LINUX.ORG.RU

Сообщения AEP

 

Проект PixelExperience закрыт

Форум — Mobile

https://blog.pixelexperience.org/2024/04/everything-has-to-come-to-an-end-sometime/

Это была Android-прошивка, воспроизводившая на телефонах сторонних производителей набор программ и функциональность, которые Google встраивал в «родную» прошивку семейства телефонов Google Pixel.

С 10 апреля организация на GitHub переместила себя в публичный архив.

 , ,

AEP
()

Обсуждается переработка механизма перенаправления портов в Docker-контейнеры

Форум — Admin

Docker на сегодняшний день является одним из наиболее популярных движков для запуска контейнеров. Запущенные контейнеры получают частные IP-адреса, на которые Docker автоматически перенаправляет входящие соединения по настроенным портам.

Однако, есть один плохо документированный пробел в безопасности: проброшенные в контейнеры порты необходимо защищать брандмауэром не так, как порты, прослушиваемые приложениями, запущенными непосредственно на хостовой системе. Как следствие, оболочки над iptables, такие как ufw и firewalld, оказываются неэффективными и пропускают входящие соединения, которые они вроде бы настроены блокировать.

Этот пробел был заявлен как баг в Docker по меньшей мере 10 раз. Поскольку проблема возникает на стыке двух подсистем, однозначно классифицировать ее как баг в Docker было бы априори несправедливо, и есть пользователи, которые по этому поводу отправляли отчеты об ошибке не разработчикам Docker, а разработчикам firewalld и других аналогичных программ для организации сетевого экрана.

Корень проблемы в том, что пакеты, перенаправляемые средствами iptables в контейнер через DNAT, проходят через цепочку FORWARD, а не INPUT, как того ожидают наивные пользователи, ufw и firewalld.

Разработчики Docker признали проблему своей и сейчас обсуждают отказ от использования iptables-цели DNAT для проброса портов в контейнеры. В качестве альтернативы предлагается IPVS, поскольку обрабатываемые им пакеты проходят через цепочку INPUT так, как они проходили бы для запущенных непосредственно на хосте приложений. Тем самым, ufw и firewalld станут работоспособны на системах с контейнерами.

Параллельно обсуждается небезопасное поведение по умолчанию, когда порт, проброшенный через -p 1234:1234, оказывается доступным извне, тогда как в большинстве случаев пользователи имели в виду доступ только с локальной машины. Ситуацию усугубляет то, что в различных руководствах для портов, которые должны быть доступны только с локальной машины, используется небезопасный синтаксис -p 1234:1234 вместо безопасного -p 127.0.0.1:1234:1234.

Поскольку изменение является потенциально ломающим совместимость, новое поведение будет доступно в одной из следующих версий Docker, но настройки по умолчанию будут изменены еще через несколько релизов.

Подробности

Перемещено hobbit из security

 , ,

AEP
()

HDR заработал

Форум — Talks

На фоне новостей, что в Weston завезли поддержку цветокоррекции и (в виде незавершенного эксперимента) расширенного динамического диапазона, решил это проверить. Итог - да, Weston может вывести через DisplayPort какой-то сигнал, который воспринимается монитором (Gigabyte Aorus FV43U) как HDR, и даже в двух вариантах: HLG и SMPTE ST 2084. Вот только значения пикселей перевести из SDR в HDR они пока не могут.

А еще я нашел вот этот форк mpv (pull request). Он при запуске из консоли может проигрывать HDR-видео именно как HDR, без tone mapping’а. И картинка получается такая, как задумано.

Еще хочу отметить, что это проверено на старом компьютере с Intel Haswell (CPU: Intel Core i7 4770S, GPU: встроенный, Intel(R) HD Graphics 4600 (HSW GT2). Работает! Виндузятникам такое и не снилось.

 ,

AEP
()

Вышел RFC 9293: Transmission Control Protocol (TCP)

Новости — Интернет
Группа Интернет

Более сорока лет назад, а именно, в сентябре 1981 года, был утвержден RFC 793, Transmission Control Protocol. Этот протокол (в то время - стандарт Министерства Обороны США) отвечает за надежную доставку потоков байт между хостами в сетях с коммутацией пакетов. В Интернете, он работает поверх протокола IP как протокол транспортного уровня. Поверх него уже работают протоколы уровня приложений, такие, как HTTP/1.1.

За время существования стандарта TCP в нем были обнаружены различные неоднозначности и недоработки (например, «синдром бестолкового окна»), для исправления которых были приняты новые RFC (например, RFC 1122), уточняющие или частично изменяющие RFC 793. И, конечно же, принимались RFC с изменениями и улучшениями, не ломающие совместимость - например, RFC 1323 (ныне замененный на RFC 7323), описывающий новые опции для повышения производительности TCP на быстрых каналах с большой задержкой.

В итоге для разработчиков, реализующих стеки протоколов TCP/IP (например, для встраиваемых систем), сложилась неприятная ситуация, когда приходится сверяться не с одним документом, а с десятками. В октябре 2013 года была начата работа по переписыванию стандарта TCP со всеми исправлениями в виде одного документа без изменения его смысла. После 35 промежуточных ревизий, 18 августа 2022 года в итоге этой работы был опубликован окончательный документ, RFC 9293, определяющий минимальный набор современных спецификаций для протокола TCP. Необязательные расширения по-прежнему определяются отдельными RFC.

>>> Подробности

 , , ,

AEP
()

Уязвимость в GnuPG

Новости — Безопасность
Группа Безопасность

Demi Marie Obenour из Invisible Things Lab обнаружила уязвимость в GnuPG. Злоумышленник может вызвать отказ в обслуживании (продолжительное зависание), отправляя на проверку открепленные GPG-подписи или сертификаты, содержащие один сжатый пакет с повторенной много раз цифровой подписью. Исследователю удалось израсходовать более минуты процессорного времени на проверку входных данных размером менее 5 килобайт.

( читать дальше... )

>>> Подробности

 , ,

AEP
()

Восстановление доступа к Azure после переезда

Форум — Talks

В связи с недавними событиями, у меня не прошла оплата за Azure с карточки. Попытка договориться с техподдержкой об оплате через SWIFT тоже ни к чему не привела - санкции.

7 марта я переехал на Филиппины. Банковского счета на Филиппинах у меня нет, prepaid-карты (без счета) тоже.

Есть ли у кого-нибудь тут опыт выхода из-под санкций - т.е. как доказать Microsoft’у, что санкции на меня больше не распространяются?

P.S. ничего важного на Azure у меня нет, но совсем терять доступ не хочу, так как иностранные работодатели спрашивают про опыт.

 , ,

AEP
()

Помогите выбрать powerbank

Форум — Talks

Задача: квартира (не моя, а знакомого) переводится с аналоговой телефонии и ADSL Ростелекома на другого провайдера и VoIP, поскольку кабель Ростелекома, похоже, погрызли крысы. Постоянно треск в телефоне и обрывы связи ADSL. Но, поскольку для этого человека наличие городского номера очень важно, даже при пропаданиях электричества, надо зарезервировать питание нового маршрутизатора и VoIP-телефона хотя бы на 5-6 часов.

Когда я с аналогичной задачей сталкивался при поездке на Филиппины, то отлично сработал внешний аккумулятор Rombica Neo Pro 280. Но отдавать еще раз 8000 рублей не хочется, поэтому прошу совета, как сэкономить.

Уже пробовал купить powerbank Olmio QS-10 (первый попавшийся с поддержкой QC3.0) и кабель USB -> 12V dc 5.5x2.1mm, т.е. с триггером QC3.0 на 12V. Итог: кабель рабочий, запитать маршрутизатор от powerbank’а удалось. Однако, при попытке зарядить сам powerbank при подключенном маршрутизаторе, либо маршрутизатор перестает работать (если зарядное устройство работает не по QC3.0), либо powerbank питает маршрутизатор, но сам не заряжается (если зарядное устройство поддерживает QC3.0). Во втором случае при включении/выключении зарядного устройства питание маршрутизатора кратковременно пропадает. Т.е. функция сквозной зарядки реализована недостаточно хорошо - не бесперебойная и несовместима с быстрой зарядкой QC3.0, которая нужна, чтобы работал «умный» кабель питания маршрутизатора.

Вопрос: кто-либо еще успешно применял какой-либо дешевый powerbank как UPS для маршрутизатора? Поделитесь названием.

Linux тут при том, что на маршрутизаторе OpenWRT.

Upd: Пока основной вариант, который будет обсуждаться завтра - это переход на другого провайдера без резервирования маршрутизатора по питанию и без VoIP, плюс заказ городского номера у сотового оператора.

Upd2: Созвонились, вариант с городским номером на второй симке человека устраивает, т.е вопрос потерял актуальность. Тем не менее, если у кого-то получилось бюджетное «коробочное» решение для резервирования питания маршрутизатора, буду рад узнать.

Upd3: Техподдержка нового провайдера ответила, что свитчи, к которым подключены клиенты, не запитаны от UPS, поэтому затея изначально не имела смысл.

 

AEP
()

В систему отслеживания ошибок Debian отправили миллионный по счёту баг

Новости — Debian
Группа Debian

18 ноября 2021 года Matthew Vernon отправил в систему отслеживания ошибок Debian сообщение о недоработке в пакете phast. Недоработка заключается в том, что пакет зависит от устаревшей ветки библиотеки pcre.

Баг получил номер 1000000, и его оперативно закрыли, портировав phast на pcre2.

Баг с номером 900000 был отправлен 24 мая 2018 года.

>>> Подробности

 , , ,

AEP
()

Пожар в ЦОД OVH в Страсбурге

Форум — Talks

В ЦОД OVH в Страсбурге был пожар. Полностью сгорел ЦОД SBG-2, частично SBG-1. В других ЦОД из соображений безопасности было отключено электроснабжение. Пожарные продолжают ожлаждать здания, перезапуск сегодня не планируется. Жертв нет, данные пропали.

https://isovhonfire.com/

https://www.datacenterknowledge.com/uptime/ceo-says-fire-has-destroyed-ovh-s-strasbourg-data-center-sbg2

Фото: https://twitter.com/xgarreau/status/1369559995491172354

 downtime,

AEP
()

Баг о слишком быстром скроллинге с использованием тачпада закрыт без исправления

Новости — Hardware and Drivers
Группа Hardware and Drivers

Более чем два года назад в Gnome GitLab был открыт багрепорт о том, что скроллинг в GTK-приложениях с помощью тачпада получился слишком быстрым или слишком чувствительным. В дискуссии участвовали 43 человека.

Мейнтейнер GTK+, Маттиас Класен, изначально утверждал, что не видит проблему. Комментарии были в основном на тему «как оно работает», «как оно работает в других ОС», «как это объективно измерить», «нужны ли настройки» и «что можно поменять». Однако их накопилось слишком много, настолько много, что багрепорт, по мнению мейнтейнера, потерял свое назначение как отчет об имеющейся ошибке и превратился в форум для дискуссии. В связи с этим, багрепорт был закрыт без каких-либо изменений в коде.

>>> Подробности

 , ,

AEP
()

Продемонстрирована сверхпроводимость при почти комнатной температуре

Форум — Talks

https://www.quantamagazine.org/physicists-discover-first-room-temperature-superconductor-20201014/

Использовано соединение углерода, водорода и серы. Сверхпроводимость наблюдается до 287.7 ± 1.2 K (около 15°C) при давлении 267 ± 10 ГПа. Для подтверждения, что это именно сверхпроводимость, а не просто резкое уменьшение сопротивления, использовалось прямое измерение сопротивления, магнитной восприимчивости, а также зависимости температуры перехода от индукции внешнего магнитного поля.

 втсп,

AEP
()

Посоветуйте USB3 WiFi адаптер

Форум — Linux-hardware

Собираюсь брать USB WiFi адаптер, для софтовой (hostapd) точки доступа. Поискал на Яндекс.Маркете, чтобы именно USB3 и 802.11ac (эфир чистый, в USB2 точно упрется). В итоге вижу, что ни одного устройства, соответствующего этим критериям и имеющего поддержку в ядре Linux из коробки, нет. Зато много чего на чипсетах, поддерживаемых тут: https://github.com/aircrack-ng/rtl8812au

Кто-нибудь что-нибудь из списка ниже заводил именно в режиме точки доступа?

  • ASUS USB-AC68
  • D-link DWA-192
  • TP-LINK Archer T9UH
  • Alfa Network AWUS1900
  • Edimax EW-7833UAC

 , rtl8812au, ,

AEP
()

Может пора в talks открепить тему про lor.sh

Форум — Linux-org-ru

Инвайты в еще один инстанс Mastodon: lor.sh

Автор Deleted, последнее сообщение давным-давно, может надо убрать это с самого верха?

 

AEP
()

ЧСС после умственной работы

Форум — Talks

Обращаюсь на ЛОР, поскольку врачи сейчас принимают только по неотложным случаям.

Вчера решил откликнуться на очередную вакансию DevOps’а на удаленке, поскольку текущая работа устраивает не на 100%. Как оказалось, надо среди прочего пройти задание по кодингу на Python. Т.е. дают задачу, дают час на ее решение, и у них есть автотесты, которые это решение проверяют.

Если кто хочет сам порешать, вот что мне попалось: «функция принимает в качестве аргументов два набора по 5 карт, в формате типа [‘2S’, ‘4C’, ‘AH’, ‘5D’, ‘AC’], должна решить, какой из этих наборов сильнее по правилам покера, и должна вернуть 0 (ничья), 1 (первый набор сильнее) или 2 (второй набор сильнее)». Т.е. никаких хитрых алгоритмов, ничего принципиально сложного, именно много кодинга (проверок на наличие предусмотренных правилами покера комбинаций) и поджимает время.

С задачей я вроде справился (результат пока не сказали). Успел и код написать, и потестировать вручную перед отправкой. На все ушло 53 минуты из разрешенного часа - т.е. почти впритык. НО: после того, как я отправил решение, заметил, что сердце стучит слишком часто (не измерял, но точно больше 100 ударов в минуту). Восстановилось само.

Раньше от чисто умственной работы у меня такого никогда не было. Но и тупых объемных заданий с таким жестким дедлайном тоже давно не было (из ближайшего - контрольная по методам математической физики, но это было ~20 лет назад). Собственно, вопрос здешним врачам - это нормально, когда организм так реагирует?

 врачам

AEP
()

Ноутбук HP EliteBook 735 G6

Форум — Talks

Собираюсь брать новый 13" ноутбук на замену морально устаревшему Lenovo Yoga 2 Pro. Рассматриваю несколько вариантов, но в приоритете пока HP EliteBook 735 G6 (7KP88EA, т.е. максимальная из продаваемых в России комплектаций). Жирная конфигурация берется, так как по работе иногда приходится запускать сразу по несколько виртуальных машин.

До того с ноутбуками на AMD дела не имел. Если есть владельцы - поделитесь впечатлениями.

 , ,

AEP
()

Приняты новые правила выдачи SSL-сертификатов для доменной зоны .onion

Новости — Интернет
Группа Интернет

Завершилось голосование по поправке SC27v3 к Базовым Требованиям, согласно которым удостоверяющие центры выдают SSL-сертификаты. В итоге поправка, разрешающая при определенных условиях выписывать DV- или OV-сертификаты на доменные имена .onion для скрытых сервисов Tor, принята.

Ранее допускалась только выдача EV-сертификатов из-за недостаточной криптографической стойкости алгоритмов, связанных с доменными именами скрытых сервисов. После вступления поправки в силу, станет допустимым метод валидации, когда владелец скрытого сервиса, доступного по протоколу HTTP, делает на сайте запрошенное удостоверяющим центром изменение, например, размещение файла с заданным содержимым по заданному адресу.

В качестве альтернативного метода, доступного только для скрытых сервисов, использующих onion-адреса версии 3, также предлагается допустить подпись запроса на сертификат тем же ключом, который используется скрытым сервисом для Tor-маршрутизации. Для защиты от злоупотреблений в этом запросе на сертификат необходимо наличие двух специальных записей, содержащих случайные числа, сгенерированные удостоверяющим центром и владельцем сервиса.

За поправку проголосовали 9 из 15 представителей удостоверяющих центров и 4 из 4 представителей компаний, разрабатывающих веб-браузеры. Голосов против не было.

>>> Подробности

 , ,

AEP
()

Wireguard включен в ядро Linux

Новости — Ядро Linux
Группа Ядро Linux

Wireguard – это простой и безопасный VPN-протокол, основным разработчиком которого является Jason A. Donenfeld. Долгое время модуль ядра, реализующий этот протокол, не принимали в основную ветку ядра Linux, так как использовалась своя реализация криптографических примитивов (Zinc) вместо стандартного crypto API. Недавно это препятствие было устранено, в том числе за счет доработок, принятых в crypto API.

Сейчас wireguard принят в основную ветку ядра Linux и будет доступен в релизе 5.6.

Wireguard выгодно отличается от других протоколов VPN отсутствием необходимости согласовывать используемые криптографические алгоритмы, радикальным упрощением процесса обмена ключами, и, как следствие, малым размером кодовой базы.

>>> Подробности

 ,

AEP
()

Релиз OpenWRT 19.07

Новости — Linux General
Группа Linux General

Сформированы сборки нового значительного релиза OpenWRT — открытого дистрибутива Linux для домашних сетевых маршрутизаторов. Основные нововведения, видимые пользователю:

  • На всех устройствах используется ядро 4.14.x.
  • Добавлена архитектура ath79, которой поддерживаются устройства, ранее относившиеся к архитектуре ar71xx. Отличие - использование Device Tree вместо явного прописывания специфики каждого устройства в C-файлах.
  • Значительно повышена производительность маршрутизации за счет внедрения технологии FLOWOFFLOAD. Суть технологии - в возможности сказать ядру, что все будущие пакеты, принадлежащие определенному сетевому соединению, больше не надо проверять на предмет правил firewall’а, политик QoS и изменившихся правил маршрутизации, достаточно просто переписать заголовки и отправить через запомненный выходной интерфейс. Итого, TP-Link Archer C7 v2 сейчас может маршрутизировать не 250-300 мегабит в секунду, а 700-800.
  • Для беспроводных сетей доступна поддержка WPA3 (требуется установка пакета hostapd-openssl или wpad-openssl).
  • Веб-интерфейс стал более отзывчивым за счет переноса шаблонизации на сторону клиента.
  • В торрент-клиенте Transmission решены проблемы с потреблением 100% CPU и неоправданного количества памяти, за счет отключения полурабочей поддержки web seed’ов.
  • Добавлена альтернативная легковесная реализация сервера SMB на уровне ядра, как решение проблемы, что SAMBA 3.6 более не поддерживается в плане безопасности и ограничена старыми версиями протокола SMB, а SAMBA 4 занимает слишком много места. SAMBA 4 тоже доступна и позволяет организовать контроллер домена, совместимый с Active Directory.

>>> Подробности

 

AEP
()

Завершилось голосование Debian по статусу систем инициализации

Новости — Debian
Группа Debian

7 декабря 2019 года в проекте Debian перед разработчиками был поставлен на голосование вопрос о статусе систем инициализации, отличных от systemd. Варианты, из которых проекту предстояло сделать выбор:

  • F: Концентрируемся на systemd
  • B: Systemd, но мы поддерживаем исследование альтернативных решений
  • A: Поддержка многих систем инициализации важна
  • D: Поддерживаем системы, отличные от systemd, но не блокируем из-за них прогресс
  • H: Поддерживаем переносимость, но не блокируем прогресс
  • E: Поддержка многих систем инициализации обязательна
  • G: Поддерживаем переносимость и множественные реализации интерфейсов
  • Дальнейшее обсуждение

Полный текст каждой опции можно прочитать в официальном письме секретаря Debian.

Срок голосования истек в полночь по UTC 28 декабря 2019 г.

Debian использует достаточно сложную систему голосования - метод Шульце. При голосовании каждый участник ранжирует все опции в порядке личных предпочтений.

Метод Шульце удовлетворяет критерию Кондорсе: если одна из опций победила бы при попарном сравнении каждую другую, то она и объявляется выигравшей. В данном голосовании такой опцией оказалась опция B («Systemd, но мы поддерживаем исследование альтернативных решений»). Соответственно, она и стала обязательной для исполнения.

На практике это означает, что отсутствие init-скрипта в пакете с демоном более не является багом.

>>> Подробности

 , ,

AEP
()

Множественные уязвимости в OpenBSD

Новости — Безопасность
Группа Безопасность

Специалисты из Qualys Labs обнаружили несколько проблем безопасности, связанных с возможностью обмануть программы, отвечающие за применяемые в BSD механизмы проверки паролей (аналог PAM). Обман заключается в передаче имени пользователя «-schallenge» или «-schallenge:passwd», которое затем интерпретируется не как имя пользователя, а как опция. После этого система принимает любой пароль. Уязвимы, т.е. разрешают в итоге несанкционированный доступ, сервисы smtpd, ldapd, radiusd. Сервис sshd проэксплуатировать не удается, так как дальше sshd замечает, что пользователь «-schallenge» на самом деле не существует. Программа su при попытке эксплуатации в лоб падает, так как тоже пытается выяснить uid несуществующего пользователя.

Также были обнародованы разнородные уязвимости в xlock, в авторизации через S/Key и Yubikey, а также в su, не связанные с указанием пользователя «-schallenge». Уязвимость в xlock позволяет обычному пользователю повысить привилегии до группы auth. Через неверную работу механизмов авторизации через S/Key и Yubikey можно повысить привилегии от группы auth до пользователя root, но в конфигурации OpenBSD по умолчанию это не работает, поскольку авторизация через S/Key и Yubikey выключена. Наконец, уязвимость в su позволяет пользователю повысить лимиты на системные ресурсы, такие как количество открытых файловых дескрипторов.

На данный момент уязвимости устранены, обновления безопасности доступны через штатный механизм syspatch(8).

>>> Подробности

 ,

AEP
()

RSS подписка на новые темы