Fedora se stala oficiální distribucí WSL (Windows Subsystem for Linux).
Společnost IBM představila server IBM LinuxONE Emperor 5 poháněný procesorem IBM Telum II.
Byla vydána verze 4.0 multiplatformního integrovaného vývojového prostředí (IDE) pro rychlý vývoj aplikaci (RAD) ve Free Pascalu Lazarus (Wikipedie). Přehled novinek v poznámkách k vydání. Využíván je Free Pascal Compiler (FPC) 3.2.2.
Podpora Windows 10 končí 14. října 2025. Připravovaná kampaň Konec desítek (End of 10) může uživatelům pomoci s přechodem na Linux.
Již tuto středu proběhne 50. Virtuální Bastlírna, tedy dle římského číslování L. Bude L značit velikost, tedy více diskutujících než obvykle, či délku, neboť díky svátku lze diskutovat dlouho do noci? Bude i příští Virtuální Bastlírna virtuální nebo reálná? Nejen to se dozvíte, když dorazíte na diskuzní večer o elektronice, softwaru, ale technice obecně, který si můžete představit jako virtuální posezení u piva spojené s učenou
… více »Český statistický úřad rozšiřuje Statistický geoportál o Datový portál GIS s otevřenými geografickými daty. Ten umožňuje stahování datových sad podle potřeb uživatelů i jejich prohlížení v mapě a přináší nové možnosti v oblasti analýzy a využití statistických dat.
Kevin Lin zkouší využívat chytré brýle Mentra při hraní na piano. Vytváří aplikaci AugmentedChords, pomocí které si do brýlí posílá notový zápis (YouTube). Uvnitř brýlí běží AugmentOS (GitHub), tj. open source operační systém pro chytré brýle.
Jarní konference EurOpen.cz 2025 proběhne 26. až 28. května v Brandýse nad Labem. Věnována je programovacím jazykům, vývoji softwaru a programovacím technikám.
Na čem aktuálně pracují vývojáři GNOME a KDE Plasma? Pravidelný přehled novinek v Týden v GNOME a Týden v KDE Plasma.
Do konference přišlo celkem 1670 emailů, nejvíce jich poslali Bartlomiej Zolnierkiewicz, Greg KH, Andrew Morton.
Rusty Russell poslal patch, který napsal spolu s Timem Hockinem, zvyšující počet možných skupin na více než 200. Zjevně o to stáli hlavně uživatelé Samby. Rusty vysvětlil: Tato verze se zbavuje interního pole skupin (je tak často sdílené, že to ani nestojí za to - a vypadá to pak rozumněji) a v případě, že má někdo obrovské množství skupin, spoléhá na vmalloc.
Linus Torvalds odpověděl:
Proč?
kmalloc() funguje dobře. Když někdo potřebuje 200 skupin, možná je ještě normální, ale pokud někdo potřebuje víc než se se vejde do kmalloc(), je to tak přehnané, že už k tomu není důvod.
vmalloc prostor je omezený a kód tak bude hodně nehezký.
Díval jsi se poslední dobou na zdrojové kódy glibc nebo proč myslíš, že bychom měli podporovat uhozené používání?
Pete Zaitcev z Red Hatu řekl, že jejich společnost ve skutečnosti má zákazníky, kteří mají uhozené počty skupin s pomocí vlastních patchů. Z nějakého důvodu je to oblíbené mezi lidmi kolem projektu Beowulf. Měl bych poznamenat, že to není moc rozšířené.
Tim Hockin řekl, že i jeho společnost má zákazníky, kteří chtějí více skupin než zvládá kmalloc. Poslal svůj vlastní patch, který se Linusovi líbil trochu víc, ale stále nesouhlasil s podporou tisíců skupin. Tim na tom ještě pracoval a poskytl patch oproti 2.6.0-test6 spolu s popisem všech funkcí.
Linus odpověděl, že ho mrzí to neustálé stěžování, ale tentokrát kritizoval duplikaci kódu. Navrhl možné řešení, ale když Tim některé věci upravil a poslal patch s dalším popisem vlastností, nikdo už neodpověděl.
Navazujíc na (nebo ignurujíc) Jaderné noviny 232 řekl Andries Brouwer:
Už dlouhou dobu mluvíme o oddělení hlavičkových souborů kernelu od částí, které se více hodí pro začlenění do uživatelského prostoru.
Je to rozsáhlý projekt a zabere mnoho času, zvláště pokud chceme, aby uživatelské hlavičky pěkně vypadaly - místo obyčejného zkopírování všeho, co najdeme ve stávajících hlavičkách.
Někde se musí začít a úplně prvním krokem je ujištění, že s projektem souhlasíte. Následuje výběr názvů adresářů.
Níže
Obsah jeho souboru linuxabi:
Podadresáře linuxabi a linuxabi-$ARCH (linuxabi-alpha, linuxabi-arm, ...) v linux/include jsou určeny pro hlavičky, které mají být používány jak kernelem, tak v uživ. prostoru. Symbolický odkaz linuxabi-arch ukazuje na linuxabi-$ARCH pro aktuální architekturu.
...
J.A. Magallon navrhl pojmenovat soubor 'abi' místo 'linuxabi', aby mohly i jiné systémy, jako třeba BSD, dodržovat stejnou konvenci.
Na jiném místě Eric W. Biederman prohlásil, že ta celá věc patří do 2.7, ale Andries nesouhlasil. Řekl, že restrukturalizace se vůbec nedotýká vývoje kernelu, ale Eric trval na tom, že by ke správné implementaci bylo potřeba celého vývojového cyklu.
Nikdo nezmínil práci, kterou již dříve udělal Matthew Wilcox.
Pavel Machek řekl, že pokud chci něco spustit, mohu se exec() syscall vyhnout a provést mmaps ručně... Makan Pourzandi odpověděl:
Protože existuje mnoho různých scénářů útoků, je na tuto otázku i více možných odpovědí. Beru v potaz ten nejreálnější a poskytnu stručnou odpověď.
Makan poskytl tři důvody, proč si myslí, že DigSig ztíží útočníkovi práci: 1) pomáhá omezovat přístup k systému zrušením exekuce cizího kódu, 2) může zabránit spuštění kódu, který umožňuje download rootkitu a 3) není možné spustit nepodepsaný kód, takže by si útočník musel kód zkompilovat na napadeném stroji.
Poslední, ale myslím, že nejdůležitější věcí je, že úroveň obtížnosti provedení takového útoku je o mnoho vyšší než běžná úroveň znalostí mnoha script kiddies. Naprostá většina útočníků má malé nebo vůbec žádné znalosti o operačních systémech všeobecně a o Linuxu především, zvlášť pokud mluvíme o napsání C programu, zavolání mmaps v tom programu a spuštění kódu, který zajistí práva roota a pak odstranění toho modulu ke spuštění klasického útoku.
Neexistuje 100% bezpečný systém, ale DigSig zvyšuje úroveň bezpečnosti, protože prostě útočníkovi ztěžuje jeho/její útok.
O pár zpráv dále Alexander Viro poznamenal, že DigSig může mít na 'script kiddies' dočasný vliv, ale během měsíce dojde k aktualizaci rootkitů a budeme zase na začátku, jen tu bude navíc zaclánět další patch...
Willy Tarreau a Pavel s tím souhlasili. Poblíž dodal Valdis Kletnieks: DigSig zabezpečuje jen jednu malinkou cestičku, kterou by se mohl dostat spustitelný kód do paměti.
John Lange navrhl:
Proč existuje požadavek, aby se k nižším portům (pod 1024) mohly připojit pouze root procesy?
Já tomu rozumím tak, že je to přežitek z dávných dnů, kdy se jednalo o bezpečnostní funkci. Protože na portech pod 1024 mohly naslouchat jen root procesy, mohli jste "důvěřovat" tomu, že každé spojení na nízkým port bude "bezpečné". Jinými slovy, nikdo, kdo neměl root přístup nemohl na telnetovém portu "blufovat", takže bylo bezpečné napsat své heslo.
Nevím, jestli je to skutečný důvod, ale pokud ano, zcela zjevně už to nemá smysl, coby "bezpečnostní" funkce.
Kromě toho, nevytváří teď ten požadavek větší bezpečnostní problém než jaký kdy vyřešil?
Procesy nucené běžet jako root (přinejmenším při startu systému), které mají bezpečnostní díry, jsou přeci hlavní příčinou "vzdálených root exploitů".
Takže neslouží-li ten požadavek na roota pro nízké porty žádnému účelu a navíc je příčinou bezpečnostních problémů, není na čase se ho zbavit?
Kromě toho, zatímco pouze root může vázat na nízké porty, KAŽDÝ uživatel může vázat na vysoké porty. To také způsobuje spoustu bezpečnostních starostí.
Takže bych rád navrhl následující zlepšení bezpečnosti kernelu a rád bych slyšel vaše komentáře.
Návrh: Bezpečnostní systém vázání portů založený na skupinách pro příchozí a odchozí vázání.
Například skupina "root" může naslouchat na portech "*" (všechny) a zároveň má povolena odchozí spojení na "*" (všechny).
Skupina "www" by mohla vázat na porty "80, 443" (http, https) a neměla by povolena ŽÁDNÁ odchozí spojení.
Skupina "mail" (nebo postfix nebo co já vím) by mohla naslouchat na portu "25" (smtp) a připojit se k "25".
Skupina "users" by mohla naslouchat na všech, ale připojit se jen k 20-21, 80, 443.
atd.
To zařídí dvě zásadní věci:
Představuji si jednoduchý soubor "/etc/ports" ve formátu "<groupid>,<incoming ports>,<outgoing ports>".
Uvědomuji si, že podobné věci je možné udělat jinými způsoby (myslím, že s iptables), ale řekl bych, že by to měla být základní součást bezpečnosti systému, a proto by to mělo být rovnou v kernelu (stejně tak, jako je teď vázání roota na nízké porty).
Valdis Kletnieks řekl, že Johnův návrh už je napsaný: grsecurity patch. Na jiném místě řekl také James Morris, že podobná funkce je implementována v AccessFS. Ale James dodal: Standardní chování bychom měli v hlavním kernelu ponechat jako výchozí. Další bezpečnostní modely mohou být implementovány pomocí LSM, Netfilteru, konfiguračních voleb atd. John považoval za dobré znamení, že jiní už implementovali různé verze jeho nápadu a řekl Jamesovi:
Myslím si, že existuje několik závažných důvodů, proč bychom měli standardní chování změnit.
Zpětná kompatibilita by taky nebyla problém, protože většina programů prostě zkusí zabrat port a když ho nedostanou, vyhodí chybou. S myšlenkou /etc/ports by fungovaly.
Všechny ostatní programy, které by mohly mít potíže (například ty, které kontrolují, jestli jsou root, před tím, než se spustí), mohou být stále spouštěny jako root.
Jesse Pollard řekl, že kompatibilita pro portování aplikací bude potíž. Navrhl místo toho řešení založené na LSM modulu, který by mohl požadavky na porty předávat bezpečnostnímu démonu, a přidělovat/odmítat alokaci portů podle externích pravidel. Bylo by to více flexibilní, snadněji spravovatelné a méně by to zasahovalo do kernelu.
V originálu Kernel Traffic 236 vyšla navíc ještě tato témata:
Nástroje: Tisk bez diskuse
Tiskni
Sdílej:
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz