abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 13:33 | Nová verze

Laboratoře CZ.NIC vydaly novou verzi 4.16.0 aplikace Datovka, tj. svobodné multiplatformní desktopové aplikace pro přístup k datovým schránkám a k trvalému uchovávání datových zpráv v lokální databázi. Nově je pro překlad aplikace potřeba použít knihovnu libdatovka. Ta byla vydána ve verzi 0.1.0.

Ladislav Hagara | Komentářů: 0
dnes 09:00 | Zajímavý článek

Brian Exelbierd, zástupce Red Hatu v představenstvu distribuce CentOS, poskytl rozhovor webu The Register. Ukončení vydávání CentOS jako sestavení RHEL vysvětluje tak, že Red Hat ho odmítl nadále sponzorovat. Dále hovoří o roli a omezeních nového bezplatného vydání RHEL.

Fluttershy, yay! | Komentářů: 5
dnes 06:00 | Bezpečnostní upozornění

Balíček s utilitou sudo byl vydán ve verzi 1.9.5p2. Řešena je bezpečnostní chyba CVE-2021-3156. Lokální uživatel může získat práva roota i když není uveden v souboru sudoers. Podrobnosti i s videoukázkou v příspěvku na blogu společnosti Qualys. Chyba byla do kódu sudo zanesena na konci července 2011 (commit 8255ed69). Týká se tedy verzí 1.8.2 až 1.8.31p2 a 1.9.0 až 1.9.5p1.

Ladislav Hagara | Komentářů: 8
včera 19:00 | Zajímavý článek

Společnost Backblaze zveřejnila statistiky spolehlivosti pevných disků používaných ve svých datových centrech za rok 2020. Ke konci roku vlastnila 165 530 pevných disků. V průběhu roku jich přibylo 39 792. Průměrná AFR (Annualized Failure Rate), tj. pravděpodobnost, že disk během roku selže, klesla na 0,93 %. V roce 2019 to bylo 1,89 %. V roce 2018 to bylo 1,25 %. V roce 2017 to bylo 1,77 %. V roce 2016 1,95 %.

Ladislav Hagara | Komentářů: 4
včera 18:11 | Nová verze

Dle plánu byl vydán Mozilla Firefox 85.0. Přehled novinek v poznámkách k vydání, poznámkách k vydání pro firmy a na stránce věnované vývojářům. Přibyla ochrana před supercookies. Odstraněna byla podpora Flashe. Řešeny jsou také bezpečnostní chyby. Nejnovější Firefox je již k dispozici také na Flathubu.

Ladislav Hagara | Komentářů: 6
včera 12:44 | Nová verze

Byla vydána nová verze 4.15 živé linuxové distribuce Tails (The Amnesic Incognito Live System), jež klade důraz na ochranu soukromí uživatelů a anonymitu. Přehled změn v příslušném seznamu. Tor Browser byl aktualizován na verzi 10.0.9. Thunderbird byl aktualizován na verzi 78.6.0. Linux byl aktualizován na verzi 5.9.15.

Ladislav Hagara | Komentářů: 0
včera 12:33 | Komunita

Projekt Mozilly MDN Web Docs dokumentující webové standardy včetně jejich podpory v jednotlivých prohlížečích byl loňským propouštěním citelně zasažen. Poté, co se obsah MDN přesunul na GitHub, čímž se z určitého pohledu více otevřel pro přispívání z řad webových vývojářů, vznikla nová organizace Open Web Docs. Na Open Collective už má přes 60 finančních přispěvatelů a největší mezi nimi jsou Google, Microsoft a Coil. Dále se do projektu zapojuje samozřejmě Mozilla, Samsung a W3C [Mozilla.cz].

Ladislav Hagara | Komentářů: 0
včera 11:55 | Komunita

Od verze 7.1 (vyjde na začátku února) bude mít LibreOffice přívlastek Community - přesný název tedy bude LibreOffice Community 7.1. Kromě názvu se nic nemění, nedochází k omezování funkcí apod. Přejmenování je výsledek dlouhých diskuzí nad novým marketingovým plánem a snahou odlišit komunitní a firemní verze LibreOffice. Vznikají také další nové pojmy: LibreOffice Technology - brand pro veškerý software založený na LibreOffice a LibreOffice Enterprise - pro partnery ekosystému a jejich enterprise verze LibreOffice.

Zdeněk Crhonek | Komentářů: 0
včera 07:00 | Humor

Umělec a designer Rocky Bergen má na svých stránkách volně ke stažení papírové modely počítačů Amiga 500, Amstrad CPC 464, Apple II a dalších. Čtenáři AbcLinuxu na ně jistě dokážou dostat i Linux. :-)

Ladislav Hagara | Komentářů: 0
25.1. 21:22 | Nová verze

OctoPi, linuxová distribuce pro Raspberry Pi s předinstalovaným webovým rozhraním pro ovládání 3D tiskáren OctoPrint, byla vydána ve verzi 0.18.0. Přehled novinek v oznámení na blogu a na GitHubu.

Ladislav Hagara | Komentářů: 0
Jestliže používáte distribuci CentOS, kterou náhradu plánujete vzhledem k oznámenému ukončení vydávání?
 (28%)
 (4%)
 (1%)
 (21%)
 (0%)
 (3%)
 (42%)
Celkem 212 hlasů
 Komentářů: 4, poslední 25.1. 03:13
Rozcestník

Jaderné noviny – 20. 10. 2011: Omezování systémových volání

31. 10. 2011 | Luboš Doležel | Jaderné noviny | 6547×

Aktuální verze jádra: 3.1-rc10. Citáty týdne: Neil Brown, Peter Zijlstra, Matthew Garrett. Odpovědi na některé otázky kolem účtů na kernel.org. Další jaderná implementace RAID5. Omezování systémových volání přes řídící skupiny?

Obsah

Aktuální verze jádra: 3.1-rc10

link

Aktuální vývojová verze jádra je 3.1-rc10 vydaná 17. října. Moc se toho nedělo – většinu tohoto -rc tvoří drobné aktualizace v MIPS a zbytek jsou víceméně jen drobné opravy ovladačů. Jo a ještě je tam pár oprav souborových systémů (btrfs a xfs). Konečné vydání verze 3.1 čekejte v blízké budoucnosti.

Stabilní aktualizace: verze 3.0.7 vyšla 17. října se středně velkou sadou důležitých oprav.

Citáty týdne: Neil Brown, Peter Zijlstra, Matthew Garrett

link

Vypadá to, že se blížíme k určité shodě... nebo alespoň já, za ostatní mluvit nemůžu :-)

-- Neil Brown

Já říkám, že je mnohem lepší zaútočit na hlavní zdroj zla nekompromisním způsobem, než abychom se snažili vyhnout nejhorším excesům a způsobit skryté chyby.

Lidé po nějakou dobu protlačovali myšlenku, že je dobré být tolerantní v tom, co přijímáte jako vstup, a striktní v tom, co posíláte ven. Řekl bych, že si lidé začali uvědomovat, že to byla strašná chyba, protože teď dostávají naprostý humus a nikdo už neví, co je správně.

-- Peter Zijlstra

Souhlasím, že ta věc, co je potřeba udělat, bude zahrnovat webové vývojáře a pohrůžky násilím, ale mám podezření, že weboví vývojáři vznikají rychleji, než je můžeme stíhat převychovávat.

-- Matthew Garrett

Odpovědi na některé otázky kolem účtů na kernel.org

link

Bylo zveřejněno nové FAQ obsahující odpovědi na otázky kladené v souvislosti s procesem návratu na kernel.org. Je to zajímavé čtení pro ty, jejichž přístup ještě nebyl obnoven. V současnosti dáváme přístup pouze vývojářům, kteří předtím měli gitové repozitáře na kernel.org a tyto repozitáře byly aktivní po únoru 2011. Později zvážíme vytváření účtů pro vývojáře s neaktivními stromy nebo pro ty, kteří v minulosti účet na kernel.org neměli.

Další jaderná implementace RAID5

link

Jádru chybí mnoho věcí, ale implementace RAIDu to nejsou. Subsystémy MD i DM mají aktuálně úplnou podporu RAID a souborový systém Btrfs má nízkoúrovňovou podporu RAID. Podpora RAID5/6 pro Btrfs byla už párkrát zaslána, ale do hlavní řady se ještě nedostala. Takže je docela na místě přemýšlet nad tím, jestli v jádře potřebujeme další implementaci RAID5.

Další tu bude, pokud to Boazu Harroshovi projde; jeho patch pro podporu RAID5 byl zaslán na několik mailing listů o souborových systémech. Boazův patch má za cíl přidat podporu RAID5 do kódu „objektového raid enginu“ [objects raid engine] v souborovém systému exofs, který poskytuje POSIXový souborový systém nad zařízením objektového úložiště [object-storage]. Také implementuje RAID5 u backendu objektového úložiště pNFS.

Podle Boaze jeho práce představuje hezkou, obecnou RAID knihovnu, která by šla použít i na jiných místech; především, jak říká, by ji mohlo využít Btrfs. Samozřejmě by bylo ještě hezčí, kdyby se některá z jaderných implementací také přesunula k této knihovně – nebo kdyby exofs mohlo použít jednu z těchto implementací. Tato podoba podpory RAID5 může být čistší a obecnější než ty ostatní, ale dostat ji do jádra si v současnosti může žádat silnější argumenty.

Omezování systémových volání přes řídící skupiny?

link

Omezování systémových volání je nyní v komunitě jaderné bezpečnosti žhavým tématem. Objevilo se několik různých návrhů a téma bylo do určité hloubky diskutováno na nedávném Linux Security Summitu, ale zatím se žádné řešení nedostalo do jádra. Łukasz Sowa nedávno zaslal RFC s popisem odlišného mechanismu pro omezování systémových volání, který může mít oproti ostatním přednosti. Má ale potenciální nevýhodu, neboť používá funkci, která je u některých jaderných hackerů nepopulární: řídící skupiny.

Z hlediska konceptu je Sowův nápad dosti přímočarý. Administrátor by umístil proces nebo procesy do řídící skupiny a poté by omezil, která systémová volání mohou tyto procesy (a jejich potomci) dělat. Současné rozhraní používá čísla systémových volání, která jsou zapsána do řídících souborů syscalls.allow a syscalls.deny. Lze zakázat libovolné systémové volání, ale lze povolit pouze ta, která jsou přístupná rodičovskému procesu. Proces, který použije zakázané volání, dostane chybu ENOSYS.

Používání čísel systémových volání se zdá být docela nepohodlné (a tato čísla nejsou na všech architekturách shodná), ale nemusí být možné se tomu vyhnout. Ale jsou tu i větší problémy, například výkon. Sowa říká, že procesy v kořenové řídící skupině tráví o 5 % více času v systému, což je dost citelný postih. Jeho patch se napojuje do rychlé cesty systémových volání v assembleru, což asi neprojde. Je to také specifické pro architekturu a je to nyní implementováno jen pro x86. Paul Menage poukazuje na to, že napojení na ptrace() by mohlo některé tyto problémy odstranit:

Nemohl by ses napojit na volání ptrace? To je už implementováno na každé architektuře. Nastav příznak vlákna, který vyvolá odklonění k syscall_trace_enter(), pouze pokud je některé z volání aktuálního vlákna zakázáno, a pak se nemusíš hrabat v assembleru.

Menage zmínil i další technické problémy patche, ale je skeptický ohledně toho, jestli je vůbec třeba. Řekl bych, že většinu zranitelností lze využít jen za použití systémových volání, která potřebují aplikace pro dělání běžné práce (open, write, exec, mmap apod.), což omezuje užitečnost vypínání jen podle čísel volání. Protože tento přístup pouze umožňuje binární vypnuto / zapnuto pro řízení systémových volání, nepovažuje to za dostatečnou úroveň detailnosti nastavení. Toto kopíruje postoj Inga Molnara, který jej v roce 2009 vyjádřil v reakci na návrh na rozšíření seccompu o bitovou masku povolených systémových volání.

Ale už se objevila řada projektů, které vyjádřily zájem o flexibilnější funkci v jádře podobnou seccompu, počínaje týmem prohlížeče Chromium, který navrhl několik způsobů, jak to udělat. Seccomp nabízí řešení pro omezení procesů k užívání jen pár systémových volání (read(), write(), exit() a sigreturn()), ale to je pro mnoho projektů nedostatečně flexibilní. Ale Molnar byl vždy hlasitým odpůrcem řešení, která u používání systémových volání umožňují jen binární rozhodnutí, a preferuje mechanismus, který filtruje systémová volání za použití podmínek ve stylu ftrace. Tento přístup ale není oblíbený u některých dalších vývojářů v oblasti trasování a instrumentace.

Je to dilema. Mnoho projektů (např. QEMU, vsftpd, LXC) má o takovou funkci zájem, ale (zatím) žádná implementace neuspěla. Sowovo řešení na bázi řídících skupin může být dalším takovým. Rozhodně výkon u procesů, které nejsou ve skupině (tzn. jsou v kořenové skupině), nebude oblíbeným bodem – což je slabé slovo – ale i kdyby Menagův návrh (nebo nějaký jiný mechanismus) vedl k řešení s malým nebo žádným dopadem na výkon, mohly by se objevit stížnosti kvůli neoblíbenosti řídících skupin.

Navrhovaná diskuze o rozšíření seccompu pro blížící se Kernel Summit by mohla být nadějí, ačkoliv se nezdá, že by se dostala do agendy. Tak či tak bude přítomna řada účastníků z mailing listu. Řídící skupiny nicméně jsou v agendě, takže na toto výživné téma proběhne nějaká ta debata. O Kernel Summitu se dočtete v příštích Jaderných novinách.

       

Hodnocení: 100 %

        špatnédobré        

Nástroje: Tisk bez diskuse

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Vložit další komentář

31.10.2011 08:10 gn
Rozbalit Rozbalit vše Re: Jaderné noviny – 20. 10. 2011: Omezování systémových volání
s/to přijímáte/co přijímáte/
31.10.2011 13:18 zulu
Rozbalit Rozbalit vše Re: Jaderné noviny – 20. 10. 2011: Omezování systémových volání
Menagovo návrh
1.11.2011 21:01 Ferdinand
Rozbalit Rozbalit vše Re: Jaderné noviny – 20. 10. 2011: Omezování systémových volání
Tenhle článek je česky.
ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.