Linux / Линукс. Страница 22

systemd на рынке 🍎🥕🥒 @linux_gram

Федеральная служба по техническому и экспортному контролю РФ разработала и утвердила методические рекомендации по повышению защищённости систем на базе ядра Linux. Рекомендации подлежат реализации в государственных информационных системах и на объектах критической информационной инфраструктуры РФ, построенных с использованием Linux, несертифицированных по требованиям безопасности информации. Документ охватывает такие области, как настройка авторизации, ограничение механизмов получения привилегий, настройка прав доступа, настройка механизмов защиты ядра Linux, уменьшение периметра атак на ядро Linux и настройка средств защиты пользовательского пространства со стороны ядра Linux. Некоторые рекомендации: - Запрет учётных записей пользователей с пустыми паролями. - Отключение входа суперпользователя по SSH (PermitRootLogin=no в /etc/ssh/sshd_config). - Ограничение доступа к команде su пользователями из группы wheel ("auth required pam_wheel.so use_uid" в /etc/pam.d/su) - Ограничение списка пользователей, которым разрешено использовать команду sudo. - Установка корректных прав доступа к файлам с параметрами пользователей (chmod 644 /etc/passwd /etc/group) и хешами паролей (chmod go-rwx /etc/shadow).

Привет, это команда Тинькофф 💡 Наше большое комьюнити SRE-инженеров решает крутые задачи — создает высоконагруженные сервисы для 27 миллионов клиентов. Мы экспериментируем и ищем новые решения. Приглашаем в команду SRE-инженеров с опытом от трех лет! Работать с нами значит: — не ограничивать свои скиллы и свободно экспериментировать; — делать жизнь миллионов людей удобнее и технологичней; — расти в грейде по скиллам, а не по стажу в компании; — становиться заметным в SRE-комьюнити. А еще мы всегда «за» действительно комфортную работу. Поэтому большинство бытовых забот делегируем компании: от расширенного ДМС и юридической помощи до питания и разных активностей. Откликнуться и узнать подробнее о команде SRE-инженеров Тинькофф: https://l.tinkoff.ru/sre.stream

Для включения в состав ядра Linux предложены изменения, расширяющие возможности стандартной Си-библиотеки nolibc, входящей в состав исходных текстов ядра Linux (tools/include/nolibc). В случае принятия изменений библиотека будет расширена средствами для обработки сигналов, включающими функции sigaction() и signal(). Проект nolibc входит в состав ядра начиная с выпуска 5.1 и нацелен на предоставление обвязки над базовыми системными вызовами, оформленной в виде минимальной стандартной Си-библиотеки, которую можно использовать для организации работы небольших и низкоуровневых приложений без установки полноценных внешних стандартных Си-библиотек (приложение можно статически скомпоновать с nolibc без привлечения внешних зависимостей). Библиотека очень компактная, например, статически собранный с nolibc процесс init занимает 36 КБ, а с Glibc - 755 КБ.

Linux Foundation создаст платформу метавселенной с открытым исходным кодом Некоммерческая организация Linux Foundation создаёт Open Metaverse Foundation (OMF), чтобы предоставить всем желающим платформу метавселенной с открытым исходным кодом. Как заявили в организации, её проект обеспечит пространство для совместной разработки программного обеспечения с открытым исходным кодом и стандартов для инклюзивной, глобальный, независимой и масштабируемой метавселенной. К разработке уже присоединились ChainHub Foundation, Cloud Native Computing Foundation, Futurewei, GenXP, Гуандунский научно-исследовательский институт цифровой промышленности, Hyperledger Foundation, LF Edge, LF Networking, OpenSDV, Open Voice Network и Veriken. Участники будут использовать свой опыт в реализации инициатив, охватывающих искусственный интеллект, облачные и граничные вычисления, цифровые активы, транзакции, идентификацию, сети, моделирование, безопасность и другие. Фонд Open Metaverse организован в группы по интересам (FIG), которые принимают решения по ключевым темам. В рамках этих групп заработали ресурсы и форумы, которые привлекают участников из конкретных областей. Всего их восемь: - пользователи, - транзакции, - цифровые активы, - моделирование и виртуальные миры, - искусственный интеллект, - нетворкинг, - безопасность и конфиденциальность, - законодательство и политика. Уже работают сайт Open Metaverse Foundation и сообщество в Discord. 10–12 мая в Ванкувере пройдёт мероприятие Open Source Summit North America, где участники также будут делиться своими идеями по поводу проекта.

Тестирование рабочего стола KDE Plasma 5.27 Доступна для тестирования бета-версия пользовательской оболочки Plasma 5.27. Протестировать новый выпуск можно через Live-сборку от проекта openSUSE и сборки от проекта KDE Neon Testing edition. Релиз ожидается 14 февраля. Ключевые улучшения: - Предложено вводное приложение Plasma Welcome, знакомящие пользователей с основными возможностями рабочего стола и позволяющего выполнить базовую настройку основных параметров, таких как привязка к online-сервисам. - В конфигуратор добавлен новый модуль для настройки полномочий Flatpak-пакетов. - Переработан виджет настройки раскладки экранов в многомониторных конфигурациях. Значительно улучшены средства для управления подключением трех и более мониторов. - В оконном менеджере KWin расширены возможности мозаичной компоновки окон. В дополнение к ранее доступным возможностям прикрепления окон справа или слева предоставлено полное управление мозаичным размещением окон через интерфейс, вызываемый при нажатии Meta+T. При перемещении окна с нажатой клавишей Shift окно теперь автоматически размещается с учётом мозаичной раскладки.

Хотите детальнее разбираться в Linux и решать сложные задачи? Приходите 🗓 31 января в 20:00 мск на открытый урок «Каталоги /proc, /sys и /dev» от OTUS. На вебинаре узнаем: - Что такое виртуальные файловые системы? - Как работает ps, что можно узнать из каталога /proc? - Как формируются файлы в каталоге /dev - Чем может быть полезен каталог /sys 👉 Для регистрации на занятие пройдите вступительный тест — https://otus.pw/R2yD/ Открытый урок пройдет в рамках углубленнного онлайн-курса «Administrator Linux. Professional» и будет полезен пользователем и администраторам Linux среднего и продвинутого уровня.

Какая ваша любимая версия Linux на сегодняшний день?

Новый метод атаки основывается на особенности обработки состояний "oops", в результате которых можно добиться увеличения значения счётчика ссылок (refcount). Это в свою очередь может привести к переполнению счётчика и освобождению памяти, связанной с refcount. В этом случае эксплуатация сводится к манипуляциям, типичным для атак use-after-free (возникает ситуация, когда у объекта счётчик ссылок становится равен нулю, память освобождается, но фактически остаются рабочие ссылки, указывающие на освобождённую память). Разыменование указателя NULL в данном случае используется как способ управляемой генерации состояния "oops". Проблема состоит в том, что для достижения переполнения 32-разрядного refcount требуется примерно 232 вызовов состояния "oops". С практической стороны для проведения атаки при помощи предложенного эксплоита требуется около 8 дней непрерывной генерации состояний "oops". В случае успеха эксплоит позволяет добиться выполнения своего кода на уровне ядра. Используемое в эксплоите разыменование указателя NULL устранено в октябре, но так как выявление похожих проблем не является редкостью и они ранее трактовались как ошибки, а не уязвимости, разработчики добавят в ядро Linux общую защиту для предотвращения атак, манипулирующих генерацией состояний "oops". В частности, в состав ядра 6.2 приняты изменения, ограничивающие максимальное число "oops". После достижения лимита, который по умолчанию выставлен в 10 тысяч oops (при желании можно изменить через параметр oops_limit), ядро будет инициировать переход в состояние "panic" с последующей перезагрузкой. Ограничение также планируют перенести в ранее выпущенные, но ещё поддерживаемые, ветки ядра, а также в пакеты с ядром популярных дистрибутивов.

запуск команд с Galaxy Watch 4 с помощью kdeconnect и MacroDroid my cyberdeck

Опубликован отчёт о составе окружений пользователей GNOME, подготовленный на основе данных, полученных в результате сбора телеметрии у 2560 пользователей, добровольно воспользовавшихся инструментом gnome-info-collect для отправки информации о своих системах. Используемые дистрибутивы: Fedora 54.69% Arch 18.64% Ubuntu 10.61% Manjaro 5.56% Наличие поддержки Flatpak: Flatpak установлен 93.13% Flatpak не установленн 6.87% Браузер по умолчанию: Firefox 73.14% Chrome 11.64% Brave 4.76% GNOME Web 1.99% Vivaldi 1.91% LibreWolf 1.79% Chromium 1.71% Junction 1.55% Microsoft Edge 1.51% Производитель оборудования: Lenovo 23.54% Dell 15.01% ASUS 11.91% HP 10.17% MSI 9.72% Gigabyte 9.63% Acer 3.92% Активные функции удалённого доступа: SSH 20.95% Удалённый доступ к рабочему столу 9.85% Обмен файлами 6.36% Обмен мультимедийными данными 4.29% Установленные приложения: GIMP 58.48% VLC 53.71% Steam 53.40% htop 46.25% Dconf Editor 43.28% Extension Manager 38.44% Inkscape 37.19% Flatseal 36.80% Discord 36.64% Chrome 35.12% GNOME Web 35.08% Chromium 34.02% Thunderbird 32.19% GParted 31.05% Wine 30.16% OBS Studio 30.08% Visual Studio Code 28.36% Transmission 28.09% Telegram 27.85% Geary 26.25%

В пакете sudo, применяемом для организации выполнения команд от имени других пользователей, выявлена уязвимость (CVE-2023-22809), позволяющая локальному пользователю отредактировать любой файл в системе, что, в свою очередь, позволяет добиться получения прав root через изменение /etc/shadow или системных скриптов. Для эксплуатации уязвимости требуется, чтобы в файле sudoers пользователю было предоставлено право запускать утилиту sudoedit или "sudo" с флагом "-e". Уязвимость вызвана отсутствием должной обработки символов "--" при разборе переменных окружения, определяющих программу, вызываемую для редактирования файла. В sudo последовательность "--" используется для отделения редактора и аргументов от списка редактируемых файлов. Атакующий может добавить в переменные окружения SUDO_EDITOR, VISUAL или EDITOR последовательность "— файл" после пути к редактору, что приведёт к инициированию редактирования указанного файла с повышенными привилегиями без проверки правил доступа пользователя к файлам. Уязвимость проявляется начиная с ветки 1.8.0 и устранена в корректирующем обновлении sudo 1.9.12p2. В качестве обходного пути защиты можно отключить обработку переменных окружения SUDO_EDITOR, VISUAL и EDITOR, указав в sudoers: Defaults!sudoedit env_delete+="SUDO_EDITOR VISUAL EDITOR"

Я тут заметил, что довольно синхронно идут лютые увольнения в мировом IT и зипилил этот список на подумать: Microsoft планирует уволить 5 % персонала — это 11 тыс. сотрудников. Amazon в рамках сокращения уволит более 18 тысяч сотрудников. Unity Software Inc, разработчик одноименного игрового движка и других решений, планирует сократить сотни сотрудников. HP Inc будет вынуждена сократить до 6000 сотрудников в последующие три года (любопытно про три года, получается ныряем далеко и глубоко). Meta Platforms собирается сократить 11 000 человек – примерно 13% сотрудников корпорации. Производитель микросхем Micron Technology планируют уволить 10% сотрудников. По состоянию на 1 сентября в Micron работало около 48 000 сотрудников по всему миру. Vimeo планирует уволить 11% сотрудников. По состоянию на декабрь 2021 года (других данных не нашел) в компании работало чуть более 1200 человек. 5 ноября 2022 Маск уже уволил половину из 7500 сотрудников Twitter. 18 ноября СМИ выяснили, что Twitter покинули ещё сотни штатных сотрудников. Осталось около 2900 сотрудников из былых 7500 человек. Только в вышеперечисленных IT-компаниях суммарно сокращают 56 000‼️ человек (все линки с пруфами на непоследние СМИ), а сколько еще увольнений будет в более мелких конторах, плюс вижу похожие новости про сокращения людей в финансовых сферах, etc. Есть повод задуматься и может быть задать вопрос: «ChatGPT, как быть дальше?» З.Ы. Может быть я упустил еще некоторые сообщениях о крупных увольнениях нашей сферы - пишите в комменты, добавлю в список. Типичный 📟 Сисадмин

I use Arch btw

Инженеры Сollabora опубликовали отчёт о реализации проекта по обеспечению сборки системной библиотеки GNU C Library (glibc) с использованием инструментария LLVM (Clang, LLD, compiler-rt) вместо GCC. Сложности адаптации Glibc для сборки при помощи LLVM вызваны как различиями в поведении GCC и Clang при обработке некоторых конструкций, так и необходимостью замены runtime с libgcc на compiler-rt. Для обеспечения сборки Glibc при помощи LLVM подготовлено около 150 патчей для окружения Gentoo и 160 для окружения на базе ChromiumOS. В текущем виде сборка в ChromiumOS уже успешно проходит тестовый набор, но пока не включена по умолчанию. Следующим шагом станет передача подготовленных изменений в основной состав Glibc и LLVM, продолжение тестирования и исправление всплывающих нетипичных проблем. Некоторые из патчей уже приняты в ветку Glibc 2.37.

Совет для поиска всех файлов, которые были изменены за последние 5 минут: find . -type f -mmin -5

ChatGPT - Arch юзер? 🧐

Разработчики браузерного движка Servo, написанного на языке Rust, объявили о получении финансирования, которое поможет возродить проект. Среди первых задач: возвращение к активной разработке движка, восстановление сообщества и привлечение новых участников. В течение 2023 года планируется заняться улучшением системы компоновки страниц (layout system) и добиться рабочей поддержки CSS2. Стагнация проекта продолжалась с 2020 года, после того как компания Mozilla уволила команду, развивавшую Servo, и передала проект организации Linux Foundation, в которой для разработки планировалось сформировать сообщество из заинтересованных разработчиков и компаний. Движок отличается поддержкой многопоточного рендеринга web-страниц и распараллеливанием операций с DOM. Изначально браузерный движок Firefox не мог в полной мере задействовать потенциал современных многоядерных систем из-за использования однопоточных схем обработки контента. Servo позволяет разбить код DOM и рендеринга на более мелкие подзадачи, которые могут выполняться параллельно и более эффективно использовать ресурсы многоядерных CPU. В Firefox уже интегрированы некоторые части Servo, такие как многопоточный CSS-движок и система отрисовки WebRender.