用于路由器等设备的发行版 OpenWrt 释出了 23.05.0，距离上一个版本 22.03.0 约一年一个月。OpenWrt 23.05.0 的新特性包括：支持逾 1790 款设备，比 22.03.0 增加了 200 多款；默认加密库从 wolfssl 切换到 mbedtls，mbedtls 体积更小，LTS 长期支持和 ABI 稳定，支持 TLS 1.3，不过用户仍然可以手动切换到 wolfssl；支持用 Rust 语言编写的程序。其它软件方面的更新：musl libc 1.2.4、glibc 2.37、gcc 12.3.0、binutils 2.40，Linux kernel 5.15.134，busybox 1.36.1，等等。

Civil Infrastructure Platform（CIP）项目宣布将为 6.1 kernel 提供十年支持，也就是一直维护到 2032 年。此前 Linux 基金会宣布内核的 LTS 版本的支持时间将从六年减少到两年。CIP 维护内核的方式与 LTS 版本类似，其开发者也参与了 LTS 内核的评审和测试。为了延长维护时间，CIP 内核缩小了活跃支持的内核功能和目标架构的范围。

微软早就不把 Linux 视为敌人，它的云计算业务就受益于 Linux，因此软件巨人发表了一份如何下载和安装 Linux 的指南也不是什么不可思议的现象。微软介绍了多种安装 Linux 的方法，包括 Windows Subsystem for Linux (WSL) ，裸金属 Linux、虚拟机、本地或云端。它推荐的发行版包括了 Ubuntu、Debian、Kali Linux、OpenSUSE 等。

思科开发者在内核邮件列表上发布了用 Rust 写的 PuzzleFS 文件系统驱动，征求其他开发者的意见（RFC）。PuzzleFS 是下一代 Linux 容器文件系统，其设计旨在减少冗余、快速镜像构建、直接挂载支持，内存安全保证，以及其它为容器优化的功能。Linux 内核最近加入了对 Rust 语言的初步支持，思科的 PuzzleFS 驱动目前属于概念验证。

在容器管理器 LXD 成为 Canonical 公司的一部分之后，Linux Containers (LXC)项目发布了 LXD 社区分支 Incus 的首个版本。Incus 0.1 相当于 LXD 5.18，除了名字外还有大量变动，包括移除了很多未使用或有问题的功能。开发者以前就想在 LXD 中这么做了，但为了保持向后兼容而没有做。作为首个分支版本，开发者借此机会在 Incus 0.1 中大刀阔斧的进行更改，后续版本仍然会严格保证向后兼容。

Linux 基金会最近宣布将内核的长期支持版（LTS）支持时间从六年缩短到两年，稳定版内核维护者 Greg Kroah-Hartman 回应称，原因是没人用 LTS 内核。对于 Linux 基金会减少对内核开发的批评，他说，基金会对内核社区的投入和支持一直在增加。仅仅因为 Linux 基金会因成员的需要而不断引入新项目新用户，并不意味着它减少对内核社区的投入。这不是零和游戏，不是 Linux 基金会的运作方式。他强调 Linux 基金会对内核的支持一直在增加。

在本周举行的开源欧洲峰会上，与 Valve 合作的开源咨询公司 Igalia 谈论了 Valve 及其合作伙伴对 Linux 和开源社区的贡献。Valve 的掌机 Steam Deck 运行的操作系统 SteamOS 是基于 Arch Linux，以及 GNU 用户空间和 systemd，桌面模式为 KDE Plasma，Valve 资助了相关程序的改进。Valve 的 Steam Play/Proton 利用 了 Wine 项目，使用了 DXVK / VKD3D-Proton 等开源项目，在这些领域的持续改进对 Linux 游戏和爱好者有重大价值。Igalia 工程师参与了 Valve 在 AMD 色彩管理等方面的工作，如通过启用新的内核功能改进 Steam Play 支持。Valve 工程师还参与了 Mesa OpenGL 和 Vulkan 驱动以及内核图形驱动组件的改进。在 Linux 图形驱动上的贡献让整个 Linux 桌面生态系统都受益。

前不久遭到网络攻击导致大部分服务瘫痪至今还没有恢复的米高梅集团正在紧急招聘一位 Red Hat Linux 系统管理员，时薪 110 美元（相当于年薪 40 万美元），但有条件：在新的 IT 环境重建起来前每周工作七天每天工作十小时，候选人必须是美国公民，非绿卡或 H1B 签证持有者，工作截至 10 月 15 日。在遭到勒索组织攻击之后，米高梅的计算机问题持续了 10 天，每天损失最多 8400 万美元。米高梅的竞争对手凯撒娱乐也披露遭到了网络攻击，但其运营基本没有受到影响，据报道它向自称 Scattered Spider 的勒索组织支付 1500 万美元赎金，以换取数据安全的承诺。

2017 年 Linux 内核长期支持版本（LTS）的支持时间从原来的两年增加到六年。六年之后，在西班牙举行的开源欧洲峰会上，LTS 的支持时间再次回到两年。目前的 LTS 版本 6.1、5.15、5.10、5.4、4.19 和 4.14 仍然会获得六年的支持，但新的 LTS 版本将只提供两年支持。LWN（Linux Weekly News）主编 Jonathan Corbet 解释说，原因是使用率低和缺乏支持，以及过长的支持时间导致了内核维护者精疲力竭。

英伟达 GPU 内核开源驱动 Nouveau 的维护者 Ben Skeggs 辞职，宣布退出开发。Ben Skeggs 此前一直为 Red Hat 工作，他从 2008 年起就担任 Nouveau 的维护者。他最后递交的补丁为内核驱动加入了利用英伟达 GPU 系统处理器 GSP 固件改进 RTX 20/30 系列显卡的硬件支持，加入对 RTX 40 Ada Lovelace GPU 的初步支持。英伟达最近开源了其内核驱动，但用户空间驱动仍然是闭源的。

Linus Torvalds 释出了 Linux 6.6-rc1，标志着合并窗口的关闭。备受瞩目的写时复制文件系统 Bcachefs 再一次未能进入内核主线。Linux 6.6 的新特性包括：EEVDF 调度器，令 AMD chiplet CPU 受益的工作队列变更，实验性引入 DRM 持续集成(CI)，KSMBD 稳定，HP BIOS 设置驱动，AMD Dynamic Boost Control，ReiserFS 标记为准备移除，英特尔 Shadow Stack 支持，等等。

作为更新 Linux 6.6 旧文件系统驱动的一部分，ReiserFS 不再被标记为“支持”，而是正式被视为“弃用（Obsolete）”。内核开发者去年开始讨论移除 ReiserFS 文件系统。ReiserFS 是在 21 年前作为第一个日志文件系统引入的，SUSE 发行版在 2006 年前一直将其作为默认的文件系统。但自从 ReiserFS 作者 Hans Reiser 因谋杀罪被判刑之后该文件系统的开发和用户兴趣就停滞了，只有前 Namesys（Hans Reiser 创办的公司）开发者 Edward Shishkin 前几年在 Reiser4 上做了些 bug 修复之类的维护工作。Linux 内核预计会在三年内移除 ReiserFS。

随着 Linux 6.6 加入对即将推出的 AMD Radeon GPU 的支持，内核中 AMD GPU 驱动代码行数超了过 500 万行，而整个内核的代码行数大约为 3480 万行。大部分 AMD GPU 驱动代码是自动生成的头文件。针对英伟达 GPU 的开源驱动有大约 20.1 万行代码，英特尔 i915 DRM 图形驱动有大约 38.1 万行代码。

提供访问控制安全策略机制的 SELinux 模块进入主线内核已有二十年历史，众所周知它最早是由 NSA 开发的。进入内核之后，NSA 继续参与了 SELinux 的开发，随着它的广泛使用，愈来愈多的个人和组织都向 SELinux 贡献了代码。而 NSA 过去十年因为一系列丑闻名声不佳，部分开源倡导人士对 NSA 参与 SELinux 开发提出了质疑。现在 Linux 6.6 的 pull request 将 NSA SELinux 改为 SELinux，开发者表示 SELinux 已经转变成一个纯社区项目，是时候 移除 NSA 的名字了。

Linus Torvalds 在内核邮件列表上宣布释出 Linux 6.5。它的主要新特性包括：在大型 x86 系统启动更快，支持 Arm 扩展 Permission Indirection，Rust 1.68.2 支持，可接受不被接受内存处理，文件系统支持 mount-beneath 操作，cachestat()系统调用，内核内部代码的基于范围的资源管理，弃用SLAB 分配器，USB4 v2 初步支持、龙芯 LoongArch 架构支持 SMT 和 SIMD/Vector，等等。更多可浏览 KernelNewbies 6.5。

Firefox 合并了 Wayland fractional-scale-v1 协议，支持 Linux 下的浏览器分数缩放。目前该功能默认关闭，可通过设置 widget.wayland.fractional-scale.enabled 启用。另一个主流浏览器 Google Chrome/Chromium 是在今年初合并了 Wayland fractional-scale-v1 协议代码。Linux 下的主要浏览器，以及 KDE Plasma/KWin 和 GNOME 桌面都加入了对 Wayland 分数缩放的支持。

Shawn the R0ck 写道：我们很高兴地介绍 VED-eBPF，这是一种创新的概念验证实现，展示了 eBPF（扩展伯克利数据包过滤器）技术在为 Linux 系统提供强大的内核安全监控和漏洞检测方面的能力。VED-eBPF 利用 eBPF 的功能，提供对内核漏洞和 Rootkit 的运行时分析和检测。开源版本使用 AGPLv3 许可证发布。
使用 eBPF 增强内核安全 eBPF 是一种内核中的虚拟机，可以在内核中执行代码，无需修改内核源代码。通过 VED-eBPF，我们利用 eBPF 的潜力来跟踪安全敏感的内核行为并检测可能表示恶意活动的异常情况。
VED-eBPF 的关键特性：
控制流完整性（wCFI）：VED-eBPF 包含 wCFI，专注于检测控制流劫持攻击。通过跟踪内核调用栈，VED-eBPF 生成一个有效调用位置的位图，并根据此位图验证返回地址。任何无效的返回地址（表示堆栈已被破坏）都会触发安全事件进行进一步分析。
特权提升检测（PSD）：VED-eBPF 集成了 PSD，用于检测未经授权的特权提升。通过监视内核中的凭证结构的变化，VED-eBPF 在特定函数调用之前和之后比较凭证，以识别任何未经授权的修改。当检测到非法特权提升时，会生成一个安全事件进行分析。
VED-eBPF 的工作原理 VED-eBPF 将 eBPF 程序附加到相关的内核函数，实现执行流程的跟踪和安全事件的提取。然后，这些事件将通过 perf 缓冲区提交到用户空间进行进一步分析，确保实时检测潜在威胁。
加入我们，探索 eBPF 的安全能力 我们邀请所有对利用 eBPF 进行安全缓解感兴趣的安全爱好者、研究人员和开发人员一起探索 VED-eBPF。通过利用 eBPF 的跟踪能力和 perf 缓冲区，VED-eBPF 展示了如何实时提取和分析关键的安全事件，以识别新出现的内核威胁。

旨在将 Linux 移植到使用 Apple Silicon 芯片的 Mac 电脑上的发行版 Asahi Linux 宣布了它的新旗舰发行版 是基于 Fedora Linux 的 Fedora Asahi Remix。开发者表示选择 Fedora 的原因是能直接与上游合作，快速解决软件包 bug。基于 ARM64 的桌面发行版一直是小众平台，会遇到各种奇怪的软件 bug，原因可能是缺少测试，因此 bug 出现的可能性更高，而迅速修复 bug 非常重要。Fedora 拥有一个稳定且完整支持的 ARM64 版本，有大量用户，基于 Fedora 有助于改善 ARM64 桌面 Linux 的现状。

至今仍在维护的历史最悠久的 Linux 发行版 Slackware 本周迎来了三十岁诞辰。1993 年 7 月 16 日 Patrick Volkerding 宣布释出 Slackware Linux 1.00。今天他仍然维护着该发行版。本周他在一份简短声明中庆祝了这一生日，对所有为 Slackware 项目做出贡献的人表示感谢。Slackware 这一名字源于一个事实：它一开始是私人的业余项目，创始人希望人们不要过于严肃的看待这个发行版，即使 Slackware 成为一个严肃的项目之后，这个名字仍然保留了下来。Slackware 的最新版本是去年发布的 v15。

Shawn the R0ck 写道：操作系统内核常遭受的漏洞利用典型表现为内存污染、进程凭证窃取等。这些漏洞利用往往在操作系统内核内部甚至更深的地方发生，使得它们极为难以侦测和追踪。更加令人担忧的是，内核漏洞利用因其深入系统的最底层并具有最高级别的操作权限，所以其破坏力异常巨大。HardenedVault为Linux操作系统设计了Vault Exploits Defense (VED)作为其基础安全方案。内核级别的防护长期以来一直是网络空中挑战最为严峻的技术难题之一。然而，HardenedVault 利用创新的方式，实现了运行时的全面防护，Vault Exploits Defense (VED) 能有效地检测并阻止已知（Nday）和未知（0day）的 Linux 内核漏洞利用，而这些漏洞利用往往具备极大的破坏力，并且十分难以侦测。另一方面，消除一两个漏洞利用方法比硬编码的防御一堆0day漏洞利用更有价值。无论是已知或者未知(n-day/0-day)的漏洞都可以利用新的漏洞利用方法重新构造漏洞利用，这种数字军火的更替会使防御体系难以应对。因此，未公开的漏洞利用方法的危险程度远高于一堆0day漏洞。VED 经过数年的进化，其特性达到了在预防利用和利用阶段之间的效果，不仅对于绕过 Tetragon 或者 Pipe primitive 这类漏洞利用方法具备免疫能力，甚至一些常见的漏洞利用方法也会在早期被 VED 检测和阻止。对运行时和rootkits防护有兴趣的币圈，链圈，电商圈，X圈的朋友们可以尝试AWS的安全加固镜像（集成了基础长期维护版本的VED）。