HollowByte je zranitelnost typu Denial of Service (DoS) v kryptografické knihovně OpenSSL. Útočník může odesíláním škodlivého payloadu o velikosti pouhých 11 bajtů zaplnit paměť serveru. OpenSSL před ověřením dat vyhradí nepřiměřený blok paměti (až 131 KB). Server pak čeká na data, která nepřišla. Zranitelnost je opravena ve verzích OpenSSL 4.0.1, 3.6.3, 3.5.7, 3.4.6 a 3.0.21.
Ve španělské A Coruñě probíhá GUADEC 2026, tj. letošní konference vývojářů a uživatelů desktopového prostředí GNOME. Videozáznamy přednášek jsou k dispozici na YouTube.
Společnost Collabora ve spolupráci s Valve vyvíjí Holo Core, tj. port Arch Linuxu pro ARM64 procesory (AArch64), který bude pohánět VR headset Steam Frame. Pro testování Arch Linuxu pro AArch64 jsou k dispozici binární balíčky, zdrojové kódy i kontejner pro Docker nebo Podman.
Mikroprocesor Zilog Z80 byl oficiálně uveden na trh před 50 lety, tj. v červenci 1976. Výroba mikroprocesoru skončila v roce 2024.
Výzkumníci ze společnosti ESET objevili 11 zapomenutých UEFI shim zavaděčů, které byly podepsány společností Microsoft, a které umožňují útočníkům obejít ochranu UEFI Secure Boot na většině zařízení. Microsoft je zneplatnil (přidal jejich hash do databáze dbx) v rámci aktualizace Patch Tuesday dne 9. června 2026. Uživatelé Linuxu mohou databází aktualizovat pomocí LVFS. Ověřit zneplatnění zavaděčů lze pomocí skriptu uefi-dbx-audit. Jedná se o CVE-2026-8863 a CVE-2026-10797.
pico-usb-wifi je open source firmware pro Raspberry Pi Pico W, který jej promění v USB Wi-Fi adaptér. Po připojení k počítači se objeví jako zařízení USB CDC-NCM.
Americká společnost Google ze skupiny Alphabet bude muset podle nových požadavků Evropské unie umožnit společnosti OpenAI i dalším konkurentům v oblasti umělé inteligence (AI) a internetových vyhledávačů přístup ke svým službám. Ve svém rozhodnutí o tom včera informovala Evropská komise (EK). Opatření má zajistit dodržování pravidel, jejichž cílem je omezit v EU tržní sílu velkých technologických firem. Google s tím nesouhlasí.
… více »Nové verze webových prohlížečů Chrome a Firefox jsou vydávány každé 4 týdny. Aktuální verze Chrome je 150. Aktuální verze Firefoxu je 152. V březnu bylo oznámeno, že od září přejde Chrome na dvoutýdenní cyklus vydávání verzí. To by znamenalo, že Chrome v číslování verzí Firefox brzy přeskočí. Vývojáři Firefoxu proto také od září přecházejí na dvoutýdenní cyklus vydávání verzí. :-)
Microsoft Comic Chat (Wikipedie), tj. grafický IRC klient z devadesátek, který převáděl konverzace na IRC do podoby komiksových panelů, a který zpopularizoval font Comic Sans, je dnešním dnem open source. Zdrojové kódy jsou k dispozici na GitHubu pod licencí MIT.
Byla vydána (𝕏) nová verze 26.7 open source firewallové a routovací platformy OPNsense (Wikipedie). Jedná se o fork pfSense postavený na FreeBSD. Kódový název OPNsense 26.7 je Xenial Xenops. Přehled novinek v příspěvku na fóru.
cryptsetup benchmarkpsal si 6gen Intel... me v s 3gen Intel (i7-3520M):
# Algoritmus | Klíč | Šifrování | Dešifrování
aes-xts 512b 1069,0 MiB/s 1057,4 MiB/s
s 8gen Intel (i5-8600T):
# Algoritmus | Klíč | Šifrování | Dešifrování
aes-xts 512b 1461,5 MiB/s 1468,6 MiB/s
SSD pres SATA III da max ~550MB/s
1x NVMe=>LUKS=>LVM=>ext4 (system) 2x HDD=>mdadm=>LUKS=>LVM=>ext4 (data) bootloader sicherboot, tzn.: - na EFI oddilu je linux.efi kterej je generovanej tim sicherboot a obsahuje v sobe kernel, initramdisk a cmdline (je podepsanej vlastnim klicem kterej sem importoval do UEFI (po predchozim smazani vsech v UEFI puvodnich klicu)) - pri startu se zobrazi nabidka, vyberu polozku - natahne a rozbali se jadro a initramdisk, ten se "pusti" a zepta na LUKS heslo (k NVMe) (diky balicku dropbear-initramfs mam moznost se pres ssh pripojit a odemknou remote) - zadam LUKS heslo, tim se odemkne LUKS nad NVMe kde je system kterej nastartuje - system automaticky (diky obsahu /etc/crypttab v rootfs) odemkne pres klic/soubor LUKS nad mdadm/hddpokud by pripadny lokalni utocnik chtel zamenit linux.efi, tak system nenabehne protoze nebude podepsan tim mojim klicem a diky smazani vychozich neprojde linux.efi podepsany beznym distribucnim klicem...
- smazat vychozi UEFI klice a nahrat vlastni umej novejsi UEFI biosy, pripadne EFI KeyTool (z baliku efitools)Sicherboot teda asi nedává smysl používat s dual bootem (Linux + Windows), protože by v Biosu musel zůstat UEFI klíč Microsoftu, že jo?
zkousel sem hledat jak s tema Win a narazil na github sicherbootu ze pred mesicem ho hodil do readonly a pridal: Unmaintained systemd-boot integration with secure boot support; consider https://github.com/Foxboron/sbctl instead.takze na sbctl asi kouknu, minimalne vypada sobre ze asi umi klice do EFI poslat naprimo, bez nutnosti pouzit 3rd KeyTool ci reboot do BIOSu...
nefunkční disky se musí blízce seznámit s bouracím kladivemJa som si z nich zvykol vybrať magnetky, a platne som používal ako imidžové podšálky (odpivníky). Pri SSD si to už ale neviem predstaviť.
before *), nahodí cryptsetup luksOpen (ten si opýta heslo) a keď toto uspeje (bolo zadané správne heslo), pripojí príslušné mountpointy. Pri vypnutí služby zase v opačnom poradí - odpojiť a potom cryptsetup luksClose.
Systém po štarte ide do runlevelu "default". Do neho sa dá prihlásiť zdiaľky, fungujú základné služby ako VPN, SSH, monitoring a pod. Na prechod do runlevel crypt stačí zadať príkaz rc crypt. Ten spustí spomínaný custom init.d skript a potom všetky služby, ktoré od šifrovaných dát závisia (databázy, samba, webserver, mail...).
…s intel gen6 procesorem…
Cokoliv 4. a novější generace už bude mít AES-NI instrukce, tj. problém s výkonem rozhodně nebude.
Kdyz budu mit LUKS na cely ten velky datovy disk…
Side note: Ten systémový SSD by měl být taky 100% (nebo téměř 100%, musí-li se z něj bootovat) šifrovaný; fakt není důvod to mít jinak. Šifrování brání například modifikaci systému při vypnutém serveru a několika dalším záludnostem, které jsou sice krajně nepravděpodobné, ale když se proti nim lze relativně snadno bránit, pak proč ne…
je ten LUKS stabilni a bezpecny?
Ano.
…(nebo toho bude pulka leaknuta v nesifrovanych logach na tom systemovem disku?)…
A právě proto má být všechno šifrované, systémový disk také (ne-li především).
Predpokladam, ze nutnost zadavat nejaky klic nebo heslo/frazi pri kazdem bootu pred pripojenim datoveho disku.
Dle nastavení. Může to být založené na TPM. Pak to ale chrání jen před ukradením disku, ne před ukradením celého počítače. (A těžko říct, zda lze věřit TPM, pokud jde o NSA backdoory a o spolehlivost, tedy (ne)možnost zálohovat klíče pro případ selhání…) Nebo může být klíč k LUKS na nějakém bootovacím flashdisku, který lze odpojit. Pak musí člověk na ten flashdisk myslet. Nebo to může být asymetrická kryptografie a hardwarový klíč; pokud možno víc klíčů <—> LUKS key slotů pro případ poruchy jednoho.
Nebo je třeba smířit se se zadáváním hesla při bootu. To lze buď vyžadovat lokálně, nebo taky vzdáleně přes SSH. To druhé pomůže, když člověk potřebuje svůj NAS přebootovat z druhého konce světa.
…mozna horsi rychlost.
Propustnost šifrování s AES-NI je někde v řádu jednotek GB/s, v závislosti na typu procesoru, může to být klidně třeba 10 GB/s. Který disk dá řádově 10 GB/s propustnosti? Zkrátka, krk láhve bude rozhodně disk (nebo i SSD, s výjimkou fakt dobrých PCIe modelů), nikoliv procesor.
Tedy, vyšší vytížení procesoru vlivem šifrování tam samozřejmě bude, ale na propustnost by to opravdu (ale opravdu) nemělo mít vliv. Propustnost určuje disk.
Pouziva se to siroce?
LUKS je zkrátka standard, těžko si lze představit něco širšího.
Bude to v pohode s XFS nebo Ext4?
Ne, nebude. Máme rok 2023, disky už nemají 10 GB, spíš mívají klidně 10 TB, takže zastaralé filesystémy nejsou a nebudou v pohodě. Neumí korektně zálohovat přes atomické snapshoty, nechrání před silent data corruption, nemají ani náznak škálovatelnosti (příklad: který z nich dokáže po přidání dalšího disku přetransformovat sám sebe na RAID1 — bez odmountování?) atd.
Kdo to s NASem a se svými daty myslí dobře, volí Btrfs. (Jen tu a tam, kdo velmi dobře ví, co dělá, zvolí možná ZFS, například je-li skalním fanouškem FreeBSD. Leč kdykoliv se někdo ptá, který FS, odpověď je vždy Btrfs.)
Bud jsem uplne blbej, nebo tem lidem, co si to tak nastavi, nedochazi, ze to zcela neguje cely ten duvod proc to delat a je to uplne nesmyslne, je to jako chtit se naucit plavat, a rict, ze to budu delat jen pokud pri tom nebudu mokry nebo ve vode??
Někdy to chce pozorněji číst dokumentaci. Jindy je zas pravda, že špatné dokumentace se na webu povaluje přehršel.
Automatické zadávání klíče při startu (přesněji: odkaz na klíč přímo v /etc/crypttab) má obvykle za cíl, aby se klíč zadával jednou, nikoliv víckrát. Příklad:
systemd, udev, cryptsetup a kamarádi) načte během initramdiskové fáze nešifrovaný klíč a otevře jím automaticky (znovu, nezávisle na GRUBu) šifrovaný kořenový oddíl.Kontrolní otázka, soudruzi: Proč nevadí, že je v initramdisku uložený nešifrovaný klíč k LUKS oddílu? Protože initramdisk samotný je šifrovaný (na šifrovaném oddílu) a musí ho napřed dešifrovat GRUB (na základě hesla od uživatele).
To↑ je základní princip (částečně) automatického odemykání. Pochopitelně to ovšem nebude fungovat, pokud je třeba zadávat heslo skrz SSH. K tomu je potřeba mít nějaký kernel a initramdisk (ne nutně ten finální provozní, ale zkrátka nějaký) v nešifrované podobě, ideálně zabezpečený přes SecureBoot + Sicherboot nebo něco podobného.
Další možnosti jsem zmiňoval výše; tam je třeba volit podle situace a požadavků. (Je stroj fyzicky dobře zabezpečený? Musí být schopen nabootovat bez přítomnosti obsluhy? Musí být schopen nabootovat kdykoliv a hned nebo smí čekat na heslo poskytnuté přes SSH? Je přijatelné, aby ztráta části hardwaru vedla ke ztrátě dat, nebo musí být klíče zálohované?)
Zálohuje se to (překvapení!) pomocí send / receive nad sérií snapshotů. Jako obvykle, jako posledních 10+ let, pokud někdo nežil pod kamenem.
…ako sa to obnovuje, ak sa rozsype niektora zlozka?
A co když vedle toho vybouchne atomovka? Jak se to potom obnovuje?
A když se rozsype hovno, co potom???
Takhle pitomou otázku jsem už dlouho neviděl. Když se třeba na Ext4 rozsype adresář, jak se to obnovuje? Nijak. On se totiž nerozsype včas, když se rozsypat má, a místo toho bude vracet zničená data. Nemá totiž checksumy dat ani krávu (CoW).
Jasná odpověď tedy je: Obnovuje se to ze záloh. Když už selže fyzická vrstva (zvaná tvrdé zboží) tak strašně, že to není tu a tam jeden blok ve velkém souboru, ale sejme to rovnou adresář(e), tak potom žádná jiná zázračná možnost neexistuje. Nebo chce někdo „fsck“ vymýšlející náhodná data? Já už fakt nevím.
Mimochodem, na Btrfs se nejspíš ten adresář obnoví z jiné „dup“ repliky nebo z jiné RAID1{,C{3,4}} repliky nebo z RAID{5,6} parity, dřív než se tím bude muset zabývat uživatel.
XFS nebo Ext4, který nic z výše uvedeného nemá, se bude obnovovat … jak přesně? To je ta moje stokrát opakovaná, ba okřídlená otázka: S čím srovnáváme? Kde je ten etalon, to ideální řešení?
Tiskni
Sdílej: