[FreeBSD-Announce] Security Incident on FreeBSD Infrastructure
Pokud nekdo nema prihlaseny FreeBSD security mailinglist, tak to radeji preposilam i sem. On Sunday 11th of November, an intrusion was detected on two machines within the FreeBSD.org cluster. The affected machines were taken offline for analysis. Additionally, a large portion of the remaining infrastructure machines were also taken offline as a precaution. http://www.freebsd.org/news/2012-compromise.html V souvislosti s tim si dovolim osobni poznamku, ze me s timhle (ne)oznamenim docela stvou. Pokud problem zjistili 11.11. a teprve 17.11. se k tomu nekdo vyjadri, tak mi to prijde dost nefer. Nemluve o tom, ze nefunkcnost tech vypnutych sluzeb zpusobuje uzivatelum nemale problemy a nikde nebylo ani oznameni o tom, ze se jedna o nejakou "planovanou" udrzbu, nebo zkratka ze jsou urcite sluzby docasne vypnute. Takze se to v zahranicnich mailinglistech jen hemzi dotazama, proc nejede poradne GNATS (neobjevuji se nove PR), proc nejsou dostupne nektere dalsi sluzby atd. a k tomu obcas nekdo odpovedel, ze probiha migrace serveru. Na zadnem z oficialnich kanalu (web, RSS, nebo FreeBSD Announce) nebylo zadne vyjadreni ve smyslu "nejedou ty a ty sluzby, vime o tom, delame na tom, vydrzte". Az vcera, nebo prevcirem se na homepage objevil nenapadny text vedle odkazu "Learn More": "The FreeBSD cluster is undergoing maintenance which may interfere with some services such as the GNATS PR system. We apologize for any inconvenience this may cause." A to jen tak jako mimochodem, nijak nezvyrazneny, aby si ho radsi nikdo moc nevsimnul. Kdyby se jednalo jen o tenhle opravdu kriticky vypadek, tak to jeste i pochopim, ze s tim melo hodne lidi hodne prace (ale urcite by se nasel nekdo, kdo mel 5 minut casu, aby napsal na web / mailinglist dve vety o tom, ze tyhle konkretni sluzby nepojedou). Jde spis o obecny pristup core teamu, ze se jakekoliv migrace a zmeny v infrastrukture proste neoznamuji dostatecnym zpusobem a nechava se to na uzivatelich, at to zjisti az pri pokusu o pouziti nektere sluzby. U nekterych jinych projektu jsou takovehle informace dopredu napsany v "news", na RSS a mailinglistech. Je to vazne jen par minut casu a pritom to vyrazne zmeni "user experience" a vztah vyvojaru k uzivatelum a opacne. FreeBSD ma v RSS news akorat jmena novych commiteru a clenu. Jednou za cas pak announcement o vydani nove verze. To mi prijde hodne nedostatecne. No nic, svoji rozladenost z tehle situace uz jsem ze sebe vypsal, snad jsem tim nikomu nezkazil vikend a vsichni se zase muzeme jit venovat uzitecnejsim vecem :) Mirek -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
ACPI
Prosim mam dotaz ... spise dva dotazy 1) Na starem notebooku (IMB E21, Pentuim III, 700Mhz) fungujicim jako nim moc nedelajici server jsem mel nainstalovane FreeBSD 7.2 a teplota CPU vklidu se zapnutym acpi a powerd byla cca kolem 36-37°C, jenze pak jsem dostal spasny napad upgradovat na verzi 9 a teplota se neustale drzi cca na 42°C coz mne pripadlo zajimave, ale rikal jsem si, ze se to casem usadi a svadel to na to, ze notebook stale neco dela, jenze jsem to zacal sledovat dlohodobe a mene jak na tech 42°C jsem se nedostal. Rikal jsem si, ze asi nesedl upgrade, tak jsem nainstaloval cistou 9 a problem stale pretrvaval. Tak jsem se vcera opet vratil k 7.4 a teplota je zpet na 36C Kolega v praci mel taky zajimavy napad. Napadlo ho, jestli nahodou stale netoci vetrak, ale netoci, cpu cooler je vklidu. Podle mne jsem vse nastavil na te 9 korektne, to mam vyzkouseno a hral jsem si i s nastavenim powerd, ale zadny vysledek se nedostavil. Testoval jsem to samozdrejmne i s acpi_ibm - ale zadna zmena. Docetl jsem se, ze v 9tce udelali par zmen, pry ma novy eventtimer, tak jestli nahodou neni problem v nem, protoze jinak to nechapu. 2)Krom tohoto notebooku mam problem i na svem Dell 630, Core2, type CPU T8300 - v porovnani napr s Linuxem, kde po nabootovani se teplota drzi kolem 45-50C a samozdrejmne pri zatezi teplota stoupa, ale u FreeBSD je to chovani podivne = stejne jako u Linuxu se chvili drzi kolem tech 45st ale cca kazdych 8minut zapina CPU cooler, jelikoz teplota stoupne nad 55st a pak 6min se chladi a to se neustale opakuje at neco delam ci ne = nepripada mi to moc korektni. Jen pro upresneni - mel jsem nastaven dev.cpu.X.cx_lowes powerd i powerd_flags Cpu mi normalne scalovalo, ale problem byl jak jsem napsal. Napadlo mne pripadne jeste prelozit DSDT, kdysi jsem s tim laboroval u AMD L110, protoze se mne na Linuxu CPU prehrivalo a neskalovalo. Dekuji moc. Baci -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
Re: [FreeBSD-Announce] Security Incident on FreeBSD Infrastructure
Souhlasim s tvym nazorem, a priznavam, ze sam jsem tuto poznamku na jejich webu prehledl a na RSS jsou zminovani jen komiteri. A to, ze je informace skoro tyden stara je nezodpovednost. At mi nikdo nerika, ze vsichni pracuji na odstranovani problemu . Cert vi, co vse je za timto problemem. Urcite to muze byt tim unikem informaci jak pisou v clanku, ale to by uz meli dle meho problem vyresen, tohle vypada na neco jineho Ono celkove receno FreeBSD dle jejich chovani nedela na lidi ale na sebe a to je videt i na toku informaci smer koncovy uzivatel. Proste pokud chtej pouzivanost, tak musej neco pro to udelat, lidi delaj system a casem skalni priznivci vymrou nebo je to unavi a spolehat se jen na firmy pripadne na ostani BSD, ze tu a tam neco upusti sper BSD, no nevim. Ale dekuji ti za info, hodnitim kladne :-) A nenech si s tim pokazit vikend :-) Baci Dne 17. listopadu 2012 11:53 Miroslav Lachman <000.f...@quip.cz> napsal(a): > Pokud nekdo nema prihlaseny FreeBSD security mailinglist, tak to radeji > preposilam i sem. > > On Sunday 11th of November, an intrusion was detected on two machines > within the FreeBSD.org cluster. The affected machines were taken > offline for analysis. Additionally, a large portion of the remaining > infrastructure machines were also taken offline as a precaution. > > http://www.freebsd.org/news/2012-compromise.html > > > V souvislosti s tim si dovolim osobni poznamku, ze me s timhle > (ne)oznamenim docela stvou. > Pokud problem zjistili 11.11. a teprve 17.11. se k tomu nekdo vyjadri, tak > mi to prijde dost nefer. > Nemluve o tom, ze nefunkcnost tech vypnutych sluzeb zpusobuje uzivatelum > nemale problemy a nikde nebylo ani oznameni o tom, ze se jedna o nejakou > "planovanou" udrzbu, nebo zkratka ze jsou urcite sluzby docasne vypnute. > Takze se to v zahranicnich mailinglistech jen hemzi dotazama, proc nejede > poradne GNATS (neobjevuji se nove PR), proc nejsou dostupne nektere dalsi > sluzby atd. a k tomu obcas nekdo odpovedel, ze probiha migrace serveru. > Na zadnem z oficialnich kanalu (web, RSS, nebo FreeBSD Announce) nebylo > zadne vyjadreni ve smyslu "nejedou ty a ty sluzby, vime o tom, delame na > tom, vydrzte". > Az vcera, nebo prevcirem se na homepage objevil nenapadny text vedle > odkazu "Learn More": > > "The FreeBSD cluster is undergoing maintenance which may interfere with > some services such as the GNATS PR system. We apologize for any > inconvenience this may cause." > > A to jen tak jako mimochodem, nijak nezvyrazneny, aby si ho radsi nikdo > moc nevsimnul. > > Kdyby se jednalo jen o tenhle opravdu kriticky vypadek, tak to jeste i > pochopim, ze s tim melo hodne lidi hodne prace (ale urcite by se nasel > nekdo, kdo mel 5 minut casu, aby napsal na web / mailinglist dve vety o > tom, ze tyhle konkretni sluzby nepojedou). Jde spis o obecny pristup core > teamu, ze se jakekoliv migrace a zmeny v infrastrukture proste neoznamuji > dostatecnym zpusobem a nechava se to na uzivatelich, at to zjisti az pri > pokusu o pouziti nektere sluzby. > > U nekterych jinych projektu jsou takovehle informace dopredu napsany v > "news", na RSS a mailinglistech. Je to vazne jen par minut casu a pritom to > vyrazne zmeni "user experience" a vztah vyvojaru k uzivatelum a opacne. > FreeBSD ma v RSS news akorat jmena novych commiteru a clenu. Jednou za cas > pak announcement o vydani nove verze. To mi prijde hodne nedostatecne. > > No nic, svoji rozladenost z tehle situace uz jsem ze sebe vypsal, snad > jsem tim nikomu nezkazil vikend a vsichni se zase muzeme jit venovat > uzitecnejsim vecem :) > > Mirek > -- > FreeBSD mailing list (users-l@freebsd.cz) > http://www.freebsd.cz/listserv/listinfo/users-l > -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
Re: ACPI
Pavel Baculák wrote: FreeBSD 7.2 a teplota CPU vklidu se zapnutym acpi a powerd byla cca kolem 36-37°C, jenze pak jsem dostal spasny napad upgradovat na verzi 9 a teplota se neustale drzi cca na 42°C coz mne pripadlo zajimave, ale rikal jsem si, ze se to casem usadi a svadel to na to, ze notebook stale neco dela, jenze jsem to zacal sledovat dlohodobe a mene jak na tech 42°C jsem se nedostal. Rikal jsem si, ze asi nesedl upgrade, tak jsem nainstaloval cistou 9 a problem stale pretrvaval. Tak jsem se vcera opet vratil k 7.4 a teplota je zpet na 36C Mezi 7.x a 9.x se toho zmenilo tolik, ze tezko rict, cim konkretne by to mohlo byt ve tvem pripade. Muze to byt treba tim jinym event timerem, ze to skutecne vic topi. Nebo to taky muze byt tim, ze se zmenila detekce tech senzoru a teplota je ve skutecnosti stejna, jen zobrazovane cislo je jine. Jen pro upresneni - mel jsem nastaven dev.cpu.X.cx_lowes powerd i powerd_flags Cpu mi normalne scalovalo, ale problem byl jak jsem napsal. Napadlo mne pripadne jeste prelozit DSDT, kdysi jsem s tim laboroval u AMD L110, protoze se mne na Linuxu CPU prehrivalo a neskalovalo. Konkretni radu nemam, ale aspon odkaz na nejaky tuning pro notebooky http://wiki.freebsd.org/TuningPowerConsumption Mirek -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
Re: [FreeBSD-Announce] Security Incident on FreeBSD Infrastructure
Tak koukam na stranky FreeBSD.org a ejhle, uz je to na hlavni strance umisteno, tak, ze se problem neda prehlednout :) Asi uz tech stiznosti bylo vice -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
Re: [FreeBSD-Announce] Security Incident on FreeBSD Infrastructure
Pavel Baculák wrote: Tak koukam na stranky FreeBSD.org a ejhle, uz je to na hlavni strance umisteno, tak, ze se problem neda prehlednout :) Asi uz tech stiznosti bylo vice Jo, uz je to tam o neco lepsi, ale stale informaci nepovazuju za dostatecnou. V security advisories RSS to porad jeste neni (ani na webu) http://www.freebsd.org/security/advisories.html A co vic, informovanost je i mezi vyvojarema tak spatna, ze se i vyvojari ptaji v mailinglistech, co konkretne a proc nejede a kdy pojede... Mirek -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
VirtualBox a zabezpeceni site
Kdyz uz jsme tu zacli resit ten VirtualBox, tak bych mel takovy pomerne jednoduchy dotaz, ale sam si na nej nedokazu odpovedet :o) (se sitovanim to u me neni zadna slava) Pokud mam ve VirtualBoxu vytvoreno nekolik virtualnich masin s verejnyma IP adresama a nastavenym bridgem, tak jim vlastne nijak nezabranim, aby "spatny spravce" v tom virtualu omylem, nebo zamerne nepouzil jinou, nez pridelenou IP adresu, ktera muze kolidovat s IP jineho virtualu, nebo i jineho fyzickeho serveru na siti. Jak tohle nejlepe resit? Tzn. aby pouziti jine IP ve virtualu neovlivnilo hostitelsky system, ostatni virtualy, ani ostatni stroje na siti - zkratka aby takova "nepovolena" IP byla neskodna / nefunkcni / nedostupna z venku. Cetl jsem na netu cosi o VDE, napada me i rozdeleni do VLANu a do toho pak jeste zapojit filtrovani firewallem (nejlepe PF, ktery vsude pouzivam)... ale mile rad si dam poradit od zkusenejsich sitaru, nez zacnu experimentovat. Mirek -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
Re: ACPI
Pavel Baculák wrote: > 1) Na starem notebooku (IMB E21, Pentuim III, 700Mhz) fungujicim jako nim > moc nedelajici server jsem mel nainstalovane FreeBSD 7.2 a teplota CPU > vklidu se zapnutym acpi a powerd byla cca kolem 36-37°C, jenze pak jsem > dostal spasny napad upgradovat na verzi 9 a teplota se neustale drzi cca na > 42°C Nejprve bych se pokusil problem trochu izolovat. Zjisti na jake frekvenci ti behava procesor - jestli to bude na devitce vic (ale ne neustale maximum) pak ma devitka nejspis vyssi naroky (treba nejake systremove procesy). Pokud to pobezi furt na maximum, pak nefunguje management. Obdobne zkontroluj jak moc procesor setrvava v C1 stavu. Pokud Cx (x>1) nepouziva vubec, nefunguje management, pokud v nem travi "jen" mene casu, je devitka narocnejsi. Az budes vedet, jestli se zmenilo neco s managementem nebo ne, hned budes vedet lip, kteryma cestama se maji tve myslenky ci pokusy ubirat dal ... > 2)Krom tohoto notebooku mam problem i na svem Dell 630, Core2, type CPU > T8300 - v porovnani napr s Linuxem, kde po nabootovani se teplota drzi > kolem 45-50C a samozdrejmne pri zatezi teplota stoupa, ale u FreeBSD je to > chovani podivne = stejne jako u Linuxu se chvili drzi kolem tech 45st ale > cca kazdych 8minut zapina CPU cooler, jelikoz teplota stoupne nad 55st a > pak 6min se chladi a to se neustale opakuje at neco delam ci ne = nepripada > mi to moc korektni. Hystereze ale nemusi byt chyba FreeBSD. Cele to muze byt o tom, ze FreeBSD ma "v klidu" trochu jine naroky nez Linux. Tim padem procesor bezi na o trochu vetsi vykon a vytvari vic zbytkoveho tepla. Al jestli neni regulace otacek procesoru dostatecne jemna, pak to skutecne muze skoncit tak, ze se procesor ohreje, zapne se vetrak, ochladi, vypne se vetrak. Na Linuxu by se to, za obdobnych pozadavku an vykon procesoru, mozna chovalo stejne. A nebo to ma jinou pricinu - to se takhle neda odhadnout, musel bys prozkoumat chovani toho pocitace podstatne podrobneji. Dan -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
Re: [FreeBSD-Announce] Security Incident on FreeBSD Infrastructure
Miroslav Lachman wrote: > je to tam o neco lepsi, ale stale informaci nepovazuju za dostatecnou. Ja bych se jich trochu zastal. Vzdycky plati, ze informaci lze rozsirit jeste vic. Zakladni fakt ale je, ze pro distribuci informaci vztahujicich se k bezpecnosti existuje mailing list a kazdy, kdo chce byt o bezpecnostnich incidentech informovany tam je prihlaseny. Zbytek je o tom, jak intenzivne se FreeBSD team snazi nebo nesnazi informovat i ty, ktere bezpecnost az tak moc zase nezajima. Jasne, u opravdu velkeho prusvihu ma smysl i tohle, ale zakladem je informovat vsechny, ktere bezpecnost zajima a ti dohodnutym zpusobem informovani byli. > A co vic, informovanost je i mezi vyvojarema tak spatna, ze se i > vyvojari ptaji v mailinglistech, co konkretne a proc nejede a kdy pojede... To je zase jina vec, jak podrobna ta informace je a me by urcite zajimalo, proc trvalo sest dnu nez byla informace vubec zverejnena, ale to ase o trochu necem jinem, nez o tom jak (jakym kanalem) by mela byt spravne zverejnena. Just my $0.02 Dan -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
Re: VirtualBox a zabezpeceni site
Miroslav Lachman wrote: > Pokud mam ve VirtualBoxu vytvoreno nekolik virtualnich masin s verejnyma > IP adresama a nastavenym bridgem, tak jim vlastne nijak nezabranim, aby > "spatny spravce" v tom virtualu omylem, nebo zamerne nepouzil jinou, nez > pridelenou IP adresu, ktera muze kolidovat s IP jineho virtualu, nebo i > jineho fyzickeho serveru na siti. > > Jak tohle nejlepe resit? Mozna je v tomto pripade nejlepsi odpoved otazkou. A jak resis (nebo nejdo jiny resi) podobny problem v te lokalni siti do ktere mas VirtualBox pripojeny ? Rekneme, kdybys ty mel v umyslu zacit pouzivat cizi MAC a IP adresu ve stejne siti ... Jako reseni "prvni volby" bych totiz zvolil stejne nebo podobne (je-li to mozne). Dan -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
Re: ACPI
add 1/ nechal jsem nad testovanim docela hodne casu, takze odpovedi mam uplne na vsechny tve kladene otazky. Vratim li se k frekvenci CPU, cpu scalovalo od 80MHz do tech 700MHz, testoval jsem to i v danych chvilich, jestli se prepina pripadne ja jake frekvenci pracuje a vysledkem je, ze vklidu jel na tech 80MHz a samozdrejmne pri pozadavku vyskocil. Ohledne systemovych pozadavku se mi to prave moc nezna, ze by 9tka byla o tolik narocnejsi jak 8.3, stacilo se podivat na "top" a clovek vidi vitizeni i dlouhodobe vytizeni CPU a pokud je dlouhodobe podobne jak ta 8.3, tak bych videl pozadavky stejne, ale to jest ma domenka podlozena zkoumanim. Pokud jde o C stavy, tak vetsinu casu je Cx>1, management korektne funguje add 2/ Jeste k te hysterezi - ted prave je videt to k cemu jsem chtel dojit, na P3, ktera ma jen "700Mhz" zustava teplota stabilni tj. nedochazi k ohrati a pak chlazeni, evidentne je to slabsi CPU jak CORE2, takze nevidim duvod, proc by Xkrate vykonejsi CPU melo delat prave tuto eventualitu. Dle meho je je problem s ACPI ovladacema potazmo s DSDT, ale v tuto chvili bych to zrovna nesvadel na chybu vyrobce HW protoze nikde jinde to nedela Staci, kdyz se clovek rozhledne kolem sebe, cetl jsem na internetu Xproblemu FreeBSD vs ACPI, ale stale verim tomu, ze delam chybu nekde ja Jsem cetl pripad, ze clovicek s IBM T43 ac ma podporu ACPI, tak mu FreeBSD nedokazalo ridit CPU, to jest neustale se mu prehrivalo CPU a pritom vklidu skalovalo a prepinalo stavy - ale spatne spinalo vetrak a pak uz nestihlo CPU uchladit. Budu stastnej za jakykoliv napad, protoze mi to pripada zajimave. Diik Dne 17. listopadu 2012 19:29 Dan Lukes napsal(a): > Pavel Baculák wrote: > > 1) Na starem notebooku (IMB E21, Pentuim III, 700Mhz) fungujicim jako nim > > moc nedelajici server jsem mel nainstalovane FreeBSD 7.2 a teplota CPU > > vklidu se zapnutym acpi a powerd byla cca kolem 36-37°C, jenze pak jsem > > dostal spasny napad upgradovat na verzi 9 a teplota se neustale drzi cca > na > > 42°C > > Nejprve bych se pokusil problem trochu izolovat. > > Zjisti na jake frekvenci ti behava procesor - jestli to bude na devitce > vic (ale ne neustale maximum) pak ma devitka nejspis vyssi naroky (treba > nejake systremove procesy). Pokud to pobezi furt na maximum, pak > nefunguje management. > > Obdobne zkontroluj jak moc procesor setrvava v C1 stavu. Pokud Cx (x>1) > nepouziva vubec, nefunguje management, pokud v nem travi "jen" mene > casu, je devitka narocnejsi. > > Az budes vedet, jestli se zmenilo neco s managementem nebo ne, hned > budes vedet lip, kteryma cestama se maji tve myslenky ci pokusy ubirat > dal ... > > > 2)Krom tohoto notebooku mam problem i na svem Dell 630, Core2, type CPU > > T8300 - v porovnani napr s Linuxem, kde po nabootovani se teplota drzi > > kolem 45-50C a samozdrejmne pri zatezi teplota stoupa, ale u FreeBSD je > to > > chovani podivne = stejne jako u Linuxu se chvili drzi kolem tech 45st ale > > cca kazdych 8minut zapina CPU cooler, jelikoz teplota stoupne nad 55st a > > pak 6min se chladi a to se neustale opakuje at neco delam ci ne = > nepripada > > mi to moc korektni. > > Hystereze ale nemusi byt chyba FreeBSD. Cele to muze byt o tom, ze > FreeBSD ma "v klidu" trochu jine naroky nez Linux. Tim padem procesor > bezi na o trochu vetsi vykon a vytvari vic zbytkoveho tepla. Al jestli > neni regulace otacek procesoru dostatecne jemna, pak to skutecne muze > skoncit tak, ze se procesor ohreje, zapne se vetrak, ochladi, vypne se > vetrak. Na Linuxu by se to, za obdobnych pozadavku an vykon procesoru, > mozna chovalo stejne. > > A nebo to ma jinou pricinu - to se takhle neda odhadnout, musel bys > prozkoumat chovani toho pocitace podstatne podrobneji. > > > Dan > > -- > FreeBSD mailing list (users-l@freebsd.cz) > http://www.freebsd.cz/listserv/listinfo/users-l > -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
