Hace dos días salía a la luz una vulnerabilidad en el kernel del popular sistema operativo GNU/Linux que afecta a prácticamente todas las distribuciones del mismo desde el 2001, incluso a los RedHat con políticas SELinux.

El xploit en cuestión se puede descargar desde aqui y la vulnerabilidad se puede parchear desde aqui.

De paso lo he probado en mi servidor que está compilado con Grsec y PaX en un Linux 2.6.25 y puedo decir con alivio que gracias a que PaX vigila y restringe el cambio de propiedades de las paginas de memoria este exploit resulta inefectivo contra los Linux que tengan PaX y dicha opción habilitada.

Dos días llevo peleando con el ordenador y tras varias batallas perdidas puedo decir con satisfacción que he ganado la guerra. La placa madre P5KPL/1600 que utilizo es bastante económica, 59€ en doctorpc y lleva un chipset intel G31. Entre otras cosas cuenta con doble PCI-e x16 para dos gráficas ATI (aunque con una Nvidia también funciona), red gigabit y está preparada para dual core y core 2 duo. El único hardware extra que tiene mi ordenador para mi configuración es una Nvidia 7600 GT, y como procesador uso un Pentium 4 3.0 Ghz LGA775.

La configuración para la placa madre que me ha servido es la siguiente:

• iATKOS v7 Main System.
• Bootloader: Chameleon v2.
• X86 Patches: /Extra directory, DSDT, Decrypters -> AppleDecrypt, kernel 9.7.0 Voodoo, Disabler y OHR.
• Drivers: VGA -> Nvidia -> Enablers -> Old Enablers -> NVinject, System -> USB, Sound -> Azalia Driver
• Languages -> Spanish

Funciona *casi* todo. VGA con aceleración, apagado, suspendido y despertar, reiniciado, usbs, SATA, PATA, red.. incluso el audio, pero solo por la salida trasera y solo como salida. No funciona ni el input ni el audio del panel frontal.

Se acabó por fin la segunda edición de la Algecampus!! Que cansado vengo y que poco he dormido con el lio.

Por segundo año consecutivo Simauria (Kutul, Keper y yo) se ha encargado de la administración de la red de la party que ha funcionado perfecta durante toda la duración del evento.

Entre otras muchas tareas que hemos realizado estaban la configuración de los 7 switches de las filas de participantes, el switch central o core, el servidor de DHCP y dnscache, la monitorización de la red con cacti través de snmp y la creación de un blog en la que hemos contado un poco mas detalladamente el contenido de la party.

Gráfica creada con cacti para monitorizar la red de la Algecampus 2009

La verdad es que es un tema un poco tonto pero que me ha dado bastante guerra. La historia era añadir en el /etc/fstab un dispositivo de red compartido por samba de forma que se auto-montase, pero tanto smbfs como cifs necesitan como parámetros de montaje el usuario y la contraseña:

# mount -t cifs //machine/share /mnt/share -o username=blah,password=blah

Con el consecuente problema de que cualquier usuario que ejecute la instrucción mount verá las opciones de montaje, incluyendo el usuario y contraseña del recurso compartido que se ha montado.

La solución a esto es de sobra conocida. En lugar de pasarse como parámetros el usuario y contraseña se pasa la opción credentials=/path/to/file en donde estarán el usuario y la contraseña, legibles solo por root (no hay que olvidarse del chmod):

# mount -t cifs //machine/share /mnt/share -o credentials=/etc/share_credentials
# cat /etc/share_credentials
username=blah
password=bla

Hasta aqui correcto, información que se puede encontrar en cualquier parte. El problema vino cuando al intentar montarlo usando credentials me denegaba el montaje y me decía que mirase dmesg | tail, en donde aparecía esto:

CIFS VFS: No username specified
CIFS VFS: cifs_mount failed w/return code = -22

Era como si la opción credentials no existiese o no funcionase. Al final después de mucho buscar me di cuenta de que no tenía mount.cifs y que solo necesitaba ese helper de mount para que funcionase correctamente:

# emerge mount-cifs

Y problema solucionado. Lo sé, es una tontería, pero esta es de esas tonterías que joden hasta que das con la solución tonta por lo que me lo anoto para el futuro.

Pues eso, que se ha vengado de mi por la que le hice con el iPod de segunda generación.

La semana pasada me dio por conectar la linea de datos del SAI al servidor para monitorizar la carga restante y apagar el servidor limpiamente en caso de que la carga esté cerca de agotarse y el jueves estuve haciendo una prueba para comprobar que estaba correctamente configurado decidió apagarse antes de tiempo, pero eso es otra historia que no tiene nada que ver.

Al parecer se me murió la placa de electrónica que está entre la controladora SCSI RAID y los discos, el llamado ‘enclosure’ o cercado, que es otro dispositivo SCSI y que sirve para administrar los discos hotswap, por lo que la controladora no me detectaba ninguno de los discos hotswap.

Afortunadamente tenía otra tarjeta de discos hotswap por lo que pude conectar los discos y recuperar el sistema para restaurarlo en un disco duro IDE normalito.

Lo malo es que el enclosure de discos hotswap que utilicé a modo de emergencia no cabe en la caja del ordenador por lo que hasta aqui ha llegado mi aventura de RAIDs.