Svobodný a otevřený multiplatformní editor EPUB souborů Sigil (Wikipedie, GitHub) byl vydán ve verzi 2.5.0. Stejně tak doprovodný vizuální EPUB XHTML editor PageEdit (GitHub).
Na základě národního atribučního procesu vláda České republiky označila Čínskou lidovou republiku za zodpovědnou za škodlivou kybernetickou kampaň proti jedné z neutajovaných komunikačních sítí Ministerstva zahraničních věcí ČR. Tato škodlivá aktivita, která trvala od roku 2022 a zasáhla instituci zařazenou na seznam české kritické infrastruktury, byla provedena kyberšpionážní skupinou APT31, veřejně spojovanou se zpravodajskou službou Ministerstvo státní bezpečnosti (MSS).
Google Chrome 137 byl prohlášen za stabilní. Nejnovější stabilní verze 137.0.7151.55 přináší řadu novinek z hlediska uživatelů i vývojářů. Podrobný přehled v poznámkách k vydání. Opraveno bylo 11 bezpečnostních chyb. Vylepšeny byly také nástroje pro vývojáře.
Byl vydán AlmaLinux OS 10 s kódovým názvem Purple Lion. Podrobnosti v poznámkách k vydání. Na rozdíl od Red Hat Enterprise Linuxu 10 nadále podporuje x86-64-v2.
Byl vydán Mozilla Firefox 139.0. Přehled novinek v poznámkách k vydání a poznámkách k vydání pro vývojáře. Řešeny jsou rovněž bezpečnostní chyby. Nový Firefox 139 je již k dispozici také na Flathubu a Snapcraftu.
Byly publikovány výsledky průzkumu mezi uživateli Blenderu uskutečněného v říjnu 2024. Zúčastnilo se více než 7000 uživatelů. Téměř 93 % z nich například používá uživatelské rozhraní v angličtině.
Lukáš Růžička v článku RamaLama aneb vyháníme lamy na vlastní louku na MojeFedora.cz představuje open source nástroj RamaLama umožňující spouštět jazykové modely v izolovaných OCI kontejnerech, a to bezpečně, bez potřeby mít root přístup k počítači, s podporou GPU či CPU a bez zbytečných obtížností kolem.
Byl vydán Sublime Text 4 Build 4200. Sublime Text (Wikipedie) je proprietární multiplatformní editor textových souborů a zdrojových kódů. Ke stažení a k vyzkoušení je zdarma. Pro další používání je nutná licence v ceně 99 dolarů. Spolu se Sublime Merge je cena 168 dolarů.
Multiplatformní open source voxelový herní engine Luanti byl vydán ve verzi 5.12.0. Podrobný přehled novinek v changelogu. Původně se jedná o Minecraftem inspirovaný Minetest v říjnu loňského roku přejmenovaný na Luanti.
Armbian, tj. linuxová distribuce založená na Debianu a Ubuntu optimalizovaná pro jednodeskové počítače na platformě ARM a RISC-V, ke stažení ale také pro Intel a AMD, byl vydán ve verzi 25.5. Přehled novinek v Changelogu.
Po více než třech měsících vývoje od vydání verze 231 (zprávička) oznámil Lennart Poettering vydání verze 232 správce systému a služeb systemd (GitHub, NEWS). Novinkou je například nástroj systemd-mount (zprávička).
Tiskni
Sdílej:
každou chvíli nahradí nějakej GNU nástroj :-/.To je mysleno na ten systemd-mount nebo na co? Jestli to neni jen takovy FUD.
4.11.2016 14:07
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
CO mě ale sere, je, že oni ty komponenty rvou do jednoho build tree a dá se to vypnout jen v buildu přepínačem. Měli by to komponenty mnohem více oddělit, do samostatných repozitářů a následně balíků pro distraUnix tradicne byl a soucasne BSD jsou vyvijena v jednom repositari a bylo to vzdy prezentovana jako vyhoda, zejmena kvuli integraci. Jak je to zabalene do balicku je zalezitost konkretni distribuce, nemusi byt vse v jednom instalacnim balicku.
Třeba systemd-boot už mi přijdi jak technicky, politicky i morálně za hranou. Nevidím jediný plusový bod na inkluzi bootloaderu do systemd infrastruktury a cpát do do systemd balíku.Proc? Je to volitelna komponenta, jednoduchy a rychly bootloder podporujici EFI secure boot a lze ho nahradit, pro kontejnery idealni. Gummiboot (systemd-boot) misto Grub2 kdykoliv to jde.
problém je spíše v tom, že ó náš nejvyšší a nejchytřejší začne tyto věci nejdříve silně doporučovat a posléze ostatní silně komplikovat, že na to postupně přejdeš ať chceš nebo nechceš.Není tohle chyba spíše RedHatu než Ó Nejvyššího? To mě vždycky na těhle diskusích zaráží, když se začně nadávat na Lennarta. Mně přijde, že Lennart jako takovej a jeho názory jsou celkem irelevantní, není na místě spíš být znepokojen tím, že jedna firma umožní jednomu člověku ovlivňovat ekosystém tímhle způsobem? (Ať už je ten jeden člověk kdokoli.)
Bude to pravděpodobně završeno systemd-system.dat a k němu cli nebo gui systemd-regedit.Pokud vim, Gnome má regedit už dlouhá léta.
udisks fakt neni jen wrapper kolem mountu, ale spis storage volume discovery a jakasi convenient knihovna pro GUI, aby se stejny kod nepsal tisickrat (udev enumerace, eventy, luks, mdraid, smart atd.).
4.11.2016 17:16
mirec | skóre: 32
| blog: mirecove_dristy
| Poprad
Pekná teória, ale v praxi to aj tak každý píše 1000x. Udev dokáže pripojiť niektoré zariadenia, ale napríklad MTP, ktorý má mnoho spoločných vlastností (dá sa mountovať cez fuse, má dostupné určité metadáta ...) vôbec nerieši, takže pripojenie ďalších zariadení si aj tak píše každé prostredie posvojom.
Michas dve veci dohromady. Udisks je lokalni storage management, neimplementuje filesystemy, ani sitove ci jine userspace protokoly, na to jsou jine projekty na jine urovni, casto jako nadstavba ve spolupraci s udisks.
A pokud se nekdo rozhodne reimplementovat existujici funkcionalitu jen kvuli nesympatiim k pouzitym knihovnam nebo jazyku, je to jeho problem 
7.11.2016 08:11
mirec | skóre: 32
| blog: mirecove_dristy
| Poprad
Aké knižnice sú k dispozícii? Pred pár mesiacmi som písal podporu udisks2 do prostredia a zistil som, že to nepripojí androidy, kameru a mnoho ďalších zariadení.
Ono scripty spoustet sice jde, ale ty scripty nesmi trvat moc dlouhoAha tak to je zajímavá informace.
Ono scripty spoustet sice jde, ale ty scripty nesmi trvat moc dlouho, uz nevim proc to tak je.
Protože udev na ten skript čeká a dokud neskončí, nepokračuje ve zpracování dalších pravidel ani dalších eventů.
4.11.2016 14:11
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
4.11.2016 07:00
Marián Kyral | skóre: 29
| blog: Sem_Tam
| Frýdek-Místek
4.11.2016 16:12
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
"machinectl list" now shows the IP address of running containers in the output, as well as OS release information.Užitečné.
systemctl gained a new --wait optionMohli by přidat něco podobného i k
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz
4.11.2016 07:26
4.11.2016 07:44
4.11.2016 16:35
6.11.2016 00:15
4.11.2016 07:32
machinectl. Příkaz machinectl stop skončí okamžitě, ale kontejner se vypíná déle. Chtělo by to nějaký parametr pro čekání na úplné vypnutí.
Support for dynamically creating users for the lifetime of a service has been added.K čemu je to dobré? Pokud provozuju nějakou službu, pravděpodobně má i data na fs a ta by měla mít vlastníka jako uživatele té služby. Služby bez dat existují také, ale stále nevidím důvod, proč nevytvořit prostě klasického uživatele. Vždyť je to jen jeden řádek v
/etc/passwd.
Možná je to jen rozšíření toho, co už dělá nspawn - ten si přemapuje uid ve kontejneru na úplně jiné uid v hostitelském os.
/etc/resolv.conf will be bind-mounted into containers started by systemd-nspawn, if possible, so any changes to resolv.conf contents are automatically propagated to the container.WTF? No, další funkce k vypnutí. Tohle bude dělat jen problémy, protože při změně
/etc/resolv.conf na jednom stroji asi nikdo nepředpokládá, že se mu to změní na desítkách dalších. Budou vznikat krásné nové chyby.
4.11.2016 17:48
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
U toho uzivatele, kdyz to vezmu z pohledu hostingu, tak mit neustale prepisovany /etc/passwd virtualnima uzivatelema a tim i treba neustale zmeny ve verzovacim systemu asi neni to prave orechove, misto pouzivani virtualnich...A proč by se to mělo neustále přepisovat? To neustále provozujete zcela jiné služby než před chvílí? Ptám se, zajímá mě k čemu to v praxi je. V naší praxi, během vývoje softu se doiteruje do nějaké množiny služeb, které se potom nasadí do produkce. Potom se to mění pouze minimálně, služby se přidávají při nějakých updatech. Ale není to neustále a s časem těch změn postupně ubývá, tak jak soft zraje k nějakému optimálnímu stavu.
4.11.2016 18:25
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
Mohli by přidat něco podobného i k machinectl.+1
Služby bez dat existují také, ale stále nevidím důvod, proč nevytvořit prostě klasického uživatele. Vždyť je to jen jeden řádek v /etc/passwd.Hadam, ze je to soucast portable services. Proc by se mel plevelit passwd, pokud sluzba nemuze modifikovat jakykoliv FS a ma docasnou existenci?
Tohle bude dělat jen problémy, protože při změně /etc/resolv.conf na jednom stroji asi nikdo nepředpokládá, že se mu to změní na desítkách dalších. Budou vznikat krásné nové chyby.Podle vas je lepsi nemit moznost zadne propagace a muset to pripadne menit na desitkach kontaineru?
4.11.2016 19:23
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
Hadam, ze je to soucast portable services. Proc by se mel plevelit passwd, pokud sluzba nemuze modifikovat jakykoliv FS a ma docasnou existenci?Moc nerozumím výrazu "plevelit". Pokud toho uživatele potřebuju, tak to není plevelení, pokud ho nepotřebuju, tak ho tam nemám. Ale já toto chápu jako zobecnění abstrakce, která už je v nspawnu, kterej si přemapovává uid, takže toto mi až tak nevadí. Spíše mě zajímá nějaký konkrétní případ z praxe, kdy se to hodí.
Podle vas je lepsi nemit moznost zadne propagace a muset to pripadne menit na desitkach kontaineru?Já dávám přednost explicitním metodám před "ono se to nějak samo". Takže pokud někdo potřebuje měnit desítky kontejnerů, tak má použít něco jako ansible, puppet apod. systémy pro hromadnou správu. Stejně je bude muset mít pro konfiguraci jiných věcí, které nspawn (zatím) automaticky nebinduje. Nehledě na to, že stejně mám z hostitele přístup do fs těch kontejnerů, takže to můžu udělat i čistě souborovou operací (u kontejnerů nad adresářem nebo subvolume, u image to bude složitější). A také asi vždycky nechci mít v kontejnerech stejný resolv.conf, jako v hostiteli. A asi nechci mít ani stejný resolv.conf ve všech kontejnerech. Druhá věc, virtualizace má (podle mě) sloužit spíše k izolaci než ke sjednocení. Kdybych chtěl ty aplikace nějak vzájemně propojovat a jedna druhou ovlivňovat, tak je nebudu virtualizovat, ale nechám je rovnou na jednom hostu. Virtualizaci používám pro zvýšení izolace.
5.11.2016 21:10
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
Pokud toho uživatele potřebuju, tak to není plevelení, pokud ho nepotřebuju, tak ho tam nemám.A pokud ho potrebujete docasne pro beh nejake sluzby?
Já dávám přednost explicitním metodám před "ono se to nějak samo".Ale to prece neni problem v danem pripade, chovani a propagace jsou explicitni a dokumentovane.
tak má použít něco jako ansible, puppet apod. systémy pro hromadnou správu.To muze byt overkill a nemyslim, ze se tomu systemd snazi konkurovat.
Virtualizaci používám pro zvýšení izolace.Mira izolace se muze lisit.
Pokud chcete rozumnet jeho motivaci, poslechnete si prednasku LP zde, zejmena druhou cast.To je snad materiál tak pro psychiatry.
6.11.2016 08:46
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
A pokud ho potrebujete docasne pro beh nejake sluzby?
Opět, co to je dočasná služba? Pochopitelně se stává, že se nainstaluje nějaký balík, o kterém se za týden zjistí, že není tak úplně potřeba, tak se zase odstraní. Mě vůbec nevadí, že týden běžela služba a že měla svého uživatele. Naopak mi to přijde úplně normální.
Ale to prece neni problem v danem pripade, chovani a propagace jsou explicitni a dokumentovane.
A ta dokumentace roste kde? Na www.freedesktop.org/software/systemd/man je sice index 232, ale man stránky nspawnu jsou 231. Hledal jsem v gitu, aktuální man nspawn a man resolv*, ale tam to též není.
Hlavně jde o to, že je to opět další změna chování. Admin nepředpokládá, že když změní resolv.conf někde (třeba zrovna na hostu s kontejnery - proč by se tento měl chovat jinak než ostatní?), že se to přepíše do nějakých dalších strojů. V předchozích verzích se mu to nestávalo.
Pokud chcete rozumnet jeho motivaci, poslechnete si prednasku LP zde, zejmena druhou cast. Hadam, ze s tim muze byt uspesny, nebot se prida jednoduchy unifikovany zpusob jak distribuovat a konfigurovat sluzby; cas ukaze.
No někde kolem 50 minuty říká, že bude možné distribuovat služby pomocí jednoho file image (a někde dřív: nebudou si vymýšlet vlastní, stačí jim, když to pozná kernel - squashfs, gpt image, adresář apod.). No já bych řekl, že jeden image pro distribuci software zde už existuje a říká se mu balíček pro balíčkovací systém distribuce.
A 50:47 tomu už jen nasazuje korunu:
systemctl start https://.../myservice.spi systemctl status myservice
No, asi je to pořád lepší jak čím dál tím víc propagované:
curl http://.... | bash
nebo ještě lépe sudo bash
U portable services to alespoň poběží v nějaké izolaci. Ale že by se mi zrovna toto líbilo, tak to ne.
A 50:47 tomu už jen nasazuje korunuDocker znáš?
6.11.2016 16:01
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
6.11.2016 18:58
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
Opět, co to je dočasná služba? Pochopitelně se stává, že se nainstaluje nějaký balík, o kterém se za týden zjistí, že není tak úplně potřeba, tak se zase odstraní.Koncept, kdy snadno instalujete sandboxovanou sluzbu a muzete ji odinstalovat bez jakychkoliv vedlejsich efektu na system na kterym bezi, ma smysl. Zatim mi prijde, ze se na zaklade svych pocitu a preferenci, uziti v limitovanem poctu scenaru, se snazite poukazovat, ze to neni potreba. Stale nechapu v cem vidite problem, pokud to nechcete, nepouzivejte to.
No já bych řekl, že jeden image pro distribuci software zde už existuje a říká se mu balíček pro balíčkovací systém distribuce.Fajn a v cem je problem? Pripojim NFS adresar, spustim sandboxovanou sluzbu, kdyz neni potreba ukoncim, odpojim adresar, a mam stale cisty system bez nutnosti neco lokalne instalovat.
A 50:47 tomu už jen nasazuje korunu:V cem je problem?systemctl start https://.../myservice.spi systemctl status myservice
A ta dokumentace roste kde? Na www.freedesktop.org/software/systemd/man je sice index 232, ale man stránky nspawnu jsou 231.OK, dokumentace neni asi jeste aktualizovana. Changelog to ale popisuje pomerne jasne:
/etc/resolv.conf will be bind-mounted into containers started by systemd-nspawn, if possible, so any changes to resolv.conf contents are automatically propagated to the container.
6.11.2016 19:26
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
odinstalovat bez jakychkoliv vedlejsich efektuNo já nevím jak kde, ale balíček snad lze odinstalovat bez vedlejších efektů. Install / purge dělám běžně. Jinak jak jsem psal, mě toto až tak nevadí, chápu to jako rozšíření již existující abstrakce.
stale cisty system bez nutnosti neco lokalne instalovat.Tohle je ve vašem komentáři potřetí. Jakou distribuci používáte, že instalace a odinstalace balíčku "plevelí" systém?
OK, dokumentace neni asi jeste aktualizovana. Changelog to ale popisuje pomerne jasne: /etc/resolv.conf will be bind-mounted into containers started by systemd-nspawn, if possible, so any changes to resolv.conf contents are automatically propagated to the container.Poměrně jasně "if possible"? Co to znamená? Pokud soubor půjde přepsat? Já bych to potřeboval znát poněkud přesněji, protože pokud "if possible" znamená "kdykoliv je to možné" (což je pro nspawn vždy), tak to je pro mě s nspawnem stopka.
7.11.2016 01:36
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
Tohle je ve vašem komentáři potřetí. Jakou distribuci používáte, že instalace a odinstalace balíčku "plevelí" systém?Viz u meho profilu. Ale asi kazda rozumna, pokud instalace sluzby vytvari uzivatele a skupinu pod kterymi bezi.
Poměrně jasně "if possible"? Co to znamená? Pokud soubor půjde přepsat? Já bych to potřeboval znát poněkud přesněji, protože pokud "if possible" znamená "kdykoliv je to možné" (což je pro nspawn vždy), tak to je pro mě s nspawnem stopka.Podle kodu, pokud jsem neco neprehledl (jsem utahan), se to pokusi nastavit vzdy pokud neni pouzit alespon jeden z parametru:
--network-zone --network-bridge --network-veth-extra --network-veth --network-ipvlan --network-macvlan --network-interface --private-networkPokud neni, pokusi se pouzit hostitelsky /usr/lib/systemd/resolv.conf (staticky soubor od systemd-resolved) nebo /etc/resolv.conf, pokud k nemu ma pristupova prava.
7.11.2016 07:42
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
Viz u meho profilu. Ale asi kazda rozumna, pokud instalace sluzby vytvari uzivatele a skupinu pod kterymi bezi.No distra, se kterými mám největší zkušenost, tak při odstranění balíčku uživatele a skupinu zase odstraní. Ale Lennart říkal, že Fedora uživatele nechává. No nevím, psát funkci k vůli stavu v jedno distru.
Podle kodu, pokud jsem neco neprehledl (jsem utahan), se to pokusi nastavit vzdy pokud neni pouzit alespon jeden z parametru:Díky. Tohle dává smysl. Bez těchto parametrů není oddělené síťování, sdílí se IP s hostitelem a tak dává smysl i používat stejný resolv.conf. Tak to je ok.
7.11.2016 12:47
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
No distra, se kterými mám největší zkušenost, tak při odstranění balíčku uživatele a skupinu zase odstraní.A jak se resi soubory vytvorene pod uzivatelem a skupinou, ktere mohou byt zavisle na konfiguraci, uziti? Purge AFAIK odstrani jen konfiguracni soubory, to znamena ze system muze byt ve stavu, kdy na disku jsou nemapovane UID/GID. Takze pristup, ktery pouziva Fedora, kdy takove uzivatele neodebira, ma smysl.
Purge AFAIK odstrani jen konfiguracni soubory, to znamena ze system muze byt ve stavu, kdy na disku jsou nemapovane UID/GID.A v čem je problém?
7.11.2016 16:37
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
There's no sane way to check if files owned by those users/groups are left behind (and even if there would, what would we do with them?) and leaving those behind with ownerships pointing to now nonexistent users/groups may result in security issues when a semantically unrelated user/group is created later and reuses the UID/GID.Fedora/CentOS/RHEL/openSuse/SLES, proste rozumnejsi distribuce to tak delaji
.
7.11.2016 17:14
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
Fedora/CentOS/RHEL/openSuse/SLES, proste rozumnejsi distribuce to tak delajiOk no, jiné distribuce při odinstalaci balíčku upozorní, že adresář s daty je neprázdný, že jej nebude mazat a že si to má admin zařídit sám. Fedora se vydala jinou cestou. V pohodě. Čemu konkrétně teda vadí, že tam ten uživatel zůstane, když sám píšete, že rozumnější distribuce to tak dělají? Proč se tedy neřídíte pokyny té distribuce a toho uživatele tam rovnou nenecháte?
Možná je to jen rozšíření toho, co už dělá nspawn - ten si přemapuje uid ve kontejneru na úplně jiné uid v hostitelském os.UID maškaráda :-O
.
Tedy místo aby USERNS zlepšil izlolaci, tak naopak přinesl celou řadu problémů a exploitů. Pokud vím je i nějaká sázka jak dlouho vydrží kernel bez nové USERNS zranitelnosti. Rozumné distribuce (jako třeba Arch Linux) USERNS zakazují
Ty bezpečnostní chyby tam v mnoha případech byly "odjakživa", jen dlouhá léta nikoho nezajímaly, protože je mohl zneužít jen root, který to neměl zapotřebí. Pěkný příklad je třeba CVE-2016-4997/CVE-2016-4998. Zrovna včera přišla další taková; ta tam sice asi není moc dlouho (je to v poměrně novém driveru), ale taky je z kategorie, že by to bez userns bylo celkem nezajímavé.
Ale já bych tohle celkem oželel, pokud to znamená, že ještě dlouhá léta se kvůli němu budou objevovat stále nové a nové zranitelnosti, které by bez USERNS nebyly jinak exploitovatelné.
6.11.2016 15:54