Byl vydán Debian 13.6, tj. šestá opravná verze Debianu 13 s kódovým názvem Trixie a Debian 12.15, tj. poslední patnáctá opravná verze Debianu 12 s kódovým názvem Bookworm, k dispozici je LTS. Řešeny jsou především bezpečnostní problémy, ale také několik vážných chyb. Instalační média Debianu 13 a Debianu 12 lze samozřejmě nadále k instalaci používat. Po instalaci stačí systém aktualizovat.
V jádře Linux byla nalezena a v upstreamu již byla opravena kritická zranitelnost GhostLock aneb CVE-2026-43499. Lokálnímu uživateli umožňuje získat práva roota a také obejít kontejnerovou izolaci. Zranitelnost existovala v Linuxu 15 let, tj. od roku 2011, od Linuxu verze 2.6.39.
Evropská komise předběžně shledala, že návykový design aplikací Instagram a Facebook od americké společnosti Meta porušuje unijní nařízení o digitálních službách (DSA). Návykový design zahrnuje například takzvané nekonečné posouvání, automatické přehrávání videí, tzv. push notifikace, kdy aplikace uživatele vybízí k návratu do jejího prostředí, či vysoce personalizovaný algoritmus, který rychle pozná, co uživatele baví a snaží
… více »Byla vydána verze 1.97.0 programovacího jazyka Rust (Wikipedie). Podrobnosti v poznámkách k vydání. Vyzkoušet Rust lze například na stránce Rust by Example.
Švýcarská společnost Punkt. má nově v nabídce telefon Punkt. MC03. Telefon byl navržen ve Švýcarsku s důrazem na soukromí a digitální suverenitu a vyroben v Německu. V telefonu běží operační systém AphyOS (Apostrophy OS) založený na AOSP (Android Open Source Project) 15. Cena telefonu je 745 eur.
TypeScript (Wikipedie), tj. JavaScript rozšířený o statické typování a další atributy, byl vydán v nové verzi 7.0. Kompilátor byl kvůli výkonu přepsán z TypeScriptu do Go.
Europarlament podpořil pozměněnou verzi výjimky známé jako „chat control 1.0“ umožňující firmám skenovat soukromou komunikaci na internetu kvůli ochraně dětí před zneužitím. Pozměňovací návrhy přijaté europoslanci však počítají s tím, že z výjimky bude vyřazena šifrovaná komunikace. Výjimka přestala platit začátkem dubna poté, co se Evropský parlament a Rada EU nedokázaly shodnout na jejím prodloužení. Rada následně přijala
… více »Nejnovější X.Org X server 21.1.24 a Xwayland 24.1.13 řeší 2 bezpečnostní chyby.
Clement "Clem" Lefebvre publikoval souhrn dění v Linux Mintu za červen 2026. Vypíchnuta je vylepšená podpora Waylandu. Už není považována za experimentální. V příští verzi Linux Mintu, plánována je na Vánoce, bude běh Cinnamonu plně podporován na X11 i Waylandu. V květnu na vývoj Linux Mintu přispělo 611 dárců celkovou částkou 19 612 dolarů. Dalších 2 326 patronů přispělo na Patreonu celkovou částkou 5 334 dolarů.
V Linuxu v KVM byla nalezena a v upstreamu již byla opravena kritická zranitelnost Januscape aneb CVE-2026-53359. Root na hostovaném počítači (virtuální stroj) může obejít izolaci a získat plnou kontrolu nad hostitelským systémem (DoS útok nebo vzdálené spuštění kódu s právy roota). Na obou hlavních architekturách – Intel i AMD. Zranitelnost v Linuxu existovala téměř 16 let (od srpna 2010 do června 2026).
aptitude install sshpassJeho jednoduche pouziti by nasledne mohlo vypadat nejak takto:
martin@anicka:~$ sshpass -p "heslo" ssh root@seppukuPripadne vyuziti promenne prostredi SSHPASS:
SSHPASS="heslo" sshpass -e ssh root@seppukuVyse uvedene prikazy budou fungovat, pokud jiz mate verejny klic daneho pocitace (v mem pripade seppuku) ve svem ~/.ssh/known_hosts. Pokud ho tam jeste nemate, tak mate dve moznosti. Bud se jednou prihlasit rucne a potvrdit obligatnim "yes" pridani klice do souboru, nebo udelat jednu velmi nebezpecnou vec a rict ssh klientovi, aby se na kontrolu known_hosts a verejneho klice proste vykaslal. To by se dalo realizovat asi takto:
sshpass -p "heslo" ssh -o UserKnownHostsFile=/dev/null -o StrictHostKeyChecking=no root@seppukuTakto dostanete uspesne prihlaseni (v pripade spravneho hesla) prakticky hned a bez premysleni. Jiste toto reseni asi nebude uplne bezpecne. Uplne zakazeme kontrolu verejneho klice vzdaleneho pocitace, takze se teoreticky muze stat, ze na zadane ip adrese budeme komunikovat s nejakym zlobivakem, ktery se bude vydavat za nas duveryhodny stroj. Osobne jsem tento postup pouzil na domaci siti, ktere bezvyhradne verim (to je asi take chyba), k automatizovanemu ziskavani ruznych stavovych informaci(vyuziti pameti, disku, teploty) z pocitacu na ni:
martin@anicka:~$ sshpass -p "heslo" ssh -o UserKnownHostsFile=/dev/null -o StrictHostKeyChecking=no root@seppuku 'cat /proc/cpuinfo' Warning: Permanently added 'seppuku,192.168.89.163' (RSA) to the list of known hosts. processor : 0 vendor_id : GenuineIntel cpu family : 6 model : 8 model name : Celeron (Coppermine) stepping : 3 cpu MHz : 547.333 cache size : 128 KB fdiv_bug : no hlt_bug : no f00f_bug : no coma_bug : no fpu : yes fpu_exception : yes cpuid level : 2 wp : yes flags : fpu vme de pse tsc msr pae mce cx8 sep mtrr pge mca cmov pat pse36 mmx fxsr sse up bogomips : 1096.35 clflush size : 32 power management: martin@anicka:~$Jiste jste si vsimli toho otravneho warningu, ktery nas informuje o tom, ze byl verejny klic vzdaleneho pocitace pridan do known_hosts. Jelikoz jsme ale standardni umisteni tohoto souboru prepsali natvrdo na /dev/null, je tento warning celkem beze smyslu. Jednoduchym postupem pro zbaveni warningu je presmerovat standardni chybovy vystup ssh klienta take do /dev/null:
martin@anicka:~$ sshpass -p "heslo" ssh -o UserKnownHostsFile=/dev/null -o StrictHostKeyChecking=no root@seppuku 'cat /proc/cpuinfo' 2>/dev/null processor : 0 vendor_id : GenuineIntel cpu family : 6 model : 8 model name : Celeron (Coppermine) stepping : 3 cpu MHz : 547.323 cache size : 128 KB fdiv_bug : no hlt_bug : no f00f_bug : no coma_bug : no fpu : yes fpu_exception : yes cpuid level : 2 wp : yes flags : fpu vme de pse tsc msr pae mce cx8 sep mtrr pge mca cmov pat pse36 mmx fxsr sse up bogomips : 1096.37 clflush size : 32 power management: martin@anicka:~$Doufam, ze tento zapisek nikoho moc neznudil ani nepobouril. Potreboval jsem si to nekam zapsat, abych to treba za par let opet nasel. Pokud toto pomuze nekomu jinemu, budu jen rad. Abych pomohl pripadnemu zajemci o toto tema, musim rict, ze stejnou praci lze udelat pomoci nastroje Expect,ktery lze vyuzit k automatizaci prihlaseni (precteni vstupu od ssh klienta a zadani hesla) a naslednemu predani konzole uzivateli (nebo poslani prikazu a ukonceni). Ovsem tato metoda se mi zda pomerne krkolomna ve srovnani s sshpass. Nebezpecne budou obe dve asi stejne
(nekde musite mit plain-text heslo).
Dobrou noc preji vsem GNU/Linuxakum
Tiskni
Sdílej:
No, asi to má svůj důvod - k produkčnímu by vývojář neměl mít přístup vůbec, napříkladVšak taky píšu výjimečně. Ony jsou i projekty, kde to bez toho nejde. Třeba masívní migrace dat při které je třeba provádět průběžné kontroly a řešit vzniklé problémy.
echo 'heslo' | ssh ...? Zkoušel jsem to a překvapilo mě, že to nejde.
Proč vlastně nefunguje normálně echo 'heslo' | ssh ...? Zkoušel jsem to a překvapilo mě, že to nejde.Protože tvůrci OpenSSH mají určitý názor na to, co by uživatel měl a neměl dělat. A tento svůj názor prosazují zablokováním určitých možností (například této) a naopak poskytnutím bezpečnějších alternativ (například přihlašování pomocí klíčů a SSH agenta).
Chtěl jsem to použít na ssh v bezpečné LAN za NATem, jen pro sebe, takže to zrovna vůbec nevadilo.V takovém případě bych nehledal bezpečné řešení, ale jednoduché řešení. Co je zajímavé, tak nejjednodušší řešení je ale stejně použít SSH klíče (třeba bez passphrase). Vygenerováno je hned a na heslo už se to pak neptá.
Jinak s tím souhlasím, tyhle aplikace by měly být nekompromisní a nespoléhat se na to, že uživatel ví, co dělá (tady platí víc ještě než jinde, že tomu běžný uživatel nerozumí - nejde jen o to, aby to fungovalo, ale aby to fungovalo bezpečně, a v tom se i mistr snadno utne).Tady je zajímavý úkaz, že když se člověk chová tak, aby si nekomplikoval život, tak výjimečně dostane určitou úroveň bezpečnosti v podstatě zadarmo.
V takovém případě bych nehledal bezpečné řešení, ale jednoduché řešení. Co je zajímavé, tak nejjednodušší řešení je ale stejně použít SSH klíče (třeba bez passphrase). Vygenerováno je hned a na heslo už se to pak neptá.To jsem taky udělal, potom co jsem zjistil, že tím nebezpečným způsobem to nejde.