Linux / Линукс. Страница 32

терминал на comic sans

Леннарт Поттеринг предложил новую архитектуру верифицированной загрузки Linux Леннарт Поттеринг опубликовал предложение по модернизации процесса загрузки Linux-дистрибутивов. Оно нацелено на упрощение организации полноценной верифицированной загрузки, подтверждающей достоверность ядра и базового системного окружения. Необходимые для применения новой архитектуры изменения уже включены в кодовую базу systemd. Предложенные изменения сводятся к созданию единого универсального образа UKI (Unified Kernel Image). Он объединяет образ ядра Linux, обработчик для загрузки ядра из UEFI и загружаемое в память системное окружение initrd, применяемое для начальной инициализации на стадии до монтирования корневой ФС. Вместо образа RAM-диска initrd в UKI может быть упакована и вся система, что позволяет создавать полностью верифицированные системные окружения, загружаемые в оперативную память. 📌Основные цели внедрения новой архитектуры загрузки: - Предоставление полностью верифицированного процесса загрузки, охватывающего все этапы от прошивки до пространства пользователя, и подтверждающего достоверность и целостность загружаемых компонентов. - Привязка контролируемых ресурсов к регистрам TPM PCR с разделением по владельцам. - Возможность предварительного расчёта значений PCR на основе используемых при загрузке ядра, initrd, конфигурации и локального идентификатора системы. - Защита от Rollback-атак, связанных с откатом на прошлую уязвимую версию системы. - Упрощение и повышение надёжности обновлений. - Поддержка обновлений ОС, не требующих повторного применения или локальной подготовки ресурсов, защищённых TPM. - Готовность системы для проведения удалённой аттестации для подтверждения корректности загружаемой ОС и настроек. - Возможность прикрепления конфиденциальных данных к определённым стадиям загрузки, например, извлечение из TPM ключей шифрования для корневой ФС. - Предоставление безопасного, автоматического и работающего без участия пользователя процесса разблокировки ключей для расшифровки диска с корневым разделом. - Использование чипов, поддерживающих спецификацию TPM 2.0, с возможностью отката на системы без TPM.

🔥 Netbox — документируем сеть Сегодня хотим рассказать о системе NetBox, которую мы внедрили у себя для документирования хостинговой инфраструктуры. NetBox - бесплатная open source система, которая нам показалась наиболее интересной среди аналогичных бесплатных систем. 👉 Что нам нужно было систематизировать: - Графическое отображение размещения оборудования в стойках. - Состав серверов, в том числе протоколирование изменения комплектующих в процессе эксплуатации. - Статус тех или иных серверов — входят ли они в состав облака или выделены персонально под клиента. - MAC-адреса серверов и схема сетевой коммутации. Ранее часть этих задач мы решали с помощью Excel, но 4 пункт нормально поддерживать в нем было невозможно, да и с протоколированием изменений были сложности. В свою очередь NetBox позволяет автоматически считывать MAC-адреса с введенных в систему серверов, что очень удобно для сетевых инженеров. NetBox имеет удобную систему протоколирования изменений каждого узла. Графическое отображение размещения и связанности всех узлов также на высоте в этой системе. Ну и вишенкой на торте можно назвать наличие API у NetBox, что позволяет автоматизировать изменение узлов через Тикет-систему и, в перспективе, автоматически добавлять виртуальные и физические сервера, при использовании разворачивания и удаления их по методу "инфраструктура как код". Можно констатировать, что система полностью удовлетворяет нашим запросам, имеет задел для расширения функционала. 👉 Нужен облачный хостинг? Добро пожаловать в EFSOL Oblako: https://efsol.ru/cloud/

Как находить и исправлять уязвимости своих систем и приложений? Освойте приемы реверс-инжиниринга на онлайн-курсе от OTUS! 🛠За 5 месяцев вы на практике:  — познакомитесь с низкоуровневым и системным программированием;  — подробно разберете аспекты внутреннего устройства Windows;   — поработаете на примерах реальных malware. Практика будет проходить на виртуальной машине под руководством опытного преподавателя. ⏰До  начала занятий остались считаные дни. 🎃Полезный бонус всем, прошедшим тест  — промокод Halloween2022 (время действия ограничено) Учитесь по отличной цене 👉https://otus.pw/rGnv/ Реклама. Информация о рекламодателе на сайте www.otus.ru

​​Релиз Memtest86+ 6.00 с поддержкой UEFI Спустя 9 лет с момента формирования прошлой значительной ветки опубликован выпуск программы для тестирования оперативной памяти MemTest86+ 6.00. Программа не привязана к операционным системам и может запускаться напрямую из прошивки BIOS/UEFI или из загрузчика для проведения полной проверки оперативной памяти. Основные новшества: - Полностью переписан код для загрузки и запуска при использовании прошивок UEFI. - Добавлена поддержка SDRAM. - Реализовано определение памяти DDR4 и DDR5. - Реализовано определение процессоров AMD Zen 1/2/3/4. - Реализовано определение процессоров Intel вплоть до 13-поколения. - Улучшена поддержка поколений CPU AMD, предшествующих Zen. - Добавлена поддержка режима Long Mode Paging. - Добавлена поддержка до 256 ядер CPU. - Добавлена поддержка профилей XMP 3.0 (Extreme Memory Profile). - Добавлена поддержка старых чипсетов NVIDIA и AMD.

Линус Торвальдс предложил прекратить поддержку CPU i486 в ядре Linux В ходе обсуждения обходных путей работы на процессорах x86, не поддерживающих инструкцию "cmpxchg8b", Линус Торвальдс заявил, что возможно настало время объявить наличие данной инструкции обязательным для работы ядра и отказаться от поддержки процессоров i486, не поддерживающих "cmpxchg8b", вместо того чтобы пытаться эмулировать работу данной инструкции на процессорах, которые уже никто не использует. В настоящее время почти все дистрибутивы Linux, продолжающие поддержку 32-разрядных систем x86, перешли на сборку ядра с опцией X86_PAE, требующей наличия поддержки "cmpxchg8b". По мнению Линуса с точки зрения поддержки в ядре процессоры i486 потеряли актуальность, несмотря на то, что они всё ещё встречаются в обиходе. В определённый момент процессоры становятся музейными экспонатами и для них вполне можно обойтись "музейными" ядрами. Пользователи, у которых остаются системы с процессорами i486, смогут использовать LTS-выпуски ядра, которые будут сопровождаться ещё много лет. Прекращение поддержки классических i486 не затронет выпускавшиеся компанией Intel встроенные процессоры Quark, которые хоть и относятся к классу i486, но включают свойственные поколению Pentium дополнительные инструкции, в том числе "cmpxchg8b". То же самое относится и к процессорам Vortex86DX. Поддержка процессоров i386 была прекращена в ядре 10 лет назад.

Infinity Telecom — премиальные облачные решения для бизнеса из Европы. 💫Аренда выделенных и виртуальных серверов. 📡 Собственная сеть. Мы постоянно расширяем нашу сеть новыми точками присутствия и многочисленными партнерскими соединениями Tier-1. Это позволяет гарантировать безупречную надежность работы 🌏 Выбор локации. На данный момент мы представлены в 5 странах: Чехия, Словакия, Нидерланды, Индия и Колумбия. 💻 Только своё оборудование. Мы не пересдаём в аренду чужое оборудование. Вся сетевая инфраструктура от маршрутизатора уровня ядра до патч-корда является нашей собственностью под нашим полным контролем. ⚡️ Реактивный саппорт. Среднее время ответа службы поддержки составляет 5 минут. 💎 Только новое качественное оборудование. 🔒 Защита от DDoS. Наши клиенты надёжно защищены от DDoS-атак современным технологичным решением. Подробности https://cloud.inftele.com/ или в телеграмме @Yevhen_VoIP @DemidMR

Разработчик открытого Linux-драйвера для GPU Apple AGX, используемого в чипах Apple M1, сообщил об успешном прохождении 99.3% тестов из набора dEQP-GLES2, проверяющего уровень поддержки спецификации OpenGL ES 2. В работе использованы два компонента: DRM-драйвер для ядра Linux, написанный на языке Rust, и драйвер для Mesa, написанный на языке Си.

AntiX 22 построен на пакетной базе Debian и ориентирован для установки на устаревшее оборудование. Выпуск основан на пакетной базе Debian 11, но поставляется без системного менеджера systemd и с eudev вместо udev. Для инициализации на выбор могут использоваться runit или sysvinit. Сборки подготовлены для архитектур x86_64 и i386. В новом выпуске: - Обновлены версии программ, включая ядро Linux 4.9.0-326, IceWM 3 и seamonkey 2.53.14. - Многие пакеты Debian, в том числе apt, cups, dbus, gvfs, openssh, policykit-1, procps, pulseaudio, rpcbind, rsyslog, samba, sane-backends, udisks2, util-linux, webkit2gtk и xorg-server, пересобраны и избавлены от привязок к libsystemd0 и libelogind0. - Улучшена локализация. - Из поставки удалён mps-youtube. - Modem-manager заменён на Sakis3G. - Вместо elogind, libpam-elogind и libelogind0 для управления пользовательскими сеансами задействованы seatd и consolekit.

Выпуск Ubuntu 22.10 Доступен релиз дистрибутива Ubuntu 22.10 "Kinetic Kudu", который отнесён к промежуточным выпускам, обновления для которых формируются в течение 9 месяцев. Некоторые изменения: - Рабочий стол обновлён до выпуска GNOME 43, в котором появился блок с кнопками для быстрого изменения наиболее часто используемых настроек, продолжен перевод приложений на использование GTK 4 и библиотеки libadwaita, обновлён файловый менеджер Nautilus, добавлены настройки безопасности оборудования и прошивок, возвращена поддержка самодостаточных web-приложений в формате PWA (Progressive Web Apps). - Произведён переход на использование по умолчанию мультимедийного сервера PipeWire для обработки звука. - По умолчанию предложен новый текстовый редактор "GNOME Text Editor", реализованный с использованием GTK 4 и библиотеки libadwaita. И другие изменения

Наконец-то перешел с хрома

Сделайте первый шаг к освоению профессии Linux-администратора с нуля! Встречаемся 25 октября в 20:00 на вебинаре: «Web-сервер + базовая работа в консоли (анализ логов, однострочные скрипты)» 📌 Открытый урок проведет Андрей Буранов, специалист по UNIX-системам в компании Mail.Ru Group. 📁 За 1,5 часа на занятии мы:- устанавливаем WEB-сервер, работаем в консоли- установка ПО в Linux- как понять работает ли служба и на основании чего она работает?- работа в консоли. Анализ логов, написание однострочных скриптов. 👉🏻 Зарегистрируйтесь, чтобы принять участие https://otus.pw/hoqP/ Используйте эту возможность протестировать онлайн-курс «Специализация Administrator Linux» от OTUS и познакомиться с преподавателем.

Chrome OS 🥴

Все вы уже сталкивались или обязательно столкнетесь с рядом вопросов: неудобно отслеживать логи, медленный дебаг-production, нет отказоустойчивого алёртинга. У нас готовы ответы и решение этих проблем. На курсе «Мониторинг и логирование инфраструктуры в Kubernetes» мы покажем вам: — как правильно собирать и хранить метрики и логи для дебага бизнес-логики и для понимания здоровья продакшена; — готовое решение трассировки для боевого окружения, способное ускорить поиск проблем минимум в 10 раз; — алёртинг, который будет работать с требуемой отказоустойчивостью; — логирование, которое оценит ваш разработчик. 🎁 Это продвинутый курс, для его освоения нужны базовые знания Prometheus, поэтому доступ к этому курсу вы получите бесплатно. В результате вы сможете самостоятельно установить и настроить все компоненты. Старт потока 7 ноября, обучение продлится 4 недели. Занять место здесь: https://slurm.club/3gfuE9h

Уязвимость в подсистеме io_uring ядра Linux, позволяющая повысить привилегии в системе В реализации интерфейса асинхронного ввода/вывода io_uring, входящего в ядро Linux начиная с выпуска 5.1, выявлена уязвимость (CVE-2022-2602), позволяющая непривилегированному пользователю получить права root в системе. ▪️Наличие проблемы подтверждено в ветке 5.4 и ядрах начиная с ветки 5.15. Уязвимость вызвана обращением к уже освобождённому блоку памяти в подсистеме io_uring, которое возникает в результате состояния гонки при обработке запроса io_uring над целевым файлом во время выполнения сборки мусора для Unix-сокетов, если сборщик мусора освобождает все зарегистрированные файловые дескрипторы и файловый дескриптор с которым работает io_uring. ▫️Для искусственного создания условий проявления уязвимости можно задержать запрос при помощи userfaultfd до момента, когда сработает освобождение памяти сборщиком мусора. Выявившие проблему исследователи объявили о создании рабочего эксплоита, который намерены опубликовать 25 октября, чтобы дать пользователям время на установку обновлений. Исправление пока доступно в виде патча. Обновления для дистрибутивов пока не выпущены.

моя система, делающая -Syu 1742942-й раз за ночь

Первый выпуск libcamera, стека для поддержки камер в Linux После четырёх лет разработки сформирован первый выпуск проекта libcamera (0.0.1). Он предлагает программный стек для работы с видеокамерами, фотокамерами и TV-тюнерами в Linux, Android и ChromeOS, продолжает развитие API V4L2 и со временем заменит его. Код проекта написан на C++ и распространяется под лицензией LGPLv2.1. Проект развивается с целью нормализации ситуации с поддержкой в Linux камер для смартфонов и встраиваемых устройств, которые привязаны к проприетарным драйверам. Уже имеющийся в ядре Linux API V4L2 в своё время был создан в расчёте на работу с традиционными обособленными web-камерами и плохо адаптирован для появившейся в последнее время тенденции выноса функциональности MCU на плечи CPU. Библиотека также предоставляет доступ к алгоритмам для обработки и улучшения качества изображений и видео (корректировка баланса белого, устранение шума, стабилизация видео, автофокус, выбор экспозиции и т.п.), которые могут подключаться в виде открытых внешних библиотек или проприетарных изолированных модулей.

Вжух, и через 4 недели ты сможешь управлять облачной инфраструктурой в парадигме IaC с помощью Terraform. Не нужно вручную щёлкать кнопкой мыши или вводить десятки команд в консоль. Вместо этого научись писать конфигурацию, в которой будет изложена будущая инфраструктура. На курсе будет возможность протестировать Yandex Cloud в связке с Terraform. Начать с бесплатного демо-урока: https://slurm.club/3VvxRBY