Вышел nftables 1.1.6, наследник iptables

Опубликован новый релиз пакетного фильтра nftables 1.1.6 и его низкоуровневой библиотеки libnftnl 1.3.1. Этот инструмент - современная замена старому семейству iptables, объединяющая фильтрацию для IPv4, IPv6, ARP и мостов под одним синтаксисом.

nftables работает по такой схеме: правила компилируются в байт-код в пользовательском пространстве, а затем выполняются в лёгкой виртуальной машине прямо в ядре. Это сокращает код в ядре и делает логику гибче.

Основные изменения:

— Обеспечена полная поддержка шаблонов легковесных туннелей, таких как vxlan, geneve и erspan.
— Добавлена поддержка масок в именах сетевых интерфейсов в обработчиках netdev.
— На системах с ядром Linux 6.18+ реализована поддержка передачи L2-кадров в интерфейс сетевых мостов для локальной обработки.
— Добавлена новая инфраструктура для fuzzing-тестирования с использованием инструментария afl++ (american fuzzy lop++), включаемая на этапе сборки через "./configure --with-fuzzer".

Linux / Линукс 🥸

Выпуск Proxmox Datacenter Manager 1.0

Proxmox представил стабильный релиз нового продукта Proxmox Datacenter Manager (PDM) 1.0. Это отдельный дистрибутив для централизованного управления множеством независимых кластеров Proxmox VE через единый веб-интерфейс и CLI.

Весь серверный бэкенд и утилиты написаны на Rust, а веб-интерфейс использует фреймворк Yew для WebAssembly. Дистрибутив основан на Debian 13.2 с ядром Linux 6.17 и OpenZFS 2.3.4. Ключевая техническая особенность - возможность live-миграции виртуальных машин между разными физическими кластерами, а не только внутри одного. Система оптимизирована для работы с огромным масштабом, демонстрируя в тестах управление более чем пятью тысячами хостов и десятью тысячами виртуальных машин.

Функционал включает централизованный сбор и кэширование метрик, систему RBAC для управления доступом, сводные журналы аудита и мощный поиск по ресурсам с синтаксисом, похожим на Elasticsearch. Также реализован единый доступ по SSH ко всем управляемым узлам прямо из интерфейса PDM и начальная поддержка программно-определяемых сетей (SDN) на базе EVPN для организации сетевого взаимодействия между кластерами. По сути, это гипервизор второго порядка, превращающий разрозненные инсталляции в единый пул ресурсов.

Linux / Линукс 🥸

Представлен терминальный HTTP-клиент с сочетаниями клавиш Vim

Разработчик Оуэн Хохвальд представил открытый проект Volt. Это терминальный HTTP-клиент, где для работы используются сочетания клавиш текстового редактора Vim. Решение написано на Go и использует фреймворк Bubble Tea TUI. Проект обеспечивает отзывчивый интерфейс, не жертвуя скоростью и простотой командной строки.

Автор инструмента пояснил, что Volt подходит для разработчиков, которые:
▪️ работают в терминале и не любят переключение контекста;
▪️ хотят использовать функции Postman без наворотов Electron ;
▪️ любят сочетания клавиш Vim и управляемые с клавиатуры рабочие процессы ;
▪️ нуждаются в быстром HTTP-клиенте с возможностью написания скриптов и красивым пользовательским интерфейсом.

Linux / Линукс 🥸

Jolla представила Linux-смартфон с физическим переключателем приватности

Финская компания Jolla после долгого перерыва по выпуску новых телефонов объявила о начале приёма предзаказов на смартфон Jolla Phone, который может поступить в продажу уже в следующем году — при условии сбора достаточного числа предзаказов. Устройство работает на базе мобильной ОС Sailfish и позиционируется как независимый европейский Linux-проект, реализуемый совместно с сообществом (Do It Together, DIT), которое им будет пользоваться.

В Jolla подчёркивают, что в основе системы лежит настоящий Linux, а не его упрощённая или модифицированная версия, и заявляют об отсутствии встроенной телеметрии, аналитики или автоматических обращений к удалённым серверам. При этом смартфон поддерживает установку Android-приложений, но пользователь, если пожелает, может полностью исключить из системы сервисы Google, уточняет GSMArena.

Технические характеристики Jolla Phone включают однокристальную систему MediaTek (SoC), 12 Гбайт оперативной памяти и 256 Гбайт встроенной памяти с возможностью расширения через microSD-карту. Экран — 6,36-дюймовый FullHD AMOLED с плотностью пикселей 390 ppi и защитным стеклом Gorilla Glass. На задней панели установлены две камеры: основная с разрешением 50 Мп и ультраширокоугольная на 13 Мп, разрешение фронтальной камеры не раскрывается.

Аккумулятор ёмкостью 5500 мА·ч является съёмным, как и задняя панель корпуса, которая будет доступна в трёх цветах: «Снежно-белый» (Snow White), «Чёрный Каамос» (Kaamos Black) и «Оранжевый» (The Orange). Среди прочих функций указывается боковой сканер отпечатков пальцев, поддержка NFC, сетей 5G, двух SIM-карт и физический переключатель приватности, позволяющий отключать микрофон, камеру и Bluetooth.

Производство Jolla Phone начнётся только при условии достижения 2000 предзаказов до 4 января 2026 года. На момент анонса уже поступило свыше 1200 предварительных заказов. Предзаказ доступен с авансовым платёжом в 99 евро, а полная стоимость устройства составит 499 евро (около 44 600 рублей) для ранних покупателей. Розничная цена впоследствии будет находиться в диапазоне от 599 до 699 евро.

Поставки смартфона планируются к концу первого полугодия 2026 года, изначально — на рынки Великобритании, Норвегии, Швейцарии и стран ЕС, с возможностью расширения географии в зависимости от спроса.

Linux / Линукс 🥸

Обновление Postfix 3.10.7 с устранением проблемы со сборкой в новых дистрибутивах Linux

Опубликованы корректирующие выпуски поддерживаемых веток почтового сервера Postfix 3.x - 3.10.7, 3.9.8, 3.8.14 и 3.7.19. В новых версиях устранена проблема со сборкой из исходного кода, возникающая в новых версиях дистрибутивов Linux, перешедших на набор компиляторов GCC 15, по умолчанию переведённого на использование стандарта С23.

Проблема в том, что в стандарте С23 определено новое зарезервированное ключевое слово "bool", которое сопоставлено с типом, имеющим размер 1 байт. В коде Postfix определён собственный тип "bool", сопоставленный с типом "int", имеющим размер 4 байта. Попытка сборки Postfix компилятором в режиме С23 завершается ошибкой из-за переопределения типа "bool". В находящейся в разработке ветке Postfix 3.11 реализована поддержка нового типа "bool". Так как связанное с поддержкой нового типа "bool" изменение охватывает много строк кода, решено не переносить его в стабильные ветки, а добавить при вызове gcc и clang флаг компиляции "-std=gnu17" для использования стандарта C17.

Linux / Линукс 🥸

Первая реакция каждого разработчика на Linux по-прежнему актуальна

Linux / Линукс 🥸

Стабильность, которую ждали полвека... драйверы GPIB вышли из беты спустя 53 года и официально вошли в ядро Linux 🎩

В грядущем релизе Linux 6.19 произошло историческое событие, доказывающее, что в опенсорсе никто не забыт и ничто не забыто. Драйверы для шины GPIB (General Purpose Interface Bus), которую HP представила миру еще в далеком 1972 году, наконец-то переехали из тестовой ветки staging в основной состав ядра 🥳 Потребовалось всего-то 53 года с момента изобретения технологии и год активной чистки кода, чтобы признать этот интерфейс достаточно стабильным для мейнлайна.

Для понимания масштаба... этот параллельный интерфейс со скоростью 8 МБ/с появился, когда Линуса Торвальдса еще не было в планах. Тем не менее, GPIB до сих пор жив в научных лабораториях, соединяя винтажные осциллографы, мультиметры и спектроанализаторы с внешним миром. Раньше приходилось собирать модули вручную из исходников времен SourceForge и ядра 2.4, но теперь поддержка железа предков будет работать без танцев.

Где-то в подвале НИИ сейчас открыл шампанское один бородатый инженер... наконец-то можно обновить ядро на стенде, не переписывая мейкфайлы для вольтметра.

Типичный 🥸 Сисадмин

Вышла Bcachefs 1.33.0. Файловая система получает самую крупную доработку за два года

Главная новинка релиза 1.33.0 - новый механизм reconcile (также называемый rebalance_v2). В отличие от старой системы rebalance, которая занималась только данными, reconcile умеет ребалансировать и метаданные. Это критически важно при добавлении новых дисков в пул. Теперь файловая система автоматически перенесёт на них не только данные, но и служебную информацию. Кроме того, механизм применяется ко всем операциям ввода-вывода, а не только к фоновым задачам, и сразу реагирует на изменение настроек или деградацию данных.

Теперь можно создать Bcachefs на одном диске с параметром replicas=2, а при добавлении второго диска система сама начнёт реплицировать на него данные — без ручных команд. Для контроля добавлены утилиты reconcile status и reconcile wait.

Другие ключевые изменения:

▪️ Подготовка кода к будущему переходу на Rust: число операций goto сокращено с 2500 до 600, для работы с ошибками внедрён макрос try(), а вместо самописных векторов теперь используется макрос DARRAY().

▪️ Улучшена диагностика: сообщения об ошибках теперь чётко разделяют программные и аппаратные сбои, предлагают действия по восстановлению и выводят коды ошибок от дисков. Появились индикаторы прогресса для всех стадий восстановления, а команда bcachefs fs usage корректно отображает состояние деградировавших данных.

▪️ Переработана система логирования с раздельными лимитами для разных типов ошибок, чтобы важные аппаратные сбои не терялись в потоке программных предупреждений.

Linux / Линукс 🥸

В Rust-репозитории crates.io выявлены четыре вредоносных пакета

Разработчики языка Rust предупредили о выявлении в репозитории crates.io пакетов finch-rust, sha-rust, evm-units и uniswap-utils, содержащих вредоносный код.

Пакет evm-units включал код для загрузки вредоносных компонентов, нацеленных на кражу криптовалюты. Вредоносный пакет был размещён в апреле 2025 года и был загружен 7257 раз. Пакет uniswap-utils также был загружен в апреле, был загружен 7441 раз и использовал evm-units в качестве зависимости. Вредоносный код активировался при вызове функции get_evm_version() и приводил к загрузке внешнего кода по ссылке "https://download[.]videotalks[.]xyz/gui/6dad3/...". В Linux и macOS загружался и запускался скрипт init, а в Windows - init.ps1.

Пакет sha-rust был размещён в каталоге 20 ноября, был загружен 153 раза и содержал код для поиска и отправки на внешний сервер конфиденциальных данных. Пакет finch-rust включал оригинальный код из пакета finch, в который был добавлен вызов функции "sha_rust::from_str()", при выполнении которой выполнялся обфусцированный обработчик, отправляющий на сервер "https://rust-docs-build[.]vercel[.]app/api/v1" информацию о системе, переменные окружения, а также содержимое config.toml, id.json и файлов с расширением ".env" (например, production.env, staging.env и dev.env с токенами доступа).

25 ноября в crates.io также был размещён пакет finch-rust, использующий sha-rust в качестве зависимости и созданный для тайпсквоттинг-атаки на пользователей легитимного пакета finch, рассчитывая, что пользователь не обратит внимание на отличие в названии, найдя пакет через поиск или выбрав из списка.

Linux / Линукс 🥸

В ядро Linux добавлен Live Update Orchestrator для обновления в Live-режиме

В кодовую базу ядра Linux, на основе которой в начале февраля будет сформирован релиз 6.19, принят код подсистемы LUO (Live Update Orchestrator). Она разработана Google для обновления ядра в Live-режиме без физической перезагрузки. Подсистема базируется на механизме KHO (Kexec HandOver), реализующем возможность запуска нового ядра из старого без потери состояния системы.

Live Update Orchestrator позволяет полноценно перезагрузить и обновить ядро без остановки работы и не теряя состояние системы, устройств и процессов. В дополнение к функциональности KHO, подсистема LUO сохраняет состояние устройств и оперативной памяти, а также обеспечивает непрерывность операций, связанных с DMA и обработкой прерываний. Состояние сохраняется до переключения на новое ядро и восстанавливается после задействования нового ядра без нарушения непрерывных операций с устройствами, осуществляемых системой и приложениями в пространстве пользователя.

Особенностью новой серии патчей является возможность сохранения файловых дескрипторов memfd для поддержания состояния важных данных в памяти между перезагрузками, таких как содержимое оперативной памяти виртуальных машин.

В отличие от livepatch, Ksplice, kpatch, kGraft и прочих механизмов горячего наложения патчей, новая подсистема не ограничивается возможностью применения отдельных исправлений к работающему ядру и позволяет полностью заменить ядро.

Linux / Линукс 🥸

IBM поглощает компанию Confluent, развивающую Apache Kafka

Корпорация IBM достигла соглашения о покупке компании Confluent, развивающей решения для обработки потоковых данных на основе открытой платформы Apache Kafka. Компания Confluent была основана в 2014 году создателями платформы Apache Kafka и после выхода на IPO в 2021 году достигла капитализации в 10 миллиардов долларов. Сумма сделки с IBM составит 11 миллиардов долларов ($31 за акцию). Примечательно, что платформа Apache Kafka изначально была создана компанией LinkedIn как внутренний продукт, который в 2011 году был открыт и передан Фонду Apache. В 2016 году сервис LinkedIn был куплен Microsoft за 26 миллиардов долларов.

После завершения сделки Confluent продолжит работу в форме отдельного подразделения и сохранит свой бренд. Совместно с IBM планируется создать платформу обработки данных, оптимизированную для развёртывания AI-решений, позволяющую работать с потоковыми данными в реальном времени и упрощающую доступ к данным в облаках и микросервисах. Платформа обеспечит интеграцию приложений, платформ аналитики, AI‑агентов, систем хранения и обработки данных для повышения функциональности и устойчивости в гибридных облачных окружениях.

Linux / Линукс 🥸