Небезопасность Debian

"...Ничего, мужчина может иметь безобидное хобби..."
Было интересно отследить метаморфозы Red Hat, Inc. после сделки с IBM.
Посмотреть, кто принимал участие в создании SELinux - NSA's Official SELinux Homepage
"...Debian недостаточно делает для защиты пользователей. Хотя AppArmor способен обеспечить надежную безопасность при правильной настройке, настройки Debian «из коробки» не используют весь его потенциал..."
ansible-debootstrap - отличная штука
Linux Security Modules (LSM) в ядрах от Debian дают возможность использовать альтернативы: SELinux, Tomoyo
https://wiki.debian.org/AppArmor/HowToUse
https://wiki.debian.org/SELinux/Setup
https://wiki.debian.org/Tomoyo

Небезопасность Debian

09.07.2019 16:42 Официально завершена сделка о покупке Red Hat компанией IBM
https://www.opennet.ru/opennews/art.shtml?num=51063
08.12.2020 18:46 Red Hat прекращает разработку CentOS 8 в пользу тестового CentOS Stream
https://www.opennet.ru/opennews/art.shtml?num=54219
21.06.2023 17:50 CentOS Stream станет единственным публичным источником кода пакетов RHEL
https://www.opennet.ru/opennews/art.shtml?num=59323
30.08.2023 11:46 В ядре Linux убрали упоминание связи SELinux с АНБ
https://www.opennet.ru/opennews/art.shtml?num=59685
"...В кодовую базу, на основе которой будет сформирован выпуск ядра Linux 6.6.
Механизм SELinux был разработан АНБ, включён в состав ядра Linux в 2003 году и используется во многих дистрибутивах Linux.
Последние 20 проект развивается под крылом сообщества и сопровождается независимыми мэйнтейнерами.
Решено перейти на использование имени "SELinux" вместо "NSA SELinux"
в комментариях и документации в Kconfig (например, пояснение к сборочному параметру SECURITY_SELINUX изменено с "NSA SELinux Support" на "SELinux Support")..."
https://en.wikipedia.org/wiki/Security-Enhanced_Linux
"...SELinux has been implemented in Android since version 4.3. Other distributions include support: Debian 9 Stretch and Ubuntu 8.04 Hardy Heron..."
Нет проблем в использовании SELinux на Debian.
На Debian и Arch Linux уже несколько лет использую podman с buildah и skopeo.
Когда в конце мая 2024 заблокировали Docker Hub, я и не заметил. Настроено проксирование через mirror.gcr.io.
https://github.com/containers/podman/blob/main/test/registries.conf

FL STUDIO на Linux + VST (часть 2) Чистый Wine

https://bbs.archlinux.org/viewtopic.php?id=292324
Make sure lib32-libpulse and lib32-libpipewire are installed.
Почитайте тут:
https://forum.manjaro.org/t/howto-troubleshoot-crackling-in-pipewire/82442
6. Set the playback buffer size 7. Set minimum playback buffer size

Valve и Arch Linux объявили о сотрудничестве

К новости всё же осторожный оптимизм, чем негатив.

FL STUDIO на Linux + VST (часть 2) Чистый Wine

Это не имитация:
https://wiki.archlinux.org/title/PipeWire
https://wiki.archlinux.org/title/PipeWire_(Русский)
"Установите pipewire-alsa (и удалите pulseaudio-alsa, если он установлен) для перенаправления приложений, использующих ALSA API, через PipeWire."

Valve и Arch Linux объявили о сотрудничестве

Arch Linux RFCs
https://rfc.archlinux.page/

Talisman Desktop и Aston Shell для Windows: почему их сейчас не хватает

Cairo Desktop
Cairo Desktop 0.4.370 released this 3 weeks ago

Выводы из глобального сбоя CrowdStrike

при обновлении система решила переименовать сетевой интерфейс, и содержимое /etc/network/interfaces 

Ubuntu перешла на netplan с версии 17.10
Wed Jun 21 00:58:33 UTC 2017 netplan by default in artful (replacing ifupdown)
файла interfaces не должно быть вообще

Упрощённая инструкция по развёртыванию VLESS и Shadowsocks-2022 проксей на основе сервера XRay на линуксовом сервере

Поставил на Proxmox VE debian-12.7.0-amd64-netinst.iso. Из доп-пакетов только openssh-server.
nftables установлен, но nftables.service надо включить(enabled) - заработает утилита nft

Упрощённая инструкция по развёртыванию VLESS и Shadowsocks-2022 проксей на основе сервера XRay на линуксовом сервере

Значит такой кастомный шаблон VPS/VDS хостера.
На реальном железе поменялось.
Можно вернуться к eth0, способов много(75-persistent-net-generator.rules и др....)
You can translate the iptables rules to nft
https://manpages.ubuntu.com/manpages/jammy/en/man8/iptables-restore-translate.8.html
Можно переключиться в legacy
https://wiki.debian.org/nftables
Switching to the legacy version:

# update-alternatives --set iptables /usr/sbin/iptables-legacy
# update-alternatives --set ip6tables /usr/sbin/ip6tables-legacy
# update-alternatives --set arptables /usr/sbin/arptables-legacy
# update-alternatives --set ebtables /usr/sbin/ebtables-legacy

Упрощённая инструкция по развёртыванию VLESS и Shadowsocks-2022 проксей на основе сервера XRay на линуксовом сервере

Что потребуется?
Debian 11\12 или Ubuntu 22.04\24.04

What’s new in Security for Ubuntu 22.04 LTS?
"nftables as the default firewall backend"
Nftables - Debian Wiki
"nftables is the default framework in use in Debian (since Debian 10 Buster)"
Имена сетевых интерфейсов eth0, eth1... ушли в прошлое c 15.10(Ubuntu) / stretch(Debian 9) Martin Pitt Wed Jun 17 07:14:39 UTC 2015

Резервное копирование в Linux: инструменты и стратегия 3-2-1

Если писать о Clonezilla - Clonezilla Server Edition
Форк Bacula - Bareos активно развивается и обновляется
BorgBackup. Хорошая статья на хабре
Proxmox Backup Server(PBS) есть возможность бэкапа физических узлов. Неофициальный клиент под Windows в разработке. Client packaged for RHEL-based distributions.
UrBackup Server - кроссплатформенная система резервного копирования клиент-сервер

Мой сервер бэкапов

Похоже на то.

Running install-dev-tools removes the default TrueNAS read-only protections and installs a variety of tools needed for development environments on TrueNAS. These changes do not persist across updates and install-dev-tools must be re-run after every system update.

Мой сервер бэкапов

А я и не топлю за OMV(Debian 12 Bookworm), TrueNAS CORE(FreeBSD) или TrueNAS SCALE(Debian 12 Bookworm).
TrueNAS больше похож на software production
С TrueNAS SCALE были проблемы. Надо было поставить DKMS-модуль для WiFi-свистка.
"Package management tools are disabled on TrueNAS appliances"
Пришлось переводить в Developer Mode для apt и make - install-dev-tools
В release-schedule 24.10.0 Stable 29 October 2024
Уже пилят 25.04 (Fangtooth) TrueNAS-SCALE-25.04.0-MASTER-20240909-015416.iso

Мой сервер бэкапов

сегодняшний OMV мне нравится ещё меньше, чем TrueNAS. От системы плагинов уже почти ушли, а к нормальной поддержке докера всё ещё не пришли.

52 плагина на openmediavault 7.4.7-1
Основная фича - openmediavault-flashmemory - folder2ram plugin for openmediavault
Мои фавориты: openmediavault-k8s,openmediavault-kvm, openmediavault-podman
OMV лучше ставить на чистый Debian 12 Bookworm(debian-12.7.0-amd64-netinst.iso)
Установка OMV:

wget https://github.com/OpenMediaVault-Plugin-Developers/installScript/raw/master/install
chmod +x install
sudo ./install -n

openmediavault 7.4.7-1 list plugins

p  openmediavault-anacron - anacron plugin for OpenMediaVault.
p  openmediavault-apt - openmediavault APT management plugin
p  openmediavault-apttool - apt tool plugin for OpenMediaVault.
p  openmediavault-backup - backup plugin for OpenMediaVault.
p  openmediavault-borgbackup - borgbackup plugin for OpenMediaVault.
p  openmediavault-clamav - openmediavault ClamAV plugin
p  openmediavault-compose - OpenMediaVault compose plugin
p  openmediavault-cputemp - cpu temperature plugin for openmediavault
p  openmediavault-diskclone - disk clone plugin for OpenMediaVault.
p  openmediavault-diskstats - openmediavault disk monitoring plugin
p  openmediavault-downloader - OpenMediaVault downloader plugin
p  openmediavault-fail2ban - OpenMediaVault Fail2ban plugin
p  openmediavault-filebrowser - openmediavault File Browser plugin
i  openmediavault-flashmemory - folder2ram plugin for openmediavault
p  openmediavault-forkeddaapd - openmediavault forked-daapd (DAAP server) plugin
p  openmediavault-ftp - openmediavault FTP-Server plugin
p  openmediavault-hddfanctrl - hddfancontrol plugin for openmediavault
p  openmediavault-hosts - openmediavault hosts plugin
p  openmediavault-iperf3 - OpenMediaVault iPerf3 plugin
p  openmediavault-k8s - openmediavault Kubernetes plugin
p  openmediavault-kvm - kvm plugin for OpenMediaVault.
p  openmediavault-locate - locate plugin for OpenMediaVault.
p  openmediavault-luksencryption - OpenMediaVault LUKS encryption plugin
p  openmediavault-lvm2 - openmediavault Logical Volume Manager (LVM2) plugin
p  openmediavault-md - openmediavault Linux MD (Multiple Device) plugin
p  openmediavault-mergerfs - mergerfs plugin for openmediavault.
p  openmediavault-minidlna - OpenMediaVault miniDLNA (DLNA server) plugin
p  openmediavault-mounteditor - openmediavault mount editor plugin
p  openmediavault-nut - openmediavault Network UPS Tools (NUT) plugin
p  openmediavault-onedrive - openmediavault OneDrive plugin
p  openmediavault-owntone - openmediavault OwnTone plugin
p  openmediavault-photoprism - openmediavault PhotoPrism plugin
p  openmediavault-podman - openmediavault Podman plugin
p  openmediavault-remotemount - Remote mount plugin for OpenMediaVault.
p  openmediavault-rsnapshot - OpenMediaVault rsnapshot backup plugin.
p  openmediavault-s3 - openmediavault S3 plugin
p  openmediavault-scripts - OpenMediaVault scripts plugin
p  openmediavault-shairport - openmediavault shairport (AirPlay/RAOP receiver) plugin
p  openmediavault-sharerootfs - openmediavault share root filesystem plugin
p  openmediavault-snapraid - snapraid plugin for OpenMediaVault.
p  openmediavault-snmp - openmediavault SNMP (Simple Network Management Protocol) plugin
p  openmediavault-symlinks - OpenMediaVault symlinks plugin
p  openmediavault-tftp - openmediavault TFTP-Server plugin
p  openmediavault-tgt - OpenMediaVault tgt plugin
p  openmediavault-timeshift - openmediavault timeshift plugin
p  openmediavault-usbbackup - openmediavault USB/eSATA/SAS/SD backup plugin
p  openmediavault-wakealarm - wakealarm plugin for OpenMediaVault.
p  openmediavault-webdav - OpenMediaVault WebDAV plugin.
p  openmediavault-wetty - openmediavault WeTTY (Web + TTY) plugin
p  openmediavault-wireguard - openmediavault WireGuard plugin
p  openmediavault-wol - OpenMediaVault WOL plugin
p  openmediavault-zfs - OpenMediaVault plugin for ZFS

Как настроить автодополнение для команды ssh с хостами из .ssh/config

Должен быть установлен:
sudo apt install bash-completion
https://github.com/scop/bash-completion/tree/main/completions
Autocomplete server names for SSH and SCP
https://unix.stackexchange.com/questions/136351/autocomplete-server-names-for-ssh-and-scp
Autocomplete server names for SSH and SCP for Git Bash
https://gist.github.com/nhthai2005/f956a0e6cfc3b38f72f0df1a239a4e68

ls /usr/share/bash-completion/completions/ | grep ssh

«Всегда закрывай за собой двери!»: краткое пособие по работе с портами

Для этого добавим правило iptables — читайте в Академии
Открываем вкладку Серверы и создаем два сервера в разных пулах.

Создаете серверы на базе Ubuntu 22.04 LTS?
What’s new in Security for Ubuntu 22.04 LTS?
"nftables as the default firewall backend"
https://manpages.ubuntu.com/manpages/jammy/en/man8/iptables-restore-translate.8.html

You can translate the iptables rules to nft through iptables-translate and ipt6ables-translate. e,g:
iptables-translate -A INPUT -s x.x.x.x/32 -d y.y.y.y/32 -i eth2 -j DROP

Бесполезность dd

По крайней мере, я нашел её для себя познавательной и, надеюсь, вам она тоже будет интересна

Нет.
Есть перевод на другие языки, но он обычно опаздывает.
https://wiki.archlinux.org/title/Dd
https://wiki.archlinux.org/title/Disk_cloning
https://wiki.archlinux.org/title/USB_flash_installation_media#Using_basic_command_line_utilities
https://wiki.archlinux.org/title/Benchmarking#dd
https://wiki.archlinux.org/title/Securely_wipe_disk#dd

Как я пришёл к пониманию основ создания Live-дистрибутивов Linux, решив починить свой старый SSD

Форматы пакетов:
tar.gz — Gentoo, Slackware
Известные пакетные менеджеры:
pacman — Gentoo, Slackware

Шедеврально. Без хейта.

В KDE Plasma разработчики добавили ежегодное всплывающее уведомление с запросом пожертвований на развитие проекта

Я прикалывался.
Рекомендую почитать:
https://invent.kde.org/frameworks/kded
Служба 'Donation Request' отключается элементарно.