文章提交注意事项:
请在发布文章时用HTML代码加上至少一条新闻来源的链接;原创性消息,可加入相关信息(如涉及公司的网址)的链接。有任何问题,邮件至:he.fang#zhiding.cn
注意:收到邮件乱码的用户请修改客户端的默认字体编码,从"简体中文(GB2312)"修改为"Unicode(UTF-8)"。
solidot新版网站常见问题,请点击这里查看。
Linus Torvalds 在内核邮件列表上宣布释出 Linux 5.15,该版本的 commit 数是 5.x 系列最少。主要新变化包括:Paragon Software 开发的 NTFS3 内核驱动,改进对微软 NTFS 文件系统的支持;新内核模块 KSMBD 实现了服务器端 SMB3 协议;在 DRAM 满的情况下内存页的内容转移到持久性内存而不是直接丢弃;Btrfs 文件系统加入了对 fs-verity 和 id mapping 的支持;监视特定用户空间进程内存访问模式的 DAMON(代表 Data Access MONitor);process_mrelease(2)系统调用;Real Time locking progress;cgroup支持 SCHED_IDLE;printk() indexing,等等,更多可浏览 KernelNewbies 5.15。
Hive 勒索软件新变种能加密 Linux 和 FreeBSD 系统,但新变种还在开发之中,功能缺乏。安全公司 ESET 的研究人员发现,Hive 的 Linux 变种存在严重 bug,恶意程序在执行时加密会完全失败。Linux 变种只支持一个命令行参数,而它的 Windows 版本支持 5 个执行选项,包括杀死进程,略过磁盘清理,绕过不感兴趣的文件等。Linux 变种如果不是以 root 权限执行的话会无法激活加密。Hive 勒索软件组织是从今年 6 月开始活跃,是众多开始将 Linux 服务器作为攻击目标的勒索软件组织之一。
即将发布的 Firefox 94,其 Linux 版本的图形栈将从 GLX 切换到 EGL,但由于驱动问题还不会对所有 Linux 用户默认启用 EGL。为了使用硬件加速 API 如 OpenGL,X11 或 Wayland 等视窗系统都需要一个接口,在 X11 系统上利用 OpenGL 大部分程序都使用 GLX,GLX 诞生于 1990 年代,EGL 是它的继任者,被 Wayland 等广泛使用。但 X11 系统上的普及度比较缓慢,随着 bug 的修复,对 EGL 支持的改进,从 Firefox 94 起,使用 Mesa 驱动版本>21 的用户,EGL 将默认启用。使用私用 Nvidia 驱动的用户则需要继续等待。
微软正让 Windows Subsystem for Linux (WSL)更容易获得和更容易更新,WSL 预览版进入了 Microsoft Store 应用商店,Windows 11 用户可以下载和独立更新 WSL。Windows 内置的很多应用都转移到通过 Microsoft Store 更新而不是通过 Windows Updates 例行更新,这能让微软更灵活的决定何时更新应用。Microsoft Store 版本的 WSL 只是预览版,微软官方支持的版本仍然是内置在 Windows 中的版本。微软的长期目标是商店版本将是安装和使用 WSL 的最佳途径。
微软在 Windows 10 一周年更新中引入了名叫 Windows Subsystem for Linux(WSL) 的 Linux 兼容层,2020 年的 Windows 10 build 2004 升级到了 WSL2。尽管如此,在 Windows 上使用 Linux 面临两大障碍:安装 WSL 没有本应该做到的那么容易,安装 Linux 图形应用也不轻松。Windows 11 解决了这两大问题,WSL 仍然不完美,但比之前有了巨大的进步。从 Windows 10 build 2004 开始,用户只需要在命令提示符下输入 wsl --install 就可以安装 WSL,Windows 11 没有改变这一方法,输入 wsl --install 就能安装 Hyper-V、WSL 和当前版本的 Ubuntu。如果想使用其它发行版如 openSUSE 只需要输入 wsl --install -d openSUSE-42,或者通过 wsl --list --online 寻找可用发行版然后输入 wsl --install -d distroname 安装你选择的发行版。安装第二个发行版不会覆盖第一个发行版,不同发行版之间的运行环境是隔离的。除了易于安装外,Windows 11 的 WSL 还加入了对图形应用和音频的支持,是首个支持 WSLg 的 Windows 系统。
Google 数据中心产品系统运行的内核被称为 Prodkernel,它是基于旧版本的 Linux kernel,加上 Google 打上的大约 9000 个补丁,补丁包括各种内部 API、硬件支持、性能优化,以及其它必要的微调。每隔两年左右时间,这些补丁会移植到较新版本的 Linux kernel。Google 发现这种工作模式面临越来越大的挑战,原因包括:内核在两年中变化很大,跟踪 bug 会耗费大量时间。但 Google 也无法直接使用主线内核,因为它的工作负荷需要的某个特性在主线内核中可能并不存在。雪上加霜的是,Google 为其产品开发的每一个特性都是在 Prodkernel 上开发和测试的。Prodkernel 与主线内核之间的巨大差异给开发增加了越来越多的难度。为了解决这个问题,Google 发起了一个新的内核项目 Project Icebreaker,旨在解决两个问题:紧跟主线内核,让 Google 为产品引入的新特性能更容易递交到上游的主线内核;能在内核生产环境中运行任意 Google 程序,在 Prodkernel 变更内核版本前验证上游变化。目前 Icebreaker 是基于 5.13 kernel,而最新的内核版本是 5.14,5.15 处于候选发布状态。
在上周举行的北美开源虚拟峰会上,Linus Torvalds 接受了 VMware 首席开源官兼副总裁 Dirk Hohndel 的采访,谈论了 Linux 的长寿、社区和 Rust 语言。Torvalds 回忆了 Linux 的诞生,表示如果由他个人决定的话 Linux 可能会很快成为一个放弃的项目,社区对它的兴趣(比如递交补丁)是驱动项目继续前进的动力,也是它在 30 年后继续前进的动力。就他个人而言,他关心的功能早就完成了,之后引入的功能都是其他人关心或感兴趣的。Torvalds 说,他骄傲的是,30 年前也就是在 Linux 早期参与的人仍然有很多继续参与该项目,这从侧面证明了社区本身有多好,项目多么有趣。他说,从 Rust 语言开发内核模块的讨论中你能看到这种乐趣,他表示可能在明年能看到用 Rust 语言开发的模块被合并到内核主线。Torvalds 称他喜欢 C 语言,对他而言 C 是一种能在低层控制硬件的方法。他承认 C 语言的类型交互不总是合乎逻辑,存在很多陷阱,Rust 语言有可能解决这个问题。
2021 Kernel Summit 和 Linux Plumbers Conference 会议期间 Linux 内核社区对基金会的技术咨询委员会举行了年度选举,五名现任成员 Greg Kroah-Hartman、Jonathan Corbet、Steven Rostedt、Ted Ts'o(曹子德)和 Sasha Levin 重新当选。有资格投票的开发者需要有 3 个以上 commit,其中至少一个是 2020 年或 2021 年内,超过 50 个 commit 的开发者将自动获得投票资格,3 到 49 个 commit 的开发者则需要通过电邮要求投票。共有 1,012 名开发者获得投票资格。
英特尔准备通过 Platform Firmware Runtime Update 和 Telemetry 驱动代码为 Linux 内核引入 Seamless Update 功能,即无需重启就能更新固件。Seamless Update 针对的是数据中心和企业级客户,这些客户对停机时间有着高服务水平协议(service level agreements,SLA),而更新固件通常需要重启系统使得服务下线数分钟影响到 SLA。Seamless Update 设计在更新固件过程中不需要重启。英特尔可能会在明年发布 Xeon Scalable "Sapphire Rapids"时推出 Seamless Update。
Whonix 16 基于 Debian‘Bullseye’(Debian
11)发行版。这意味着用户可以使用许多和现有软件包一致的新软件包。此外,该版本还带来许多令人兴奋的安全增强功能,例如 Hardened
Malloc Kicksecure (HMK)、Linux Kernel Runtime Guard (LKRG) ) 和 Whonix
安全路线图上的其他项目。
查看全文
HardenedVault 写道 "在模糊测试领域,2010年代的前半段和后半段几乎被Trinity和Syzkaller两大工具垄断,经过了数年的发展,syzkaller作为通用QA测试基本能满足Linux内核主线的迭代开发需求,但针对特定子系统的深度探索是远远无法达到高稳定性要求的行业,比如金融,工控,车联网,云计算等行业都会出现几种情况,1)引入第三方内核代码,通常这些代码都是安全漏洞的高危地带,即使不开源,通过逆向工程也可满足安全分析的需求:2)某些行业应用依赖于特定内核子系统中的特定模块,通用型QA无法快速的实现其代码覆盖率:3)应用程序中不完备的回归测试,即应用的运行并没有完成对内核稳定性的基本测试。为了更好的解决这些问题,HardenedVault开发了基于状态导向的 fuzzer : VaultFuzzer , VaultFuzzer方案兼容现有的syzkaller框架,最大的优势在于可以把客户的业务需求和特定内核子系统给关联起来,这样的模糊测试可以为业务系统带来更强的稳定性。"
HardenedVault 写道 "
自从1996年Aleph One在Phrack Issue 49上发表了 Smashing The Stack For Fun And Profit的论文后,开启了长期的争夺内存核心控制权的战争,攻击者在之后的10年里大多把目标放在用户空间,但随着用户空间mitigation的普及更多的攻击者开始把核心转移到了内核,2015年,PaX/GRsecurity作者接受华盛顿邮报采访并揭露了Linux内核安全问题后由Google, RedHat, ARM, Intel豪华阵容组成Linux内核自防护计划。可惜此计划进行了6年后的今天已经接近流产,但Linux则进入了更多重要基础设施的领域,比如电力,能源,车联网,工业控制等,遗憾的是,Linux内核安全的问题依旧没有解决。为了帮助行业客户解决以上问题,HardenedVault开发的Linux内核0day漏洞防护方案VED的威胁模型,首先,VED作为一个以LKM加载的方案,基本实现框架基于hook,兼容现有Linux内核安全防护的hook方案(比如AKO或者LKRG):VED会尽量在更早阶段针对漏洞利用平面进行阻断,失败后再进行后期的检测类阻断: 谁去守护守护者是一个安全哲学问题,VED是一款重要安全产品,因为它是防护企业生产环境的重要防线(突破内核后就是虚拟化,固件和硬件层了,所以可以说是最后一道有意义的防线),所以VED必须具备自防护特性,这也算VED的最大亮点之一,因为迄今为止除了PaX/GRsecurity以外的以LKM(内核模块)形式的内核防护方案从未考虑过自身的安全性。另外,HardenedVault也介绍了针对AUTOSAR的AP平台在车联网场景下防护车端(ARMv8.2)和基于Kubernetes云端(x86_64)中VED的威胁模型以及如何协同Falco以及SIEM/ELK达到纵深防御的目的。"
Linux 在诞生三十年之后已经无处不在:几乎所有大型网站都运行在 Linux 上;云服务最流行的系统是 Linux——即使是在微软的 Azure 云服务上最受欢迎的操作系统也是 Linux;所有 Top 500 超算都运行 Linux;Android 的流行让 Linux 成为最受欢迎的终端操作系统。但为什么 Linux 能够成功?Linux 作者 Linus Torvalds 认为 1992 年选择 GPLv2 许可证这一决定非常重要,他相信这是 Linux 广泛采用的一大原因,不是每个人都喜欢 GPLv2,他本人与 FSF 有不同观点,但他认为 GPLv2 起了很大作用,不应该忽视许可证问题。另一个重要原因是企业的参与,Linux 从诞生之初大企业就一直对其有兴趣,虽然部分开源社区对商业参与相当反感。Torvalds 还提到 Linux 曾是他的工作名,他一开始没有选择 Linux 作为新系统的名字是因为这会让人觉得太自大,可能就不会认真对待,因此挑选了名字 Freax,代表 Free Unix。但首位 Linux 管理员 Ari Lemmk 认为这个名字太蠢,因此选择 Linux 这个名字作为 Torvalds 的个人项目使用。
Linux 作者 Linus Torvalds 在内核邮件列表上宣布释出 Linux 5.14。在 Linux 社区庆祝诞生 30 周年活动之际,Linux 作者认为社区需要一些喘息的机会,而这个机会就是试用 Linux 5.14。新版本的主要特性包括:在云计算时代有用的核心调度(Core scheduling);改进 CFS 带宽控制器在突发性延迟敏感工作负荷下的表现;rq_qos I/O 优先策略;改进 SO_REUSEPORT 网络选项;控制组关闭功能;memfd_secret()系统调用;quotactl_fd() 系统调用,等等。
至今仍在维护的历史最悠久的 Linux 发行版 Slackware 释出了 15.0 RC1,朝着正式版本的推出前进了一大步。它的上一个稳定版本 Slackware 14.2 还是在 2016 年发布的。Slackware 15.0 的主要变化包括:KDE Plasma 5.21、Xfce 4.16 和 GNOME 3.36/3.38,内核版本为 Linux Kernel 5.13,其它应用包括 Python 3.9,Mozilla Firefox 91.0.1 和 Thunderbird 91.0.1 等。
广泛使用的 GNU C Library (glibc)在六月份释出了一个安全修正,但这个补丁却创造了新的更严重的 bug。glibc 原先的漏洞其实是很难利用的,需要许多先决条件才有可能利用 bug 崩溃程序。但打上补丁之后的 glibc 却被发现创造了一个更容易被利用的 bug。CloudLinux TuxCare Team 的研究员 Nikita Popov 在检查补丁时发现了问题,新的 bug 容易诱发段错误(segmentation fault),导致使用 glibc 的程序崩溃,产生一个拒绝服务问题。新 bug 比旧 bug 更容易诱发。修正第二个 bug 的补丁已经释出并整合到 glibc 库中。使用者最好尽快升级到最新的稳定版本 glibc 2.34。
elementary OS 桌面发行版释出了代号为 Odin 的 elementary OS 6。elementary OS 使用神话中的人物命名,如 5.0 版命名为 Juno,为罗马主神朱庇特之妻,而 Odin 则是北欧神话中的主神奥丁。elementary OS 设计易于使用,新版本的主要特性包括:新的夜间模式主题;应用中心 AppCenter 中所有应用都使用 Flatpaks 格式打包发行,Flatpaks 是Red Hat 主导开发的打包格式;支持多点触摸;重新设计了邮件客户端,等等。