Byla vydána (𝕏) nová verze 24.7 open source firewallové a routovací platformy OPNsense (Wikipedie). Jedná se o fork pfSense postavený na FreeBSD. Kódový název OPNsense 24.7 je Thriving Tiger. Přehled novinek v příspěvku na fóru.
Binarly REsearch upozorňuje na bezpečnostní problém PKFail (YouTube) v ekosystému UEFI. Stovky modelů zařízení používají pro Secure Boot testovací Platform Key vygenerovaný American Megatrends International (AMI) a jeho privátní část byla při úniku dat prozrazena. Do milionů zařízení (seznam v pdf) po celém světě tak útočníci mohou do Secure Bootu vložit podepsaný malware. Otestovat firmware si lze na stránce pk.fail. Ukázka PoC na Linuxu na Windows na YouTube.
Mobilní operační systém /e/OS (Wikipedie) založený na Androidu / LineageOS, ale bez aplikací a služeb od Googlu, byl vydán ve verzi 2.2 (Mastodon, 𝕏). Přehled novinek na GitLabu. Vypíchnuta je rodičovská kontrola.
Společnost OpenAI představila vyhledávač SearchGPT propojující OpenAI modely umělé inteligence a informace z webů v reálném čase. Zatím jako prototyp pro vybrané uživatele. Zapsat se lze do pořadníku čekatelů.
Distribuce Linux Mint 22 „Wilma“ byla vydána. Je založená na Ubuntu 24.04 LTS, ale s desktopovým prostředím Cinnamon (aktuálně verze 6.2), příp. MATE nebo Xfce, balíkem aplikací XApp, integrací balíčků Flatpak a dalšími změnami. Více v přehledu novinek a poznámkách k vydání.
Příspěvek na blogu Truffle Security: Kdokoli může přistupovat ke smazaným a privátním repozitářům na GitHubu.
Byla vydána nová verze 14 integrovaného vývojového prostředí (IDE) Qt Creator. Podrobný přehled novinek v cgitu. Vypíchnout lze podporu rozšíření v Lua.
Byla vydána verze 1.80.0 programovacího jazyka Rust (Wikipedie). Podrobnosti v poznámkách k vydání. Vyzkoušet Rust lze například na stránce Rust by Example.
Apple oznámil, že v beta verzi spustil své Apple Maps na webu. Podporován je také webový prohlížeč Chrome. Ne však na Linuxu.
Portál Stack Overflow po roce opět vyzpovídal své uživatele, jedná se především o vývojáře softwaru, a zveřejnil detailní výsledky průzkumu. Průzkumu se letos zúčastnilo více než 65 tisíc vývojářů. Z Česka jich bylo 710. Ze Slovenska 246.
ps ax | grep apache2 | grep -v grep | wc -lPotom pomocí příkazem
free
zjistěte použitou paměť (sloupec used
ve 2. řádku - tedy bez započtení bufferů a cache).
Následně Apache stopněte a proveďte znovu free
. Odečtete použitou paměť od hodnoty získané při běžícím Apachi, vydělte počtem procesů a získáte přibližnou průměrnou hodnotu paměti na jeden proces Apache.
Nyní odečtěte použitou paměť bez Apache od celkové velikosti RAM, dále odečtete cca 200MB pro diskovou cache a buffery (tohle číslo jsem si vycucal z prstu, prostě odhad) a konečně 50-100MB jako rezervu. Výsledkem bude velikost paměti zbývající pro Apache, kterou následně vydělíte průměrnou velikostí pro jeden proces, čímž zhruba získáte maximální počet procesů Apache. Toto číslo použijete v konf. direktivě Apache MaxClients
. IMHO vám vyjde daleko menší číslo než 150.
Takto docílíte toho, že server nepřestane být dostupný při běžném provozu, ale je možné, že určité HTTP požadavky nárokující si násobky zjištěného průměru ho stejně vytíží. V tom případě bude potřeba vhodně limitovat PHP (memory_limit
) či MySQL, ale to už budete zřejmě muset o problému zjistit víc (začal bych s error a access logy Apache).
Je také možné, že se jedná o DDOS útok, kterému se ale rozumně bez součinnosti poskytovatele nedá bránit (a málokterý poskytoval má pro to potřebné vybavení).
echo 2 > /proc/sys/vm/overcommit_memory echo 80 > /proc/sys/vm/overcommit_ratioPrvní příkaz říká "alokuj jen paměť, kterou máš fyzicky k dispozici". Druhý parametr znamená "maximálně 80% fyzické RAM + swap pro aplikace, zbytek jádru na buffery". V Lennym se to dá trvale nastavit v /etc/sysctl.conf. Přesný popis je v dokumentaci jádra. Výsledek je, že jádro nepřidělí víc, než si může bezpečně dovolit. Pokud nějaký program chce alokovat příliš paměti, prostě jí nedostane a skončí s chybou. Jádro tak má pořád dost RAM pro běh všeho, nikdy tak nedojde k uswapování ani spuštění OOM killera. (V mém případě tedy klekl jen potížista AcrobatReader, čehož jsem přesně chtěl docílit.) Možná ještě lepší alternativa je udělat swap na cca 90% velikosti RAM a nastavit overcommit_ratio na 0. Jádro pak přidělí aplikacím maximálně 90% RAM, ale zůstane mu možnost odswapovat spící procesy. To jsem ale nezkoušel - RAMky mám dost.
Tiskni
Sdílej: