1. Prezentarea echipei

Student la Universitatea de Vest Vasile Goldiş Arad, Facultatea de Informatică.

La început, s-a pus întrebarea "dacă suntem în cadrul mişcării Open Source, şi dacă tot există deja atâtea distribuţii, nu ar fi fost mai util (mai eficient, mai simplu) să colaborăm cu ideile şi scripturile noastre la o versiune îmbunătăţită a unei distribuţii existente ?". Dacă am fi răspuns "Da", Decebal ar fi fost o copie a unei distribuţii oarecare şi probabil ar fi rămas veşnic în umbra acelei distribuţii. Dar răspunsul nu poate fi categoric. Putem spune chiar, că există mai multe variante de răspuns. Una ar fi "putem ? putem încerca !", a doua "orice s-ar întâmpla, numai noi avem de câştigat, experientă şi satisfacţia de a folosi propria noastră distribuţie"...

Ca utilizatori Linux şi administratori de sistem, am avut ocazia să încercăm diverse distribuţii, ca Slackware, SuSE, Gentoo, Redhat, Mandrake şi altele. În fiecare am găsit părţi bune şi părţi mai puţin bune, precum şi unele părţi care lipseau. Ne-am format amândoi o părere despre ce ar trebui să conţină o distribuţie, şi când ne-am întâlnit am observat că părerile noastre coincid. Ca simpli utilizatori ai calculatorului, am fi preferat poate SuSE sau Mandrake, dar ca administratori de sistem, Slackware. Amândoi am optat pentru Slackware, fiind în acelaşi timp conştienţi că nu vom putea avea diversitatea de pachete din SuSE, dar în alegerea noastră a primat simplitatea şi claritatea. Ne-am spus că ar fi ideal, ca o distribuţie să fie şi simplu de configurat şi întreţinut şi în acelaşi timp să ofere soluţii la îndemână pentru utilizarea de zi cu zi a calculatorului. Cu această idee în minte am început să lucrăm la Decebal. "Simplitate şi putere". Simplitate şi pentru utilizatorul neobişnuit cu mediul Linux, simplitate pentru cel obişnuit sau pentru administratorul de sistem, în configurarea lui. La ce ne-am gândit când am spus putere ? La viteza şi rigurozitatea cu care se poate configura sistemul.

Dar una dintre cele mai importante aspecte în viziunea noastră, a fost securitatea sistemului. Aproape toate distribuţiile Linux existente, suferă la acest capitol. Există şi distribuţii la care securitatea este în prim plan, dar de obicei acestea neglijează funcţionabilitatea, simplitatea sau diversitatea. De la început, am vrut să avem securitatea existentă în sistemele *BSD integrată în Decebal Linux.

La început, ne-a fost pus la dispoziţie de către Universitatea de Vest Vasile Goldiş un laborator, în care am lucrat în luna ianuarie 2004, şi apoi am continuat pe calculatoarele noastre, acasă.

La Decebal Linux, nici un pachet precompilat nu a fost luat din altă distribuţie, totul a fost compilat de la zero. La început, ne-am creat un mic sistem de pe care să putem compila restul pachetelor. Ştiam că vom avea nevoie de un manager de pachete. Cele existente nu ne mulţumeau din diverse motive. De exemplu, cel din Slackware ni se pare prea primitiv, pe când RPM-ul de la RedHat sau deb-ul de la Debian, prea încărcat de opţiuni care oricum nu le-am fi folosit niciodată. Am optat pentru package-managerul de la Archlinux, "pacman" dar în momentul actual avem propriul nostru manager de pachete, la care vom face referire în cele ce urmează.

Etapa următoare a fost alegerea pachetelor care trebuiau incluse în distribuţie. De la început am vrut să structurăm Decebal în două părţi majore. O parte care să fie destinată serverelor (furnizor de servicii internet, routere, servere de orice fel...) şi a doua, utilizatorilor de acasă. Prioritară a fost prima parte dar în paralel am lucrat şi la a doua. Într-un an de zile, nu am folosit acasă nici un alt sistem de operare, closed-source sau open-source. Singurul sistem de operare folosit a fost Decebal Linux şi evident apăreau probleme care trebuiau rezolvate. Probleme ca : "trebuie să ard un CD", "trebuie să ascult muzică", "trebuie să mă uit la un film", "trebuie să redactez un document" şi altele. Drept urmare, pe langă lucrul la partea de server, am lucrat activ la partea de desktop incluzând astfel pachetele care ne-au fost necesare la un moment dat.

De pe Internet se pot descărca sute de distribuţii. Majoritatea sunt axate pe un singur domeniu (cum ar fi distribuţiile gen "Rescue", sau cele folosite doar pe post de router...). SuSE si Mandrake sunt destinate în special home-userilor, pe când Slackware şi Debian sunt folosite mai mult pe post de server/router. Am încercat să facem o sinteză a acestora şi să includem în Decebal aceste categorii.

4.1. Asemănări cu alte distribuţii

Fiecare distribuţie de Linux are particularităţile ei, nu există două distribuţii identice. Aceste particularităţi reprezintă de fapt identitatea fiecărei distribuţii. Acest lucru este bun, puterea open-source vine tocmai din diversitate. Totuşi, există două standarde care ar trebui respectate, FHS (File Hierarchy System) şi LSB (Linux Standard Base). Măsura în care sunt respectate aceste standarde ramâne la latitudinea dezvoltatorilor fiecărei distribuţii. De exemplu, Slackware foloseşte BSD-init, pe când Redhat, SuSE şi clonele lor folosesc SyS-V init. Pentru Decebal Linux am făcut scripturi de iniţializare proprii, care putem spune că sunt mai apropiate de BSD-init decât de SyS-V init.

Grupa de pachete "Base" este cam aceeaşi la fiecare distribuţie, la fel cum orice distribuţie majoră include KDE şi/sau Gnome. Acestea sunt prezente şi în Decebal şi în secţiunea 5. sunt prezentate mai pe larg pachetele incluse.

4.2.1. Securitate

De la început am pus un mare accent pe securitate. Nu ne referim la insecuritatea creată de utilizatorul experimentat sau neexperimentat, ci la programele vulnerabile care există în distribuţii. În mod normal, când se descoperă o astfel de vulnerabilitate, distribuţiile majore (sau pagina oficială a programului vulnerabil) pun la dispoziţie un "patch" care să acopere vulnerabilitatea respectivă. Totuşi, există multe programe vulnerabile, a căror vulnerabilitaţi nu s-au făcut publice. Acestea fac ca un sistem să fie pasibil la atacuri, şi şansa ca aceste atacuri să reuşească este direct proporţională cu numărul de utilizatori de pe sistem şi cu numărul de pachete instalate. Am inclus doar programe care sunt la o versiune stabilă, evitând versiunile beta. Unde a fost posibil, am inclus versiuni "hardened", versiuni securizate ale programelor. De exemplu, am pus hardened-php, în loc de php-ul implicit care se găseşte în majoritatea distribuţiilor. Bineînţeles nu putem avea siguranţa că în viitor nu se va descoperi o vulnerabilitate într-unul dintre programele incluse. Drept urmare, nu ne-am limitat doar la acest tip de protecţie, ci am căutat şi alte moduri de a preveni tipurile de atac mai des folosite.

Peste 90% din programele vulnerabile, sunt vulnerabile din cauza utilizării defectuase a zonei de memorie numită stivă (în engleză, "stack"). Pentru a preveni acest tip de atac, am compilat toate programele cu protecţie împotriva exploatării de tip "stack smash". Aceasta înseamnă că şi dacă un program are o eroare de programare, dacă el este vulnerabil, un atacator nu se va putea folosi de această vulnerabilitate spre a compromite sistemul. Mai mult, orice program compilat pe Decebal Linux va fi protejat împotriva acestui atac. Şi orice tentativă de atac este raportată administratorului de sistem.

Linux este un sistem de operare multi-user şi multi-tasking. Adică, există mai mulţi utilizatori pe acelaşi sistem, care pot fi conectaţi concomitent. De asemenea, fiecare utilizator poate rula simultan mai multe programe, adică procese. Aproape toate distribuţiile au o problemă majoră, care apare din cauză că sistemul permite fiecărui utilizator un număr nelimitat de procese. Evident acest număr este limitat de resursele hardware, dar dacă un utilizator foloseşte un program de tip "forkbomb", el poate utiliza în totalitate aceste resurse hardware (memorie şi timp de procesor), facând astfel sistemul inutilizabil. Pentru a preveni acest tip de atac, am limitat numărul de procese care pot fi pornite simultan, la 200 pentru fiecare utilizator în parte, şi am pus limite pentru timpul de procesor alocat fiecărui utilizator.

Nucleul (în engleză kernel), este sistemul de operare în sine. Tot ce face un sistem de operare, este făcut de kernel. De la accesul la dispozitivele hardware, până la accesarea memoriei. Deci, pentru a restricţiona accesul la părţile sensibile din sistem, este indicat să se folosească un "patch" pentru kernel, patch axat pe securizarea kernel-ului. Decebal vine cu kernel-ul 2.6.10, cu patch-ul grsecurity (http://www.grsecurity.net).

Scopul proiectului PaX este de a implementa mecanisme de protecţie împotriva exploatării vulnerabilităţilor din programele software. Vulnerabilităţi care oferă atacatorilor acces scriere/citire zonei de memorie alocată programelor. PaX oferă protecţie contra metodelor de atac, ca : buffer overflow (stack sau heap), format strings şi altele. În principiu, PaX face o imagine a zonei de memorie folosită de programe. Stabileşte care părţi din această zonă sunt executabile, şi în momentul când se încearcă execuţia unui cod aflat într-o zonă de memorie care în mod normal nu este executabilă, opreşte execuţia programului, şi implicit atacul.

PaX, este inclus în kernel şi poate fi controlat cu programele chpax şi paxctl.

O descriere amănunţită a proiectului PaX poate fi găsită pe http://http://pax.grsecurity.net/docs/pax.txt

4.2.1.4. firewall

Din nici o distribuţie Linux nu trebuie să lipsească un firewall. Drept urmare am inclus în Decebal Linux un firewall, care se remarcă prin uşurinţa în folosire. Cu o simplă comandă se poate bloca accesul la anumite porturi, accesul de la anumite IP-uri, şi altele. Utilizatorul nu trebuie să ţină minte sintaxa iptables. Tot din linia de comandă se pot modifica fişierele de configurare a firewallului. Se pot realiza în acest mod, sarcini deosebit de complexe, cu efort minim.

Colecţia de biblioteci C, glibc, este folosită de toate programele care sunt compilate pentru un sistem Linux. Unele programe sunt vulnerabile din cauză că nu folosesc corect (sigur) aceste funcţii din glibc. Drept urmare, am căutat să securizăm aceste biblioteci, glibc-ul. Chiar dacă un program este vulnerabil, şi un utilizator maliţios încearcă să compromită sistemul prin intermediul lui (de fapt a unei funcţii folosite de program, care se gaseşte în glibc), atacul va fi oprit şi anunţat administratorului de sistem. Pentru glibc, am inclus patch-urile PaX, propolice-guard-functions, owl-malloc-unlink-sanity-check, dl_execstack-PaX-support, ssp şi altele.

Toţi daemonii (servicii) care rulează pe Decebal Linux, rulează ca useri neprivilegiaţi (nu ca root). Avantajul este evident. Dacă un daemon (apache, ftp...) este compromis, şi prin intermediul lui se obţine access la sistem, cel care a intrat în sistem, nu va avea drepturi de root (administrator), ci drepturile utilizatorului care rulează acel daemon. Deci, nu va fi tot sistemul compromis, atacatorul nu va avea acces la întreg sistemul, ci doar la fişierele de care se foloseşte daemonul în discuţie.

"sysconf" este o suită de programe destinată configurării întregului sistem. Interfaţa este realizată cu meniuri interactive atât pentru consolă cât şi pentru X, utilizatorul având la dispoziţie ajutor contextual pentru majoritatea secţiunilor. Se poate configura reţeaua, setările consolei, mouse-ul, conturile PPP, lista de utilizatori, managerul de pachete şi altele. Totul este modular, existând opţiunea ca utilizatorul să ruleze direct un modul, fără a accesa meniul principal. Funcţiile sale sunt similare cu cele din YaST din distribuţia SuSE, dar pentru simplitate şi claritate, interfaţa seamănă cu cea din scripturile de configurare din distribuţia Slackware.

Pe orice sistem Linux, fişierele de configurare se găsesc în directorul /etc. Pe Decebal Linux am căutat să structurăm cât mai clar acest director. Fişierele de iniţializare sunt mai apropiate de BSD-init decât de SyS-V init, fiecare serviciu având o listă de dependinţe şi conflicte pe care le rezolvă automat la boot-are.

În '/etc/conf.d' am făcut mici fişiere de configurare pentru diverşi daemoni, setările consolei şi altele.

De exemplu :

#

# /etc/conf.d/httpd - configuration file for /etc/rc.d/init.d/httpd

#

# Set this to yes if you want to use SSL.

USE_SSL=yes

# Set this to yes if you want to use MOD_PHP.

USE_PHP=yes

# Set this to yes if you want to use MOD_PERL.

USE_PERL=no

# Set this to yes if you want to use MOD_PYTHON.

USE_PYTHON=no

# Set this to yes if you want to use MOD_TCL.

USE_TCL=no

# Set this to yes if you want to use MOD_MONO.

USE_MONO=no

# Apache additional arguments.

APACHE_OPTS=""

Şi al doilea exemplu :

#

# /etc/conf.d/console - default console settings

#

# desired EGA/VGA console screen font

FONT=cp857.08.gz

# desired the keyboard translation tables file (keymap)

KEYMAP=us.map

# the keyboard repeat rate and delay time

KEYBOARD_RATE=30

KEYBOARD_DELAY=250

# the interval of inactivity, in minutes, after which the

# screen will be automatically blanked (using APM if available).

BLANK_DELAY=10

# If the kernel supports APM or ACPI power management then you can

# tune what your monitor should do when the BLANK_DELAY is reached

# Available modes:

# on|vsync - Puts the monitor into VESA vsync suspend mode.

# hsync - Puts the monitor into VESA hsync suspend mode.

# powerdown - Puts the monitor into VESA powerdown mode.

# off - urns off monitor VESA powersaving features.

POWERSAVE_MODE=powerdown

# After how much time should the monitor go in powerdown mode (use 0

# to disable it and from 1 to 60 minutes)

POWERDOWN=15

# activate numlock ? (TTYS - the tty's where we will activate numlock)

NUMLOCK=yes

TTYS="1 2 3 4 5 6 7 8 9 10 11"

Decebal Linux, printre altele, are KDE 3.3.1, Gnome 2.8, OpenOffice 1.1.3, Firefox 1.0... Lista de pachete este mult prea mare pentru a putea fi inclusă aici, dar poate fi consultată pe pagina http://www.decebal.org. Vom vorbi aici doar de anumite pachete care am considerat că trebuie menţionate. Le-am grupat în două categorii, pentru două tipuri de utilizatori.

5.1. Pentru utilizatori obişnuiţi cu mediul Windows

5.1.1. Pachete Office

Ca şi soluţii Office, am inclus două suite de pachete, KOffice (din KDE) şi OpenOffice.org. Ambele au o interfaţă aproape identică cu Microsoft Office. Sunt compatibile cu documentele de tip Word, Excel, Powerpoint, OpenOffice având şi suport pentru macro-uri, şi un interpretor Visual Basic încorporat.

Mai pot fi folosite abiword (clona MS-Word), gnumeric (clona MS-Excel) şi gnucash.

Majoritatea utilizatorilor Windows folosesc Winamp pentru a reda fişierele mp3. Player-ul open-source "xmms", are o interfaţă identică, având egalizator, playlist şi oferind tot ce oferă şi winamp. El mai vine cu diverse plugin-uri, de output/input, vizuale, şi altele. Pentru utilizatorii Windows, din acest punct de vedere, tranziţia se poate face fără nici o dificultate.

În mediul Windows, oferta de programe de redare video este foarte vastă. Problema e că există foarte multe formate de fişiere video, şi programele trebuie să ţină cont de aceste formate ("codec"-uri). Ca solutie la această problemă, vine programul open-source MPlayer, care are suport pentru aproape toate codec-urile existente. Interfaţa este customizabilă, în Decebal Linux fiind incluse peste 30 de skin-uri, precum şi font-uri cu diacritice.

5.1.4. Inscripţionare CD/DVD

Utilizatorii obişnuiţi cu Nero, nu vor avea nici o dificultate în trecerea la Linux. Programul K3b (www.k3b.org) are o interfaţă foarte asemănătoare, şi este mult mai flexibil.

În afară de Konqueror şi Galeon din KDE şi respectiv Gnome, am inclus navigatoarele Mozilla şi Firefox, Epiphany, care reprezintă o alternativă reală la Microsoft Internet Explorer, atât din punct de vedere al uşurinţei în navigare şi consum de resurse dar mai ales din punct de vedere al securităţii. Programele de Instant-Messaging Kopete (www.kde.org) şi Gaim (www.gnome.org) oferă utilizatorilor de Windows care au nevoie de Yahoo Messenger, MSN, ICQ sau alte reţele o alternativă la Yahoo Messenger, ICQ şi altele.

Cei care folosesc Outlook/Outlook Express, nu vor avea nici o dificultate în a folosi Thunderbird (din familia de pachete Mozilla). Este de asemenea mult mai sigur, nefiind vulnerabil la atacurile binecunoscute ale viruşilor, viermilor şi troianilor care folosesc Outlook/Outlook express spre a se înmulti.

5.2. Pentru utilizatorii familiari cu mediul Linux şi pentru administratorii de sistem

Pe langă mediul grafic X, am inclus şi pentru consolă programe care să nu facă utilizatorul dependent de X, navigatoare grafice, player-e video şi audio, clienţi Instant Messaging (gaim, centericq, kopete) şi IRC (BitchX, irssi, ksirc, xchat)... De asemenea, pentru partea de reţele despre care am amintit, am inclus o gamă foarte variată de programe. Cu uşurinţă, Decebal Linux se poate adapta oricărei configuraţii de server. Sunt prezenţi 4 daemoni de FTP (vsftpd, proftpd, bftpd, tftpd) , apache, postfix cu opţiuni de filtrare a mesajelor de tip spam şi mesaje infestate cu virusi, imap, pop3. Majoritatea daemonilor pot fi folosiţi şi prin conexiuni sigure, SSL (Secure Socket Layer).

Utilizatorii care folosesc calculatorul acasă, găsesc programe şi pentru consolă de redare audio (mp3blaster, mpg321), video (mplayer, zgv), inscripţionare CD-uri (cdrtools), navigatoare (lynx, links, elinks)...

6. Perspective în evoluţia Decebal

6.1. Viitor apropiat

Dorim să includem la instalare posibilitatea ca utilizatorii să poată folosi partiţii criptate, şi eventual directorul home al fiecărui utilizator să fie criptat.

Incă nu se poate instala sistemul din surse (compilarea pachetelor în momentul instalării) dar versiunile ulterioare vor avea această posibilitate. Tot în versiunile ulterioare Decebal va putea fi instalat "de pe internet". Adică, dacă un calculator este conectat la internet, programul de instalare va configura conecţia la internet (reţea sau alt mod), şi instalarea pachetelor se va face prin descărcarea lor de pe internet. Acest lucru ar putea duce la micşorarea seminifcativă a kit-ului de instalare (poate fi pe o singură dischetă).

De asemenea, lucrăm la o variantă Decebal Linux, de tip Live-CD, similară cu Knoppix.

Deocamdată, programul de configurare sysconf nu este complet. Lipseşte configurarea grafică a firewall-ului

Decebal Linux nu conţine destule programe cu caracter didactic, dar ne indreptăm atenţia către acest "domeniu". Dorim să includem programe educaţionale, sau eventual să creăm o versiune Decebal, dedicată doar studenţilor şi elevilor (şi evident personalului didactic).

Probabil, în luna februarie 2005, vor fi disponibile imaginile a două cd-uri (pachete precompilate) şi unul sau două cu sursele acestora, pe http://www.decebal.org.

6.2. Viitor indepărtat

Cand Decebal se va maturiza îndeajuns, ne-am gândit că am putea include pe langă pachetele de bază, şi un CD sau câte sunt necesare, cu jocuri pentru Linux. Acest lucru ar încuraja migraţia de la Microsoft Windows la mediul Linux.

De asemenea, numărul de pachete dorim sa fie peste 2500, pentru a satisface toate cerinţele.

Decebal Linux, poate fi personalizat pentru a fi folosit ca material didactic, ştiinţific, sau pentru orice alt domeniu. Multitudinea de programe open-source face ca sistemul de operare Linux să poată fi adaptat oricăror cerinţe.

7. Adrese menţionate sau/şi utile, surse de inspiraţie

http://www.archlinux.org

Primul manager de pachete folosit în Decebal Linux.

http://www.debian.org

Lista de pachete incluse şi am studiat structura directorului /etc

http://www.fedora.org

Interfaţa grafică pentru configurarea daemonilor

http://www.freebsd.org

Securitate, directorul /etc

http://www.freshmeat.net

Sursa pentru majoritatea pachetelor

http://www.gentoo.org

Sistemul de management al pachetelor

http://www.gnome.org

Manager de ferestre

http://www.gnu.org

Licenţe, sursa pentru diverse pachete

http://www.grsecurity.net

Patch pentru kernel

http://www.k3b.org

Program de inscripţionare al CD/DVD-urilor

http://www.kde.org

Manager de Ferestre

http://www.kernel.org

Sursa kernelului

http://www.linux.org

Descrierea mai multor distribuţii de Linux

http://www.mandrake.com

http://www.mplayerhq.hu

Program de redare audio/video

http://www.redhat.com

Lista de pachete, structura directorului /etc

http://www.slackware.com

Lista de pachete, scripturi de configurare, structura directorului /etc

http://www.slashdot.org

Ştiri din mediul OpenSource, cu forum foarte populat

http://www.sourceforge.net

Sursa multor pachete

http://www.suse.com

Lista de pachete, structura directorului /etc

http://www.tldp.org

Documentaţie

http://www.linuxfromscratch.org

Tutoriale

http://www.grsecurity.net

Patch-ul grsec

http://pax.grsecurity.net/docs/pax.txt

Informaţii despre pax