Schlagwort-Archive: Red Hat

Univention signiert Xen-Windows-Treiber

Die auf Open-Source-Komplettlösungen spezialisierte Univention GmbH spendiert den unter GPL stehenden Xen-Windows-Treibern eine Signatur. Durch diese Signatur ist es erst möglich, die Treiber regulär in 64-Bit-Windows-Systemen einzusetzen. Bisher musste man modernere Windows-Versionen, wenn es sich um die 64-Bit-Variante handelt, in einen speziellen Testmodus versetzen, um die von James Harper entwickelten Treiber überhaupt einsetzen zu können. Vergleichbare, signierte Treiber für Xen gibt es zwar auch von Citrix, doch einen Einsatz mit der Community-Variante des Hypervisors hat man dort nie offiziell gutgeheißen.

Die jetzt mit Signatur erhältlichen (PV-)Treiber werden nachträglich in einer Windows-VM unter Xen installiert. Sie etablieren eine neue Schnittstelle für Netzwerk- und Festplattenzugriffe zur Kommunikation mit dem Hypervisor, die deutlich schneller zu Werke geht als die andernfalls aktive Emulation solcher Geräte — diese Besonderheit, die auch Paravirtualisierung genannt wird, ist eine Spezialität von Xen. Sie ist aber inzwischen auch bei KVM gebräuchlich, dort liefert Red Hat entsprechende, mittlerweile auch signierte Treiber, und sogar Microsoft benutzt in Windows mit Hyper-V ähnliche Technik.

Den originalen Artikel mit allen Links sowie eine englische Version des Artikels von Peter Siering, findet ihr unter Univention signiert Xen-Windows-Treiber von heise.de.

Freundliche Grüße
das OSS-Haus Team

LibreOffice kommt auf iOS, Android und in den Browser

Die freie Büro-Software, die aus OpenOffice hervorgegangen ist, soll künftig auch auf den Mobilbetriebssystemen Android und iOS laufen.

Zudem, wie die Document Foundation auf einer LibreOffice-Konferenz in Paris erklärte, werde die quelloffene Suite auch in Browsern laufen. Bis es so weit ist, wird jedoch einige Zeit vergehen, wie die Document Foundation mitteilt: „Das sind keine Produkte, die für Endanwender erhältlich sind, sondern fortgeschrittene Entwicklungsprojekte, die Ende 2012 oder Anfang 2013 zu Produkten werden sollen.“

Der Prototyp der Online-Version von LibreOffice nutzt das Software Framework GTK+, HTML Canvas für 2D-Grafik und WebSocket für die Kommunikation zwischen Browser und Server. Dem Projekt steht der Deutsche Michael Meeks von Suse vor.

Für die Android- und iOS-Varianten von LibreOffice zeichnet sich mit Tor Lillqvist ebenfalls ein Suse-Programmierer verantwortlich. Nach Angaben der Document Foundation steht aber die Arbeit an der Benutzeroberfläche noch am Anfang. Teile des Programmcodes wurden aber bereits kompiliert.

Im Rahmen der Konferenz gab die Document Foundation bekannt, dass mehrere französische Regierungsbehörden insgesamt 500.000 Computer, der größte Teil davon Windows-Rechner, von OpenOffice.org auf LibreOffice umstellen. „Dadurch vergrößert sich die Installationsbasis unter Windows auf einem Schlag um 5 Prozent“, so die Document Foundation.

Dies ist ein weiteres Zeichen dafür, dass nicht nur die Community, sondern auch die Anwender inzwischen LibreOffice dem Vorgänger OpenOffice vorziehen. Die Document Foundation und damit auch LibreOffice waren von Programmierern ins Leben gerufen worden, die mit der Entwicklung von OpenOffice in den Monaten nach der Übernahme von Sun Microsystems durch Oracle unzufrieden waren. Einige Zeit danach übergab Oracle die Verantwortung für OpenOffice an die Apache Software Foundation.

Viele Linux-Anbieter wie Red Hat, Suse und Ubuntu haben sich hinter LibreOffice gestellt. IBM, dessen kostenlose Produktivitätsanwendungen Lotus Symphony auf OpenOffice basieren, unterstützt hingegen weiterhin OpenOffice.org.

Den originalen Artikel mit Fotogalerie von Martin Schindler, findet ihr unter LibreOffice kommt auf iOS, Android und in den Browser von silicon.de.

Freundliche Grüße
das OSS-Haus Team

Linux wird nicht ausgebootet

Mit Secure Boot, das Microsoft mit Windows 8 forcieren will, sollen Rechner künftig nur noch signierte Betriebssysteme starten. Was auf den ersten Blick wie ein Kampagne gegen Linux und Open Source aussieht, ist in Wahrheit ein ausgeklügeltes Sicherheitssystem, von dem Server-Distributionen profitieren können.

PCs und Notebooks könnten sich künftig weigern, Linux oder andere Betriebssysteme zu starten, wenn zuvor Windows 8 installiert wurde. Dafür wäre die Secure-Boot-Funktion der UEFI-Firmware künftiger Rechner verantwortlich, die Microsoft ab Windows 8 unterstützen will. Ist Secure Boot aktiviert, startet die UEFI-Firmware nur noch signierte Betriebssysteme, deren Signaturschlüssel vom Mainboard- oder UEFI-Hersteller in einer speziellen Datenbank hinterlegt sind. So sieht es die am 6. April 2011 veröffentlichte UEFI-Spezifikation 2.3.1 vor, die derzeit unter den Chip- und Mainboard-Herstellern diskutiert wird – denn schon die nächste Generation Chipsätze soll die neue Spezifikation unterstützen.

Mit Secure Boot wollen Microsoft und die Hardware-Hersteller, so auch die offiziellen Stellungnahmen, Angreifern das Leben schwer machen: Die Sicherheitsmechanismen eines Betriebssystems mögen noch so ausgefeilt sein – wird zuvor etwa über einen Bootsektor-Virus ein Schadprogramm in den Speicher geladen, kann es die Schutzmechanismen nach Belieben aushebeln. Bootet der Rechner nur noch signierte Bootloader, Betriebssysteme und Hypervisors von einigen wenigen vertrauenswürdigen Quellen, können Angreifer das Betriebssystem nicht mehr manipulieren und den Schutzmechanismen des Betriebssystems nicht mehr zuvor kommen. Außerdem sieht der UEFI-Standard vor, dass die Firmware den Key für eine verschlüsselte Festplattenpartition an das signierte Betriebssystem weiterreicht.

Um Linux auf einem solchen Rechner anstandslos starten zu können, müssten Bootloader und Kernel signiert sein und der öffentliche Signaturschlüssel in der Datenbank der Mainboard-Firmware vorliegen. Die Hersteller dürften durchaus damit einverstanden sein, die Schlüssel der großen und der kommerziellen Distributoren wie Red Hat, Oracle und Suse aufzunehmen. Damit kämen die Enterprise-Distributionen dieser Hersteller in den Genuss der gleichen Manipulationssicherheit wie Windows 8.

Ob sie aber auch freien Projekten wie Debian und Fedora und den unzähligen kleinen Linux-Distributionen genügend vertrauen, um deren Schlüssel standardmäßig auf den Mainboards zu hinterlegen, ist fraglich. Schließlich genügt einem Angreifer Zugang zu einem einzigen Signaturschlüssel, um seine Schadprogramme korrekt signieren und unbemerkt in den Bootvorgang einfügen zu können.

Die UEFI-Spezifikation sieht allerdings auch vor, unsignierte Software zu starten: So wird unter Punkt 27.7.3.3 bei Schritt 5 explizit die Möglichkeit beschrieben, den Benutzer nach einem (zuvor festzulegenden) Passwort zu fragen, falls die UEFI-Firmware auf ein nicht signiertes Boot-Image stößt. So lässt sich verhindern, dass sich ein Angreifer unbemerkt in den Bootvorgang einklinkt – ohne dem (autorisierten) Benutzer Beschränkungen bei der Software aufzuerlegen.

Damit das Passwort nicht bei jedem Start erneut abgefragt wird, müssten die Linux-Distributoren den Bootloader und ihren Kernel dennoch signieren – und den Signaturschlüssel mit Hilfe einer UEFI-Applikation in der Schlüsseldatenbank des Mainboards nachtragen.

Technisch ist dies eine durchaus lösbare Aufgabe, die Umsetzung bereitet jedoch rechtliche Probleme: So wird der heutige Standard-Bootloader Grub 2 unter der GPLv3-Lizenz veröffentlicht, die vorschreibt, dass der Signaturschlüssel ebenfalls offengelegt werden müsste. Damit würde man Angreifern jedoch Tür und Tor öffnen, da sie sich dann auf jedem Rechner mit Grub-Installation wiederum unbemerkt in den Bootprozess jedes installierten Betriebssystems einklinken könnten. Die Installation von Linux und Grub könnte sich letztlich sogar als Sicherheitsrisiko entpuppen.

Den originalen Artikel mit allen Links von Mirko Dölle, findet ihr unter Die Woche: Linux wird nicht ausgebootet von heise – Open Source.

Freundliche Grüße
das OSS-Haus Team

Red-Hat-Chef zur Linux-Zukunft

Red Hats CEO Jim Whitehurst, der auf der kommenden LinuxCon Nordamerika die Keynote am Eröffnungstag halten wird, äußerte sich jetzt in einem Gespräch mit der Linux Foundation zur Zukunft des freien Betriebssystems.

Auf die Frage, wo er Linux an seinem 20.Geburtstag sehe, sagte Whitehurst: „Linux ist ganz klar das Betriebssystem des Web 2.0 und der Cloud. Praktisch jede neue Applikation und jedes neue Start-up im Web entwickelt einen Linux-Stack. Linux wandelte sich von einer brauchbaren Alternative zu traditionellen Betriebssystemen zum Standard. Darauf sollten wir alle sehr stolz sein.“

Weiter ging Whitehurst darauf ein, wie sich die Erwartungen der Kunden verändert haben. „Das ist eine schwere Frage“, sagte er. „Während Linux wuchs und reifte haben sich die Anwendererwartungen stärker auseinander entwickelt. Da gibt es einerseits die technisch orientierten Kunden, die ganz spezielle Anforderungen an die Skalierbarkeit, Zuverlässigkeit und/oder Sicherheit haben. Und andererseits ist da die breite Masse von Kunden, denen es hauptsächlich darauf ankommt, das alles gut funktioniert. Sie wollen, das ihre bevorzugten Anwendungen für Linux zertifiziert werden und das Partner Linux-Dienstleistungen anbieten.“

Was ist die bedeutendste Herausforderung für Linux, wurde Whitehurst weiter gefragt, und was ist nötig, um ihr zu begegnen? „Ich glaube heute wird jeder mit mir darin übereinstimmen, dass Linux eine brauchbare Alternative zu anderen Betriebssystemen ist. Diese Schlacht ist gewonnen. In den nächsten Jahren muss es darum gehen, diese Akzeptanz in konkrete Einsatzfälle umzumünzen. Linux stellt erst ein Viertel der Betriebssysteminstallationen auf Servern. Der Wert sollte jenseits der 50 Prozentmarke liegen. Bis das erreicht ist, sind noch viele Blockaden und Tackling zu überwinden, aber wir sind auf einem guten Weg.“

Den originalen Artikel von Jens-Christoph Brendel, findet ihr unter Red-Hat-Chef zur Linux-Zukunft von Admin-Magazin.

Freundliche Grüße
das OSS-Haus Team