Настройка Linux *

Эксперты из Lansweeper в преддверии окончания цикла сопровождения CentOS 7 (который истекает 30 июня), проанализировали дистрибутивы, используемые на 200 тысячах просканированных Linux-систем.

Как именно выбирались системы для проверки, в исследовании не уточняется, вероятно, статистика собрана по системам в сетях корпоративных клиентов, использующих платформу инвентаризации Lansweeper.

Наиболее популярным дистрибутивом стал Ubuntu, доля которого составила 32,24%. На втором месте оказался CentOS — 26,05%, а на третьем Red Hat Enterprise Linux — 20,11%. Доля Debian оказалась 7,05%, а Fedora Linux — 2.5%.

Достаточно большой процент присутствия оказался у дистрибутива Raspbian (4.35%), используемого на платах Raspberry Pi. Rocky Linux используется на 1.34% корп.систем, а Oracle Linux — на 3.87%. Доля SUSE Linux Enterprise составила 1.25%, а openSUSE — 0.07%. Linux Mint оказался установлен на 0.69% систем, а Astra Linux — 0.02%.

Несмотря на то, что исследование Lansweeper было ориентировано на Linux, в статистике также оказалась ОС FreeBSD (0.46%).

Источник: OpenNET.

В OpenSSH добавлена встроенная защита от автоматизированных атак по подбору паролей, в ходе которых боты пытаются угадать пароль пользователя, перебирая различные типовые комбинации. Для блокирования таких атак в файл конфигурации sshd_config добавлен параметр PerSourcePenalties, определяющий порог блокировки, срабатывающий при многих неудачных попытках соединений с одного IP-адреса. Механизм защиты войдёт в состав следующего выпуска OpenSSH и будет включён по умолчанию в OpenBSD 7.6.

При активации защиты процесс sshd будет отслеживать статус завершения дочерних процессов, определяя ситуации без аутентификации или когда процесс был аварийно завершён из-за сбоя. Большая интенсивность сбоев при аутентификации свидетельствует о попытках подбора паролей, а аварийное завершение указывает на попытки эксплуатации уязвимостей в sshd.

В параметре PerSourcePenalties задаётся минимальный порог аномальных событий, после превышения которого IP-адрес, для которого зафиксирована подозрительная активность, будет заблокирован. При помощи параметра PerSourceNetBlockSize можно определить маску подсети для блокирования всей подсети, к которой принадлежит проблемный IP-адрес.

Для отключения срабатывания блокировки для отдельных подсетей предложен параметр PerSourcePenaltyExemptList, который может оказаться полезным в ситуациях, приводящих к ложным срабатываниям, например, когда к SSH-серверу осуществляются обращения из крупной сети.

Источник: OpenNET.

Проверьте знания Linux

Без Linux, конечно, никуда. Но хорошо ли вы разбираетесь в этой операционной системе? Уверены, что не путаетесь в командах в терминале, понимаете различия между дистрибутивами и помните наизусть все горячие клавиши?

Мы подготовили небольшой тест из 10 вопросов. Буквально на несколько минут. Профессионалы смогут блеснуть своими знаниями, а новички — узнать что-то новое. В комментариях к вопросам оставили ссылки на полезные обучающие материалы.

Проверьте свои знания Linux →

Компания Canonical объявила о выпуске сборок Real-time Ubuntu 24.04, оптимизированных для выполнения задач в режиме реального времени.

В сборках проекта Real-time Ubuntu задействовано ядро Linux 6.8 с патчами RT (Realtime-Preempt, PREEMPT_RT или "-rt"), обеспечивающими снижение задержек и позволяющими добиться предсказуемого времени обработки событий.

В сборки Real-time Ubuntu дополнительно включены оптимизации, нацеленные на повышение производительности и снижение задержек на платах Raspberry Pi 4 и 5, и системах на базе процессоров Intel Core, поддерживающих технологии TCC (Time Coordinated Computing) и TSN (Time-Sensitive Networking).

Готовые сборки проекта Real-time Ubuntu сформированы для архитектур x86_64 и Aarch64 и распространяется через сервис Ubuntu Pro, который является платным для коммерческих применений. Для персонального использования предусмотрена возможность бесплатного подключения к сервису Ubuntu Pro до 5 ПК (для членов сообщества Ubuntu Community - 50 ПК).

25 апреля 2024 года Canonical представила стабильный выпуск Ubuntu 24.04 LTS (выпуск с длительным сроком поддержки) Noble Numbat (Благородный Намбат).

В Ubuntu 24.04 LTS внесены значительные изменения и доработки, включая обновление
системных компонентов, пользовательских приложения и серверных пакетов. В проекте обновлены версии GCC 14-pre, LLVM 18, Python 3.12, OpenJDK 21 (опционально доступны OpenJDK 8, 11 и 17), Rust 1.76, Go 1.22, .NET 8, PHP 8.3.3, Ruby 3.2.3.

Илон Маск после анонса Microsoft новой опции на базе искусственного интеллекта Recall, которая запоминает всё, что пользователь делает на своём компьютере, порекомендовал переходить на Linux.

«Возможно, пришло время перевести потребительские настольные компьютеры на Linux», — заявил Маск.

Microsoft указывает, что Recall будет хранить зашифрованные данные локально на ПК пользователей. Функция эксклюзивна для будущих компьютеров Copilot+. В Microsoft заявили, что Recall — это необязательная функция, которая стремится к конфиденциальности и безопасности. 

Ранее Маск столкнулся с необходимостью создания учетной записи Microsoft при настройке нового ноутбука с Windows 11.

Только что купил новый ноутбук, и я не могу использовать его, пока я не создам учетную запись Microsoft, что также означает предоставление их искусственному интеллекту доступа к моему компьютеру! Это неправильно. Раньше была возможность пропустить вход в систему или создание учетной записи Microsoft.

Потом Маск добавил: «Это не круто со стороны Microsoft».

В ответ на претензии Маска пользователи пояснили, что в Windows 11 можно создать локальную учётную запись в процессе установки ОС, но для этого нужно сделать несколько действий, которые не особо очевидны, а также отключиться от интернета.

Проект Switchroot объявил о готовности сборки Ubuntu 24.04, предназначенной для загрузки на игровых консолях Nintendo Switch на базе SoC Tegra X1 (Switch 2017, Switch 2019, Switch Lite и Switch OLED).

Помимо Ubuntu проектом Switchroot предоставляются предназначенные для загрузки на Nintendo Switch сборки Fedora 39, Lakka 5.0 и LineageOS 18.1. Загрузка производится с SD-карты при помощи загрузчика hekate (для обхода блокировки применяется RCM). Развиваемые проектом дополнительные компоненты распространяются под лицензией Apache 2.0.

Из графических интерфейсов поддерживается KDE Plasma и Unity (сборки с GNOME задерживаются из-за проблем с сенсорными экранами и с производительностью полноэкранного вывода при использовании X11 на системах ARM64. Для установки дополнительного ПО могут использоваться скрипты L4T-Megascript, репозиторий Pi-Apps (около 200 программ) или пакеты в формате Flatpak. Для обновления дистрибутива применяется штатный пакетный менеджер APT.

Среди поддерживаемых возможностей отмечается сопряжение с контроллерами Nintendo Switch Pro, GameCube, Dualshock 4, X‑Box One и Joy‑Con, разгон частоты CPU, GPU и памяти, поддержка USB‑C, Wi‑Fi, Bluetooth, DisplayPort/HDMI, датчика освещения, звука, Touchscreen, eMMC/SD, драйверы для GPU Tegra с поддержкой Vulkan, OpenGL, OpenGLES, EGL и CUDA, аппаратное ускорение декодирования видео (в SMPV Player, ffmpeg, mpv и chromium‑browser), глубокий спящий режим. Не поддерживаются NFC и инфракрасный порт (IR).

Источник: OpenNET.

Эксперты пояснили, что в коде Linux есть 11 функций часов и времени. Причём ранее их было 8, но потом ещё к ним добавили 3 опции.

Состоялся релиз проекта  Neovim 0.10 ответвления от редактора Vim,  сфокусированного на повышении расширяемости и гибкости. Проект уже более 10 лет занимается переработкой кодовой базы Vim, в результате которой вносятся изменения, упрощающие сопровождение кода, предоставляющие средства разделения труда между несколькими мэйнтейнерами, отделяющие интерфейс от базовой части (интерфейс можно менять, не трогая внутренности) и реализующие новую  расширяемую архитектуру на основе плагинов.

Наработки проекта распространяются под лицензией Apache 2.0, а базовая часть под лицензией Vim. Готовые сборки подготовлены для Linux (appimage), Windows и macOS.

Изменения в новой версии:

• по умолчанию предложена новая цветовая схема, в которой уменьшена яркость, задействованы более сбалансированные сочетания цветов и решены проблемы, возникающие у людей с отклонениями цветовосприятия.

• для записи в системный буфер обмена задействована escape‑последовательность, если работа осуществляется в сеансе SSH, не включена настройка clipboard и имеется эмулятор терминала, поддерживающий OSC 52.

• добавлена экспериментальная поддержка оформления гиперссылок при помощи
  escape‑последовательности OSC 8.

• обеспечено автоматическое определение поддержки терминалом 24-разрядного представления цветов (truecolor).

• расширены возможности для инспектирования синтаксического дерева исходного кода. Добавлен интерактивный режим написания запросов к синтаксическому дереву, на лету применяемых к текущему коду.

  

Вышел дистрибутив Daphile 24.05 на базе Gentoo Linux и предназначенный для создания системы хранения и воспроизведения музыкальной коллекции, замещаемой на компьютере без экрана. Управление воспроизведением и коллекцией производится через специальный веб-интерфейс. Опубликована сборка проекта с обычным ядром Linux (329 МБ) и версия с компонентами для работы в режиме реального времени (319 МБ).

Дистрибутив может работать в режиме звукового сервера, сетевого хранилища и точки беспроводного доступа. Поддерживается воспроизведение с внутренних накопителей, c сетевых потоковых сервисов и c внешних USB-накопителей. Для обеспечения максимального качества звука и создания мультизональных аудиосистем поддерживается подключения компьютера с Daphile к аналоговым усилителям через ЦАП с интерфейсом USB.

В новой версии:

• обновлены LMS (Lyrion Music Server) 8.5.2, Perl 5.38, ядро Linux 6.6. Для сборки задействован GCC 13.2;

• обновлены плагины для интеграции с сервисами Spotty 4.10.1, TIDAL 1.4.6, Qobuz 3.5.0, Deezer 2.81.4 и YouTube 0.212;

• удалена поддержка Mysqueezebox.com;

• добавлен модуль Crypt::Blowfish, позволивший повысить производительность плагинов;

• добавлена возможность сохранения содержимого звуковых CD в формате WAV;

• библиотека с информацией об исполнителях и музыкальных композициях CDDB заменена на Gnudb;

• добавлена поддержка обращения к внешним сетевым накопителям через протоколы SMB3 и WebDAV.

Источник: OpenNET.

Джерри Безенкон представил дистрибутив Linux Lite 7.0 Release Candidate 1 (RC1). Сборка рассчитана для работы на устаревшем оборудовании и ПК с минимальными системными требованиями по процессору 1 ГГц, 768 МБ ОЗУ и 8 ГБ места для хранения данных.

Дистрибутив Linux Lite 7.0 RC1 основан на ядре Linux 6.8 и Ubuntu 24.04 LTS. В сборку также входят Chrome 124.0, Thunderbird: 115.10.1, LibreOffice: 7.6.6.3, VLC 3.0.20, Gimp 2.10.36.

Ожидается, что финальная версия Linux Lite 7.0 под кодовым именем Galena выйдет в релиз 1 июня 2024 года.

Выпуск Linux Lite 6.0 состоялся в июне 2022 года.

Разработчик под ником Theo помог разобраться Саше Грей с командной строкой на Bash при работе с бэкапами iPhone в терминале на Macbook. После этого события Грей написала, что благодарна такой помощи.

Состоялся выпуск проекта LibreELEC 12.0, развивающего форк дистрибутива для создания домашних кинотеатров OpenELEC.

Интерфейс пользователя построен на основе медиацентра Kodi. Для загрузки подготовлены образы для работы с USB-накопителя или SD-карты (32- и 64-разрядные x86, Raspberry Pi 2/3/4/5, различные устройства на чипах Rockchip, Allwinner, NXP и Amlogic). Размер сборки для архитектуры x86_64 - 247 МБ.

При помощи LibreELEC можно превратить любой ПК в медиацентр, работать с которым не сложнее, чем с DVD-проигрывателем или ТВ-приставкой.

Основной принцип дистрибутива "всё просто работает", для получения полностью готового к работе окружения достаточно просто загрузить LibreELEC с Flash-накопителя. В дистрибутиве LibreELEC используется система автозагрузки и установки обновлений, предусмотрена возможность расширения функциональности через систему дополнений из отдельного репозитория, развиваемого разработчиками проекта.

В LibreELEC 12.0:

• поставляемый в составе медиацентр Kodi обновлён до версии 21.0;

• стабилизирована поддержка платы Raspberry Pi 5 и улучшена работа на платах Rasberry Pi 4. Добавлены 64-разрядные сборки для Rasberry Pi 4 и 5;

• обновлены версии пакетов, например, mesa 24.0.6, Python 3.11.9, samba 4.20.0, pipewire 1.0.4, systemd 255, ядро Linux 6.6;

• возобновлена поддержка устройств на чипах Amlogic S905, S905X/D и S912, для которых обеспечена поддержка ускорения воспроизведения видео в форматах H264 и HEVC, добавлена поддержка HDR для HEVC и VP9.

Источник: OpenNET.

Опубликована видеоинструкция и технический гид, в которой подробно показано, как можно запустить установку Linux (Arch Linux и Alpine Linux) напрямую из установщика Windows 10.

Разработчик Леннарт Поттеринг представил утилиту run0, позволяющую выполнять процессы под идентификаторами других пользователей. Утилита позиционируется как более безопасная замена программы sudo, реализованная в форме надстройки над командой systemd-run и позволяющая избавиться от применения исполняемого файла с флагом SUID.

Утилита run0 включена в состав выпуска systemd 256, который находится на стадии кандидата в релизы.

В run0 осуществляется обращение к системному менеджеру с запросом запуска командной оболочки или процесса с указанным идентификатором пользователя, создания нового псевдотерминала (PTY) и пересылки данных между ним и текущим терминалом (TTY). Подобное поведение напоминает запуск при помощи ssh, чем выполнение при помощи классического sudo. Привилегированный процесс запускается в изолированном контексте, который порождается процессом PID 1, а не процессом пользователя, не наследует свойства окружения пользователя, за исключением проброса переменной окружения $TERM. Проброс регулируется через список явно разрешённых свойств, вместо попыток запретить опасные свойства (концепция белого списка).

Для авторизации и определения возможностей пользователя в run0 используется Polkit. Классический язык описания правил (/etc/sudoers), применяемых в sudo, не поддерживается. Функциональность для запуска программ с другими привилегиями встроена в systemd-run, а команда run0 создаётся как символическая ссылка на systemd-run.

Источник: OpenNET.

Представлен релиз библиотеки ncurses 6.5, предназначенной для создания многоплатформенных интерактивных консольных пользовательских интерфейсов и поддерживающей эмуляцию программного интерфейса curses из System V Release 4.0 (SVr4).

Выпуск ncurses 6.5 совместим на уровне исходных текстов с ветками ncurses 5.x и 6.0, но расширяет ABI. Из популярных приложений, построенных с использованием ncurses, можно отметить aptitude, lynx, mutt, ncftp, vim, vifm, minicom, mosh, screen, tmux, emacs, less.

Изменения в ncurses 6.5:

• в программные интерфейсы для низкоуровневого доступа к terminfo и termcap добавлены функции: tiparm_s для передачи информации об ожидаемых строковых параметрах терминала, которые используются для формирования вывода на терминал; tiscan_s для проверки возможностей форматирования при передаче строковых параметров в функцию tiparm_s. Указанные функции решают проблемы при обработке повреждённых или некорректных файлов с параметрами терминала (terminfo и termcap);

• добавлена сборочная опция "--enable-check-size" для упрощения инициализации на терминалах, не передающих данные о размере окна или экрана. При включении опции для определения размера окна в функции setupterm используются данные о позиции курсора, если сведения о размере не выставлены через переменные окружения и не передаются через ioctl;

• добавлены функции для получения флагов TTY из структур с типом SCREEN;

• добавлены проверки для более безопасной обработки строковых параметров в функциях tiparm, tparm и tgoto.

23 апреля 2024 года состоялся выпуск специализированного дистрибутива Tails 6.2, ориентированного на конфиденциальность, основанного на пакетной базе Debian 12, поставляемого с рабочим столом GNOME 43 и предназначенного для анонимного выхода в сеть.

Tails — продолжение развития ОС Incognito. Релиз первого дистрибутива проекта состоялся в июне 2009 года. В Tails все исходящие соединения обеспечиваются системой Tor, а все неанонимные блокируются.

Система Tails предназначена для загрузки с LiveCD или LiveUSB и не оставляет следов на ПК, где использовалась. Для хранения пользовательских данных в проекте применяется шифрование. Для загрузки доступен ISO-образ дистрибутива Tails размером 1 ГБ.

В сборке Tails 6.2:

• обновлены версии Tor Browser 13.0.13 (на базе Firefox 115.10), Tor 0.4.8.11 и Thunderbird 115.20;

• на экране приветствия реализована возможность включения локализации для 21 дополнительного языка;

• cекция локализации в Welcome Screen переименована в «Язык и форматы» (Language and Formats);

• в интерфейсе Tails Upgrader по умолчанию активирована опция для откладывания установки обновлений (Make Upgrade later);

• расширен спектр ошибок, распознаваемых при проблемах с чтением или записью на USB-накопители;

• решены проблемы с надёжностью работы Wi-Fi;

• отключена обработка клавиш SysRq;

• для усиления защиты от уязвимости Spectre v4 включён по умолчанию параметр spec_store_bypass_disable=on.

Источник: OpenNET.

Состоялся релиз открытой криптографической библиотеки OpenSSL 3.3.0 с реализацией протоколов SSL/TLS и различных алгоритмов шифрования.

Поддержка проекта OpenSSL 3.3 будет осуществляться до апреля 2026 года. Поддержка прошлых веток OpenSSL 3.2, 3.1 и 3.0 LTS планируется до ноября 2025 года, марта 2025 года и сентября 2026 года соответственно.

Исходный код проекта OpenSSL распространяется под лицензией Apache 2.0.

Дополнения и изменения в OpenSSL 3.3.0:

• продолжена интеграция поддержки протокола QUIC (RFC 9000), представляющего собой надстройку над протоколом UDP, используемую в качестве транспорта в протоколе HTTP/3;

• реализованы расширения протокола управления сертификатами CMP (Certificate Management Protocol), определённые в спецификациях RFC 9480 (определение протокола CMPv3) и RFC 9483 (легковесный профиль для маломощных устройств);

• добавлена возможность отключения на этапе сборки использования функции atexit;

• добавлен вариант API SSL_SESSION, не подверженный проблеме 2038 года;

• в функции EVP_PKEY_fromdata реализована возможность автоматического получения параметров китайской теоремы об остатках (CRT, Chinese Remainder Theorem).

• добавлена возможность игнорирования неизвестных названий алгоритмов подписей, заданных в параметрах конфигурации TLS SignatureAlgorithms и ClientSignatureAlgorithms.

• добавлена возможность настройки приоритетного использования PSK-ключей на сервере TLS 1.3 во время восстановления сеанса.

Источник: OpenNET.

Разработчик под ником Iusearchbtw представил ретро сборку Debian 13 со средой рабочего стола KDE 1.1.2 для разработчиков, которые хотят вспомнить молодость и понастальгировать.

Дистрибутив (a.iso) весит 870 МБ.

27 марта 2024 года состоялся выпуск специализированного дистрибутива Tails 6.1, ориентированного на конфиденциальность, основанного на пакетной базе Debian 12, поставляемого с рабочим столом GNOME 43 и предназначенного для анонимного выхода в сеть.

Tails — продолжение развития ОС Incognito. Релиз первого дистрибутива проекта состоялся в июне 2009 года. В Tails все исходящие соединения обеспечивается системой Tor, а все неанонимные блокируются. Система предназначена для загрузки с LiveCD или LiveUSB и не оставляет следов на ПК, где использовалась. Для хранения пользовательских данных в проекте применяется шифрование. Для загрузки доступен ISO-образ дистрибутива Tails размером 1 ГБ.

В сборке Tails 6.1 обновлены версии Tor Browser 13.0.13 (на базе Firefox 115.9.1) и Thunderbird 115.9. Добавлена новая версия микрокода для CPU Intel с изменениями, необходимыми для блокирования уязвимости RFDS. В конфигураторе постоянного хранилища обеспечено отображение всех включённых дополнительных возможностей.

Релиз Tails 6.0 состоялся в конце февраля 2024 года.

К вопросу о функционировании trim/discard на SSD накопителях, подключенных по интерфейсу USB, в Linux. У меня таких накопителей много, в том числе и загрузочных Linux и я очень удивился, увидев что это просто не работает (в разных дистрибутивах).

Небольшой поиск показал, что история известная: низкоуровневые команды на ssd идут через довольно длинную цепочку софта и аппаратуры, мост USB — SSD может (не) пропускать нужные команды (зависит от прошивки моста, в том числе), более того — накопитель USB может неправильно интерпретировать эти команды, в результате чего — прийти в негодность. Вероятно поэтому trim по умолчанию отключен на внешних накопителях: Windows пытается что то сделать «сама» для определения работоспособности trim, ну а в случае Linux — придется проверить вручную

Если накопитель «умеет» trim то Linux может автоматически активировать эту возможность при его подключении в USB используя магию UDEV. Нужно просто добавить файл вида /etc/udev/rules.d/50-usb‑ssd‑trim.rules с примерно таким содержимым:

ACTION=="add|change", ATTRS{idVendor}=="VID", ATTRS{idProduct}=="PID", SUBSYSTEM=="scsi_disk", ATTR{provisioning_mode}="unmap"

Где VID и PID — идентификаторы нужного USB накопителя (отображаются командой lsusb )

После чего надо перезагрузить UDEV: sudo service udev force-reload

Я собрал небольшую коллекцию идентификаторов своих накопителей и для удобства дополнения разместил все на github С учетом вышесказанного — применять на свой риск, ну и можно слать коммиты со своими ID