Tipsy
A
atanie pingwina  patchsety dla kernela
A
atanie pingwina
 patchsety dla kernela
Wojciech Treter
igdy nie jest tak dobrze, że-
by nie mogło być lepiej. Dla-
tego dla linuksowego kernela
Ndostępna jest duża ilość róż-
norodnych poprawek i dodatków różnego
pochodzenia. A
aty (patche), bo o nich mowa,
dzielą się na oficjalne i nieoficjalne. Pierwsze
to te dostępne na www.kernel.org. Zostały one
zaakceptowane przez twórców jądra i po-
zwalają aktualizować starszą wersję kernela
do nowszej. Druga kategoria to łaty tworzone
przez użytkowników, zwykle wprowadzają-
ce nowe funkcje. Zbiory takich łat to pacthse-
ty. Zwykle są to większe zestawy mające na
celu wyprofilowanie kernela do konkretnych
zastosowań.
Oficjalne z
ródła...www.kernel.org
Czyli tzw. vanilla-sources. Są to stabilne wy-
dania Linuksa produkcji Linusa Torvaldsa na przez Plum Loco Software jako lck. Na BEYOND
i zespołu deweloperów. Nie zawierają żad- stronach projektów dostępne są szczegóły, Patchset Beyond zawiera elementy ck-sources,
nych wymyślnych łat, ale są najbardziej wol- oraz porządne FAQ, Howto i lista mailin- nitro-sources oraz łat Gentoo. W zamyśle ma
ne od błędów, z uwagi na szeroką społecz- gowa. dostarczać popularne, wypróbowane funk-
ność użytkowników. Na stronie można się http://members.optusnet.com.au/ckolivas/ cje i poprawki, które nie weszły jeszcze do
także natknąć na wersję -mm. Jest to oficjal- kernel/ - ("ck") oficjalnych z
ródeł. Oprócz w/w zestawów,
ny kernel z poprawkami Andrew Mortona, http://www.plumlocosoft.com/ są to:
które są nieco bardziej eksperymentalne niż kernel/ - ("lck")
oficjalna seria. " Linux Processor Hardware Control (Linux-
NITRO PHC)  łata dostarczająca programowe
CK / LCK Nitro-sources to patchset zapewniający więk- możliwości sterowania napięciem rdze-
Patchset autorstwa australijskiego lekarza szą elastyczność i zwiększający wydajność. nia procesora. Przydatne zwłaszcza na
Cona Kolivasa. Został zaprojektowany w ce- Zwykle daje wyraz
ne efekty, ale autor za- laptopach, pozwala zredukować wydzie-
lu zwiększenia wydajności systemu poprzez znacza, iż bazuje na eksperymentalnych z
ró- lane ciepło i zużycie energii.
przebudowę schedulera (z ang. planista  al- dłach, co może prowadzić do niestabilności " Suspend2 - mówiąc prosto, odpowiednik
gorytm dzielący czas procesora między za- systemu. Zawiera m.in. poprawki Cona Ko- znanej z Windows hibernacji. Zapisuje za-
dania) i zarządzania pamięcią (m.in. prze- livasa, fbsplash/gensplash (odpowiedniki boot- wartość pamięci na dysk twardy i wyłą-
rzuca dane ze swapu do ram'u przy ma- pslasha, zapewniające graficzny ekran ładowa- cza komputer. Przy ponownym włącze-
łym jego użyciu). Według opinii użytkow- nia systemu) oraz wsparcie systemów plików: niu przywracany jest poprzedni stan i mo-
ników, daje wymierne efekty, chociaż jego rozwijanego ciągle Resier4, UnionFS, SSHFS żna kontynuować pracę, bez ponownego
części włączono już do głównej gałęzi 2.6. oraz SquashFS. Dostępne jest także Win4Lin otwierania dokumentów czy włączania
A
aty przeznaczone są na komputer desk-  środowisko pozwalające na uruchomienie programów. Całość jest o wiele szybsza
topowy, choć dostępna jest też wersja ser- Windowsa 9x pod Linuksem. niż tradycyjne włączanie/wyłączanie.
werowa, oraz gotowy kernel serii 2.6 dla www.stud.uni-karlsruhe.de/~uyavl/public/
Fedory. Wersja dla jąder 2.4 jest rozwija- nitro-sources/ http://iphitus.loudas.com/beyond.html
64 marzec 2007
Tipsy
A
atanie pingwina  patchsety dla kernela
GRSECURITY NO " -R - nakłada łatę odwrotnie, czyli pozwa-
Głównym zastosowaniem łaty jest zwiększe- Zestaw bazujący na patchsetach -love i -mm, la zdjąć uprzednio nałożoną i przywró-
nie bezpieczeństwa systemu, m.in. poprzez: z założenia eksperymentalny, będący konty- cić wersję z
ródeł sprzed patchowania.
nuacją zarzuconego projekt -love. Zawiera
" tworzenie list kontroli dostępu opartych rozmaite funkcjonalności zapożyczone z in- Jeśli wszystko przebiegnie bez komunikatów
o role (RBAC - Role-Based Access Con- nych z
ródeł, oraz te najbardziej popularne o problemach, można przystąpić do standar-
trol) wśród użytkowników, wymieszane w różnej dowej konfiguracji i kompilacji.
" nałożenie restrykcji na środowisko chro- konfiguracji. Podobnie jak w przypadku -ni-
ot, uniemożliwiających wyrwanie się tro jest to zestaw tylko dla linuksowych fan- Coś nie tak...
z niego (nawet rootowi) (atyk)ów. Jego autorzy nie gwarantują stabil- Błędy w zasadzie nie powinny się pojawić, je-
" rozbudowane logowanie, ułatwiające au- ności, wręcz przeciwnie. śli z
ródła i patchset są właściwej wersji. Moż-
dyt (możliwość zapisu adresu IP osoby http://no.oldos.org/files/ liwe jest jednak, że łata została z
le napisana
dla określonych zdarzeń) lub nie jest prawidłowa z powodu nałożonej
" losowość stosu TCP (numerów sekwen- PatchSet24 przed nią łaty. Mogą wtedy wystąpić poniż-
cyjnych, portów z
ródłowych, IP ID) Coś dla zwolenników serii 2.4. Zastosowanie sze błędy:
" działania zapobiegające atakom siłowym wyraz
nie sieciowe. Zestaw składa się z trzech
(bruteforce) części, do nałożenia na kernel, iptables oraz " Hunk #3 FAILED at 234 - oznacza, że
iproute2. Dodatki, jakie wnosi, to przede trzeciej łaty z zestawu nie udało się nało-
Dzięki wykorzystaniu osiągnięć projektu PAX, wszystkim grsecurity, netfilter Layer7 (do ogra- żyć, błąd w linii 234.
umożliwia także: niczania ruchu sieci P2P), ESFQ (podział łą- " Hunk #4 succeeded at 457 (offset 10 lines)
cza), IMQ-nat, patch-o-matic-ng.  czwarta została poprawnie nałożona,
" oznaczenie stosu jako niewykonywalne- www.linux.internetdsl.pl ale miejsce, gdzie powinna się znalez
ć,
go (ochrona przed wykonywaniem kodu różni się o 10 linii w pliku docelowym.
w zapisywalnych obszarach pamięci) Szczegóły techniczne " 1 out of 11 hunks FAILED -- saving rejects
" nałożenie ograniczeń dla mprotect, loso- Nieraz po załataniu jądra, szczególnie nieofi- to file usr/src/linux/nv-linux.h.rej  komuni-
wości dla mmap() oraz stosu i sterty cjalnymi poprawkami może ono nie działać kat ten to podsumowanie nakładania łat
" ochronę przed modyfikacją jądra przez poprawnie, lub nawet nie powiedzie się jego oznacza, że nie powidło się nałożenie jed-
/dev/mem, /dev/kmem i /dev/port. kompilacja. A
atać jądro należy jedynie wtedy, nej łaty z zestawu jedenastu łat. Odrzuco-
gdy jest pewne jego działanie i najlepiej na na łata została zapisana w podanym pli-
www.grsecurity.net osobnej kopii z
ródeł jądra. ku, (w tym przypadku usr/src/linux/nv-li-
Obojętnie jaki patchset zdecydujemy się nux.h.rej).
PEPEK użyć, należy najpierw zaopatrzyć się w ade-
Rodzima produkcja autorstwa Pawła Sna- kwatne z
ródła vanilla. Powinien to być ker- W przypadku takich komplikacji pozosta-
j'a Pawilcza, przeznaczona głównie do za- nel o numerze wersji 2.*.*, tzn. bez czwartego je jeszcze ręczne modyfikowanie pliku pat-
stosowań serwerowych. Zawiera oficjalne numeru, oznaczającego poprawkę (tzw. pat- cha.
poprawki oraz patchsety QoS and Netfilter cha frajera), gdyż zwykle patchsety już go za- Podsumowując, decyzja o użyciu spatcho-
(stosowany dla routerów), ck w wersji ser- wierają i może to powodować problemy przy wanego kernela musi być przemyślana, zwła-
werowej, grsecurity, a także obsługę Rei- nakładaniu. szcza w przypadku z
ródeł z założenia niesta-
ser4. Po rozpakowaniu kernela we właściwe bilnych. Jednakże użycie jakiegokolwiek patch-
http://snaj.ath.cx/26x/index.html miejsce (standardowo katalog w /usr/src/ ), pat- setu powinno z założenia przynieść więcej ko-
chset (zwykle plik(i) *.diff lub *.patch) nakła- rzyści niż strat.
da się wydając jako root polecenie w katalo-
gu ze z
ródłami:
patch -p1 < /ścieżka/do/pliku/patcha
O autorze
Pomocne tutaj mogą się okazać opcje polece-
Autor nie jest póki co zawodowym oblaty-
nia patch:
waczem linuksowych maszyn, ale posiada
kilkuletnie doświadczenie i dorobek w po-
" -N  powoduje ignorowanie przez pro-
staci kilku udanych kompilacji. Za sprawą
gram miejsc, gdzie łata koliduje z już na-
nagłego olśnienia porzucił systemy Micro-
łożoną.
softu na rzecz Mandrivy, potem Slackwa-
" -f  pozwala  przepchnąć łatę nawet je-
re a, którego jest obecnie fan(atyki)em.
śli po drodze wystąpią błędy.
Momentami próbuje szczęścia w różnych
" --dry-run  z tym przełącznikiem da się
dziedzinach - od programowania, po - jak
przeprowadzić łatanie  na sucho , tzn.
w tej chwili - produkcję artykułów o najlep-
łata nie zostanie rzeczywiście nałożona,
szym z OS ów.
a jedynie program wyświetli wyniki pat-
Kontakt z autorem: juzefwt@gmail.com
chowania.
www.lpmagazine.org 65