innBox – security platform

Szükségét éreztük egy saját security platform elkészítésének – ennek eredményeként született meg az innBox… Ez egy Linux alapú, wxWidgets UI-val rendelkező, saját adatbázis és audio-video-text-networking I/O-val bíró szerkezet lett, amely véleményem szerint ekkor megelőzte a korát…

Werdy mester kódolta a wx-es GUI-t, Victor csinálta a speciális kamerát, a többiek meg gyártották szépen a daemon-okat.

Az innBox egy önálló security-platform, amely adatbiztonság-kritikus környezetek számára lett kifejlesztve. Ipari szabványokra és nyílt forráskódú alapokra épül, sebesség és biztonság kritikus megvalósításban.

A rendszer egy zárt „fekete doboz”, amely garantálja az innBox modulokon keresztül gyűjtött (rögzített és mért) adatok integritását, az adatok felvételezésének megkezdésétől a központi adattárba juttatásig. Ez magába foglalja az adatbeviteli eszközökről a rendszerbe juttatott információkat, az alacsony szintű input kezelését, a grafikus rendszer input widget-jeit, az átmeneti tárolást és a kliens-szerver kommunikációt is.

innbox_login_ujjlenyomat

Az innBox platform minden biztonság-kritikus eleme saját fejlesztés. A működést biztosító modulok ellenőrizhető módon, folyamatosan egy authentikált rendszerben kommunikálnak, egy super-szerver ellenőrzése alatt.

Az innBox rendszer alkotó elemei – a daemon-ok – IPv4 socket alapú kommunikációt használnak, így elvileg bármely összetevő kiemelhető, illetve megosztható más innBox gépek számára is. A gépen kívüli kommunikációt minden esetben a COPng rendszer védi, amely egy SSL alapú, X.509 tanúsítványokkal dolgozó titkosító és szabványos tömörítő eljárásokat biztosító rendszer.

A kommunikációhoz az iparban jelenleg elérhető és általánosan használt média alkalmazható, daemon szinten támogatott az ISDN, ADSL, GPRS, EDGE és WLAN mint távoli hálózati kapcsolat. Továbbá természetesen az Ethernet, Firewire és Fibre Channel csatolás, mint helyi hálózati kapcsolat.

A grafikus keretprogram, amely jelenlegi verziójában a nyílt forráskódú, multiplatform (Windows, Linux, MacOS, stb.) wxWidgets rendszerre épül a daemon-okhoz hasonlóan kiemelhető a rendszerből, a megfelelő futtató környezet definiálása és biztosítása esetén.

Az innBox egy saját fejlesztésű, X11-re vagy FrameBuffer-re épülő felhasználói felületet kapott. Ez a Desktop (munkaasztal) szoros kapcsolatban van a rendszer többi összetevőjével, működése a folyamatos belső biztonsági ellenőrzéshez kötött.

A felhasználók authentikációját biztosító modul is ezen a Desktop-on jelenik meg, a sikeres azonosítás után megjelenő kiegészítő készlet az adott felhasználóhoz tartozik.

1) WEB böngésző – Beágyazott, biztonságra optimalizált Mozilla alapú, JAVA futtató környezetet is tartalmazó böngésző, a Destop-ba integrálva. Több ablakos műveleteket nem támogat, minden helyi file-művelet tiltva van.
2) Windows Terminal Server kliens – A Microsoft Windows Terminal Server funkciójának eléréséhez került be ez a modul az innBox-ba. Rajta keresztül bármely Windows szerverhez csatlakozhat a felhasználó, dolgozhat a Windows munkaasztalán, futtathat Windows-ra írt programokat.
3) VNC kliens – A Virtual Network Computing protokollal kapcsolódhat az innBox gépen dolgozó bármely VNC szerverhez. Hasonlóan a Terminal Server megoldáshoz, itt is a távoli gép munkaasztalát jeleníti meg az innBox-on belül, operációs rendszertől függetlenül.
4) GPS pozíció megjelenítő – A beépített GPS modul adatait a GPS daemon-on keresztül megjeleníti a Desktop-on. Ezen funkció főleg mozgó munkaállomásoknál lehet adminisztrációs szempontból használható és fontos.
5) GSM térerő adat megjelenítő – A beépített GSM eszköz, a benne működő SIMM kártya és a szolgáltató hálózatának állapotát jelzi vissza a felhasználó számára.

innbox_RemoteDesktopClient

Az adatgyűjtéshez felületet biztosító Grafikus keretprogram egy nyílt forráskódú alapokra épülő, de saját fejlesztésű input és output kezelőkkel (widget-ek) ellátott környezetben a wxWidgets rendszer használva készült el. Az adatbevitelhez használt mezőket szinte kivétel nélkül – az illegális (külső) adat betöltés és adat kinyerés elkerülése végett – újra programoztuk, saját belső puffer túlcsordulás, és adat-átirányítás elleni védelemmel láttuk el. A kialakítandó adatgyűjtő felületek a komplex osztályok (C++ class) felhasználásával építhetők fel.

Az innBox platform a kiépített rendszerek üzemeltetésének támogatására saját távadminisztrációs és program verzió frissítési megoldással rendelkezik. A frissítés lehet periodikus, automatikus, illetve a szerver oldalról kezdeményezhető is.

Concept: innBox as testbed

innBox presentation






CHIP – Zorp

… azaz egy lehetséges megoldás a biztonságos tűzfal építéséhez

A mai kiaknázatlan szellemi kapacitással feldúsított Internet idejében egy eszköz csatlakoztatásával sokkal nagyobb az esélyünk arra, hogy valaki megpróbál illetéktelenül behatolni azon keresztül féltve őrzött titkaink gyűjtőhelyébe, mintha ugyanezt tennénk mondjuk az autónkkal egy lakótelep parkolójában.
Ha még ehhez hozzájön az is, hogy az autónkban nincs immobilizer, riasztó vagy éppen nyitva felejtjük az ajtaját ne lepődjünk meg, hogy egyszer nem az a kép fogad majd bennünket, mint amit várunk, vagyis ha olyan szerencsénk van hogy az autó a helyén van, igen nagy az esélye annak hogy a benne hagyott értékek, rádió, telefon, táska már valaki mást boldogítanak.

Nincs ez másként a világháló kisebb nagyobb szervereivel, munkaállomásaival sem, a sok ezer tehetséges “bughunter” vagy más néven hacker figyelmét nem fogja elkerülni egy védtelen számítógép működtetése, főleg ha azon még szolgáltatások is működnek akár levelező vagy akár egy web szerver formájában. Itt természetesen nem arra kell gondolni, hogy ezek a fiatal srácok sötét szobában zölden világító monitorok előtt kapucniban ülve keresgélik a biztonsági réseket – ahogy ezt a médiában időnként fel-feltűnő vitatható minőségű akciófilmekben láthatjuk – hanem sok-sok már meghódított gépen elhelyezett kis programocska segítségével folyamatosan figyelnek egy-egy IP tartományt, és az ott felbukkanó gépeken biztonsági réseket igyekeznek találni. Ha ezek a kis dolgozók találnak valamit, akkor lép akcióba az emberi elme, és igyekszik mindent megtenni azért hogy a lehetőségekhez mérten átvegye az uralmat a kiszemelt gép operációs rendszere fölött, amely így hozzásegítheti ahhoz, hogy azon keresztül további támadásokat intézhessen mások ellen. Ha ez a gép egy tűzfal akkor kezdődnek az igazi problémák, mert aki uralja a tűzfalat annak szabad bejárása van arra a területre is amit ez a szerkezet valójában véd a külvilágtól, és onnantól kezdve semmi értelme az egész védelemnek mert csak azokat riaszthatja el, akik amúgy sem értenek annyira a számítástechnikához hogy bármi kárt tehetnének az általunk védeni kívánt rendszerben…

Egy tűzfal építésekor szinte mindenhol úgy terveznek, hogy van egy védeni kívánt terület, ami a cég saját lokális hálózata, van egy demilitarizált zóna (DMZ) amelyet mind az Internet irányából mind a helyi hálózatból el lehet érni, és van maga az Internet csatlakozás, ami általában egy IP címet jelent, amelyen keresztül a tűzfalként üzemelő gép csatlakozik a hálózatra.

Egy ilyen koncepcióban a védelmet jól körül lehet határolni, meg lehet csinálni a policy-t, a protokollok szűrését, illetve az accounting-ot is szükségszerűen. Ezekkel a definíciókkal tudjuk lefedni magát a védelmi koncepciót, azaz a cég biztonsági követelményeinek megfelelő felépítményt, amellyel biztosíthatjuk a szolgáltatásokat a külvilág felé, a belső hálózaton dolgozók adatainak védelmét azzal együtt hogy ők hozzáférhetnek az Interneten lévő adatokhoz, illetve az egész csatlakozás üzemeltetését.

Mivel az előbb felsoroltak közül a helyi hálózat adott, illetve az Internet is egyszerűen hozzáférhető egy bérelt vonal vagy valami más csatlakozási mód segítségével, az egyetlen kérdéses eszköz maga a tűzfal, amely lehet hardware-es megoldás (például Cisco PIX) vagy lehet egy software alapú megoldás is, amely egy PC-n fog üzemelni. A tisztán software-es megoldások száma napról napra nő, és szerencsére jobbnál jobb dolgok születnek – köszönhetően az igen erős versenynek, illetve a biztonságra való törekvés erősödésének a cégek részéről. Nemrégiben olvashattunk cikket lapunk hasábjain az Astaro és a SuSe megoldásairól tűzfal témában, és most egy szintén igen népszerű és – az internetes biztonsági fórumokon olvasható kritikák szerint – igen megbízható megoldásról ejtünk szót, a Zorp-ról.

Mielőtt nekikezdenénk a rendszer ismertetésének, meg kell jegyezni egy nagyon fontos dolgot, ami az Internetes biztonsággal kapcsolatban sajnos még mindig nem kap elég nagy nyilvánosságot, méghozzá azt hogy abszolút biztonság NINCS, és csakis egy megfelelően beállított és folyamatosan karbantartott védelmi rendszer képes megfelelő biztonságot nyújtani. Ha nincs megfelelően definiálva a policy, illetve a nyitott protokollok, proxy-k, és szerverek nincsenek folyamatosan karbantartva, akkor egy, a hónap elején megvásárolt biztonsági rendszeren a hónap végére már minden bizonnyal keletkezik olyan rés – ami egy addig fel nem ismert operációs rendszer, vagy szerver program hibából adódik – amelyen keresztül akár támadást is lehet kezdeményezni a rendszer ellen. Szerencsére vannak olyan megoldások, ahol a szerver eladásával nem ér véget a biztonsági megoldásokat nyújtó cégek és a vásárló kapcsolata, és a vásárló egy támogatási szerződés keretében folyamatos karbantartást kaphat a rendszer eladójától, így ezzel az ő felelősségévé válik a rendszer naprakész állapotban tartása, illetve egy esetleges behatolás esetén – ha az a tűzfal biztonsági hiányosságai miatt történik – akár még érdekérvényesítésre és kártérítésre is sor kerülhet.

A Zorp egy Debian GNU Linux alapú megoldás, amely a jelenlegi legbiztonságosabb proxy megoldásokat éppúgy támogatja mint a “hagyományos” transzparens metódusokat szinte az összes létező protokollra. (FTP, HTTP, SSL, POP3, FINGER, WHOIS, NNTP, IMAP, TELNET, PRINTER, RADIUS) A packet-filtering (csomagszűrés) és a proxy (alkalmazás szintű) megoldások között az az alapvető különbség hogy az első egyszerűen a beérkező csomag fejléce alapján dönti el hogy engedélyezi-e az adatkapcsolatot, míg a proxy modulok a csomagok adattartalmát is kifejtik és csak akkor engedélyezik a továbbítást, ha az adatok megfelelnek az adott protokollnak, és nem tartalmaznak például egy tunnel-re vonatkozó információkat. A Zorp képes detektálni a protokollba ágyazott alprotokollokat is, így például a HTTPS-nél a tiltáson és az ellenőrzés nélküli átengedésen túl megmarad az alkalmazás szintű proxy használat lehetősége is, azaz az SSL-be ágyazott HTTP-n belül is fog további ellenőrzéseket végezni minden egyes csomagnál.

Egy boot-olható CDROM-ról tudjuk elkezdeni a telepítést, ahol is vagy automatikusan, vagy minden egyes lépést felügyelve tudunk végigmenni a winchester particionálásától a licence aktiválásán keresztül egészen az első újraindításig alig több mint negyed óra alatt. Ezzel az operációs rendszert – a hálózati kártyákat is beállítva – és magát a Zorp tűzfalat is telepítettük.
Következő lépésként meg kell határozni azokat a követelményeket (policy) amiket támasztunk a védelmi rendszerrel kapcsolatban illetve definiálni kell azokat a protokollokat, amelyeket engedélyezni fogunk. Ezt megkönnyítendő előre definiált transzparens proxy beállításokat találhatunk például HTTP és FTP protokollokra. A beállításokhoz a ZUI fantázianévre hallgató karakteres felületű programot találunk ahol a teljes szabályrendszert le lehet képezni a tűzfal számára, illetve az összes a kommunikációra vonatkozó beállítás elvégezhető akár SSH-n keresztül is.

A Zorp szerver a naplózási kötelezettségeknek is messzemenőkig eleget tesz, és a syslog-ng rendszert használva akár más, kimondottan szerverek és alkalmazások naplóit nyilvántartó szerverre is képes ezt megtenni. Egy ilyen naplózó szerver nagyon nagy segítség lehet egy behatolás történetének felderítésében, ugyanis ha a behatoló nem tudja azt a szervert is feltörni, mindenképpen nyoma fog maradni a behatolásnak, ellentétben a helyileg tárolt naplófájlokkal, amelyeket root jogokkal nem túl bonyolult eltörölni vagy tartalmukat megváltoztatni. Ugyanez vonatkozik az authentikációs rendszerre is, ha egy külön gépen futó azonosító szerver tárolja a felhasználók adatait, azt is fel kell törni ahhoz hogy ezekhez hozzájusson az illető, vagy éppen saját magát is felvegye közéjük…

Nagyon fontos – és ezt nem sok konkurens termékbe teszik bele alapból – és hasznos tulajdonság a Zorp csomagban a HA (High Availability) azaz magas szintű rendelkezésre állást biztosító modul, amely képes két teljesen azonos konfigurációval rendelkező gépet cluster-be kapcsolni, ami azt biztosítja, hogy ha nem történik katasztrófa egyszerre mindkét géppel, akkor a rendelkezésre állás folyamatos még akkor is ha az egyik – amelyet master-nek definiáltunk – gépben végzetes hardware hiba keletkezik. Ehhez nem szükséges manuális beavatkozás, az átállás a tartalék szerverre – amely megfelelő hardware-rel az adatokat is képes folyamatosan tükrözni – teljesen automatikusan történik. Az esemény természetesen a naplókban rögzítésre kerül, így a rendszer üzemeltetésért felelős szakember riasztása is automatizálható illetve megoldható.

A védett hálozat gépein, ahhoz hogy ki tudjanak jutni az Internetre semmiféle speciális szoftvert nem kell telepíteni, egyszerűen mint gateway (átjáró) használhatják a Zorp-ot futtató szervert. Ez természetesen akkor is igaz ha a Zorp egy VPN-t (IPSEC) is biztosít az Interneten keresztül egy másik hasonló tulajdonságokkal bíró hálózathoz, ugyanis a kliensek mindkét oldalon – noha a kommunikáció valójában az Interneten keresztül történik – úgy fogják érzékelni mintha egy hálózatban lennének. Természetesen van lehetőség a munkaállomásokon is authentikációra, azaz a felhasználó csak akkor tud a tűzfalon keresztül – és ezáltal például egy VPN-ben – dolgozni, ha helyileg azonosította magát, akár egy jelszóval, kártyával, stb. Ilyenkor egy kis alkalmazás (Satyr.d) kerül a munkaállomásokra és ez biztosítja a kommunikációt a Zorp szerverrel. A Satyr.d által támogatott operációs rendszerek: Windows 95, 98, Me, NT 4.x és 2000, továbbá szinte az összes Linux disztribúció. Az azonosítás menedzsmentje központosítva is történhet a Zorp AuthServ modulja akár helyileg, akár egy másik szerverrel kommunikálva képes elvégezni az authentikációt illetve az adatok folyamatos karbantartását. A rendszergazda számára a korlátozásokon túl lehetőséget biztosít a program “blacklist” azaz feketelista készítésére is, amelyben meg lehet határozni azon URL-ek listáját, amelyet a felhasználók nem látogathatnak.

A Zorp tűzfal megoldást készítő és forgalmazó BalaBit IT Biztonságtechnikai kft. a software-en túl biztosítani tudja a már említett – és az esetek túlnyomó részében a megfelelő szakemberek hiányából adódóan szükségesnek is ítélendő – távmenedzsmentet is, amely a rendszer folyamatos biztonsági karbantartását jelenti, a vásárló saját informatikai erőforrásainak igénybevétele nélkül. Továbbá “Ethical hacking” néven egy állapotfelmérést is tudnak készíteni a már meglévő védelmi rendszerről, ahol is a hacker-ek által alkalmazott technikákat használva megpróbálnak behatolni a védett rendszerbe.

A Zorp – azzal együtt hogy van GPL-es ingyenes verzió is belőle – mint komplett megoldás elsősorban azon cégeket célozza meg akik nem rendelkeznek olyan informatikusi apparátussal, akik képesek naponta órákig a security listákat olvasva folyamatosan installálgatni és javítgatni a tűzfalat, és szeretnék inkább a védelmüket egy erre a feladatra szakosodott csapatra bízni. A Debian és 2.2.x-es kernel alapú rendszer nagyon megbízható, hardware igénye nem túl nagy, a HA-val rendkívül jó rendelkezésre állást biztosít, egy  kis hozzáértéssel, es a hálózati a protokollokok megfelelő ismeretében a beállítások is könnyen elvégezhetők. Az installációt egyszerűbben csak az Astaro Security Linux-ban oldották meg, de ez egy ilyen rendszernél nem összehasonlítási szempont… Azt, hogy a Zorp – és az összes többi tűzfal – milyen biztonságot nyújt egy adott környezetben csak akkor lehet megítélni, ha van információ a folyamatos karbantartásról, illetve a megtervezett és megvalósított policy mit igényel. Még egy nagyon fontos érv a Zorp mellett, hogy a fejlesztő cég magyar, így a kommunikáció és támogatás is egyszerűbb lehet, mint egy külföldi megoldás…

satyr.png

CHIP – Router / tűzfal készítése pécéből

Manapság, az IP alapú Internet, és intranetek korában az egyes hálózatokat összekötő router-ek kulcsfontosságú szerephez jutnak már a hálózat tervezésekor. Ezek az eszközök arról híresek, hogy egy korrekt beállítás után akár évekig hozzájuk se kell nyúlni, feltéve ha elkerüli őket a hardware-es hiba.

A router – mint a neve is mutatja – az egyes hálózatok, illetve csatlakozási felületek közötti kapcsolatot képes megteremteni, a soros vonaltól az G703-ig szinte minden felületen, illetve minden protokollal. Ezen készülékek a TCP-n kívül X.25 illetve IPX/SPX protokollokat is támogatnak, konfigurációtól, illetve upgrade-től függően. Sok helyen támasztanak igényt VPN-ek (virtuális alhálózat egy hálózaton belül) kialakítására, illetve az adott vonali kapcsolat titkosítására. Ez utóbbira a legelterjedtebb az IP-SEC, amelyet szinte minden router támogat, persze használatához az alapfelszereltségnél komolyabb processzor igényeltetik. Sok helyen az Internet kapcsolat alapvető biztonsági elemeit (port-ok engedélyezése/tiltása, címek maszkolása) is router-re bízzák, és csak a védelem második vonalába kerülnek bele a tűzfalak. A router-ek operációs rendszere elsősorban hálózati és üzembiztonsági szempontok szerint készül, a felhasználói felület parancssori – bár aki sűrűn használja nagyon megfelelőnek tartja – és filozófiája jelentősen eltér mind a Unix, mind a Windows világban megszokottól. Persze például a Cisco router-ek IOS nevű operációs rendszere ezen ‘hiányosság’ ellenére is naponta többmillió helyen bizonyítja üzemképességét az egész hálózati világegyetemben, a pécéktől szokatlan megbízhatósággal, és nagyon kevés biztonsági hibájával…

Viszont ezek az eszközök igen drágák, és konfigurációjuk is komoly szakértelmet igényel. Szerencsére – mint a számítástechnikában mindenre – erre is van alternatíva, még ha a szakértők egy része nem is fogadja el a Linux alapú router-eket egyenlő félnek például egy Cisco-val való küzdelemben. Pedig, köszönhetően a sok lelkes fejlesztőnek ezek a software-es router-ek igen komoly fejlődésen esnek át hétről hétre, és sokak szerint már ma is méltó ellenfelei – persze ha az üzemeltetésükről megfelelően gondoskodnak, illetve hosszabb távon is megbízhatóan működő hardware-re installálják – a ‘valódi’ eszközöknek.

Az alternatívák között megtalálhatók az 1-2 floppy-s router-ek (Freesco, LinuxRouter Project), a termináls szerverek (LTSP), a hálózati használatra kihegyezett OS-ek (NetLinOS), illetve a kommersziális programok és disztribúciók közül is egyre többen jelentkeznek ilyen megoldásokkal (Astaro, SuSE).

A floppy-s megoldások közül említésre méltó a Freesco project, amely egy alap Cisco router-t valósít meg egy minimális konfigurációjú (i386, 6 MB RAM, 1.44 MB Floppy drive) pécén, támogatva az Arcnet, Ethernet, illetve a modem kártyákat is. Ezeken kívül képes Bridge mode-ra, tűzfal és NAT (Network Address Translation) funkciókra, DNS, DHCP, HTTP, Telnet, és nyomtató szerver és modemes behívó szerver funkciókat is ellát néhány megabyte-nyi merevlemez integrálása esetén…

A Freesco-hoz hasonló a LinuxRouter Project is, viszont itt semmi kötődés nincs a Cisco IOS-hez, a cél egy biztonságos Linux kernel-re épülő minimális erőforrás- és hely igényű disztribúció elkészítése. Támogatja az IPX, Token Ring, Tunneling, Crypto protokollokat, képes VPN-t létrehozni illetve integrálva van a Traffic Shaper is a kernelbe (korlátozza a használható sávszélességet). Az LRP-t a VA Linux szponzorálja, úgyhogy hamarosan várható lesz pénzes verzió is belőle.

A piaci verziók közül kettőt próbáltunk ki, a SuSE cég Firewall On CD, illetve az Astaro 2.0-t. Az előbbiről csak annyit, hogy funkcióját tekintve egy router/tűzfal párosítás, aminek az érdekessége, hogy nem kell hozzá harddisk, a konfigurációját egy floppy-n tárolja, és a disztribúcióban található Live CD-ről boot-ol. A konfigurációs floppy elkészítéséhez viszont szükséges egy komplett SuSE installáció, mert az adminisztrátori felület csak így futtatható.

A másik csomag az Astaro Internet Security cég terméke, amely az eddig kipróbált megoldások közül felhasználói / beállító felületét tekintve magasan vezet. Az installációhoz itt szükség van harddisk-re, egy 50 megabyte-os distribúció letöltése, majd CD-re írása után erről a lemezről indítva a gépet elindul az automatikus telepítés, amely néhány jelszón, és egy IP címen kívül nem nagyon terheli a rendszergazdát kérdésekkel. A distribúció telepítésével együtt elkészülnek a partíciók a jail-be zárt programok, a Squid és SMTP proxy-k számára, illetve a naplófileok számára is, külö-külön. Ezt, a kb. 10 perces procedúrát követően már kész is van a tűzfal, az összes további konfiguráció egy WEB-es felületen történik. Ez a WEB-es felület (secure http) egy nagyon átgondolt, és igen szépen dizájnolt arcot kapott, ahol – szinte – minden beálítható a Packet Filter-től kezdve a Proxy-kon keresztül a mentésekig. Azért csak szinte, mert egyik hiányosságként meg kell említeni, hogy a Squid majdnem száz beállító paraméteréből mindössze nyolc kapott helyet a felületen, és sajnos az olyan korlátozásokat, mint például a belső hálózatból engedélyezett IP címek listája csak kézzel (vi szövegszerkesztővel a konzolon) a squid.conf-ba írva valósítható meg. Az SMTP, a DNS és a SOCK proxy-kkal kapcsolatban elégségesnek bizonyult a beállítási lehetőséget tárháza… Érdekessége az Astaro-nak, hogy a Backup (mentés) rendszer nagyon egyszerű, a szó legjobb értelmében. Van lehetőség napi/het/havi backup-ok e-mail-en keresztüli továbbítására is. Volt szerencsénk kipróbálni azt az esetet, amikor is a már felinstallált, backup-olt, működő rendszert egy kis baj érte, és újra kellett telepíteni nulláról. Az egész procedúra, a Restore-ral együtt kevesebb mint negyed órát vett igénybe…

A programba automatikus és/vagy kézzel indítható upgrade funkciót is építettek, amely képes az Astaro site-járól adott időközönként a biztonsági frissítéseket telepíteni a gépre. Ezek lehetnek az adott modulok, service-ok frissítései, vagy a regisztrált verzióban az SMTP proxy vírus ellenőrzőjéhez a vírus adatbázis újabb verziói.

Az Astaro természetesen támogatja a VPN-t, illetve ezen belül az IP-SEC-et is, méghozzá – köszönhetően a WEB-es interface tervezőinek – olyan egyszerűen beállítható módon, hogy aki még sose konfigurált tűzfalat, annak is csak néhány percébe kerül egy működő beállítás létrehozása. Ez a megállapítás vonatkozik az összes menüre, a Packet Filter-től az NAT-ok (SNAT, DNAT) beállításokig. Nagyon jó online help is segíti a felhasználót, rövid, és érthető modon magyarázza el az adott menüpontra vonatkozó beállítási lehetőségeket.

Mindent összevetve, szerencsére igen széles az alternatív router-ek tárháza, mindenki kiválaszthatja a pénztárcájának, tudásának, elvárásainak megfelelő verziót, és nyugton bizhat abban, hogy a fejlesztés nem áll meg. Ezek a software-ek mind-mind a sokak által istenített, és szerencsére egyre kevesebb ember által elutasított Linux és Free/OpenBSD irányvonalból nőnek ki, biztosítva minket arról, hogy a tudás nem mindig pénz függvénye, és egy szabad forráskódú rendszer igenis fel tudja venni a dollármilliókból fejlesztett és lobby érdekekből erőszakosan terjesztett más rendszerekkel a versenyt…

asatro-stat.gif

Freesco – http://www.freesco.com/
LinuxRouter Project – http://www.linuxrouter.org
NetLinOS – http://www.linux-router.org
Linux Terminal Server Project – http://www.ltsp.org
Astarto – http://www.astaro.com
SuSE – http://www.suselinux.hu

CHIP – GeekGadgets – Linux/BSD környezet AmigaOS-re

A GeekGadgets project első kiadása 1995-ben jelent meg, amelyet megszállott Amigás programozók hoztak létre, akik szerették volna az akkoriban szárnyait bontogató GNU-s és szabad szoftvereket egyszerűen portolhatóvá tenni AmigaOS-re is. Ehhez első lépésként meg kellett teremteni egy, a linuxos libc-hez hasonló, illetve azt emuláló környezetet, amelyet ixemul-nak kereszteltek el.

Az ixemul egy shared library, amelyet AmigaOS-ben már megszokhattunk, és valójában egy majdnem teljes BSD Unix környezet – pontosabban olyan könyvtárat, amelyben a UNIX rendszereken megszokott függvények érhetők el – tartalmaz, amely az operációs rendszerrel párhuzamosan fut. A library-ben a Unix-os signal-ok kezelését az eredeti kernel forrásából emelték át, illetve a multitasking-ért és a file műveletekért felelős részeket teljes egészében az AmigaOS rendszerfüggvényeivel oldották meg. Persze ez az ixemul-t használó programok számára nem látszik, a GCC-s fordítás után a kernel és a libc függvényeit használják, a Linuxon, vagy BSD-n fordított társaikhoz hasonlóan.

Az ixemul.library-t, illetve a hozzá tartozó SDK-t Markus Wild kezdte el írni 1993 végén, majd 1994 közepén került fel az akkoriban igen népszerű Fred Fish sorozat egyik CD-jére a 40.4-es verzió. Jeff Shepherd-nek köszönhetően 1995 elején kibővült a csomag egy ixnet-net keresztelt library-val, amely lehetővé tette a BSD-s socket-et használó programok egyszerű portolását, az AmiTCP illetve az Amigán szintén használatos AS225 tcp/ip stack-eket használva.

Erre a (Net)BSD könyvtárra építve hamarosan megjelentek az első GCC verziók, amelyek szabad utat nyitottak a számtalan, forráskóddal együtt kiadott program Amigás verziójának elkészítéséhez. AmigaShell-ből indítható, és ott futó Unix-os shell is készült; a PDKSH amely kis méretével és igen fejlett script támogatásával azóta is a GeekGadgets csomag része. Ezen shell-lel, illetve a további fejlesztői segédprogramokkal kibővítve a környezet adott volt az automake által készített configure file-ok futtatására, illetve az elkészült Makefile alapján az adott program AmigaOS-re való lefordítására.

1996 októberében elkészült az első X-Windows port is Xgeek néven, amely képes volt más gépekről indított programok grafikus megjelenítésére, illetve néhány egyszerűbb (pld: X-Eyes) AmigaOS-re lefordított program grafikus megjelenítésére. Az X-Szerver képes egy külön screen-en is – választható felbontással, és színmélységgel – és Workbench ablakban is futni, az első megjelenés óta számtalan Amiga specifikus bővítmény került bele, többek között hardware-es gyorsítás, AGA támogatás, stb. A jelenlegi X-es csomagban már a GIMP és néhány Window Manager (IceWm, Afterstep, stb.), továbbá számtalan kisebb program is megtalálható, de a GTK portjának köszönhetően a konzolos programokhoz hasonlóan az grafikus felületet igénylő programok portolása is elég egyszerűvé vált.

Az évek során számtalan kisebb-nagyobb program került bele a GeekGadgets-be, a legutóbbi snapshot (1999.05.29) illetve az azóta is folyamatosan bővülő alpha stádiumban lévő programok száma 150 körül van, bináris méretük 180-200 megabyte tömörítve.

Tehát valójában a GeekGadgets nem más, mint egy GNU alapú disztribúció, amely tartalmaz egy kernelt (ixemul) továbbá egy fordítót (GCC) illetve a fejlesztéshez és a használathoz nélkülözhetetlen programokat.

Sokan abban a tévhitben leledzenek, hogy az amigás GCC kizárólag ixemul-t használó programokat képes fordítani… Ez nem így van, a fordító rendelkezik jó néhány AmigaOS specifikus kapcsolóval (-m68020, -resident, stb.) és képes teljesen natív OS kódot is fordítani a -noixemul kapcsolóval, a libnix-et használva az ixemul library helyett. Ilyenkor a SAS vagy a Maxon C/C++ fordítókhoz hasonlóan az amiga.lib-et használja, és teljes egészében kihagyja a generált kódból az ixemul-os részeket.

A jelenlegi legjobb – és legdrágább – fejlesztői környezet, a StormC is tartalmazza a GCC-nek egy speciális, a GeekGadgets-ből átdolgozott verzióját amelyet nemrégiben a Haage & Partner bárki által szabadon használhatóvá is tett, függetlenül a StormC csomagtól.

A GeekGadgets az AmigaOS-nek képes biztosítani azt a felületet, amely lehetővé teszi a felhasználóknak, és a programozni vágyóknak hogy az utóbbi időkben szerencsére egyre jobban növekvő ütemben előrenyomuló szabad forráskódú programok közül minél többet lehessen egyszerűen átültetni, és a Linux-os vagy BSD-s közösséghez hasonlóan újra kitermelődjön egy olyan számítástechnikához értő réteg, amely az egérkattintáson kívül is ért valamihez, és kreativitását jobbnál jobb programok elkészítésében igyekszik kamatoztatni. Mindezt a régi, jól bevált AmigaOS-t használva…

http://www.geekgadgets.org

/poet/?p=53

kincstar200108.png

CHIP – Linux Amigán

Az elkövetkezendő évek – vélhetőleg – egyik domináns operációs rendszere, a Linux egyáltalán nem áll távol az Amiga világtól. A Commodore cég a 90-es évek elején még egy UNIX (68030 SVR4) operációs rendszerrel szállított Amiga 3000UX fantázianevű gépet is piacra dobott, elsősorban a szerver kategóriát kedvelők részére. Viszont a Linux más világ, bár a felületét tekintve a nagy ős nyomdokait igyekszik követni. A másság miatt viszont igen kedvelt lett világszerte, és ez igaz az Amiga hardware-rel rendelkező pár százezer emberre is.

A kezdetek

A Motorola 68000-es szériájára (68k) is elkészültek az egyes disztribúciók, így az Amiga, Atari, Macintosh, Motorola VMEbus és a NeXT munkaállomásokon is elérhető jó néhány éve ez az operációs rendszer. A Linux Intel platformon való megjelenése után rövid idővel Hamish Macdonald, és Greg Harp elkészítette az első 68k-s Linux-ot, Amigán. Ezek az első próbálkozások a 0.0.5 szintjén mozogtak, és az 1.3-as verziószám elérése után a 68k-s projekt átkerült Roman Hodek-hez, és Jes Degn Sørensen-hez, akik az 1.3.94-es verzióval ezt a platformot is beállították a hivatalos kernel fába.

A folytatás

A jelenben a 2.x-es kernelek már teljesen egyenrangúak megbízhatóság és teljesítmény szintjén az Intel platformon fejlesztett társaikkal, illetve a 68k-s fejlesztésekből nőtte ki magát a Phase5 duál processzoros (BlizzardPPC, CyberStormPPC) kártyáihoz készült APUS kódnevű PowerPC Linux is. Amigán az APUS hozta meg a felhasználók kedvét ehhez az operációs rendszerhez, mert a 68k-s processzorok teljesítménye sokkal inkább igazodik az AmigaOS nyújtotta minimális processzorigényt felmutató felületéhez (GUI), mint a Linux-on használt X.

A valóság

Itt meg kell jegyeznünk, hogy az otthon AmigaOS-t használók számára a Linux, mint operációs rendszer valószínűleg soha nem fog alternatívát jelenteni, ennek leginkább a monopolizált Intel-Microsoft világban van igazán nagy jelentősége. Míg az AmigaOS egy 14 megahertzes 68020-as processzoron, 4 megabyte RAM-mal is kifogástalanul, és gyorsan működik, továbbá az alkalmazások jelentős részét is hasonló paraméterekkel képes futtatni, addig a Linux disztribúciók, és az ezekben található programok nem igazán fognak elfogadható minőséget produkálni, hacsak nincs a gépben egy PowerPC processzor… Software ellátottság terén sincs – a Linux-szal összehasonlítva – az AmigaOS-nek oka panaszra, talán a szerver-ek, a Netscape Communicator, és a mostanság megjelenő két PowerMac emulátor (SheepShaver, Mac-On-Linux), meg az Amigásokat jellemző olthatatlan megismerni-vágyás fogja legalább egy kipróbálás erejéig rávenni őket egy-egy Linux disztribúció telepítésére. Sőt, jó néhány területen még – bár a Linux-os fejlesztéseket nézve ez nem fog örökké tartani – mindig vezet az Amigás világ, ilyenek a CD író, file kezelő, irodai csomagok (szövegszerkesztő, táblázatkezelő), grafikai és animációs software-ek, illetve a zenei programok. Persze az Amigára megjelent több ezer játékprogramról se szabad megfeledkezni, ami egy otthoni felhasználó számára igenis fontos momentum, ha már operációs rendszerek között kell választania. Az alkalmazásokon túl, maga az OS is fényévekkel közelebb áll az emberhez mint a napról napra fejlődő Linux, az olyan tulajdonságokat, mint dinamikus ramdrive, autoconfig, screen-ek, shutdown nélküli kikapcsolás, villámgyors felület, és a többi sok-sok megszokott dolgot nagyon nehéz felváltani egy teljesen más világgal.

Bár sokaknak úgy tűnhet, de ennek a cikknek nem az a célja hogy elrettentse az Amigásokat a Linux-tól, hanem ennek pont az ellenkezője. Ugyanis az unikumnak számító AmigaOS-nek köszönhetően folyamatosan távolodtak el a ‘nagy cégek’ ettől a platformtól, – bár ha az Amiga International tervei valóra válnak az új géppel akkor ez a tendencia remélhetőleg meg fog fordulni – és manapság már szinte olyan érzése van az embernek, mint a Linux-al néhány éve, mikor még ott sem voltak jelen a ‘nagyok’ és maguk a felhasználók leheltek életet kedvencükbe azzal, hogy a hiányzó szoftvereket maguk írták meg… A Linux-al az Amiga tulajdonosok ama régi vágya válik valóra, hogy a frissen megjelenő software-ek minden késedelem – portolás – nélkül rákerülhessenek kedvenc masinájukra, és – megtartva természetesen az AmigaOS-t is – piacképes tudást szerezhessenek egy olyan operációs rendszerből, amelyből talán néhány év (?) múlva legalább annyi fog működni világszerte, mint ma a domináns Windows sorozatból.

Hardware követelmények

A 68k-s vagy PowerPC-s Linux kernelekhez mindenképpen szükségeltetik egy PMMU-val (Programmable Memory Management Unit) ellátott processzor, 68030-68060 (az EC sorozat tagjai NEM tartalmaznak ilyen részt!) illetve a PowerPC 60x-es és G3-as sorozat. Létezik ugyan egy úgynevezett uClinux (Microcontroller Linux) amely képes futni az összes 68k-s processzoron – MMU nélkül is – de ilyenkor hiányozni fog az OS-ből a vituális memória kezelés, és a memóriavédelem. A Linux memóriaigénye nagyon kicsi, 2 megabyte FASTRAM-mal már elindul, de grafikus alkalmazásokhoz ajánlnatos minimum 8 mega, vagy méginkább ennek a tízszerese. A winchester-en is ajánlatos 100 megabyte Linux, és minimum 16 megabyte LinuxSwap helyet biztosítani számára. A Linux boot loader használatához minimum 2.x-es Kickstart-nak kell a gépben lennie.

A valóságban, vagyis ha ma szeretné valaki igazán elkápráztatni magát a Linux-szal, és annak grafikus felületére készült programjaival, mindenképpen ajánlatos 64 megabyte RAM, 1 gigabyte winchester, és egy PowerPC 603-as processzor. Ilyenkor megnyílik a világ, előkerülhetnek az MP3, vagy VideoCD lejátszók, a híres Communicator, fejlesztői környezetek, emulátorok, vagy éppen a sok-sok 3D-s játék. Ezekhez – és a ‘normális’ felbontásokhoz is – melegen ajánlott egy grafikus kártya, lehetőleg 3D chip-pel. A Permedia2-es kártyákhoz már létezik 3D gyorsított XF86 is.
lnxppc1.gif

Disztribúciók

Manapság legnépszerűbb a RedHat LinuxPPC disztribúciója, amelynek 5-ös verziója egy hónapja látott napvilágot. Népszerűségét nem elsősorban voltának köszönheti, hanem annak hogy a legnagyobb példányszámú Amigás magazin, az angol Amiga Format feltette a teljes disztribúciót egyik CD mellékletére… (Ugyanezt megtette az Amiga Világ is itthon)

Ugyancsak egy nemhivatalos RedHat klón a Linux Rough Cuts disztribúció, amely a ‘alternatív’ processzorokra (PowerPC, UltraSPARC, MIPS) készült. Ezt hivatalosan a német Schatztruhe-től lehet beszerezni.

A Debian-nak is van teljes 68k, és PowerPC verziója, ez utóbbit viszont jelenleg csak az ‘unstable’ Potato formában lehet letölteni.

Nemhivatalos Debian port az Eagle project, amely kizárólag 68k Amigákra készült, saját loader rendszere van, a Linux-ot grafikus felületről indíthatjuk, akárcsak az APUS-t, az AF MUI-s programjával.

Ezeken kívül van Amigás verzió a NetBSD, FreeBSD, Yellow Dog, és MkLinux verziókból is, vagyis két három disztribúción kívül az összes létező közül választhatunk. Ezzel együtt az is igaz, hogy szinte az össze ‘unofficial’ kategóriába tartozik, vagyis kis csoportok, és nem a nagy kiadók készítik a csomagokat, és a CD-ket.
ydog.gif

Lépésről lépésre…

Ha megvan a megfelelő hardware-ünk, előkészítettük a megfelelő partíciókat, és megszereztük a kívánt disztribúciót, szükségünk lesz egy előfordított kernel-re. Ezt természetesen a processzorunkhoz (68k, vagy PowerPC) illeszkedő kell hogy legyen, illetve legyenek benne a meglévő hardware-einkhez szükséges driver-ek.

Ezek után szükség van egy úgynevezett ramdisk image-re, vagy egy olyan floppy-ra, amelyről majd a kernel el fogja indítani az operációs rendszert. Ezt érdemes a ramdisk image-ből csinálni, mert sokkal gyorsabb, és kevésbé sérülékeny.

Az egész boot procedúrát elősegítendő, Duncan Gib készített egy grafikus felületet, amelyben beállíthatjuk a megfelelő paramétereket, (Kernel, CPU, RAM, Video mód, root partíció, ramdisk image, speciális opciók) így nem kell a Bootstrap-ot kézzel konfigurálgatni.

launcher.jpg

Ha minden beállítás sikeres volt, akkor meg fog jelenni a megszokott fekete fehér konzol képernyő, APUS esetében a jobb vagy bal felső sarokban egy Linux pingvinnel. Innentől kezdve a választott disztribúció fog lépésről lépésre vezetni az installáció során.

Az Amigás Linuxok jövője

Hasonlóan a többi hardware platformhoz, az Amigások között is folyamatosan nő a Linuxot használók száma. Ezzel párhuzamosan szerencsére egyre többen foglalkoznak a gépspecifikus fejlesztésekkel is, 68k és PowerPC oldalon is. A Linux APUS project a Phase5 támogatásával indult el, és folyamatosan (Jesper Skov-nak köszönhetően) biztosítják számára a kívánt support-ot. Jelenleg – Linux módban – a dual processzoros kártyák 68k oldalát már a kernel kikapcsolja, így egy erőforrás kihasználatlan marad. Ennek megszüntetésére több terv is született, egyesek grafikai gyorsítónak szeretnék felhasználni az alvó processzort, mások pedig – az AROS-t használva – natív AmigaOS-t futtatnának a 68k processzoron. Bármelyik terv is valósul meg, mi felhasználók biztosan jól járunk vele.

Ugyanolyan jól, mint magával a Linux-szal – mert bár némileg ellentmondásosnak tűnhet ez a cikk is, szükséges megismernünk egy más környezetet is. Főleg annak fényében, hogy az egész felfogás nem áll túl messze az AmigaOS-től, – anno egy tőről fakadtak – és ugyanolyan hiánypótló szerepet fog előbb utóbb betölteni minden Amigás rendszerében, mint manapság a Macintosh emulátorok. Azzal az apró különbséggel, hogy a Linux ingyenes – ellentétben a MacOS-szel – és az arra készült alkalmazások többsége szintén az.

Link-ek

Magyar Amiga Linux honlap http://AMIGAonly.ahol.com/amilinux/
Linux m68k homepage http://www.linux-m68k.org/
Linux APUS ftp://ftp.sunsite.auc.dk/projects/apus/
uClinux http://www.esat.kuleuven.ac.be/~pcoene/
RedHat Amiga Linux http://www.feist.com/~rjflory/linux/rh/index.html
Eagle 68k Amiga Linux http://www.eagle-cp.com/www/m68k.html
Debian PowerPC port http://www.debian.org/ports/powerpc/