https://www.evilsocket.net/2024/09/26/Attacking-UNIX-systems-via-CUPS-Part-I/

Нет времени объяснять, смотрите сами.

RHEL ответ: https://www.redhat.com/en/blog/red-hat-response-openprinting-cups-vulnerabilities

Вся правда о вейленд: https://gist.github.com/probonopd/9feb7c20257af5dd915e3a9f2d1f2277

Оправдывайтесь, фанаты вялого.

Продолжим наши истории и тесты.

Кратко:

• MGLRU в ближайшее время может войти в ядро, м б даже в 5.20;
• le9 патч остановился в развитии;
• Некоторые проблемы MGLRU исправлены, некоторые - нет;
• дистрибутивые еще сомненваются какие юзерспейсные киллеры использовать; линукс минт отказался от systemd-oomd;
• еще не все дистрибутивы используют своп на zram.

В этом треде будет продожать тестировать средства и следить за новостями.

Спрашивайте ответы.

Продолжение следует.

Ubuntu 22.04 LTS будет использовать systemd-oomd для улучшения работы при нехватке памяти или при сильном давлении на память в дистрибутиве Linux.

Ubuntu теперь является последним дистрибутивом Linux, поставляемым с systemd-oomd для улучшения поведения Linux при низкой доступности оперативной памяти. Ubuntu строится на интеграции systemd-oomd Debian. Systemd-oomd запускается до того, как в ядре Linux появится убийца ООМ, и пакет Ubuntu полагается на конфигурацию по умолчанию. По умолчанию это настраиваемое ограничение составляет 20 секунд, а для пользовательских сеансов - 50%.

Те, кто использует ежедневные сборки Ubuntu 22.04 LTS, теперь могут просто установить systemd-oomd. Для апрельской версии Ubuntu 22.04 LTS планируется включить systemd-oomd по умолчанию для рабочего стола Ubuntu, но сегодня это изменение не действует. По крайней мере, для Ubuntu с GNOME рабочий стол уже может запускать приложения в отдельных группах (v2) для отслеживания с помощью systemd-oomd. Другие версии Ubuntu также могут выбрать systemd-oomd по умолчанию.

https://www.phoronix.com/scan.php?page=news_item&px=Ubuntu-22.04-Systemd-OOMD

Есть основания полагать, что атака SysJoker совершена продвинутым субъектом угроз:

Тот факт, что код был написан с нуля и не встречался ранее в других атаках. Кроме того, редко встречаются ранее невиданные вредоносные программы для Linux в реальных атаках.
Злоумышленник зарегистрировал как минимум 4 разных домена и написал с нуля вредоносное ПО для трех разных операционных систем.
Во время нашего анализа мы не наблюдали второй стадии или команды, отправленной злоумышленником. Это говорит о том, что атака является специфической, что обычно подходит для продвинутого агента.  

Исходя из возможностей вредоносной программы, мы предполагаем, что целью атаки является шпионаж и латеральное перемещение, что также может привести к атаке с целью выкупа в качестве одного из следующих этапов.

https://www.intezer.com/blog/malware-analysis/new-backdoor-sysjoker/

Ищу почту:

• поддержка imap/smtp

Какие есть годные варианты?

Производитель или дистрибутор оборудования будет бесплатно получать копию ОС — Astra Linux и ALT Linux — и ставить её на устройство.

https://tjournal.ru/news/500911-mincifry-nachalo-peregovory-s-hp-acer-i-lenovo-o-predustanovke-rossiyskih-operacionnyh-sistem-na-kompyutery

Когда речь заходит о состоянии упакованных веб-браузеров для Debian GNU/Linux, к сожалению, оно оставляет желать лучшего, и для тех, кто хочет быть в безопасности и быть в курсе последних событий, это может означать обращение к проприетарным или неупакованным сборкам браузеров.

Читатель Phoronix, пожелавший остаться неизвестным, написал о плачевном состоянии поддержки упакованных веб-браузеров в Debian. Ниже приводится его резюме о состоянии веб-браузеров, упакованных в Debian, а также предостережение для пользователей в отношении невышедших обновлений безопасности.

Все браузеры, поставляемые в Debian (Chromium, Firefox ESR, Falkon, …), имеют серьёзные открытые проблемы безопасности, которые сопровождающие пакета, очевидно, не могут легко исправить:

• Chromium всё ещё находится на версии 90.0.4430.212-1, что означает, что он содержит массу проблем безопасности. Debian Wiki рекомендует перейти на другой браузер. Те, кто установил браузер ранее и полагается на автоматические обновления, остаются с непропатченным браузером, даже не замечая этого.

• Официальным веб-браузером Debian является Mozilla Firefox (версия ESR). Последним обновлением Firefox ESR в стабильном Debian была версия 78.15.0. Эта версия также имеет довольно много непроработанных проблем безопасности, а ветка 78.x ESR больше не поддерживается Mozilla. Им приходится обновляться до ветки 91.x ESR, которая, очевидно, вызывает большие проблемы в текущей стабильной платформе Debian. В одном из выпусков люди жалуются на замораживание сессий браузера с выпуском 91.x, что блокирует новый выпуск Firefox ESR от перемещения в «stable-security». Кто-то в выпуске утверждает причину: «Firefox-ESR 91.3 больше не использует OpenGL GLX. Вместо этого он использует EGL по умолчанию. EGL требует как минимум mesa версии 21.x. Debian stable (bullseye) поставляется с mesa версии 20.3.5».

Так что сейчас ситуация выглядит не лучшим образом. Кстати, Mozilla Thunderbird также затронут этим.

• Другие браузеры, входящие в дистрибутив Debian, такие как Falkon, также давно не получали исправлений безопасности (для Falkon необходимо обновить пакет QtWebEngine).

Похоже, таково текущее положение дел с веб-браузерами в Debian… В общем, если вы хотите оставаться в курсе последних событий, то лучшим вариантом будет использование двоичных файлов от Mozilla Firefox или Google Chrome, но даже с последним Firefox могут быть проблемы на стабильном Debian вокруг EGL/GLX. Читатель Phoronix закончил: «Самое печальное в этой ситуации то, что у Debian есть философия, согласно которой нелиберальное программное обеспечение по умолчанию не должно попадать к пользователю. Но эта ситуация фактически толкает людей к браузерам с закрытым исходным кодом, таким как Google Chrome или Opera. Трудные времена для проекта Debian».

https://www.phoronix.com/scan.php?page=news_item&px=Web-Browser-Packages-Debian

Оправдывайтесь, любители стабильности.

На проблемы с доступом пользователи жалуются с начала декабря.

Сервис не работает в России со 2 декабря, говорится на сайте мониторинга цензуры в интернете по всему миру OONI Explorer. Специалисты платформы провели 15 тестов для проверки работы ПО, из которых ни один не сработал.
О блокировке также написал в Twitter исследователь сетевых блокировок ValdikSS. По его словам, Tor начали блокировать крупнейшие российские провайдеры и мобильные операторы. Недоступны почти все IP-адреса, которые использует Tor, и связанные с ним системы.
«Роскомсвобода» написало, что пользователи начали жаловаться на недоступность сервиса с 1 декабря.
Сбои наблюдаются в том числе в отдельных подсетях «Ростелекома», МТС, Beeline, Tele2 и «Мегафона».

https://tjournal.ru/tech/486311-it-specialisty-rasskazali-o-vozmozhnoy-blokirovke-tor-v-rossii

А вы заметили блокировку?

Сабж https://www.phoronix.com/scan.php?page=news_item&px=Ubuntu-14.04-16.04-Ten-Years

Canonical Extending Ubuntu 14.04 / 16.04 LTS Поддержка до десятилетнего года, объявляет сегодня утром, они расширяют Ubuntu 14.04 LTS «Trusty Tahr» и Ubuntu 16.04 LTS «Xenial Xerus» выпускают до десяти лет жизни.

Ubuntu 18.04 LTS и Ubuntu 20.04 LTS были уже в десятилетнем плане поддержки, в то время как Canonical определился с обратным процедуры, чтобы продлить 14,04 LTS и 16,04 LTS до десяти лет, как таковые они будут поддерживаться до 2024 года и 2026 года, соответственно.

Эти более старые долгосрочные выбросы поддержки Ubuntu поддерживались в течение пяти лет в рамках расширенного технического обслуживания Canonical Security (ESM), предлагаемые организациям, в то время как теперь они предоставляют десять лет поддержки уплаты клиентов. Единственное изменение сегодня составляет около 14,04/16,04 ЛТС с 18.04 / 20,04 LTS, придерживающейся их уже совершенным десятилетним циклами.

В пресс-релизе установлено, чтобы ударить проволоку, канонические атрибуты это расширение LTS для более старых релизов, чтобы быть вокруг лучшей экономики на улучшении инфраструктуры их клиентами и растущей потребностью по кибербезопасности. Расширенный период обслуживания охраны Canonical ориентирован на предоставление обновлений безопасности и выдающихся исправлений для клиентов, в том числе в прямом эфире уязвимости безопасности Linux Kernel.

Перемещено xaizek из admin

Сабж https://www.opennet.ru/opennews/art.shtml?num=55702

Начнем с самого святого — ядра. Оно монолитное, этим все сказано. Для встраиваемой техники это, безусловно, может быть полезным, но для ПК это выливается в отсутствие гибкости и стабильности. Если в монолитном ядре произойдет сбой — конец. Ядра же с современными архитектурами умеют просто выгрузить сбойный модуль и спокойно продолжить работу.

Далее, в чисто монолитном ядре не предусмотрена подгрузка и выгрузка модулей, что вынуждает перекомпилировать его каждый раз при изменении состава оборудования, откуда и растет мем «конпеляция ведра». Естественно, это не удобно, и разработчики Линукса пошли на шаг, превративший ядро в полный НЁХ: они с помощью костылей добавили подобный функционал. Что вышло? Мы имеем все преимущества и недостатки модульной архитектуры одновременно с недостатками монолитной. А почему у монолита не осталось преимуществ? Они все были нивелированы переходом к модульности. И все равно, как ни странно, все сходятся во мнении, что ядро Линукса по прежнему монолитное со всеми его «достоинствами».

Вторая часть проблемы, создаваемой монолитом — сложность. Сам Торвальдс уже говорит, всё настолько плохо, что для исправления бага в ядре приходится искать человека, разбирающегося в соответствующей части. И зачастую это тот человек, что её писал. А некоторые личности в обсуждении успешно «осваивают» ядро.

Безусловно, после этих слов им можно верить. А ведь Эндрю Таненбаум предупреждал Торвальдса, что ОС с монолитной архитектурой ядра будет гигантским скачком в прошлый век. Едем дальше. Что у нас? О, это же концепции UNIX, положенные в основы Линукса. Ни у кого после этого не повернется язык сказать, что ЛИнукс — современная ОС.

Убогий «всё есть файл», когда придумали более совершенный «всё есть объект»,текстовый ввод-вывод(понимаете, какой это ****?),настройка ОС текстовыми файлами и упор на консольные приложения.

О последнем подробнее. Множество линуксоидов считают консоль удобным интерфейсом(ага, в 21 веке то), но основные приводимые доводы оказываются надуманными от невозможности это доказать не на чувственном уровне. Основные причины любви стоит выделить две: 1)Консоль — главная часть хакерского стереотипа, а поскольку хакером сегодня быть круто и модно, то на бессознательном уровне вырабатывается любовь к черному окну, зелененьким буковкам и непонятным для непосвященных действиям. 2) Мнение, что если разработчики делают консольных программ больше, чем графических, то это круто и должно быть удобно, вот не знаю, но ведь это всё не зря… По правде, это сказывается неоднородность самого Линукса. Пользователю, может, удобно иметь кучу нескучных обоин и DE, но для разработчика просто ад делать свою программу одновременно рабочей для KDE, GNOME и прочих сред. Поэтому он выбирает то, что работает во всех Линуксах одинаково — консоль. Вот и весь секрет: разрабатывать консольные приложения удобно, но это не значит, что их удобно использовать. А всё остальное высосано из пальца. Иксы. Старая вещь, появившаяся еще до рождения Линукса. Гордость каждого линуксоида. И это притом, что их сейчас мечтают заменить чем-то менее прогнившим и более быстрым, но все никак не могут. Вообще, об этом звере из деревянных шестеренок на костылево-скипидарном приводе стоит писать отдельную статью. Пользователи последней убунты сами могут почувствовать, насколько быстрые иксы, запустив htop и поседев от ужаса, наблюдая за показателями ЦП в полном бездействии. Может, вам пофиг, а если у меня ноутбук? Жалко батарейку.

Снова едем дальше. Вы никогда не думали, почему пользоваетей Линукса так мало и почему они с ужасом оббегают Линукс стороной? А потому что не всех устраивает качество и количество софта на него. А почему? А потому что разработчики с ужасом оббегают Линукс стороной. А почему? Вот мы и подошли к главному. Нет, проблемы, описанные выше играют свою роль, но есть что-то по мощнее. Скажите, удобно ли разработчику поддерживать свой продукт для 300+ несовместимых дистрибутивов? А еще на каждом может быть по 10 вариаций DE, получая уже 300*10. А разные наборы разных версий библиотек? Dependency hell? Тоже. Последнее вообще стало отдельным мемом

Отсюда приходим к дальнейшим проблемам: Линукс не только устаревает, но еще и отстает. Хороший пример — недавнее добавление поддержки PCI-E 2.0, в 2012 году,когда все нормальные люди пользовались этим уже в 2008. А ведь во всю бушует PCI-E 3.0 и анонсирован 4.0. Правильно, зачем нам скорость в 16 GT/s, когда есть 5 GT/s? И такое повсюду: когда у всех что-то считается устаревшим, в Линуксе оно только появляется. Никому не хочется писать нормальный софт, потому что и писать то нормально не выйдет, что уж там работать ему, в итоге это ложится на плечи самым упоротым энтузиастам.

Более года инженеры Amazon работали над DAMON как новым средством мониторинга доступа к данным в Linux. Эту серию патчей еще предстоит внедрить, но работа над ней продолжается с намерением обновить ее, когда она будет готова. Совсем недавно задействованные инженеры работали над реализацией восстановления страниц на основе DAMON для ядра Linux для упреждающей работы с системами, имеющими высокую нагрузку на память.

На этой неделе Amazon разослала вторую серию патчей «запрос комментариев», реализующих упреждающее восстановление страниц памяти на основе DAMON. Этот модуль ядра будет обеспечивать восстановление страниц с помощью DAMON для отслеживания доступа к данным при обнаружении холодных страниц. В серии патчей поясняется: «Он находит области памяти, к которым не осуществлялся доступ в течение определенного времени, и выводит страницу. Чтобы избежать чрезмерного использования ресурсов ЦП для операций вывода страниц, можно настроить ограничение скорости. При ограничении скорости он выдает страницы из областей памяти, к которым не осуществлялся доступ в первую очередь.Кроме того, чтобы убрать накладные расходы на мониторинг в мирной ситуации и вернуться к восстановлению гранулярности страницы на основе LRU-списка, когда он не работает, используется механизм активации на основе трех водяных знаков. используется с долей свободной памяти в качестве метрики водяного знака. Для удобной настройки он использует параметры модуля. Используя их, системные администраторы могут включать / отключать его и настраивать порог времени идентификации холода, ограничение скорости и три водяных знака».

Производительность этой утилизации страниц на основе DAMON для Linux звучит неплохо: «DAMON_RECLAIM в ядре Linux v5.12 с устройством подкачки ZRAM и ограничением скорости 10 ГБ / с обеспечивает экономию памяти 32% при накладных расходах всего 1,91%. Для этого DAMON_RECLAIM потребляет только 5,72% времени одного ЦП. Ожидается, что из потребления ЦП только около 1,448% времени одного ЦП будет использоваться для мониторинга шаблонов доступа».

Те, кто хочет узнать больше об этой инициативе ядра Amazon Linux, могут увидеть эту серию патчей и дополнительную информацию в этой ветке списка рассылки ядра.

https://lore.kernel.org/lkml/20210608115254.11930-1-sj38.park@gmail.com/

Тред https://forum.xanmod.org/thread-4102-post-7572.html

Патч https://github.com/hakavlad/le9-patch

В чем дело?

Линуксы зависают при нехватке памяти: Линукс ядро не может мягко обрабатывать ситуации с нехваткой памяти

Решение: запрет на вытеснение определенного объема файловых страниц. Это обеспечивает этот самый патч, и киллер приходит быстро, система не виснет.

Патч принят в pf-kernel и linux-xanmod. linux-xanmod предоставляет бинарные сборки для deb-дистрибутивов.

Скачать бесплатно https://xanmod.org/

Новость о патче: https://www.opennet.ru/opennews/art.shtml?num=54972

Пришло время тестировать ядро с этим патчем. Патч принят в linux-zen, и соответственно буду тестировать zen-kernel-5.12.4-zen1.

TLDR;

• OOMK Killer приходит даже с еще большей задержой, чем при отключении multigen LRU;
• работа vm.swappiness сломана;
• работа vm.watermark_scale_factor сломана;
• при включении multigen LRU не работают эффекты патча le9 [1], обеспечивающего защиту чистого кэша файлов.

Подробности далее.

[1] https://github.com/hakavlad/le9-patch

Призывается post-factum

Попытался заигнорить одного модератора, чтоб больше не читать его бредни. Но кнопка ИГНОРИРОВАТЬ отсутствует.

Почему нет возможности игнорировать модератора?

Не пора ли добавить такую возможность?

Подробнее https://www.opennet.ru/opennews/art.shtml?num=54985

основатель сайхаб у светова. Скоро начало стрима

https://www.youtube.com/watch?v=nG_I2QQc9Ww

Во-первых, вышла новая линейка для этой самой защиты: https://github.com/hakavlad/le9-patch/tree/main/le9db_patches.

В описании патчей все написано.

Спрашивайте ответы, если еще остались вопросы.

Собственно сабж. systemd-oomd может убивать только целые контрольые группы.

В сессиях Xfce, Mate, LXDE etc. приложения и сессия лежат в общей группе session-X.scope.

При переполнении свопа сессия будет убиваться практически всегда и целиком.

https://bugzilla.redhat.com/show_bug.cgi?id=1933494

И похоже, что псем пофиг: юзеры все стерпят. Проблемы маргинальных DE никого не волнуют.

Ко всему прочему этот systemd-oomd грузит проц: в моем опыте в среднем на 0.6%.

Оправдывайтесь, alpha

Еще:

https://bugzilla.redhat.com/show_bug.cgi?id=1941340

https://bugzilla.redhat.com/show_bug.cgi?id=1941170