提供访问控制安全策略机制的 SELinux 模块进入主线内核已有二十年历史，众所周知它最早是由 NSA 开发的。进入内核之后，NSA 继续参与了 SELinux 的开发，随着它的广泛使用，愈来愈多的个人和组织都向 SELinux 贡献了代码。而 NSA 过去十年因为一系列丑闻名声不佳，部分开源倡导人士对 NSA 参与 SELinux 开发提出了质疑。现在 Linux 6.6 的 pull request 将 NSA SELinux 改为 SELinux，开发者表示 SELinux 已经转变成一个纯社区项目，是时候 移除 NSA 的名字了。

Linus Torvalds 在内核邮件列表上宣布释出 Linux 6.5。它的主要新特性包括：在大型 x86 系统启动更快，支持 Arm 扩展 Permission Indirection，Rust 1.68.2 支持，可接受不被接受内存处理，文件系统支持 mount-beneath 操作，cachestat()系统调用，内核内部代码的基于范围的资源管理，弃用SLAB 分配器，USB4 v2 初步支持、龙芯 LoongArch 架构支持 SMT 和 SIMD/Vector，等等。更多可浏览 KernelNewbies 6.5。

Firefox 合并了 Wayland fractional-scale-v1 协议，支持 Linux 下的浏览器分数缩放。目前该功能默认关闭，可通过设置 widget.wayland.fractional-scale.enabled 启用。另一个主流浏览器 Google Chrome/Chromium 是在今年初合并了 Wayland fractional-scale-v1 协议代码。Linux 下的主要浏览器，以及 KDE Plasma/KWin 和 GNOME 桌面都加入了对 Wayland 分数缩放的支持。

Shawn the R0ck 写道：我们很高兴地介绍 VED-eBPF，这是一种创新的概念验证实现，展示了 eBPF（扩展伯克利数据包过滤器）技术在为 Linux 系统提供强大的内核安全监控和漏洞检测方面的能力。VED-eBPF 利用 eBPF 的功能，提供对内核漏洞和 Rootkit 的运行时分析和检测。开源版本使用 AGPLv3 许可证发布。
使用 eBPF 增强内核安全 eBPF 是一种内核中的虚拟机，可以在内核中执行代码，无需修改内核源代码。通过 VED-eBPF，我们利用 eBPF 的潜力来跟踪安全敏感的内核行为并检测可能表示恶意活动的异常情况。
VED-eBPF 的关键特性：
控制流完整性（wCFI）：VED-eBPF 包含 wCFI，专注于检测控制流劫持攻击。通过跟踪内核调用栈，VED-eBPF 生成一个有效调用位置的位图，并根据此位图验证返回地址。任何无效的返回地址（表示堆栈已被破坏）都会触发安全事件进行进一步分析。
特权提升检测（PSD）：VED-eBPF 集成了 PSD，用于检测未经授权的特权提升。通过监视内核中的凭证结构的变化，VED-eBPF 在特定函数调用之前和之后比较凭证，以识别任何未经授权的修改。当检测到非法特权提升时，会生成一个安全事件进行分析。
VED-eBPF 的工作原理 VED-eBPF 将 eBPF 程序附加到相关的内核函数，实现执行流程的跟踪和安全事件的提取。然后，这些事件将通过 perf 缓冲区提交到用户空间进行进一步分析，确保实时检测潜在威胁。
加入我们，探索 eBPF 的安全能力 我们邀请所有对利用 eBPF 进行安全缓解感兴趣的安全爱好者、研究人员和开发人员一起探索 VED-eBPF。通过利用 eBPF 的跟踪能力和 perf 缓冲区，VED-eBPF 展示了如何实时提取和分析关键的安全事件，以识别新出现的内核威胁。

旨在将 Linux 移植到使用 Apple Silicon 芯片的 Mac 电脑上的发行版 Asahi Linux 宣布了它的新旗舰发行版 是基于 Fedora Linux 的 Fedora Asahi Remix。开发者表示选择 Fedora 的原因是能直接与上游合作，快速解决软件包 bug。基于 ARM64 的桌面发行版一直是小众平台，会遇到各种奇怪的软件 bug，原因可能是缺少测试，因此 bug 出现的可能性更高，而迅速修复 bug 非常重要。Fedora 拥有一个稳定且完整支持的 ARM64 版本，有大量用户，基于 Fedora 有助于改善 ARM64 桌面 Linux 的现状。

至今仍在维护的历史最悠久的 Linux 发行版 Slackware 本周迎来了三十岁诞辰。1993 年 7 月 16 日 Patrick Volkerding 宣布释出 Slackware Linux 1.00。今天他仍然维护着该发行版。本周他在一份简短声明中庆祝了这一生日，对所有为 Slackware 项目做出贡献的人表示感谢。Slackware 这一名字源于一个事实：它一开始是私人的业余项目，创始人希望人们不要过于严肃的看待这个发行版，即使 Slackware 成为一个严肃的项目之后，这个名字仍然保留了下来。Slackware 的最新版本是去年发布的 v15。

Shawn the R0ck 写道：操作系统内核常遭受的漏洞利用典型表现为内存污染、进程凭证窃取等。这些漏洞利用往往在操作系统内核内部甚至更深的地方发生，使得它们极为难以侦测和追踪。更加令人担忧的是，内核漏洞利用因其深入系统的最底层并具有最高级别的操作权限，所以其破坏力异常巨大。HardenedVault为Linux操作系统设计了Vault Exploits Defense (VED)作为其基础安全方案。内核级别的防护长期以来一直是网络空中挑战最为严峻的技术难题之一。然而，HardenedVault 利用创新的方式，实现了运行时的全面防护，Vault Exploits Defense (VED) 能有效地检测并阻止已知（Nday）和未知（0day）的 Linux 内核漏洞利用，而这些漏洞利用往往具备极大的破坏力，并且十分难以侦测。另一方面，消除一两个漏洞利用方法比硬编码的防御一堆0day漏洞利用更有价值。无论是已知或者未知(n-day/0-day)的漏洞都可以利用新的漏洞利用方法重新构造漏洞利用，这种数字军火的更替会使防御体系难以应对。因此，未公开的漏洞利用方法的危险程度远高于一堆0day漏洞。VED 经过数年的进化，其特性达到了在预防利用和利用阶段之间的效果，不仅对于绕过 Tetragon 或者 Pipe primitive 这类漏洞利用方法具备免疫能力，甚至一些常见的漏洞利用方法也会在早期被 VED 检测和阻止。对运行时和rootkits防护有兴趣的币圈，链圈，电商圈，X圈的朋友们可以尝试AWS的安全加固镜像（集成了基础长期维护版本的VED）。

Linux 6.5 合并窗口在几天前关闭，备受瞩目的 Bcachefs 文件系统因争论而未能包含在 Linux 6.5 内。项目主开发 Kent Overstreet 表示将会在 Linux 6.6 合并窗口开启时再次递交合并请求。也就是差不多两个月后。Bcachefs 试图实现类似 XFS/EXT4 的性能以及类似 Btrfs 和 ZFS 的特性。但补丁规模太大，除了 Bcachefs 模块本身内核也需要做出改动，因此在合并期间引发了分歧，最终未能进入 Linux 6.5。Overstreet 目前正致力于增强 Bcachefs。

根据 Statcounter 的统计，Linux 桌面份额首次突破 3%。过去几个月，Linux 桌面用户的比例在缓慢增长，按照这一趋势，未来几十年后 Linux 将会完全统治桌面。根据 Statcounter 的数据，今年 1 月 Linux 桌面比例 2.91%，2 月 2.94%， 3 月 2.85%，4 月 2.83%，5 月 2.7%，6 月 3.07%。

Linus Torvalds 释出了 Linux 6.5 RC1，其中最引人瞩目的是 Bcachefs 文件系统未能合并到内核主线。围绕 Bcachefs 的合并引发了激烈的讨论，以至于 Torvalds 说要每个人都冷静下来。写时复制文件系统 Bcachefs 是在 2015 年宣布的，至今有近十年历史，它源自于名叫 bcache 的内核块层缓存，项目开发者希望能提供类似 XFS/EXT4 的性能以及类似 Btrfs 和 ZFS 的特性。Linux 6.5 新特性包括新的 cachestat()系统调用，英特尔 Lunar Lake 音频相关的初步工作，USB4 v2 初步支持，弃用 SLAB 分配器、龙芯 LoongArch 架构支持 SMT 和 SIMD/Vector、AMD RDNA3 GPU 超频支持、改进 Btrfs 性能，等等。

Linux 6.5 目前处于合并窗口阶段，龙芯开发者递交了补丁加入了对即将发布的 3A6000 处理器的支持。根据内核补丁，基于 LoongArch 架构的 3A6000 将是一款四核八线处理器。递交的补丁加入了对该处理器的同步多线程 (SMT)支持、SIMD/向量扩展——128 位 LSX (Loongson SIMD eXtension) 和 256 位 LASX (Loongson Advanced SIMD eXtension)——支持，硬件页表遍历器支持， junp-label 支持、 Rethook 和 Uprobes 支持，等等。龙芯此前表示 3A6000 的性能接近英特尔的 10 代酷睿处理器。

Linus Torvalds 在内核邮件列表上宣布释出了 Linux 6.4，Linux 6.5 合并窗口开启，但实际上大量的 Linux 6.5 合并请求上周就递交了。Linux 作者此前曾批评内核开发者总是拖延到最后一周才递交合并请求，他现在对这些积极主动的开发者表示了感谢。Linux 6.4 主要新特性包括：BPF 通用迭代器，禁用 SELinux 运行时禁用，移除 SLOB 内存分配器，英特尔 CPU 线性地址掩码支持，用户跟踪事件支持，继续改进 Rust 支持，per-VMA 锁，等等。更多可浏览 KernelNewbies 6.4。

在模拟器 QEMU 中运行 Linux 6.4 被发现会在启动时随机挂起，然而概率非常低，大约启动 1000 次会发生一次，因此除了测试者可能其他人不会注意到。为了寻找罪魁祸首，测试者使用二分法，在 21 小时内启动了 Linux 292,612 次，最终发现问题根源是 2023 年 4 月递交的一个 commit，撤回该 commit 就能修复问题。

在内部使用两年，公开预览逾半年之后，微软宣布其发行版 Azure Linux GA。Azure Linux 源自于微软的 CBL-Mariner 项目，CBL 代表 Common Base Linux。首席项目经理 Jim Perrin 表示，它需要为云服务 Azure 的工程师提供一个内部发行版和一致的平台。Azure Linux 的核心镜像只有 400 MB 大小，包含大约 300 个软件包。如此小的规模有效的平衡了安全性和性能，Perrin 称由于软件包较少，需要的安全补丁更少，安全问题会迅速修复。微软密切监视了软件包供应链，这是微软开发自己的发行版而不是基于其它现有发行版的原因。

Shawn the R0ck 写道：HardenedVault自从 2022 年 7 月在 Amazon Web Services (AWS)推出了 Hardened Linux（安全加固版本的Ubuntu），用户来自于区块链，Fintech 等多个行业，过去一年中的技术场景用例包括以太坊验证节点防护，云原生环境的容器逃逸，安全合规加强等，近期推出的v1.4版本搭载了HardenedVault的Linux内核疫苗方案VED（Vault Exploit Defense）的LTS（长期维护版本），Ubuntu是一个维护良好且云原生友好的GNU / Linux发行版。此AMI产品默认提供了经过全面安全加固的Ubuntu服务器。该产品可以通过实施CIS和STIG基准来帮助您实现合规要求（PCI-DSS和GDPR），对于有“开箱即安全”（secure by default）或者安全合规有需求的用户可以参考以下基本信息：
• Ubuntu 22.04，x86_64
• CIS和STIG基准的超过75％，易于将您的业务与合规性集成
• Nginx与Modsecurity（Web应用程序防火墙）
• ClamAV杀毒软件
• AIDE，文件系统完整性管理
•用于监视的Auditd
• VED（Vault Exploit Defense），Linux内核威胁检测和预防系统。它能够保护您的数字资产免受高级威胁的侵害，例如：Linux内核提权漏洞，容器逃逸，rootkits检测等。等等

写时复制文件系统 Bcachefs 项目的主要开发者 Kent Overstreet 正式递交了补丁集，他表示 Bcachefs 的特性“太多而列不出来”，而已知 bug 也是“太多而列不出来”。Overstreet 是在 2015 年首次宣布了 Bcachefs，它源自于名叫 bcache 的内核块层缓存，开发者希望能提供类似 XFS/EXT4 的性能以及类似 Btrfs 和 ZFS 的特性。目前 Bcachefs 的快照支持被认为已经稳定，纠删编码接近稳定，可扩展性过去一年有了显著改进。

Linus Torvalds 在内核邮件列表上释出了 Linux 6.4-rc1。正式版预计将在 6 月底或 7 月初发布。Linux 6.4 的新特性包括：初步支持 Apple M2 SoC，高通 QAIC 加速器驱动，英特尔 LAM(Linear Address Masking)，RISC-V 系统休眠，继续改进 Rust 语言支持，AMD P-State 驱动支持引导自主模式，移除英特尔 Thunder Bay SoC 支持，改进龙芯 LoongArch 架构支持，初步支持 AMD GFX943 加速器，Device Mapper 优化并发 I/O 性能，英特尔 Lunar Lake HD 音频支持，新 IEEE-1394 Firewire 维护者承诺至少维护代码到 2029 年，等等。

Linus Torvalds 在内核邮件列表上宣布释出 6.3 kernel。主要新特性包括：移除了大量淘汰的 ARM 板文件和驱动，持续改进对 Rust 语言的支持，BPF 程序红黑树，tmpfs 文件系统 ID 映射挂载支持，IPv4 支持 BIG TCP，抖动测量工具 hwnoise，支持不可执行 memfds，等等。更多可浏览 KernelNewbies 6.3。

亲历 Linux 诞生的芬兰自由软件开发者 Lars Wirzenius 回顾了 Linux 的早期历史。他是在 1988 年秋天进入赫尔辛基大学主修计算机科学专业，与 Linus Torvalds 是同学，学完一年之后去服了一年兵役，重返大学之后开始学 C 和 UNIX，两人热情的讨论了操作系统应该如何正确构建，都是初生牛犊不怕虎。1991 年 1 月 Linus 购买了第一台组装机，配备了 386 CPU，有 4MB 内存，Linus 还买了游戏《波斯王子》，之后疯玩了几个月。游戏通关之后，Linus 开始学 Intel 汇编语言，开始给我们今天所知的 Linux 内核写早期代码，Lars Wirzenius 也帮助实现了一个 sprintf() 函数。Linus 不断给内核加入新功能。到了 1991 年 8 月，Linus 在 comp.os.minix 新闻组里首次公开宣布了新内核，谦虚的表示“仅仅是个人爱好，不会像 GNU 那样完善、专业”。Linus 自己的 PC 被用于开发 Linux，而 Lars 的 PC 则是第一台安装 Linux 的电脑。Linux 的第一个版本使用了禁止商业使用的许可证，部分早期参与者建议改到自由软件许可证。1991 年秋天 RMS 访问了芬兰，Lars 带着 Linus 参加了 RMS 的演讲。这些经历最终说服 Linus 在 1992 年初采用了 GNU GPL 许可证。

台湾威盛（VIA）与上海市政府的合资企业兆芯开始向内核递交补丁加入对永丰微架构的支持。兆芯去年宣布了采用永丰架构的服务器 x86_64 处理器 KH-4000 系列。永丰是陆家嘴微架构的继任者，仍然采用 16nm 工艺，支持最高 32 个核心，相比陆家嘴的 8 核是一大飞跃，频率最高 2.2GHz，支持 PCIe 3.0 和 DDR4。虽然它比不上 AMD 和英特尔的最新处理器，但对于国产 CPU 而言是进步。兆芯的工程师刚刚向内核递交了首批支持永丰的补丁。