adv

adv
致长期以来一直关注solidot的海内外朋友,请点击这里查看。
安全
pigsrollaroundinthem(39396)
发表于2017年08月21日 12时55分 星期一
来自与社区做对
Gentoo 发行版宣布将移除加固内核。Gentoo 加固内核 sys-kernel/hardened-sources 的核心是grsecurity 加固内核补丁集,但最近 grsecurity 开发者决定限制访问这些补丁集,导致 Gentoo 加固内核团队无法保证一个定期的补丁计划表,无法保证使用加固内核用户的安全。因此它决定到 9 月底移除加固内核软件包。
审判
pigsrollaroundinthem(39396)
发表于2017年08月04日 13时02分 星期五
来自这应该驳回
开源促进会的联合创始人 Bruce Perens 6 月底在博客上谈论了内核加固补丁集项目 Grsecurity,认为该项目违反了 Linux 内核采用的 GPL 许可证。他认为 Grsecurity 是 Linux 的一个衍生作品,它离不开内核,没有内核它无法工作。这意味着 Grsecurity 也必须采用 GPLv2 许可证或兼容 GPLv2 的许可证。Grsecurity 的回应是起诉 Bruce Perens 诽谤。起诉书坚称 Grsecurity 遵守了 GPLv2 许可证,该公司的协议只应用于未来的补丁, GPLv2 没有任何条款规定可应用于尚未开发、创造或发布的未来版本或更新。
安全
pigsrollaroundinthem(39396)
发表于2017年08月03日 15时16分 星期四
来自
HardenedLinux 写道 "Green Hills 的 Dan O’Dowd 于 2004 年发表的名为 Linux in Defense 的系列文章通过一系列的分析试图向公众解释为什么 Linux 内核不适合一些场景特别是国家防御,在第一篇 ( FAA Safety-critical Certified Operating Systems Deliver The Reliability and Security Required by Defense Systems; Linux Does Not) 文章中谈到了大众认为 Linux 内核作为通用操作系统可以用到除了桌面和服务器外的场景比如国家防御系统,Dan 认为不应该考虑在 FCS(陆军未来战士系统),JTRS(联合战术) 以及 GIG 中使用 Linux,对关于高安全性系统方面提出了探讨: 查看全文
Redhat
pigsrollaroundinthem(39396)
发表于2017年08月02日 15时25分 星期三
来自办公室政治
Red Hat 的企业发行版 Red Hat Enterprise Linux(RHEL)发布了最新的 7.4 版,其中一个引人注目的变化是 RHEL 将移除 Btrfs 文件系统。Red Hat 在声明中称,自 RHEL 6 发布以来 Btrfs 就一直处于技术预览状态,Btrfs 将不会转变成完整支持的功能,未来的大更新版本将会移除该功能。 Btrfs 将会继续留在 RHEL 7 中,RHEL 7.4 包含了多个来自上游的 Btrfs 更新,但这将是计划中的最后更新。一部分人认为,Red Hat 此举是出于技术方面的原因,但还有一部分人认为是政治方面的原因,因为 Btrfs 最早是 Red Hat 竞争对手甲骨文开发的,甲骨文在 RHEL 基础上创造了自己的企业发行版。
Linux
pigsrollaroundinthem(39396)
发表于2017年07月28日 20时45分 星期五
来自作者自己介绍
Linux 官网介绍了 Alexandre Courouble 开发的 Email2git 项目,该项目旨在匹配 Linux 代码和邮件列表讨论,针对的是 Linux 内核代码和内核邮件列表上的相关讨论。Linux 项目采用的是基于邮件列表的代码评审流程,但代码一旦合并之后很难再将 Git commits 与邮件列表上的评审意见关联起来,尤其是当 commits 有多个版本属于多个补丁集的情况下。Email2git 就是试图解决这个问题,它有两种使用方式,其一是作为 cregit 扩展,其二是作为一个基于 commit ID 的搜查工具。项目代码发布在 GitHub 上。
GNUStep
pigsrollaroundinthem(39396)
发表于2017年07月27日 21时02分 星期四
来自就差两年 10 年
在 2.0 发布 8 年之后,GNUStep live CD 发行版释出了 2.5 版。2.5 版是基于 Debian 9 和 Linux 4.9,但没有使用 systemd 仍然是经典的 init。其它软件包括 macs, GCC, Clang, bash, zsh,Nginx, Knot, dropbear, xrdp Gorm.app, Chess.app, FontManager.app,Protracker, Mr. Boom, Grafx2 等等。GNUStep 是 OPENSTEP 规格的自由软件实现。
娱乐
pigsrollaroundinthem(39396)
发表于2017年07月25日 19时31分 星期二
来自洛丽塔
一位 Arch Linux 用户本月初投诉了一个镜像服务器域名 loli.forsale,投诉者认识到这个域名是在开贩卖人口的玩笑,但认为其表达方式非常的不专业,因此建议从官方的镜像服务器列表移除。Arch Linux 管理员接受了该用户的建议,loli.forsale 域名随后被移除。此事引发了该域名管理者的不满,认为此举是对言论自由的限制。
Linux
pigsrollaroundinthem(39396)
发表于2017年07月10日 12时24分 星期一
来自转投 BSD
开源促进会的联合创始人 Bruce Perens(另一位是 ESR)谈论了内核加固补丁集项目 Grsecurity,认为该项目违反了 Linux 内核采用的 GPL 许可证。在这之前,Linux 创始人 Linus Torvalds 曾在邮件列表上抨击 Grsecurity 的补丁是垃圾。他认为 Grsecurity 是 Linux 的一个衍生作品,它离不开内核,没有内核它无法工作。这意味着 Grsecurity 也必须采用 GPLv2 许可证或兼容 GPLv2 的许可证。而 Grsecurity 目前是一款商业产品,只提供给商业用户,如果商业用户再分发 Grsecurity 的补丁,他们会受到警告,面临惩罚,无法再访问 Grsecurity 的后续补丁。GPLv2 第六节禁止了此类的再分发政策和额外的条款。他建议企业应该避免使用 Grsecurity产品,因为该产品存在违反许可证和违约的风险。
Linux
pigsrollaroundinthem(39396)
发表于2017年07月03日 13时07分 星期一
来自4.13 开始
Linus Torvalds 在内核邮件列表上宣布释出 Linux 4.12。Linux 4.12 的主要特性包括: BFQ 和 Kyber block I/O 调度器,livepatch 改用混合一致性模型信任的执行环境框架,epoll 加入 busy poll 支持,等等。其它还包括文件系统、加密和安全方面的改进,架构更新、新硬件支持和驱动如 AMD Radeon RX Vega 显卡支持,初步的 Nvidia GeForce GTX 1000 "Pascal"加速支持,等等。
Linux
pigsrollaroundinthem(39396)
发表于2017年06月27日 11时30分 星期二
来自
HardenedLinux 写道 "Linux 内核 “社区” 对待安全的优先级并不高,虽然经历了 2000 年代的多次大规模漏洞利用事件但并没有让 Linus Torvalds 本人改变 "A bug is bug" 的哲学,由于 Linux 内核的安全问题逐渐影响到了 Android 和 IoT 设备,一次 华盛顿邮报的曝光促使了 KSPP(Linux 内核自防护项目)的成立,KSPP 是由 Linux 基金会旗下的 CII(基础架构联盟)管理,其吸纳了来自诸多大厂商(Google, RedHat, Intel, ARM 等)的工程师进行联合工作,可惜的是两年的时间过去了,KSPP 大多时候只是在重复的抄袭 PaX/Grsecurity 的各种特性以获得各自雇主那里的 KPI 和 credit,各种混乱的代码合并到了 Linux 主线影响了 PaX/Grsecurity 的正常开发,这也是 PaX/Grsecurity 关闭公开访问 test patch 的主要原因之一,最近由 Qualys 曝光的 Stack clash 是一个古老的漏洞利用平面的工程化,这威胁到了几乎所有类 UNIX 系统(包括 GNU/Linux)的安全,当 Linux 内核 x86 的 maintainer 之一 Andy Lutomirski 问及 PaX/Grsecurity 是如何修复时 Linus 直接回复了 Grsecurity 是垃圾,有趣的是当 PaX/Grsecurity 的作者之一 Spender 曝光了一些内核最近的 silent fix 以后 Linus 居然 “邀请”PaX team/Spender 直接贡献代码到 Linux 内核代码,这是不大可能发生的,因为今天所谓的内核 “社区” 主要是由一帮大厂商的雇员组成,没有人有义务免费的贡献代码去帮助那些需要从雇主那里获得 KPI 的工程师,更讽刺的是, stack clash 的部分修复居然来自 PaX/Grsecurity 于 2010 年的代码,Linus 说 PaX/Grsecurity 是垃圾也等同于打 KSPP 的脸,因为 KSPP 还在继续抄袭 PaX/Grsecurity,而针对 Linux 内核的漏洞利用是否大规模被恶代使用只是曝光与否的问题。此外,虽然 Stack clash 的 * EMBARGOED" 从开始到现在已经 1 个月,但至今 CVE-2017-1000370(offset2lib bypass) 仍然未修复,RedHat 网站上所谓的 "Under Investigation" 只是继续等待 Linux 主线内核的修复,或许要让 Linux 内核安全有所改善我们需要更多的 stack clash 和 DirtyCow 持续曝光

因为利益的关系,Linux 基金会对自由软件社区和 GPL 已经非常不友好,虽然 Greg K-Hartman 一直强调 Linux 基金会是一个非盈利组织,但一个 NGO 的 CEO 为什么有高达 49 万美金(2014 财年)的年薪,也没人知道为什么 Greg 本人会有 Google 的邮箱(拿 Linux 基金会和 Google 双薪水?),Linux 内核本来有一次改善安全的机会,可惜 Linux 基金会的市场 PR 需求搞砸了整件事。HardenedLinux 社区在这里建议所有的 GNU/Linux 用户请认真重新评估数据资产的重要性所对应的安全等级。"

Linux
pigsrollaroundinthem(39396)
发表于2017年06月26日 18时35分 星期一
来自看热闹
Linus Torvalds 在邮件列表上抨击 Grsecurity 的补丁是垃圾。Grsecurity 项目提供了内核的加固补丁集,但不再对外公开,只提供给订阅者。Linus 对 Grsecurity 补丁集的批评是它为上游提供的补丁是“笨重丑陋”,上游维护者没人想要合并这些补丁,当某人尝试剥离补丁中不必要的部分留下重要的部分,却遭到了 Grsecurity 的投诉甚至威胁。所以 Linus 说 Grsecurity 为内核提供的修正不是垃圾,但补丁集本身是垃圾。Linus 与 Grsecurity 项目的开发者在邮件列表上进行了一番笔战。
Linux
pigsrollaroundinthem(39396)
发表于2017年06月25日 15时12分 星期日
来自不喷了
Linus Torvalds 首次出席了在中国举行的 LinuxCon + ContainerCon + CloudOpen China 会议,谈论了 Linux 诞生二十五年来仍然让他感到惊讶和激励他的事情。Linus 说,“令我感到有意思的是,我认为已经稳定的代码仍然在持续得到改进;有些代码我们已经很多年没有接触,然后有人现身提出了改进,或者针对我认为没人使用的代码递交了 bug 报告。我们有新的硬件,有开发中的新特性,但旧的基础的东西仍然被人关注和获得改进。”Linus 称他喜欢自己的工作,这份工作没有太多的压力,但在技术上令人感兴趣又富有挑战性。他偶尔会短暂从这份工作中脱身,比如花了 2 到 3 周时间开发了 Git,但中断的时间越长他越感到无聊。他从没有感到需要更长时间的休息。Linus 称,他们的工作流程能持续更长时间,Linux 仍然有强有力的维护者团队,当维护者变老变胖,会有新人来接替。他不认为需要担心未来二十年。Linus 对 Git 的流行感到意外,他本以为 Git 版本控制系统主要应用于 Linux 项目,因为 Git 是根据 Linux 的开发需要设计的。然而今天,在某些圈子里,Git 比 Linux 更知名。
Linux
pigsrollaroundinthem(39396)
发表于2017年06月19日 11时21分 星期一
来自未雨绸缪
稳定版内核维护者 Greg Kroah-Hartman 宣布,Linux Kernel 4.14 将是下一个长期支持版。Linux 4.14 尚未发布和启动开发,目前最新的稳定版内核是 Linux 4.11,下个版本 Linux 4.12 预计将在下月初释出,在 4.12 发布两周之后,4.13 的开发将全面启动,4.14 预计将在 9 月中旬启动开发,正式发布预计将在 11 月初。长期支持版将提供为期两年的支持,也就是从 2017 年 11 月支持到 2019 年 11 月。目前最新的长期支持版是 Linux 4.9。
Linux
pigsrollaroundinthem(39396)
发表于2017年06月09日 20时01分 星期五
来自M$ 要让 Skype 社交化
微软的 Skype 通信软件在 Linux 平台上有多个客户端,其中原生客户端已被废弃了很长时间,它的版本号仍然停留在 4.3,而 Windows 桌面版客户端最新版本是 7.37。去年微软利用 Web 技术开发了新版的 Linux 客户端,利用了WebRTC 技术,新的客户端有两个版本,一个是独立的应用,一个则是支持 Chrome 的 Web 版本。新版 Linux 客户端相比其它平台的版本缺乏一些高级的功能,仅仅支持简单的语音视频通话。现在,微软宣布旧版 Skype Linux 客户端(4.3 及之前版本)将于 7 月 1 日退役。
Linux
pigsrollaroundinthem(39396)
发表于2017年05月05日 12时32分 星期五
来自与时俱进
去年十月,伦敦警方以六项恐怖主义罪名逮捕了 Samata Ullah。他的一项罪名是向一位准备发动恐怖行动的人提供如何使用加密的说明。他的另一项指控是研究加密程序,开发了一个个人博客的加密版本,在网站上介绍如何使用加密程序的方法。Samata Ullah 可能是少数精通流行加密技术的恐怖分子同谋,调查人员从他的家中扣押了超过 6.1 TB 的数据,他的一个 U 盘被发现包含有流行 Linux 发行版 Linux Mint 的拷贝,因此被称为 Linux Mint 恐怖分子。他的 Wordpress 博客部分托管在 ZeroNet P2P 服务上,不需要中央服务器就能保持网站运行,网站至今仍然能访问。本周他被判了 8 年徒刑
Linux
pigsrollaroundinthem(39396)
发表于2017年05月01日 16时17分 星期一
来自
Linus Torvalds 在内核邮件列表上宣布释出 Linux 4.11。主要新特性包括:多队列块层支持可插拔 IO 调度器框架和死线调度器;固态硬盘支持可扩展 swapping;新的 perf ftrace 命令;MD/RAID5 日志;新的 statx() 系统调用;支持 Opal Storage Specification 驱动;支持 SMC-R 协议(RFC7609);SipHash 哈希函数;新的 LZ4 压缩实现;以及大量的安全、架构和驱动更新等等。
安全
pigsrollaroundinthem(39396)
发表于2017年04月27日 09时57分 星期四
来自zeta
HardenedLinux 写道 " 由于诸多因素,PaX/Grsecurity 最终决定于 2017 年 4 月 26 日关闭 test patch,4.9 成为了最后一个公开发布的 PaX/Grsecurity 的版本,这次的关闭公开下载并非是闭源,而是只针对商业用户开放源代码,PaX/Grsecurity 未来会继续研究下一代的防御技术包括防止 data-only attack 的 KERNSEAL,ARM64 平台以及 Android 系统的更多防御机制,针对 stable patch 的 RAP 以及 STRUCTGUARD。目前 Linux 内核的安全依然堪忧,PaX/Grsecurity 的 test patch 的关闭在可以遇见的未来几乎不可能出现替代品。不管怎么样,我们怀着感恩的心接受 PaX/Grsecurity 的决定,感谢 PaX team,Spender 以及所有的 PaX/Grsecurity 的贡献者在过去 16 年中为自由软件安全以及内核防御所作出的卓越贡献。虽然我们不知道 PaX/Grsecurity 是不是这个领域的 OMEGA,但众所周知,PaX/Grsecurity 必然是 ALPHA。"
Linux
pigsrollaroundinthem(39396)
发表于2017年04月25日 16时32分 星期二
来自下周 RC9
Linus Torvalds 推迟发布 Linux 4.11 正式版本,改为发布 Linux 4.1 RC8,原因是 NVMe 电源管理中的问题影响到了部分机器。目前还不完全清楚是什么导致了 NVMe 的问题,它不只是影响 NVMe 硬件,还影响其他特定平台。所以需要给男女开发者们时间,他们需要赶紧去测试。NVMe 的问题和其它 bug 使得 Linux 4.11 的发布延期一周(至少)
安全
pigsrollaroundinthem(39396)
发表于2017年04月14日 15时03分 星期五
来自手机间谍
HardenedLinux 写道 " 继去年公开针对 Nexus 7 2013 上的内核加固原型后,HardenedLinux 社区决定公开针对 Pixel XL 的加固原型,这款手机早期的原型的加固特性包括 PXN(最早设计和实现源于 PaX's KERNEXEC) +HARDENED_USERCOPY(来自 PaX/Grsecurity 的 PAX_USERCOPY 的部分实现和移植), RO vdso 以及 DEBUG_RODATA/STRICT_MEMORY_RWX(源于部分 PaX's KERNEXEC 的代码级加固),近日我们也 增加了软件模拟的 PAN 实现,PAN 类似于 x86 的 SMAP(源自 PaX 的 UDEREF),原计划是于 ARMv8 中硬件支持但最终推迟到 ARMv8.1,介于 ARMv8.1 目前暂且用于数通设备而非手机,所以软件模拟的 PAN 实现会消耗更多的 CPU 去做内核非法访问用户空间数据的防护。Google 计划会在 Android 8.x 的内核中对 Pixel XL 加入 HARDENED_USERCOPY 以及软件模拟 PAN 实现的支持,从我们基于 2017 年 2 月的 Pixel XL 内核 3.18 的加固原型来看,支持 PAN 需要大量工作(包括 UAO)。虽然这个内核加固组合远远没有达到防御 weaponized exploit 的程度,但对于恶意代码以及 root 工具大规模使用的廉价 exploit 具有很高效的防御能力。

btw: Pixel XL 是继 Nexus 系列后的最新 Android 手机,于 2016 年 10 月发布,其性能和电池能耗(简单的测试:22 小时正常使用,其中 1.5 个小时看电影)的极大的提升,目前多个国家缺货中。"

Firefox
pigsrollaroundinthem(39396)
发表于2017年03月18日 22时21分 星期六
来自默声时代
如果你是一名 Linux 用户,将 Firefox 浏览器升级到了最新的 v52,却发现浏览器不再能播放声音了,你不是唯一遇到这个问题的人。原因是 Linux 版 Firefox 52 默认使用 PulseAudio。在默认使用 PulseAudio 作为声音服务器的发行版如 Ubuntu上,这一改变不会带来问题。但如果 Linux 发行版(比如 Lubuntu 16.04 LTS)包括了 ALSA 和 PulseAudio 但默认使用 ALSA,那么你的浏览器会没有声音,但可以在设置里启用(--enable-alsa),如果发行版只有 ALSA 没有 PulseAudio,浏览器的声音播放也没有问题。Firefox 作出这一改变被认为与多进程架构和沙盒机制有关。