Выпуск системного менеджера systemd 255

После четырёх месяцев разработки представлен релиз системного менеджера systemd 255. Среди наиболее важных улучшений:
• поддержка экспорта накопителей через NVMe-TCP,
• компонент systemd-bsod для полноэкранного вывода сообщений об ошибках,
• утилита systemd-vmspawn для запуска виртуальных машин,
• утилита varlinkctl для управления сервисами Varlink
• утилита systemd-pcrlock для анализа регистров TPM2 PCR и генерации правил доступа,
• модуль аутентификации pam_systemd_loadkey.so.

Linux / Линукс 🥸

Сисадмин поднялся

Linux / Линукс 🥸

Корпус Pelican R40 Debian Cyberdeck на солнечной энергии

Linux / Линукс 🥸

Новая атака на CPU Intel, AMD и ARM, позволяющая определить содержимое памяти ⌨️

Исследователи продемонстрировали, как с помощью техники атаки SLAM (Spectre Linear Address Masking) можно извлечь из памяти ядра данные, соответствующие определённой маске (за несколько десятков секунд в Ubuntu они выделили из памяти ядра строку с хэшем пароля пользователя root). Атака предлагает новый способ эксплуатации микроархитектурных уязвимостей класса Spectre.

✅ Атака может быть совершена на системах:
• с процессорами Intel, поддерживающими расширение LAM (Linear Address Masking),
• с процессорами AMD с расширением UAI (Upper Address Ignore),
• с процессорами ARM с расширением TBI (Top Byte Ignore),
• на старых CPU AMD Zen+ и Zen 2, подверженных уязвимости CVE-2020-12965.

Интересно, что процессоры Intel, AMD и ARM с поддержкой LAM, UAI и TBI ещё только анонсированы, но массово не производятся.

Типичный 🥸 Сисадмин

Релиз Alpine Linux 3.19

Alpine Linux – минималистичный дистрибутив, построенный на базе системной библиотеки Musl и набора утилит BusyBox. Дистрибутив отличается повышенными требованиями к обеспечению безопасности и собран с защитой SSP.

В новом выпуске:
▪️ Ядро Linux обновлено до выпуска 6.6.
▪️ Добавлена поддержка плат Raspberry Pi 5.
▪️ В качестве бэкенда к iptables по умолчанию задействован пакет iptables-nft.
▪️ Пакеты с ядром для Raspberry Pi 2 (linux-rpi2) и Raspberry Pi 4 (linux-rpi4) объединены в один пакет linux-rpi.
▪️ Каталог с пакетам Python помечен как управляемый внешним инструментарием (утилита pip больше не сможет устанавливать пакеты в системный каталог, содержимое которого управляется пакетным менеджером apk). Вместо pip следует использовать pipx.
▪️ Из-за смены лицензии на несвободную удалены пакеты компании HashiCorp: Consul, Nomad, Packer, Terraform и Vault.

Linux / Линукс 🥸

На саммите Open Source в Японии Линус Торвальдс рассказал о Rust в Linux, усталости сопровождающих ядра проекта и будущей роли ИИ в новых версиях ОС

Linux / Линукс 🥸

Простой и удобный шаблон для bash-скриптов выполняемых по расписанию

В статье автор делится шаблоном скрипта-обёртки на bash для запуска заданий по cron (а сейчас и systemd timers). Как выяснил автор, cron не очень удобный планировщик задач. При этом практически безальтернативный. Чем больше становился парк серверов и виртуальных машин, тем больше автор получал бесполезных почтовых сообщений "From: Cron Daemon".

Автор написал свой шаблон для запуска периодических заданий, который вот что умеет:

• сохраняет в лог-файлы STDERR и STDOUT выполняемых команд;

• если задание завершилось ошибкой, то отправляет на заданный электронный адрес последние 10000 (можно настроить любое) строк STDOUT и STDERR;

• опционально может отправить метрику в Zabbix, если задача выполнена успешно (удобно для сброса времени срабатывания триггера);

• гарантирует, что одновременно будет запущена только одна копия задания;

• опционально может запускать задачу с рандомной (в заданном диапазоне) задержкой по времени;

• опционально можно установить максимальное время работы, по истечению которого задача будет принудительно завершена с ошибкой.

📌 Подробнее в статье

Linux / Линукс 🥸

Нет ничего лучше, чем пересобрать пакеты

Linux / Линукс 🥸

Уязвимость в Bluetooth позволяет удаленно управлять Apple и Linux устройствами ⌨️

Уязвимость существует с 2012 года и позволяет злоумышленникам подключаться к устройствам Apple, Android и Linux без аутентификации и вводить произвольные команды. CVE-2023-45866 не требует специального оборудования для эксплуатации, что делает её особенно опасной.

Атаку можно осуществить через стандартный Bluetooth-адаптер на компьютере с операционной системой Linux.

✍️ Дефект позволяет обмануть механизм Bluetooth-сопряжения, заставив устройство подключить поддельную клавиатуру без аутентификации. Алгоритм неаутентифицированного сопряжения прописан в протоколе самого Bluetooth, но ошибки в его реализации на программном уровне открывают двери для злоумышленников.

🛠 Исправления для версий Android 11-14 доступны производителям оригинального оборудования. Все поддерживаемые устройства Pixel получат обновление в декабре. Однако для Android 4.2.2 - 10 решения пока нет.

🥸 В Linux проблема была устранена в 2020 году, но большинство дистрибутивов, в том числе Ubuntu, Debian и другие, по умолчанию оставили обновление отключенным.

🥸 godnoTECH - Новости IT

Arch словил баг прямо на моих глазах

Linux / Линукс 🥸

💡 Настройка sudo для пользователей Linux

▪️ Используйте visudo для редактирования конфигурации sudo

Команда sudo настраивается с помощью /etc/sudoers файла. Неправильный синтаксис в этом файле оставит вас с испорченной системой, где sudo не будет работать.

Просто используйте: sudo visudo

visudo выполняет проверку синтаксиса при попытке сохранить ваши изменения.

▪️ Показывать звездочки при вводе пароля с помощью sudo
При вводе пароля для sudo в терминале, он ничего не отображает. Отсутствие визуальной обратной связи может сбить с толку новых пользователей Linux.

Чтобы отобразить звездочки с помощью sudo, запустите sudo visudo и найдите строку: Defaults env_reset

Измените ее на: Defaults env_reset,pwfeedback

В некоторых дистрибутивах, таких как Arch, вы можете не найти строку env_reset по умолчанию. В этом случае просто добавьте новую строку с текстом Defaults env_reset, pwfeedback

▪️ Увеличьте время ожидания пароля sudo
В первый раз использования sudo запрашивает пароль. Но для последующих команд с помощью sudo вам не нужно вводить пароль в течение определенного времени. Вы можете установить тайм-аут пароля sudo.

Отредактируйте файл sudoer, как вы видели выше, и найдите строку с Defaults env_reset и добавьте timestamp_timeout=XX к строке, чтобы она стала такой:

Defaults env_reset, timestamp_timeout=XX

где XX - время ожидания в минутах.

Если у вас есть другие параметры, все они могут быть объединены:

Defaults env_reset, timestamp_timeout=XX, pwfeedback

Аналогичным образом можно регулировать лимит повторных попыток ввода пароля. Используйте passwd_tries=N.

Linux / Линукс 🥸

Автор GnuPG основал LibrePGP, форк стандарта OpenPGP

Вернер Кох, основной разработчик и создатель проекта GNU Privacy Guard (GnuPG), основал проект LibrePGP, сосредоточенный на развитии обновлённой спецификации, альтернативной стандарту OpenPGP. Форк создан в ответ на изменения, намеченные рабочей группой IETF для внесения в следующее обновление спецификации OpenPGP (RFC-4880) и воспринятые Кохом как сомнительные с точки зрения сохранения совместимости и обеспечения безопасности.

Поддержавшие форк разработчики проектов GnuPG, RNP (реализация OpenPGP от Thunderbird) и Gpg4win опасаются, что намеченные изменения окажутся губительны для существующих внедрений приложений на базе OpenPGP, пользователи которых рассчитывают на стабильность спецификации в длительной перспективе и не готовы мириться с изменениями, нарушающими совместимость.

Linux / Линукс 🥸

Linux / Линукс 🥸