctl
n�o ?um workaround permanente, logico que ?bom que se fa�a de imediato, mas
evita apenas esse exploit. Podem haver outras formas de explorar a mesma falha
do mmap ent�o a corre玢o de verdade ?de c�digo, atualizar.
Por �ltimo, os cr�ditos da vulnerabilidade s�o k...@freebsd.org e
a...@freebsd.org, a falha foi identificada, corrigida, e anunciada, em casa.
N�o foram researchers externos, n�o foi um 0day, etc. A coisa foi como deveria
ser com todo sistema com uma pol�tica respons�vel de Full Disclosure. O exploit
em quest�o saiu quase 2 dias depois do advisory oficial (que saiu junto com a
corre玢o).
O FreeBSD-SA-12:04.sysret de exatos 1 ano atras tem o mesmo impacto, afeta do
RELENG_7 ao _9, e n�o ganhou todo essa aten玢o e barulho, por que? A postura ?a
mesma galera: APLIQUEM A CORRE敲O.
N�o se deixem impressionar pela tag "20 years old" que s?pertence (ou quase) ao
FreeBSD. N�o a falha, n�o a seguran�a do FreeBSD. E a data de 20 anos
est?errada ent�o at?nisso o menino que fez o exploit resolveu usar o timing pra
fazer barulho.
Alias a afirma玢o que a seguran�a do FreeBSD ?de 20 anos atr�s ?no m�nimo,
imprecisa. Sistemas com pol�tica mac do tipo bsd_partition como o Evandro
mencionou, n�o permitem essa explora玢o (logico contanto que o PID esteja
isolado em um partition diferente do partition 0 que ?do root/kernel), firewall
de sistema de arquivos n�o evita a explora玢o da falha Evandro (bsd_extended)
mas pol�ticas MAC e o PARTITION sim, evitam. Capabilities tamb�m evita.
Ou seja recurso pra hardening "contempor�neo" FreeBSD tem. Talvez mais que
outros sistemas.
Acho que o certo seria dizer que temos sysadmins com no玢o de seguran�a de 20
anos atr�s. N�o que o FreeBSD tem a mesma seguran�a. Est?ai, quem aqui da lista
usa MAC partition? MLS? LOMAC? BIBA (olha a homofobia antes de responder
hehehe)? Alias quem na lista tem chflags ou securelevel acima de 0? Alias quem
daqui tem seu webserver, e outros servidores tipicamente sucetiveis a ataques
no minimo dentro de um jail? Porque a falha em quest�o n�o permite por exemplo
escapar de um jail:
% ./a
FreeBSD 9.{0,1} mmap/ptrace exploit
by Hunger
# id
uid=0(root) gid=0(wheel) egid=1001(freebsdbrasil)
groups=1001(freebsdbrasil),0(wheel)
# jls
JID IP Address Hostname Path
# ls -di /
9470208 /
Ent�o se nem o m�nimo nego anda fazendo, talvez o que tenhamos, igual h?20
anos, sejam mesmo os sysadmins - co
