Svobodná historická realtimová strategie 0 A.D. (Wikipedie) byla vydána ve verzi 28 (0.28.0). Její kódový název je Boiorix. Představení novinek v poznámkách k vydání. Ke stažení také na Flathubu a Snapcraftu.
Multimediální server a user space API PipeWire (Wikipedie) poskytující PulseAudio, JACK, ALSA a GStreamer rozhraní byl vydán ve verzi 1.6.0 (Bluesky). Přehled novinek na GitLabu.
UBports, nadace a komunita kolem Ubuntu pro telefony a tablety Ubuntu Touch, vydala Ubuntu Touch 24.04-1.2 a 20.04 OTA-12.
Byla vydána (Mastodon, 𝕏) nová stabilní verze 2.0 otevřeného operačního systému pro chytré hodinky AsteroidOS (Wikipedie). Přehled novinek v oznámení o vydání a na YouTube.
WoWee je open-source klient pro MMORPG hru World of Warcraft, kompatibilní se základní verzí a rozšířeními The Burning Crusade a Wrath of the Lich King. Klient je napsaný v C++ a využívá vlastní OpenGL renderer, pro provoz vyžaduje modely, grafiku, hudbu, zvuky a další assety z originální kopie hry od Blizzardu. Zdrojový kód je na GitHubu, dostupný pod licencí MIT.
Byl představen ICT Supply Chain Security Toolbox, společný nezávazný rámec EU pro posuzování a snižování kybernetických bezpečnostních rizik v ICT dodavatelských řetězcích. Toolbox identifikuje možné rizikové scénáře ovlivňující ICT dodavatelské řetězce a na jejich podkladě nabízí koordinovaná doporučení k hodnocení a mitigaci rizik. Doporučení se dotýkají mj. podpory multi-vendor strategií a snižování závislostí na vysoce
… více »Nizozemský ministr obrany Gijs Tuinman prohlásil, že je možné stíhací letouny F-35 'jailbreaknout stejně jako iPhony', tedy upravit jejich software bez souhlasu USA nebo spolupráce s výrobcem Lockheed Martin. Tento výrok zazněl v rozhovoru na BNR Nieuwsradio, kde Tuinman naznačil, že evropské země by mohly potřebovat větší nezávislost na americké technologii. Jak by bylo jailbreak možné technicky provést pan ministr nijak nespecifikoval, nicméně je známé, že izraelské letectvo ve svých modifikovaných stíhačkách F-35 používá vlastní software.
Nové číslo časopisu Raspberry Pi zdarma ke čtení: Raspberry Pi Official Magazine 162 (pdf).
Sdružení CZ.NIC, správce české národní domény, zveřejnilo Domain Report za rok 2025 s klíčovými daty o vývoji domény .CZ. Na konci roku 2025 bylo v registru české národní domény celkem 1 515 860 s koncovkou .CZ. Průměrně bylo měsíčně zaregistrováno 16 222 domén, přičemž nejvíce registrací proběhlo v lednu (18 722) a nejméně pak v červnu (14 559). Podíl domén zabezpečených pomocí technologie DNSSEC se po několika letech stagnace výrazně
… více »Google představil telefon Pixel 10a. S funkci Satelitní SOS, která vás spojí se záchrannými složkami i v místech bez signálu Wi-Fi nebo mobilní sítě. Cena telefonu je od 13 290 Kč.
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz
X, uživateli X nastavit právo zápisu do příslušného adresáře, binárce nastavit setuid. Ale to asi není dost sofistikované 
Nerozumím.
[jura@jv ~]$ which firefox /usr/bin/firefox [jura@jv ~]$ ls -l /usr/bin/firefox -rwxr-xr-x 1 root root 4684 zář 22 2005 /usr/bin/firefoxVidíte tam cokoliv, že by prohlížeč mohl zapisovat "někam jinam než já"? SUID program to není, tím pádem může zapisovat akorát přesně tam, kam můžu zapisovat já, jako uživatel, který jej spustil.
Asi nechápu, co chcete, ale jak víc (respektive - před čím) ten program potřebujete omezit?
To je právě asi prvotní příčina, proč si nerozumíme. Co vlastně CHCETE? Aby každá z cca tisícovky binárek, kterou máte v systému nainstalovánu, mohla zapisovat jen do "svého adresáře", nejlépe user-defined? Anebo chcete něco reálnějšího? Co a proč?
Viz níže
PS: Samozřejmě LZE nastavit systém tak, aby každá jedna binárka mohla manipulovat jenom s taxativně stanovenou množinou souborů/adresářů. Ten nástroj se jmenuje SELinux. Ale jak jistě tušíte, byl by to pěknej vopruz...
PPS: Pokud to celé zamýšlíte jako "ochranu před chybama v programech", pusťte to za hlavu. Za X let jsem zažil N ztrát dat způsobených softwarovou chybou, a 999N ztrát dat způsobených vlastní chybou. Z této statistiky vyplývá, že riziko ztráty dat snížíte na jedno promile stávajícího rizika tím, že si urazíte pracky... To je ROZHODNĚ míň práce, než konfigurovat SELinux.
No ale ten globální profil se samozřejmě ANDuje s klasickými přístupovými právy...
Pokud by to byl tak naprosto přirozený požadavek, asi by to už někdo udělal, nemyslíte?Tohle je trochu podivná argumentace, nemyslíte? Jinak otázka byla, zda to jde. Pokud je odpověď nejde, OK. Nikoho nenutím to programovat. Otázka tedy byla vyřešena? (takto se musím zeptat, když se dotaz na existenci něčeho a odpověď není kladná)
Neexistuje nic takového jako odpověď nejde. Jde naprosto všechno, akorát malá děcka se musej učit chodit. Všechno je to jenom otázka vynaložené práce versus získaný efekt. Ve vašem případě je ten poměr krajně nepříznivý, takže z praktického hlediska "to nejde".
.
Včera jsem se na to zběžně koukal, ale zase jsem nezjistil, jestli to funguje pro každého uživatele zvlášť. A pak se tady ztrhla ta smršť, kdy mě dva zasvěcení (myslím upřímně) začali přesvědčovat, že by to bylo něco nelinuxového a nabyl jsem dojmu, že AppArmor tedy rozlišení podle uživatelů nezvládá.
Jak to tedy prosím je? (omlouvám se za svou natvrdlost a neschopnost tuto informaci dohledat na odkazovaných stránkách; na webu novellu o tom dokonce hovoří jako o komerčním aplikaci)
Hmmm... Na jednom a tom samém stroji se přihlašuje moje žena a já. A já opravdu nechci, aby "mozilla stahovala do jednoho adresáře, do kterého má práva". Já si stahuju do svých adresářů, žena do svých - a pokud si ONA něco smaže, je to její problém...
Takže podle mě je celá definice "adresář, kam se stahují data" úplně scestná...
To už chcete moc. Mnou výše zmíněný SELinux zvládne téměř cokoliv, ale není možné "aby si každý mohl...". Ta omezení musí nastavit administrátor.
Neberte si to osobně. Buď netušíte, jak security model linuxu funguje, anebo jste naprostý fantasta.
Chcete totiž moc - chcete něco, co sice "realizovatelné je", ale stávající jádro a celá architektura bezpečnostního modelu na to prostě není navržená.
A obávám se, že nikdo ji podle vašich představ předělávat nebude, protože ta celá vaše představa nemá ani hlavu ani patu (z pohledu architektury systému). Jestliže jako uživatel mohu spustit mv nebo rm a budu omezen pouze svými přístupovými právy (což prostě musí takto zůstat, změnu neprosadíte...), pak postrádá smysl, aby "nějaká jiná" aplikace to samé udělat nemohla...
Jo, zhruba tak funguje.
A k čemu potřebujete, aby zohledňoval uživatele? Nastavím v rámci SELinuxu, že mozilla může zapisovat do /home/jura/download a /home/martina/download. Budu-li přihlášen jako jura, pak prvotní kontrola projde přes filesystem, že můžu zapisovat do /home/jura (a ne do /home/martina), následně SELinux vyplivne, že do /home/jura/download ano, do /home/jura/porno ne.
Čili, nastavení "per uživatel" samozřejmě funguje kombinací těch souborových a selinuxových práv. To, co jsem říkal, že nejde, je to, že uživatel SÁM si nemůže nastavit granilaritu - protože nastavení parametrů pro SELinux může jenom root, sám sobě si jako běžný uživatel tímto způsobem nic neomezím.
Uááááááááá!!! Nezlobte se, ale to co jste napsal je neskutečná pitomost. Co to je kupříkladu "pak namergují" - co to je PAK?
Nerad to říkám, ale tuto debatu vzdávám, protože jste mě právě přesvědčil, že tomu současně nerozumíte a zároveň fantazírujete. Kvalitní literatury na dané téma existuje dostatek... Nejsem schopen vám věcně argumentovat proti vašim představám, když ty představy ukazují, že vlastně nevíte, co si představujete.
Já vás chápu, že máte představu čeho chcete docílit, a příliš vás (a právem) nezajímá, jak to udělat. Nicméně, kdybyste začal přemýšlet i nad tím "jak", dostal byste se dříve či později i k otázce proč - a to je to, co mi uniká a co mě popuzuje. Vy totiž chcete něco, a podle mého nemáte domyšleno konkrétně proč to chcete, se všemi souvisejícími důsledky. Jakmile byste to začal sepisovat tužkou na papír, asi byste záhy zjistil, že vaše požadavky jsou ze své podstaty nekonzistentní.
A jinak, k té modifikaci nastavení SELinuxu. Změna nastavení ve smyslu odstranění určitých privilegií je možná kdykoliv (samozřejmě pouze rootem), změna nastavení ve smyslu navrácení privilegií možná není, je nutno systém restartovat. Ten váš mechanismus by šel udělat tak nějak, že uživatel by zadal požadavek, ten by se zapsal do fronty, a cronová úloha pod rootem by to nastavení provedla - ale pochopte, že ten uživatel by si to UŽ NIKDY NEMOHL ROZMYSLET, bylo by nutno restartovat systém. Což je sice možné na šmudlíkovi doma na stole, ale v produkční praxi to skutečně fungovat nebude.
Nehledě k tomu, že by docházelo k mnoha potencionálním konfliktům, z nichž jste některé už naznačil. Čili, rozhodně by to nebylo nic snadného - a znovu opakuju, že jsem přesvědčen, že jste celý ten požadavek nedomyslel, protože nemůžete konzistentně chtít to, co jste popsal.
PS:
Nebo je třeba pro změnu konfigurace selinux vždy restartovat počítač? To by se jistě dalo změnit.
NEDALO! Vtip SELinuxu (a obecně jakéhokoliv bezpečnostního mechanismu, který je opravdu bezpečnostní) spočívá v tom, že jakmile jednou řeknu, že do /etc/passwd zapisovat nebudu, tak do něj skutečně UŽ NIKDY NEBUDU SCHOPEN ZAPSAT!. Neexistuje nic takového jako "odvolávám co jsem slíbil a slibuju co jsem odvolal" - pak by ten mechanismus byl k ničemu.
Zamyslete se nad tím a pochopíte, že vzdám-li se jednou nějakého privilegia, už ho nesmím být schopen znovu získat - protože jinak by jaksi postrádalo smysl celé to "vzdávání se".
Neexistuje nic takového jako "odvolávám co jsem slíbil a slibuju co jsem odvolal" - pak by ten mechanismus byl k ničemu.Nesouhlasím, pouze to vyžaduje nutnost ověřovat oprávnění si práva vrátit jinou cestou (samostatně nezávisle na všem dalším).
To máte pravdu. Ale asi se neshodneme v tom, co to je "samostatně nezávisle na všem dalším".
Jednou jsem se vzdal práva udělat X. Pokud existuje mechanismus, jak si toto právo opět navrátit, pak toto navrácení může udělat kdokoliv. (Ve smyslu "jakýkoliv dostatečně sofistikovaný proces".) Jak chcete chránit navrácení práva? Separátním heslem hardwired v jádře třeba? Uvědomte si, že ten mechanismus revokace práva znamená, že NIKDO, včetně jakéhokoliv jaderného modulu, nemá být schopen udělat nic, jak to právo vrátit zpět. Čistě softwarově je to prostě všechno nebo nic - buď se vzdám jednou provždy, anebo se nemusím vzdávat vůbec, protože to kdokoliv může zvrátit.
Jediná myslitelná varianta by byla vázat to na nějakou hardwarovou událost - jakože třeba by bylo nutné na vstupu paralelního portu napípat nějakou konkrétní bitovou sekvenci, a musel by to ošetřovat přímo ten nejvnitřnější bezpečnostní kód, nesměl by se spoléhat na nikoho jiného. Což je samozřejmě neschůdné jak z praktického hlediska (než vyrábět nějaké hardwarové udělátko, tak to tu mašinu raději rebootnu), tak i z programátorského hlediska (nutíte lowlevel jaderný kód zaobírat se nějakou konkrétní komunikací s vnějším světem, což je z mnoha pohledů problém).
Smiřte se s tím, že jednou zahozené právo už nesmíte mít možnost získat zpět, k tomuto poznání došli už mnohem dříve lidé mnohem chytřejší, než my oba dohromady... Schválně navrhněte nějakou podle vás bezpečnou cestu, o co, že v ní bude potencionální riziko.
~/dlouhodobe, tak si dočasně nastavím něco, co mi zápis zakazuje (ale podle klasických práv to udělat můžu). Nebo předpokládám, že Mozilla nepotřebuje zapisovat jinam než ~/.mozilla, tak jí takhle dočasně omezím - ale spouštím jí stále já se svými právy, takže podle práv může zapisovat všude, kam můžu já.
Je to obdoba bezpečnostní dětské pojistky dveří u auta, pouzdra na nůž, parametru -i příkazu rm, nebo práce pod běžným uživatelem, když znám heslo roota. To jsou všechno věci, které neomezují má práva (dětskou pojistku mohu odemknout, nožem mohu krájet, jako root mám všechna práva), ale před použitím těchto práv vyžadují jeden (nabo více) dalších kroků. Účelem těchto kroků není zvýšit fyzickou bezpečnost, ta je pořád stejná. Účelem těchto kroků je působit na to nejnebezpečnější – na lidský faktor, a to tak, aby si člověk uvědomil, že teď dělá něco výjimečného a choval se podle toho.
Lze to taky chápat jako dvouúrovňová oprávnění – admin/root mi přidělí práva a tím určí maximum toho, co můžu dělat. A z těchto práv já si pak můžu vybírat, která práva chci teď zrovna používat a kerá ne.
Napsal jste to pěkně.
5.5.2006 12:09
-i u rm – příkazu rm nic nebrání smazat vše, na co máte práva, ale parametrem -i zařídíte to, že se rm tohoto práva dobrovolně vzdá a před smazáním se vás zeptá (pokud v něm není chyba).
Tiskni
Sdílej:
