LinuxStory 写道 " Kali Linux 长期被黑客和安全专业人士用于渗透测试和网络监视。2021年中的最后一个版本的 Kali Linux 2021.4 于当地时间12月9日发布。在本次更新中，Kali 将跳过GNOME 40 版本，使用最新的 GNOME 41，并同步更新所有的主题和扩展来支持最新的 shell。此外的变动还包括：改进了在 Apple M1 上的支持，将 Samba 客户端默认配置更改为为 Wide Compatibility，可以使用更方便的 kali-tweaks 来快速配置镜像；添加了对 Kaboxer 主题的支持；在 Kali 系统中添加了新工具，增强了桌面和主题设计，外观更好看了；增强了 Kali ARM 和 Kali-Docs 等等。"

Linux 基金会发布了 2021 年度报告（PDF）。今年是 Linus Torvalds 发布 Linux 首个版本 30 周年，报告列举了过去三十年 Linux 如何征服世界：85% 的智能手机运行基于 Linux 内核的 Android 操作系统，Top 500 超算全部运行 Linux 操作系统，90% 的云端基础设施运行在 Linux 上，绝大部分服务器都运行 Linux。过去一年，基金会的 LFX Platform 的活跃贡献者为 28,443 人，新贡献者增加了 336%，3,631 个组织参与了 commits，...

在 Linux 桌面上部署应用曾是一件难事，问题在于库兼容性。不同的发行版，或相同发行版的不同版本，都有着不兼容的库。Linux 桌面缺乏向后兼容的文化传统。但情况已经发生了改变。Linux 桌面的稳定性最近几年有了显著的改善，核心库的开发者终于看到了维护兼容性的好处。尽管如此，应用开发者并没有充分利用预装在发行版上的稳定库，而是转向了容器化打包格式 Flatpak、Snap、AppImage、Docker 和 Steam：运用容器技术将所需要的运行时库直接封装在应用内。Flatpak 自称是应用发行的未来，但容器化打包格式并不是 Linux 应用的未来。简单举一个例子，AppImage 的计算器应用 KCalc 高达 152 MB，Flatpak 的相同应用 KCalc 在系统上首次安装需要下载 900 MB，而事实上 KCalc 应用本身只有 4.4 MB，其余都是系统上已安装了的冗余库。再下载一个 GIMP，两个应用就占用了 3GB 磁盘空间。除了更大的磁盘空间外，容器化应用还会占用更多内存，启动时间也更慢。想象下，为了启动一个计算器应用你每次需要等待 7 秒钟。

亚马逊释出了用于其 AWS 云服务的 Amazon Linux 2022（AL 2022） 的公开预览版本。AL 2022 是基于 Fedora 发行版，能为客户提供软件的最新版本，如最新的语言运行时。此外 AL2022 默认启用和执行 SELinux。从 AL2022 开始，Amazon Linux 将每两年发布一个大版本，每个版本支持五年。

在 SCO 破产之后，在法院一次又一次驳回 SCO 疯狂的版权主张，在这场传奇延续近 20 年之后，美国犹他州地方法院终于为 SCO与 IBM 之间的诉讼案划上了句号。

法院表示，由于：“这件事情中所有的索赔和反索赔，无论是否被指控，是否被承认，均已得到平息、妥协和全面解决，并且有充分的理由出现，特此命令双方的动议被批准。本诉讼中的所有索赔和反索赔，无论是否被指控，是否被承认，均已得到平息、妥协和全面解决，依法驳回，不得上诉。双方应各自承担自己的成本和开支，包括律师费。书记官受命结束诉讼。”终局！

此前一直负责监督 SCO 破产的美国特拉华州破产法院宣布，代表 SCO 债务人的 TSG 集团与 IBM 达成和解，并解决了 TSG 与 IBM 之间所有剩余索赔：“根据和解协议，双方已同意解决他们之间的所有争议，由 IBM 向受托人（TLD）支付 14,250,000 美元。”作为回报，TLD 放弃所有未决诉讼或未来可能针对 IBM 和 Red Hat 提出的诉讼索赔的所有权利和利益，以及任何有关 Linux 侵犯 SCO Unix 知识产权的指控。

Linux 笔记本电脑制造商 System76 今年早些时候宣布它开发的 Linux 发行版 Pop!_OS 将使用一个新的桌面环境 COSMIC。Pop!_OS 是基于 Ubuntu 的发行版，预装在 System76 制造的 Linux 电脑上，COSMIC 是基于 GNOME。现在它还在用 Rust 语言开发新的桌面环境，不是基于 GNOME 或 KDE 等现有的项目。这一消息是 System76 工程师和 Pop!_OS 维护者 Michael Murphy "mmstick "在 Reddit 上透露的。System76 并没有完全从零开发一个全新的桌面环境，它将使用现有的项目如 mutter、kwin 和 wlroots，用 Rust 实现一个类似 GNOME Shell 的 Shell。有人对开源社区热衷于重新发明轮子表达了不满，而 Murphy 认为有选择正是开源最好的部分。

微软基于 Chromium 的浏览器 Edge 在释出 Linux 预览版一年之后发布了正式版本。Edge 现在支持了 Windows、Mac、iOS、Android 和 Linux 五个主要平台。Linux 用户可选择从微软网站下载或通过包管理器下载。Linux 版本支持的发行版包括了 Ubuntu、Debian、Fedora 和 openSUSE。

Linus Torvalds 在内核邮件列表上宣布释出 Linux 5.15，该版本的 commit 数是 5.x 系列最少。主要新变化包括：Paragon Software 开发的 NTFS3 内核驱动，改进对微软 NTFS 文件系统的支持；新内核模块 KSMBD 实现了服务器端 SMB3 协议；在 DRAM 满的情况下内存页的内容转移到持久性内存而不是直接丢弃；Btrfs 文件系统加入了对 fs-verity 和 id mapping 的支持；监视特定用户空间进程内存访问模式的 DAMON（代表 Data Access MONitor）；process_mrelease(2)系统调用；Real Time locking progress；cgroup支持 SCHED_IDLE；printk() indexing，等等，更多可浏览 KernelNewbies 5.15。

Hive 勒索软件新变种能加密 Linux 和 FreeBSD 系统，但新变种还在开发之中，功能缺乏。安全公司 ESET 的研究人员发现，Hive 的 Linux 变种存在严重 bug，恶意程序在执行时加密会完全失败。Linux 变种只支持一个命令行参数，而它的 Windows 版本支持 5 个执行选项，包括杀死进程，略过磁盘清理，绕过不感兴趣的文件等。Linux 变种如果不是以 root 权限执行的话会无法激活加密。Hive 勒索软件组织是从今年 6 月开始活跃，是众多开始将 Linux 服务器作为攻击目标的勒索软件组织之一。

即将发布的 Firefox 94，其 Linux 版本的图形栈将从 GLX 切换到 EGL，但由于驱动问题还不会对所有 Linux 用户默认启用 EGL。为了使用硬件加速 API 如 OpenGL，X11 或 Wayland 等视窗系统都需要一个接口，在 X11 系统上利用 OpenGL 大部分程序都使用 GLX，GLX 诞生于 1990 年代，EGL 是它的继任者，被 Wayland 等广泛使用。但 X11 系统上的普及度比较缓慢，随着 bug 的修复，对 EGL 支持的改进，从 Firefox 94 起，使用 Mesa 驱动版本>21 的用户，EGL 将默认启用。使用私用 Nvidia 驱动的用户则需要继续等待。

微软正让 Windows Subsystem for Linux (WSL)更容易获得和更容易更新，WSL 预览版进入了 Microsoft Store 应用商店，Windows 11 用户可以下载和独立更新 WSL。Windows 内置的很多应用都转移到通过 Microsoft Store 更新而不是通过 Windows Updates 例行更新，这能让微软更灵活的决定何时更新应用。Microsoft Store 版本的 WSL 只是预览版，微软官方支持的版本仍然是内置在 Windows 中的版本。微软的长期目标是商店版本将是安装和使用 WSL 的最佳途径。

微软在 Windows 10 一周年更新中引入了名叫 Windows Subsystem for Linux(WSL) 的 Linux 兼容层，2020 年的 Windows 10 build 2004 升级到了 WSL2。尽管如此，在 Windows 上使用 Linux 面临两大障碍：安装 WSL 没有本应该做到的那么容易，安装 Linux 图形应用也不轻松。Windows 11 解决了这两大问题，WSL 仍然不完美，但比之前有了巨大的进步。从 Windows 10 build 2004 开始，用户只需要在命令提示符下输入 wsl --install 就可以安装 WSL，Windows 11 没有改变这一方法，输入 wsl --install 就能安装 Hyper-V、WSL 和当前版本的 Ubuntu。如果想使用其它发行版如 openSUSE 只需要输入 wsl --install -d openSUSE-42，或者通过 wsl --list --online 寻找可用发行版然后输入 wsl --install -d distroname 安装你选择的发行版。安装第二个发行版不会覆盖第一个发行版，不同发行版之间的运行环境是隔离的。除了易于安装外，Windows 11 的 WSL 还加入了对图形应用和音频的支持，是首个支持 WSLg 的 Windows 系统。

Google 数据中心产品系统运行的内核被称为 Prodkernel，它是基于旧版本的 Linux kernel，加上 Google 打上的大约 9000 个补丁，补丁包括各种内部 API、硬件支持、性能优化，以及其它必要的微调。每隔两年左右时间，这些补丁会移植到较新版本的 Linux kernel。Google 发现这种工作模式面临越来越大的挑战，原因包括：内核在两年中变化很大，跟踪 bug 会耗费大量时间。但 Google 也无法直接使用主线内核，因为它的工作负荷需要的某个特性在主线内核中可能并不存在。雪上加霜的是，Google 为其产品开发的每一个特性都是在 Prodkernel 上开发和测试的。Prodkernel 与主线内核之间的巨大差异给开发增加了越来越多的难度。为了解决这个问题，Google 发起了一个新的内核项目 Project Icebreaker，旨在解决两个问题：紧跟主线内核，让 Google 为产品引入的新特性能更容易递交到上游的主线内核；能在内核生产环境中运行任意 Google 程序，在 Prodkernel 变更内核版本前验证上游变化。目前 Icebreaker 是基于 5.13 kernel，而最新的内核版本是 5.14，5.15 处于候选发布状态。

在上周举行的北美开源虚拟峰会上，Linus Torvalds 接受了 VMware 首席开源官兼副总裁 Dirk Hohndel 的采访，谈论了 Linux 的长寿、社区和 Rust 语言。Torvalds 回忆了 Linux 的诞生，表示如果由他个人决定的话 Linux 可能会很快成为一个放弃的项目，社区对它的兴趣（比如递交补丁）是驱动项目继续前进的动力，也是它在 30 年后继续前进的动力。就他个人而言，他关心的功能早就完成了，之后引入的功能都是其他人关心或感兴趣的。Torvalds 说，他骄傲的是，30 年前也就是在 Linux 早期参与的人仍然有很多继续参与该项目，这从侧面证明了社区本身有多好，项目多么有趣。他说，从 Rust 语言开发内核模块的讨论中你能看到这种乐趣，他表示可能在明年能看到用 Rust 语言开发的模块被合并到内核主线。Torvalds 称他喜欢 C 语言，对他而言 C 是一种能在低层控制硬件的方法。他承认 C 语言的类型交互不总是合乎逻辑，存在很多陷阱，Rust 语言有可能解决这个问题。

2021 Kernel Summit 和 Linux Plumbers Conference 会议期间 Linux 内核社区对基金会的技术咨询委员会举行了年度选举，五名现任成员 Greg Kroah-Hartman、Jonathan Corbet、Steven Rostedt、Ted Ts'o（曹子德）和 Sasha Levin 重新当选。有资格投票的开发者需要有 3 个以上 commit，其中至少一个是 2020 年或 2021 年内，超过 50 个 commit 的开发者将自动获得投票资格，3 到 49 个 commit 的开发者则需要通过电邮要求投票。共有 1,012 名开发者获得投票资格。

英特尔准备通过 Platform Firmware Runtime Update 和 Telemetry 驱动代码为 Linux 内核引入 Seamless Update 功能，即无需重启就能更新固件。Seamless Update 针对的是数据中心和企业级客户，这些客户对停机时间有着高服务水平协议（service level agreements，SLA），而更新固件通常需要重启系统使得服务下线数分钟影响到 SLA。Seamless Update 设计在更新固件过程中不需要重启。英特尔可能会在明年发布 Xeon Scalable "Sapphire Rapids"时推出 Seamless Update。

Whonix 16 基于 Debian‘Bullseye’（Debian 11）发行版。这意味着用户可以使用许多和现有软件包一致的新软件包。此外，该版本还带来许多令人兴奋的安全增强功能，例如 Hardened Malloc Kicksecure (HMK)、Linux Kernel Runtime Guard (LKRG) ) 和 Whonix 安全路线图上的其他项目。

查看全文

HardenedVault 写道 "在模糊测试领域，2010年代的前半段和后半段几乎被Trinity和Syzkaller两大工具垄断，经过了数年的发展，syzkaller作为通用QA测试基本能满足Linux内核主线的迭代开发需求，但针对特定子系统的深度探索是远远无法达到高稳定性要求的行业，比如金融，工控，车联网，云计算等行业都会出现几种情况，1）引入第三方内核代码，通常这些代码都是安全漏洞的高危地带，即使不开源，通过逆向工程也可满足安全分析的需求：2）某些行业应用依赖于特定内核子系统中的特定模块，通用型QA无法快速的实现其代码覆盖率：3）应用程序中不完备的回归测试，即应用的运行并没有完成对内核稳定性的基本测试。为了更好的解决这些问题，HardenedVault开发了基于状态导向的 fuzzer : VaultFuzzer , VaultFuzzer方案兼容现有的syzkaller框架，最大的优势在于可以把客户的业务需求和特定内核子系统给关联起来，这样的模糊测试可以为业务系统带来更强的稳定性。"

Linus Torvalds 在内核邮件列表上宣布释出 Linux 5.15-rc1，该版本的 commit 数是 5.x 系列最少。主要新变化包括： Paragon Software 开发的 NTFS3 内核驱动，改进对微软 NTFS 文件系统的支持；内核空间 SMB3 文件服务器 KSMBD；AMD PassThru DMA 引擎驱动；英特尔 DG2/Alchemist 和 XeHP 显卡初步支持；改进 Apple M1 支持；等等。如果一切顺利，Linux 5.15 正式版将在 11 月释出。

HardenedVault 写道 " 自从1996年Aleph One在Phrack Issue 49上发表了 Smashing The Stack For Fun And Profit的论文后，开启了长期的争夺内存核心控制权的战争，攻击者在之后的10年里大多把目标放在用户空间，但随着用户空间mitigation的普及更多的攻击者开始把核心转移到了内核，2015年，PaX/GRsecurity作者接受华盛顿邮报采访并揭露了Linux内核安全问题后由Google, RedHat, ARM, Intel豪华阵容组成Linux内核自防护计划。可惜此计划进行了6年后的今天已经接近流产，但Linux则进入了更多重要基础设施的领域，比如电力，能源，车联网，工业控制等，遗憾的是，Linux内核安全的问题依旧没有解决。为了帮助行业客户解决以上问题，HardenedVault开发的Linux内核0day漏洞防护方案VED的威胁模型，首先，VED作为一个以LKM加载的方案，基本实现框架基于hook，兼容现有Linux内核安全防护的hook方案（比如AKO或者LKRG）：VED会尽量在更早阶段针对漏洞利用平面进行阻断，失败后再进行后期的检测类阻断： 谁去守护守护者是一个安全哲学问题，VED是一款重要安全产品，因为它是防护企业生产环境的重要防线（突破内核后就是虚拟化，固件和硬件层了，所以可以说是最后一道有意义的防线），所以VED必须具备自防护特性，这也算VED的最大亮点之一，因为迄今为止除了PaX/GRsecurity以外的以LKM（内核模块）形式的内核防护方案从未考虑过自身的安全性。另外，HardenedVault也介绍了针对AUTOSAR的AP平台在车联网场景下防护车端（ARMv8.2）和基于Kubernetes云端（x86_64）中VED的威胁模型以及如何协同Falco以及SIEM/ELK达到纵深防御的目的。"