在圣诞节即将到来的日子，以安全著称的FreeBSD系统被著名黑客Kingcope爆了一个零日（0day）漏洞。据Kingcope所说，他长 期致力于挖掘FreeBSD系统的本地提权漏洞，终于有幸在近期发现了这个非常低级的本地提权漏洞；这个漏洞存在于FreeBSD的Run-Time Link-Editor(rtld)程序中，普通用户可以通过该漏洞非常轻易的获得root权限。该漏洞影响非常广泛，包括FreeBSD 7.1至8.0的32及64位系统。

在展示该漏洞威力之前，我们科普一下著名黑客kingcope。从2007年6月至今，他一共 公开了12个安全漏洞（没公开的不知道有多少），其中 FreeBSD和Sun Solaris各两个，微软四个，Oracle、mysql、NcFTPD和nginx各一个，同时他还编写了多个漏洞的攻击代码，例如 Sun Solaris telnetd及近期的IIS FTPd、Debian OpenSSH等。

接下来我们在最新的FreeBSD 8.0中重现一下该漏洞的攻击过程，请注意图中的红色部分；我们只要执行名为fbsd8localroot.sh的脚本，就可以轻易的获得root权限。

 在微软本月月经日(8.11)的同一天，国外黑客taviso和julien公开了可以攻击所有新旧Linux系统的一个漏洞，包括但不限于RedHat,CentOS,Suse,Debian,Ubuntu,Slackware,Mandriva,Gentoo及其衍生系统。黑客只需要执行一个命令，就可以通过此漏洞获得root权限，即使开启了SELinux也于事无补。攻击这个漏洞到底有多简单，下面我们看图说话，有图有真相。

CHANGELOGS:

2009/08/16 chenjun@xfocus提供了debian/ubuntu系统的修复方式。

2009/08/16 根据网友要求添加漏洞详情和exploit下载地址。

2009/08/16 改进修复方式，避免RHEL下的无效修复。感谢小阮MM反馈并提供服务器协助定位解决。

2009/08/16 添加攻击经验记录。感谢cnbird分享经验。

如上图所示，利用此漏洞极其简单，并且影响所有的Linux内核，baoz强烈建议系统管理员或安全人员参考下列临时修复方案，以防止Linux系统被攻击 。

1、使用Grsecurity或者Pax内核安全补丁，并开启KERNEXEC防护功能。

2、升级到2.6.31-rc6或2.4.37.5以上的内核版本。

3、如果您使用的是RedHa tEnterprise Linux 4/5的系统或Centos4/5的系统，您可以通过下面的操作简单的操作防止被攻击。

在/etc/modprobe.conf文件中加入下列内容：

install pppox /bin/true
install bluetooth /bin/true
install appletalk /bin/true
install ipx /bin/true
install sctp /bin/true

执行/sbin/lsmod | grep -e ppp -e blue -e app -e ipx -e sct，如果没有输出，你不需要重启，如果有输出，你需要重启系统，才可以对此攻击免疫。

下图是免疫前后的效果对比图：

4、如果您使用的是Debian或Ubuntu系统，您可以通过下面的操作防止被攻击（感谢chenjun提供）

cat > /etc/modprobe.d/mitigate-2692.conf << EOM
install ppp_generic /bin/true
install pppoe /bin/true
install pppox /bin/true
install slhc /bin/true
install bluetooth /bin/true
install ipv6 /bin/true
install irda /bin/true
install ax25 /bin/true
install x25 /bin/true
install ipx /bin/true
install appletalk /bin/true
EOM
/etc/init.d/bluez-utils stop

很明显，第三、四个方案最简单也相对有效，对业务影响也最小，如果您对编译和安装Linux内核不熟悉，千万不要使用前两个方案，否则您的系统可能永远无法启动。

如果你希望了解漏洞详情，请访问下列URL：

http://archives.neohapsis.com/archives/fulldisclosure/2009-08/0174.html

http://blog.cr0.org/2009/08/linux-null-pointer-dereference-due-to.html

https://bugzilla.redhat.com/show_bug.cgi?id=516949

如果你希望亲手验证此漏洞，你可以下载下列两个代码包测试（有可能导致系统不稳定，当机等现象，后果自负）：

http://www.securityfocus.com/data/vulnerabilities/exploits/wunderbar_emporium-3.tgz

http://www.securityfocus.com/data/vulnerabilities/exploits/36038-4.tgz

攻击经验记录：

1、如果selinux没开，会报缺少Pulseaudio文件，实际上根本不需要他，只是selinux没开导致的，用另外一个exp攻击同样不成功。从这里可以总结出来，如果你没开selinux，在现有的exploit下，不需要做任何操作，也不会受到攻击。当然，这个是我个人经验总结，并且只在RHEL5上验证过，请各位自己评估风险。顺带说一下，SElinux这东西，默认是开启的，如果你没关闭过他。根据我的猜测，可能是exp在bypass selinux那段代码里出了点问题。所以说改/etc/selinux/config文件，禁用selinux，也可以在一定程度上防范公开的exp。

[xiaoruan@localhost wunderbar_emporium]$ ./wunderbar_emporium.sh
 [+] Personality set to: PER_SVR4
Pulseaudio does not exist!

[xiaoruan@localhost run]$ sh run.sh
padlina z lublina!
mprotect: Cannot allocate memory

2、回连的shell溢出虽然可以成功，但uid不是0，解决办法是用一个带pty的shell。这个经验由cnbird提供。

Linux在微软的月经日爆如此严重的漏洞，挺值得纪念的。如果您希望了解本漏洞更多的内幕、八卦和细节，

本文转自包子博客http://baoz.net/linux-sockops-wrap-proto-ops-local-root-exploit/

ps:好久没看到linux下提权的漏洞了，在cb上看到有人直接执行w*命令，笑死了，在cb上的新闻也直接有点标题党的意思，一个溢出程序耗费了一个黑客的多少心血，一个命令就搞定太搞笑了；重点是下面的东西，呵呵

http://www.securityfocus.com/data/vulnerabilities/exploits/wunderbar_emporium-3.tgz
http://www.securityfocus.com/data/vulnerabilities/exploits/36038-4.tgz
两个攻击程序包。

如果无法下载可以下载附件。

魅族公司老总 J.Wong 在魅族论坛透露，即将发布的新UI依然基于WINCE系统，而M8的Android的系统将在明年底正式面世，在此之前会放出测试版。另外，同时带有WAPI和WAFI的正式版M8已送检工信部，未来将没有测试版与正式版之分。以下是J.Wong原话：

原帖由 J.Wong 于 2009-8-16 17:33 发表 
带WAPI兼容WI FI的M8我们已送往工信部检测，取得新的入网许可证后就不存在正式版和测试版之分。
另外目前魅族的实力还很小，不可能在每个媒体上投入广告，等时机到了受众群体符合的媒体我们肯定会相应投入一些广告的 ...

原帖由 J.Wong 于 2009-8-16 20:01 发表 
信号问题9月肯定能解决的。

原帖由 J.Wong 于 2009-8-16 19:50 发表 
新UI首先是基于win ce的，基于Android的也会做，并会不定期放出给魅友测试，但估计要到明年年底才会比较完善。

原帖由 J.Wong 于 2009-8-16 19:54 发表 
并不是说要明年年底魅友才能用上

ps:I like Android!!!

J.Wong中国的乔布斯，魅族，看好你～～M9再加上GPS明年换手机就是你了～～

2004 年 3 月 09 日

本文分析了linux 2.4.x内核的网桥的实现方法，并且描述了如何使用2.4中的网桥。网桥，类似于中继器，连接局域网中两个或者多个网段。它与中继器的不同之处就在于它 能够解析它收发的数据，读取目标地址信息（MAC），并决定是否向所连接网络的其他网段转发数据包。为了能够决策向那个网段发送数据包，网桥学习接收到数 据包的源MAC地址，在本地建立一个以MAC和端口为记录项的信息数据库。

一、Linux内核网桥的实现分析

Linux 内核分别在2.2 和 2.4内核中实现了网桥。但是2.2 内核和 2.4内核的实现有很大的区别，2.4中的实现几乎是全部重写了所有的实现代码。本文以2.4.0内核版本为例进行分析。

在分析具体的实现之前，先描述几个概念，有助于对网桥的功能及实现有更深的理解。

1. 冲突域

   一 个冲突域由所有能够看到同一个冲突或者被该冲突涉及到的设备组成。以太网使用C S M A / C D（Carrier Sense Multiple Access with Collision Detection，带有冲突监测的载波侦听多址访问）技术来保证同一时刻，只有一个节点能够在冲突域内传送数据。网桥或者交换机，构成了一个冲突域的边 界。缺省情况下，网桥中的每个端口实际上就是一个冲突域的结束点。

2. 广播域

   一 个广播域由所有能够看到一个广播数据包的设备组成。一个路由器，构成一个广播域的边界。网桥能够延伸到的最大范围就是一个广播域。缺省的情况下，一个网桥 或交换机的所有端口在同一个广播域中。VLAN技术可以把交换机或者网桥的不同端口分割成不同的广播域。一般情况下， 一个广播域代表一个逻辑网段。

3. 网桥中的CAM表

   网桥和交换机一样，为了能够实现对数据包的转发，网桥保存着许多（MAC，端口）项。所有的这些项组成一个表，叫做CAM表。每个项有超时机制，如果一定时间内未接收到以这个MAC为源MAC地址的数据包，这个项就会被删除。

图1：一个交换网络的逻辑图

在Linux内核网桥的实现中，一个逻辑网段用net_bridge结构体表示。一个逻辑网段需要保留的信息有：

1. 本逻辑网段中所有的端口(port_list)

   每个端口用net_bridge_port结构体来表示，从net_bridge_port结构体中可以看出，它主要有:

   1. 逻辑网段中的下一个端口(next)
   2. 本端口所属的逻辑网段(br)
   3. 本端口所指向的物理网卡（dev）
   4. 本端口在网桥中的编号(port_no)
   5. 用于生成树管理的信息

2. 一个逻辑网段中可以具有很多个端口，所有的端口都挂在以port_list为链表头的链表上。

   本网段中CAM表（hash[BR_HASH_SIZE]）

   CAM表中的每个项用net_bridge_fdb_entry结构体代表，每项中有：

   1. 用于CAM表连接的链表指针（next_hash，pprev_hash）
   2. 此项当前的引用计数（use_count）
   3. MAC地址（addr）
   4. 此项所对应的端口（dst）
   5. 处理MAC超时（ageing_timer）
   6. 是否是本机的MAC地址（is_local）
   7. 是否是静态MAC地址（is_static）

3. 一个逻辑网段中的所有表项形成一个CAM表，他们之间的组织关系是一个HASH链表。HASH链的个数为BR_HASH_SIZE（256）。

   本逻辑网段用于和外部通信的虚拟网络设备（dev）

   Linux网桥可以在网桥上为每个逻辑网段配置一个IP，用于和外部通信。实际上这个IP不是配置在一个特定的物理网卡上面， 而是建立一个虚拟的网卡，虚拟网卡可以附在每个同一逻辑网段的物理网卡上，让这个网卡可以象所有的物理网卡一样工作。从而使网桥可以和外部通信。

4. 本逻辑网段虚拟网卡的统计数据（statistics）

   按照Linux网卡驱动的接口，一个网卡的统计信息是由每个网卡的私有数据处理的。一般的写法是用dev->priv来指向每个网卡的统计数据。网卡的get_stats方法就是用来读取统计数据。

5. 用户一个网段的生成树(STP)信息

以上对几个结构体的描述和分析可以通过下图来表示：

图2：Linux网桥数据结构描述图

描述了网桥的数据结构后，就可以开始数据包处理流程的分析。

网桥处理包遵循着以下几条原则：

1. 在一个接口上接收到的包不会再在那个接口上发送这个数据包。
2. 每个接收到的数据包都要学习其源MAC地址。
3. 如果数据包是多播包或广播包，则要在同一个网段中除了接收端口外的其他所有端口发送这个数据包，如果上层协议栈对多播包感兴趣，则需要把数据包提交给上层协议栈。
4. 如果数据包的目的MAC地址不能在CAM表中找到，则要在同一个网段中除了接收端口外的其他所有端口发送这个数据包。
5. 如果能够在CAM表中查询到目的MAC地址，则在特定的端口上发送这个数据包，如果发送端口和接收端口是同一端口，则不发送。

在网络软中断处理函数net_rx_action中，嵌入了handle_bridge用于把数据包skb送入网桥模块处理。

#if defined(CONFIG_BRIDGE) || defined(CONFIG_BRIDGE_MODULE)
			if (skb->dev->br_port != NULL &&
			    br_handle_frame_hook != NULL) {
				handle_bridge(skb, pt_prev);
				dev_put(rx_dev);
				continue;
			}
#endif

br_handle_frame_hook是网桥处 理接收到数据包的中入口，网桥初始化（br_init）的时候，把br_handle_frame_hook赋值为br_handle_frame。 skb->dev->br_port用于判断接收到这个数据包的接口是否是网桥中的一个端口，如果 是，skb->dev->br_port不为NULL，那么数据包应该由网桥处理。反之，数据包由上层协议栈处理。网桥中虚拟网卡对应的数据 包就是在这个判断点时不再进入网桥。（实际上虚拟网卡并不会自己主动接收数据包，而是在网桥处理中把数据包向本地上层协议栈提交，并且修改了 skb->dev，使得数据包不会多次进入桥处理代码）。

前面提到，网桥处理接收包的入口是br_handle_frame(net/bridge/br_input.c)函数。

br_handle_frame 函数首先从skb中获得这个包属于的逻辑网段。然后调用__br_handle_frame进行转发处理。 br_handle_frame函数里有一个值得了解的地方，里面有一个加读锁。因为在转发中需要读CAM表，所以必须加读锁，避免在这个过程中另外的内 核控制路径(如多处理机上另外一个CPU上的系统调用)修改CAM表。

对输入包的转发决策都是在__br_handle_frame函数中。这个函数的处理可以分为以下几个部分：

1. 如果网桥的虚拟网卡处于混杂模式，那么每个接收到的数据包都需要克隆一份送到AF_PACKET协议处理体(网络软中断函数net_rx_action中ptype_all链的处理)。
   
   

   if (br->dev.flags & IFF_PROMISC) { struct sk_buff *skb2; skb2 = skb_clone(skb, GFP_ATOMIC); if (skb2) { passedup = 1; br_pass_frame_up(br, skb2); } }

   
   
2. 如果源MAC地址是多播或者是广播地址，那么这个包格式是错误的，简单的丢弃。
   
   

   if (skb->mac.ethernet->h_source[0] & 1) goto freeandout;

   
   
3. 如果是一个多播包，则需要向本机的上层协议栈传送这个数据包（如果在之前没有向上提交的话，即passedup为0。如果为1，则前面已经发送了，现在就不需要提交了，在后面中的处理都是一样的）。
   
   

   if (!passedup && (dest[0] & 1) && (br->dev.flags & IFF_ALLMULTI || br->dev.mc_list != NULL)) { struct sk_buff *skb2; skb2 = skb_clone(skb, GFP_ATOMIC); if (skb2) { passedup = 1; br_pass_frame_up(br, skb2); } }

   
   
4. 如果启动了生成树协议，一个生成树包需要由生成树协议处理模块单独处理。如果不支持，则这个包的目的MAC肯定在CAM中查询不到，所以是向所有的端口发送（除接收口）。这样才不会影响整个网络的生成树协议运行。
   
   

   if (br->stp_enabled && !memcmp(dest, bridge_ula, 5) && !(dest[5] & 0xF0)) goto handle_special_frame;

   
   
5. 如果接收端口不是处于LEARNING或者FORWARDING，那么就学习这个包的源MAC地址，或者更新CAM表中相应项的定时器。
   
   

   if (p->state == BR_STATE_LEARNING || p->state == BR_STATE_FORWARDING) br_fdb_insert(br, p, skb->mac.ethernet->h_source, 0);

   
   
6. 如果是一个多播包或广播包，则调用br_flood函数向每个口发送（除接收口）这个数据包。如果之前没有提交上层协议，则需要克隆一个包提交上层协议。
   
   

   if (dest[0] & 1) { br_flood(br, skb, 1); if (!passedup) br_pass_frame_up(br, skb); else kfree_skb(skb); return; }

   
   
7. 用接收到数据包的目的MAC地址查询CAM表。
   
   

   dst = br_fdb_get(br, dest);

   
   
8. 查询CAM表后，如果能够找到表项，并且目的MAC是到本机的虚拟网卡的，那么就需要把这个包提交给上层协议。网桥就是通过这个地方的处理和外部通信，实现远程管理的目的。
   
   

   if (dst != NULL && dst->is_local) { if (!passedup) br_pass_frame_up(br, skb); else kfree_skb(skb); br_fdb_put(dst); return; }

   
   
9. 如果查询CAM表有结果，并且目的MAC不是到本地的，那么就通过调用br_forward发送到特定的端口。
   
   

   if (dst != NULL) { br_forward(dst->dst, skb); br_fdb_put(dst); return; }

   
   
10. 如果在CAM表中查询不到数据包的目的MAC地址，那么就需要向别的每个端口发送这个数据包。调用br_flood来进行这个处理。
    
    

    br_flood(br, skb, 0); return;

    
    

在br_forward和br_flood函数中都必须判断源接口和目的接口是否是同一个，如果是同一端口，就不发送这个数据包。数据包的最后发送都是通过统一的发送接口dev_queue_xmit函数来完成的。

以下就是数据包的处理流程：

图3：数据包处理流程图

前 面多次提到网桥的虚拟网卡，实际上在网桥中，这个网卡存在着一个net_device结构（在net_bridge里），但是不存在着实际的物理设备，而 是附在网桥中每个物理网卡上面。这个虚拟网卡的支持函数在（br_device.c）。因为是虚拟的网卡，所以没有物理中断产生，每个需要发送到这个设备 的数据包都是靠判断数据包的目的MAC地址来决定是否需要提交到本地上层协议栈（在__br_handle_frame判断）。

如 果数据包需要向上层协议提交，都调用br_pass_frame_up函数来处理。在这个函数中，首先把skb->dev设置成 br->dev。然后再模拟在中断中处理数据包一样，进行相应的处理， 然后调用netif_rx放入接收队列。这里有一个要十分注意的地方，这个数据包的skb->dev已经变成br->dev。所以在网络接收 软中断处理函数net_rx_action中不会再次进入handle_bridge了。

static void br_pass_frame_up(struct net_bridge *br, struct sk_buff *skb)
{
	br->statistics.rx_packets++;
	br->statistics.rx_bytes += skb->len;
	skb->dev = &br->dev;
	skb->pkt_type = PACKET_HOST;
	skb_pull(skb, skb->mac.raw - skb->data);
	skb->protocol = eth_type_trans(skb, &br->dev);
	netif_rx(skb);
}

回页首

二、配置内核 2.4 Linux 网桥

要配置网桥，首先需要网桥的配置工具bridge-utils。这个配置程序的源代码可以在 http://bridge.sourceforge.net/bridge-utils/ 下载。编译成功之后，就可以生成网桥配置的主要工具brctl。

下面，我们将用brctl对以下网络拓扑配置网桥，使Linux能够对数据包进行交换。

上 图中，有五台主机。其中中间那台主机装有linux ，安装了网桥模块，而且有四块物理网卡，分别连接同一网段的其他主机。我们希望其成为一个网桥，为其他四台主机(IP分别为192.168.1.2 ，192.168.1.3，192.168.1.4，192.168.1.5) 之间转发数据包。同时，为了方便管理，希望网桥能够有一个IP（192.168.1.1），那样管理员就可以在192.168.1.0/24网段内的主机 上telnet到网桥，对其进行配置，实现远程管理。

前一节中提到，网桥在同一个逻辑网段转发数据包。针对上面的拓扑，这个逻辑网段就是192.168.1.0/24网段。我们为这个逻辑网段一个名称，br_192。首先需要配置这样一个逻辑网段。

# brctl addbr br_192			(建立一个逻辑网段，名称为br_192)

实际上，我们可以把逻辑网段192.168.1.0/24看作使一个VLAN ，而br_192则是这个VLAN的名称。

建 立一个逻辑网段之后，我们还需要为这个网段分配特定的端口。在Linux中，一个端口实际上就是一个物理网卡。而每个物理网卡的名称则分别为 eth0，eth1，eth2，eth3。我们需要把每个网卡一一和br_192这个网段联系起来，作为br_192中的一个端口。

# brctl addif br_192 eth0			(让eth0成为br_192的一个端口)
# brctl addif br_192 eth1			(让eth1成为br_192的一个端口)
# brctl addif br_192 eth0			(让eth2成为br_192的一个端口)
# brctl addif br_192 eth3			(让eth3成为br_192的一个端口)

网桥的每个物理网卡作为一个端口，运行于混杂模式，而且是在链路层工作，所以就不需要IP了。

# ifconfig eth0 0.0.0.0
# ifconfig eth1 0.0.0.0
# ifconfig eth2 0.0.0.0
# ifconfig eth3 0.0.0.0

然后给br_192的虚拟网卡配置IP：192.168.1.1。那样就能远程管理网桥。

# ifconfig br_192 192.168.1.1

给br_192配置了IP之后，网桥就能够工作了。192.168.1.0/24网段内的主机都可以telnet到网桥上对其进行配置。

以上配置的是一个逻辑网段，实际上Linux网桥也能配置成多个逻辑网段(相当于交换机中划分多个VLAN)。具体的方法可以参考bridge-util中的HOWTO。

回页首

三、总结

本文分析了Linux网桥的实现，并且举例说明如何配置网桥。 通过学习网桥的实现，就能够了解网络中二层交换的原理。

网桥和交换机的功能非常相似，所以在分析网桥的时候，绝大多数情况下可以用交换机的处理方法来分析网桥的动作。

关于作者

		祝顺民，网名：getmoon。目前从事防火墙开发，致力于网络的研究和开发，分析linux内核。经常出没于 www.linuxforum.net的内核板块。希望于爱好者们共同探讨。email: getmoon@163.com

原文出自http://www.ibm.com/developerworks/cn/linux/kernel/l-netbr/index.html#2

If you want to configure cisco VPN on ubuntu 9.0.4 is very easy now.You don’t need to install the Cisco VPN client – NetworkManager includes support for Cisco IPSec VPNs.NetworkManager attempts to keep an active network connection available at all times. It is intended primarily for laptops where it allows easy switching betwen local wireless networks, it’s also useful on desktops with a selection of different interfaces to use. It is not intended for usage on servers.
This package provides a VPN plugin for vpnc, providing easy access Cisco Concentrator based VPN’s.

You need to install network-manager-vpnc using the following command

sudo apt-get install network-manager-vpnc

Configure your VPN connection from Click on the NetworkManager icon in the system tray, VPN Connections -> Configure VPN

Follow onscreen instructions.

ps:

> 　　IPSec gateway [hostname or ip address of vpn concentractor]
> 　　IPSec ID [group name]
> 　　IPSec secret [group password]
> 　　Xauth username [username]
> 　　Domain [domain name]
>
> 　　以上内容可以询问vpn管理员，也可以对照cisco vpn client软件的配置文件
>        进行相应的设置，设置条目的对应关系如下：
>
> 　　IPSec gateway --> Host
> 　　IPSec ID --> GroupName
> 　　IPSec secret --> enc_GroupPwd
> 　　Xauth username --> Username
> 　　Domain --> NTDomain