Компания Oracle представила первый стабильной выпуск Unbreakable Enterprise Kernel 6 (UEK R6), расширенной сборки ядра Linux, позиционируемой для использования в дистрибутиве Oracle Linux в качестве альтернативы штатному пакету с ядром из Red Hat Enterprise Linux. Ядро доступно только для архитектур x86_64 и ARM64 (aarch64). Исходные тексты ядра, включая разбивку на отдельные патчи, опубликованы в публичном Git-репозитории Oracle.
Пакет Unbreakable Enterprise Kernel 6 основан на ядре Linux 5.4 (UEK R5 базировался на ядре 4.14), которое дополнено новыми возможностями, оптимизациями и исправлениями, а также проверено на совместимость с большинством приложений, работающих в RHEL, и специально оптимизировано для работы с промышленным программным обеспечением и оборудованием Oracle. Установочные и src-пакеты с ядром UEK R6 подготовлены для Oracle Linux 7.x и 8.x. Поддержка ветки 6.x прекращена, для применения UEK R6 следует обновить систему до Oracle Linux 7 (нет никаких препятствий по использованию данного ядра в аналогичных версиях RHEL, CentOS и Scientific Linux).
Расширенная поддержка систем на базе 64-разрядной архитектуры ARM (aarch64).
Реализована поддержка всех возможностей Cgroup v2.
Реализован фреймворк ktask для распараллеливания задач в ядре, потребляющих значительные ресурсы CPU. Например, при помощи ktask может быть организовано распараллеливание операций по очистке диапазонов страниц памяти или обработке списка inode;
Включена распараллеленная версия kswapd для обработки операций замены страниц памяти в асинхронном режиме, позволяя сократить число прямых (синхронных) операций замены. При уменьшении числа свободных страниц памяти kswapd выполняет сканирование для выявления неиспользуемых страниц, которые могут быть высвобождены.
Поддержка верификации целостности образа ядра и прошивок по цифровой подписи, при загрузке ядра при помощи механизма Kexec (загрузка ядра из уже загруженной системы).
Проведена оптимизация производительности системы управления виртуальной памятью, улучшена эффективность очистки станиц памяти и кэша, улучшена обработка обращений к не выделенным страницам памяти (page faults).
Расширена поддержка NVDIMM, указанная постоянная память теперь может использоваться в качестве традиционного ОЗУ.
Осуществлён переход на систему динамической отладки DTrace 2.0, которая переведена на использование подсистемы ядра eBPF. DTrace теперь работает поверх eBPF, по аналогии с тем, как поверх eBPF работают существующие в Linux инструменты трассировки.
Внесены улучшения в файловую систему OCFS2 (Oracle Cluster File System).
Улучшена поддержка файловой системы Btrfs. Добавлена возможность применения Btrfs на корневых разделах. В инсталлятор добавлена опция для выбора Btrfs при форматировании устройств. Добавлена возможность размещения файлов подкачки на разделах с Btrfs. В Btrfs добавлена поддержка сжатия с использованием алгоритма ZStandard.
Добавлена поддержка интерфейса для асинхронного ввода/вывода - io_uring, который примечателен поддержкой поллинга ввода/вывода и возможностью работы как с буферизацией, так и без буферизации. По производительности io_uring очень близок к SPDK и существенно опережает libaio при работе с включённым поллингом. Для использования io_uring в конечных приложениях, работающих в пространстве пользователя, подготовлена библиотека liburing, предоставляющая высокоуровневую обвязку над интерфейсом ядра;
Добавлена поддержка режима Adiantum для быстрого шифрования накопителей.
Добавлена поддержка сжатия с использованием алгоритма Zstandard (zstd).
В файловой системе ext4 задействованы 64-разрядные метки времени в полях суперблока.
В XFS включены средства для информирования о состоянии целостности ФС во время работы и получения статуса о выполнении fsck на лету.
TCP-стек по умолчанию переведён на модель "Early Departure Time" вместо "As Fast As Possible" при отправке пакетов. Для UDP включена поддержка GRO (Generic Receive Offload). Добавлена поддержка приёма и отправки TCP-пакетов в режиме zero-copy.
Задействована реализация протокола TLS на уровне ядра (KTLS), которая теперь может применяться не только для отправляемых, но и для принимаемых данных.
В качестве бэкенда для межсетевого экрана по умолчанию задействован
nftables. Опционально добавлена поддержка bpfilter.
Добавлена поддержка подсистемы XDP (eXpress Data Path), позволяющей в Linux запускать BPF-программы на уровне сетевого драйвера с возможностью прямого доступа к DMA-буферу пакетов и на стадии до выделения буфера skbuff сетевым стеком.
Улучшен и включён при использовании UEFI Secure Boot режим Lockdown, который ограничивает доступ пользователя root к ядру и блокирует пути обхода UEFI Secure Boot. Например, в режиме lockdown ограничивается доступ к /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, отладочному режиму kprobes, mmiotrace, tracefs, BPF, PCMCIA CIS (Card Information Structure), некоторым интерфейсам ACPI и MSR-регистрам CPU, блокируются вызовы kexec_file и kexec_load, запрещается переход в спящий режим, лимитируется использование DMA для PCI-устройств, запрещается импорт кода ACPI из переменных EFI, не допускаются манипуляции с портами ввода/вывода, в том числе изменение номера прерывания и порта ввода/вывода для последовательного порта.
Добавлена поддержка расширенных инструкций IBRS (Enhanced Indirect Branch Restricted Speculation), которые позволяют адаптивно разрешать и запрещать спекулятивное выполнение инструкций во время обработки прерываний, системных вызовов и переключений контекста. При наличии поддержки Enhanced IBRS данный метод применяется для защиты от атак класса Spectre V2 вместо Retpoline, так как позволяет добиться более высокой производительности.
Улучшена защита в каталогах, доступных всем на запись. В подобных каталогах запрещено создания FIFO-файлов и файлов, принадлежащих пользователям, не совпадающим с владельцем каталога с флагом sticky.
По умолчанию на системах ARM включена рандомизация адресного пространства ядра на системах (KASLR). Для Aarch64 включена аутентификация указателей.
Добавлена поддержка "NVMe over Fabrics TCP".
Добавлен драйвер virtio-pmem, представляющий доступ к устройствам хранения, отражённым в физическое адресное пространство, таким как NVDIMM.
Опубликован релиз проекта XCP-NG 8.1, развивающего свободную и бесплатную замену проприетарной платформе Citrix Hypervisor (ранее назывался XenServer) для развертывания и управления работой облачной инфраструктуры. XCP-NG воссоздаёт функциональность, которую компания Citrix исключила из бесплатного варианта Citrix Hypervisor/Xen Server, начиная c версии 7.3. Поддерживается обновление Citrix Hypervisor до XCP-ng, обеспечивается полная совместимость с Xen Orchestra и возможность перемещения виртуальных машин из Citrix Hypervisor в XCP-ng и обратно. Для загрузки подготовлен установочный образ размером 600 Мб.
XCP-NG позволяет быстро развернуть систему виртуализации серверов и рабочих станций, предлагая средства для централизованного управления неограниченным числом серверов и виртуальных машин. Среди особенностей системы: возможность объединения нескольких серверов в пул (кластер), средства обеспечения высокой доступности (High Availability), поддержка снапшотов, совместное использование разделяемых ресурсов при помощи технологии XenMotion. Поддерживается живая миграция виртуальных машин между хостами кластера и между разными кластерами/отдельными хостами (не имеющими общего хранилища), а также живая миграция дисков VM между хранилищами. Платформа может работать с большим числом систем хранения данных и отличается наличием простого и понятного интерфейса для установки и администрирования.
Новый выпуск не только воссоздаёт функциональность Citrix Hypervisor 8.1, но и предлагает некоторые улучшения:
Установочные образы нового выпуска построены на пакетной базе CentOS 7.5 с использованием гипервизора Xen 4.13. Добавлена возможность использования альтернативного ядра Linux, основанного на ветке 4.19;
Стабилизирована поддержка загрузки гостевых систем в режиме UEFI (поддержка Secure Boot не перенесена из Citrix Hypervisor, а создана с нуля, чтобы избежать пересечений с проприетарным кодом);
Добавлена поддержка надстроек XAPI (XenServer/XCP-ng API), необходимых для резервного копирования виртуальных машин, захватывая срез содержимого их оперативной памяти. Пользователи получили возможность восстановления VM вместе с контекстом выполнения и состоянием ОЗУ на момент создания резервной копии, по аналогии с восстановлением состояния системы после выхода из спящего режима (перед резервным копированием VM приостанавливается);
Внесены улучшения в инсталлятор, в котором теперь предложены две опции установки: BIOS и UEFI. Первый может применяться как запасной вариант на системах, в которых наблюдаются проблемы с UEFI (например, на базе CPU AMD Ryzen). Во втором по умолчанию используется альтернативное ядро Linux (4.19);
Улучшена производительность импорта и экспорта виртуальных машин в формате XVA. Повышена производительность хранилища;
Добавлены новые драйверы ввода/вывода для Windows;
Добавлена поддержка чипов AMD EPYC 7xx2(P);
Вместо ntpd задействован chrony;
Объявлена устаревшей поддержка гостевых систем в режиме PV;
В новых локальных хранилищах по умолчанию теперь применяется ФС Ext4;
Добавлена экспериментальная поддержка построения локальных хранилищ на базе ФС XFS (требуется установка пакета sm-additional-drivers);
Экспериментальный модуль для ZFS обновлён до версии 0.8.2.
Компания Google представила новый поисковый сервис cs.opensource.google, предназначенный для поиска по коду в git-репозиториях открытых проектов, разработка которых ведётся при участии Google. Из проиндексированных проектов отмечаются Angular, Bazel, Dart, ExoPlayer, Firebase SDK, Flutter, Go, gVisor, Kythe, Nomulus, Outline и Tensorflow. Аналогичные поисковые системы ранее были запущены для поиска по коду Chromium и Android.
В поисковых запросах могут применяться регулярные выражения и уточнения (например, можно указать что нужно найти функцию, имя которой соответствует указанной маске, а также определить в коде на каком языке программирования следует выполнять поиск). Для построения графа связей в проекте и межссылочной навигации применяется инструментарий Kythe. Какой именно задействован поисковый движок, не уточняется, но Google развивает два открытых проекта для поиска по коду - zoekt и codesearch.
При поиске учитываются различные классы элементов, встречающихся в коде, а результат выводится в наглядном виде с подсветкой синтаксиса, возможностью межссылочной навигации и просмотра истории изменений. Например, можно кликнуть на названии функции в коде и перейти к месту её определения или посмотреть, где ещё она вызывается. Также можно переключаться между разными ветками и оценивать изменения между ними.
Разработчики KDE опубликовали отчёт о подготовке первого стабильного выпуска мобильной платформы Plasma Mobile. Отмечается, что жёсткого графика подготовки выпуска нет и Plasma Mobile 1.0 будет сформирован после готовности всех намеченных компонентов.
Уже доступные приложения, адаптированные для применения на мобильных устройствах и покрывающие базовые потребности:
Большая часть из вышеотмеченных программ содержит недоработки или не доведена до должной функциональности. Например, имеются нерешённые проблемы в программе для отправки SMS, календарь-планировщик требует перевода на интерфейс ядра timer_fd для организации отправки уведомлений во время спящего режима, отсутствует возможность ответа на звонок при отключённом или заблокированном экране.
До первого релиза также требуется решить некоторые проблемы в композитном сервера KWin, использующем Wayland. В частности, необходимо обеспечить поддержку выборочного обновления содержимого поверхностей, пропуская области, в которых не было изменений (позволит повысить производительность и снизить потребление энергии). Пока не реализована поддержка показа эскизов в интерфейсе переключения между задачами. Требуется реализовать поддержку протокола input-method-unstable-v1 для организации ввода с экранной клавиатуры в некоторых сторонних приложениях. Необходимо провести профилирование и оптимизацию производительности KWin.
Из общих задач упоминается поддержка вывода уведомлений в интерфейсе блокировки экрана и создание недостающих модулей для конфигуратора. В текущем виде конфигуратор позволяет настраивать дату и время, параметры языка, поддерживает прикрепление учётных записей Nextcloud и Google, предоставляет простые настройки Wi-Fi и выводит общую информацию о системе.
Среди намеченных к реализации задач отмечается автоматическое получение времени от мобильного оператора, настройка параметров звука и уведомлений, отображение сведений об IMEI, MAC-адресе, мобильной сети и SIM-карте, поддержка режимов защиты Wi-Fi, отличных от WPA2-PSK, возможность подключения к скрытым беспроводным сетям, настройка режимов мобильной передачи данных,
расширения настроек языка, настройка Bluetooth, управление раскладками клавиатуры, настройка блокировки экрана и PIN, режимы энергопотребления.
Напомним, что платформа Plasma Mobile основана на мобильной редакции рабочего стола Plasma 5, библиотеках KDE Frameworks 5, телефонном стеке Ofono и коммуникационном фреймворке Telepathy. Для создания интерфейса приложений применяется Qt и фреймворк Kirigami из состава KDE Frameworks, позволяющий создавать универсальные интерфейсы, пригодные для смартфонов, планшетов и ПК. Для вывода графики используется композитный сервер kwin_wayland. Для обработки звука применяется PulseAudio.
Plasma Mobile не привязывается к низкоуровневым компонентам операционной системы, что позволяет обеспечить возможность работы платформы под разными базовыми ОС, в том числе, организовать запуск поверх Ubuntu и Mer. Поддерживается выполнение plasma-виджетов и приложений для рабочего стола KDE Plasma, а также предусмотрена возможность использования программ, написанных для платформ UBports/Ubuntu Touch, Sailfish и Nemo.
Разработчики проекта LineageOS, пришедшего на смену CyanogenMod после отказа от проекта компании Cyanogen Inc, представили выпуск LineageOS 17.1, основанный на платформе Android 10. Выпуск 17.1 был сформирован минуя 17.0 из-за особенностей назначения тегов в репозитории.
Отмечается, что ветка LineageOS 17 достигла паритета по функциональности и стабильности c веткой 16, и признана готовой для перехода на стадию формирования ночных сборок. Сборки пока подготовлены только для ограниченного числа устройств, список которых постепенно будет расширяться. Ветка 16.0 переведена на еженедельное формирование сборок, вместо ежедневных. При установке для всех поддерживаемых устройств теперь по умолчанию предлагается собственный Lineage Recovery, не требующий выделения отдельного recovery-раздела.
По сравнению с LineageOS 16, кроме изменений, специфичных для Android 10, также предложены некоторые улучшения:
Новый интерфейс для создания скриншотов, позволяющий выбирать определённые части экрана для снимка и редактировать скриншоты.
Перенесено предлагаемое в AOSP (Android Open Source Project) приложение для выбора тем оформления ThemePicker. Ранее применявшийся для выбора тем API Styles объявлен устаревшим. ThemePicker не только поддерживает все возможности Styles, но и опережает его по функциональности.
Реализована возможность изменения шрифтов, формы пиктограмм (QuickSettings и Launcher) и стиля пиктограмм (Wi-Fi/Bluetooth).
Помимо возможности скрытия приложений и блокирования запуска через назначение пароля в интерфейсе для запуска приложений Trebuchet Launcher появилась возможность ограничения доступа к приложению через биометрическую аутентификацию.
Перенесены патчи, накопившиеся с октября 2019 года.
Сборка основана на ветке android-10.0.0_r31 с поддержкой Pixel 4/4 XL.
Возвращён экран Wi-Fi.
Добавлена поддержка экранных сенсоров отпечатков пальцев (FOD).
Добавлена поддержка всплывающего окна камеры и вращения камеры.
Набор Emoji в экранной клавиатуре AOSP обновлён до версии 12.0.
Браузерный компонент WebView обновлён до Chromium 80.0.3987.132.
Вместо PrivacyGuard для гибкого управления полномочиями приложений задействован штатный PermissionHub из AOSP.
Вместо API Expanded Desktop задействованы штатные для AOSP средства навигации через экранные жесты.
Компания Huawei вошла в число лицензиатов и участников организации Open Invention Network (OIN), занимающейся защитой экосистемы Linux от патентных претензий. Участники OIN обязуются не выдвигать патентные претензии и безвозмездно разрешают использовать запатентованные технологии в проектах, связанных с экосистемой Linux. Huawei обладают значительным числом патентов в области коммуникаций, облачных технологий, умных устройств и электроники.
В число участников OIN входит более 3200 компаний, сообществ и организаций, подписавших лицензионное соглашение о совместном использовании патентов. Среди основных участников OIN, обеспечивающих формирование защищающего Linux патентного пула, такие компании, как Google, IBM, NEC, Toyota, Renault, SUSE, Philips, Red Hat, Alibaba, HP, AT&T, Juniper, Facebook, Cisco, Casio, Fujitsu, Sony и Microsoft. Подписавшие соглашение компании получают доступ к имеющимся в руках OIN патентам, в обмен на обязательство не предъявлять судебных претензий за использование технологий, применяемых в экосистеме Linux. В том числе в рамках присоединения к OIN компания Microsoft передала участникам OIN право на использование более 60 тысяч своих патентов, обязавшись не использовать их против Linux и открытого ПО.
Соглашение между участниками OIN распространяется только на компоненты дистрибутивов, подпадающих под определение системы Linux ("Linux System"). В настоящее время список включает 2873 пакета, в том числе ядро Linux, платформу Android, KVM, Git, nginx, CMake, PHP, Python, Ruby, Go, Lua, OpenJDK, WebKit, KDE, GNOME, QEMU, Firefox, LibreOffice, Qt, systemd, X.Org, Wayland и т.д. Кроме обязательств о ненападении для дополнительной защиты в рамках OIN сформирован патентный пул, куда попадают скупаемые или безвозмездно передаваемые участниками патенты, связанные с Linux.
Патентный пул OIN включает более 1300 патентов. В том числе в руках OIN находится группа патентов, в которых фигурируют одни из первых упоминаний технологий создания динамического web-контента, которые предвосхитили появление таких систем, как ASP от Microsoft, JSP от Sun/Oracle и PHP. Другим существенным вкладом, является приобретение в 2009 году 22 патентов Microsoft, которые до этого были проданы консорциуму AST, как патенты, затрагивающие "open source" продукты. Все участники OIN имеют возможность использовать данные патенты безвозмездно. Действенность соглашения OIN была подтверждена решением Министерства юстиции США, потребовавшим учесть интересы OIN в условиях сделки о продаже патентов Novell.
Сообщество Pine64 объявило о начале приёма предзаказов на смартфон PinePhone, укомплектованный прошивкой с мобильной платформой UBports, продолжающей развитие проекта Ubuntu Touch, после того как от него отстранилась компания Canonical.
Отправка заказанных устройств намечена на середину мая 2020 года. Стоимость смартфона составляет 149.99 долларов.
Прошивка с UBports находится на стадии бета-тестирования, но утверждается, что базовая функциональность полностью работоспособна. Поддерживается приём и совершение звонков, работа с SMS-сообщениями, подключение к LTE-сетям, использование GPS, поддержка ускорения GPU. Из компонентов, в которых остаются нерешённые проблемы отмечаются камера и USB Host (например, автоматически не обрабатывается подключение мыши), оставляет желать лучшего время автономной работы от аккумулятора.
Напомним, что аппаратная начинка PinePhone рассчитана на использование заменяемых компонентов - большинство модулей не впаяно, а подключено через отсоединяемые шлейфы, что позволяет, например, при желании заменить предлагаемую по умолчанию посредственную камеру на более качественную. Устройство построено на четырёхъядерном SoC ARM Allwinner A64 c GPU Mali 400 MP2, оснащено 2 Гб ОЗУ, 5.95-дюймовым экраном (1440×720 IPS), Micro SD (с поддержкой загрузки с SD-карты), 16GB eMMC (внутренний), портом USB-C с USB Host и совмещённым видеовыходом для подключения монитора, Wi-Fi 802.11 b/g/n, Bluetooth 4.0 (A2DP), GPS, GPS-A, GLONASS, двумя камерами (2 и 5Mpx), аккумулятором 3000mAh, аппаратно отключаемыми компонентами с LTE/GNSS, WiFi, микрофоном и динамиками.
Опубликован выпуск операционной системы NetBSD 8.2. В соответствии с новым процессом подготовки выпусков, NetBSD 8.2 отнесён к категории корректирующих обновлений и включает в основном исправления проблем, выявленных с момента публикации NetBSD 8.1. Для тех, кому важна новая функциональность недавно был выпущен значительный релиз NetBSD 9.0. Для загрузки подготовлены установочные образы размером 740 Мб, доступные в сборках для 58 системных архитектур и 16 различных семейств CPU.
Компания Red Hat выпустила дистрибутив Red Hat Enterprise Linux 7.8. Установочные образы RHEL 7.8 доступны для загрузки только зарегистрированным пользователям Red Hat Customer Portal и подготовлены для архитектур x86_64, IBM POWER7+, POWER8 (big endian и little endian) и IBM System z. Исходные тексты пакетов можно загрузить из Git-репозитория проекта CentOS.
Ветка RHEL 7.x сопровождается параллельно с веткой RHEL 8.x и будет поддерживаться до июня 2024 года. Первая стадия поддержки для ветки RHEL 7.x, подразумевающая включение функциональных улучшений, завершена. Выпуск RHEL 7.8 ознаменовал переход на стадию сопровождения, на которой приоритеты сместились в сторону исправления ошибок и безопасности, с внесением незначительных улучшений, связанных с поддержкой важных аппаратных систем. Для желающих перейти на новую ветку, после публикации выпуска Red Hat Enterprise Linux 8.2 пользователям будет предоставлена возможность обновления системы с Enterprise Linux 7.8.
Изменён интерфейс переключения виртуальных рабочих столов в окружении GNOME Classic, кнопка для переключения перемещена в нижний правый угол и оформлена в виде полоски с миниатюрами.
Добавлена поддержка новых параметров ядра Linux (в основном связаны с управлением включением защиты от новых атак на механизм спекулятивного выполнения CPU): audit, audit_backlog_limit, ipcmni_extend, nospectre_v1, tsx, tsx_async_abort, mitigations.
Для гостевых систем с Windows, использующих драйверы ActivClient, реализована возможность предоставления совместного доступа к смарт-картам.
Обновлён пакет samba 4.10.4.
Добавлена реализация алгоритма SHA-2, оптимизированная для процессоров IBM PowerPC.
В OpenJDK добавлена поддержка шифрования с использованием эллиптических кривых secp256k1.
Обеспечена полная поддержка SAS-адаптеров Aero (драйверы mpt3sas и megaraid_sas).
Добавлен драйвер EDAC (Error Detection and Correction) для систем Intel ICX.
Реализована возможность монтирования разделов с использованием механизма FUSE в пространствах имён идентификаторов пользователей (user namespace), что, например, позволяет использовать команду fuse-overlayfs в контейнерах без root.
Ограничение на число IPC-идентификаторов (ipcmin_extend) увеличено с 32 тысяч до 16 миллионов.
Обеспечена полная поддержка Intel Omni-Path Architecture (OPA).
Добавлена новая роль "storage" (RHEL System Roles), которую можно использовать для управления локальным хранилищем (файловыми системами, LVM томами и логическими разделами) при помощи Ansible.
В SELinux разрешён запуск графического сеанса для пользователей группы sysadm_u.
Добавлена поддержка DIF/DIX (Data Integrity Field/Data Integrity Extension) для некоторых хост-адаптеров шины (HBA). В Qlogic HBA добавлена полная поддержка NVMe/FC (NVMe over Fibre Channel).
Обеспечена экспериментальная (Technology Preview) поддержка OverlayFS, Btrfs, eBPF, HMM (heterogeneous memory management), kexec, SME (Secure Memory Encryption), criu (Checkpoint/Restore in User-space), Cisco usNIC, Cisco VIC, Trusted Network Connect, SECCOMP в libreswan, USBGuard, blk-mq, YUM 4, USB 3.0 в KVM, No-IOMMU для VFIO, преобразования образов Debian и Ubuntu через virt-v2v, OVMF (Open Virtual Machine Firmware), systemd-importd, DAX (прямой доступ к ФС в обход страничного кэша без применения уровня блочных устройств) в ext4 и XFS, запуска рабочего стола GNOME с использованием Wayland, дробного масштабирования в GNOME.
Проект GNU Guix, развивающий пакетный менеджер и дистрибутив GNU/Linux на его основе, объявил о намерении прекратить использование ядра Linux в пользу ядра GNU Hurd. Отмечается, что применение Hurd было изначальной целью проекта Guix и теперь данная цель стала реальностью. Продолжение поддержки ядра Linux в Guix признано нецелесообразным, так как у проекта нет ресурсов для сопровождения сразу двух редакций. Выпуск Guix 1.1 станет последним, поставляемым с ядром Linux-Libre. В Guix 2.0 поддержка Linux-Libre будет полностью удалена, но возможность использования пакетного менеджера Guix поверх сторонних Linux-дистрибутивов будет оставлена. Примечательно, что начальная возможность использования GNU Hurd несколько недель назад действительно была реализована в Guix.
Для разработчиков ядра Linux предложен скрипт для автоматического рецензирования изменений. Отмечается, что сопровождающие вынуждены тратить очень много времени на изучение и проверку изменений. День за днём объём патчей неуклонного увеличивается и процесс их разбора становится неподъёмным и не оставляет времени на написание собственного кода.
Скрипт решает эту проблему, автоматически добавляя тег "Reviewed-by". Разработчику остаётся просто сидеть и отслеживать мнения других участников о принятых изменениях. Для того, чтобы не вызывать подозрений после получения письма скрипт отправляет прорецензированный ответ не сразу, а через случайную задержку, симулируя бурную деятельность.
Продолжая практику представления 1 апреля не шуток под видом шуток компания Cloudflare анонсировала вариант сервиса 1.1.1.1 для семейного использования. Запущено два новых публичных DNS 1.1.1.2 и 1.1.1.3, обеспечивающих фильтрацию контента. 1.1.1.2 блокирует попытки обращения к вредоносным и мошенническим сайтам, а 1.1.1.3 дополнительно блокирует ещё и доступ к контенту для взрослых. Интересно, что фильтр 1.1.1.3, который был нацелен на блокирование контента, негативно влияющего на детскую психику, обеспечивал также блокировку LGBTQIA сайтов, что вызвало бурю негодования среди соответствующих меньшинств. Представители Cloudflare были вынуждены извиниться и убрать данные сайты из фильтра.
Первоапрельские RFC: RFC 8771 - интернационализированная сознательно нечитаемая сетевая нотация (I-DUNNO) и RFC 8774 - квантовая ошибка (после внедрения квантовых сетей, значение времени передачи пакета может быть равным нулю, что может привести к глобальному сбою в Cети, так как маршрутизаторы и ПО не рассчитаны, что пакеты могут передаваться мгновенно).
Дистрибутив Manjaro обновил раздел новостей на своём сайте, который теперь построен в соответствии с современными тенденциями web-дизайна. Перед открытием несколько десятков секунд показывается баннер с информацией, что страница загружается, потом показывается список новостей с раскиданными по странице блоками, среди которых трудно разобрать, где какая новость и в каком порядке они следуют. Каждая новость снабжена огромной картинкой, не несущей смысла, но мешающей восприятию текста. При наведении мыши блок дёргается, а при клике текст открывается во всплывающем диалоге, так, что на него не поставишь ссылку.
Разработчики KDE и GNOME представили совместно разработанный рабочий стол KNOME, который вобрал в себя технологии обоих проектов и призван угодить как сторонникам GNOME, так и любителям KDE.
В дальнейшем планируется интегрировать и другие компоненты, например, ожидается выпуск QTK3, KNOME Mobile и Lollyrok.
Разработчик файлового менеджера Ranger переименовал проект в IRangerC и объявил о сосредоточении дальнейшей разработки на добавлении возможностей, необходимых для использования Ranger в качестве IRC-клиента.
Фонд СПО выступил с инициативой Free Clippy, в рамках которой призвал освободить скрепку, которая с 2001 года держится взаперти под проприетарной лицензией и вопреки её воле нещадно эксплуатируется в роли умного помощника.
Разработчики медиацентра Kodi в связи с возрастанием нагрузки на сеть из-за перехода многих людей к работе на дому последовали примеру сервисов Netflix, YouTube и Amazon, снизивших качество по умолчанию отдаваемого видео. Для экономии пропускной способности видео в Kodi будет отображаться с пониженной цветностью в 4-битном монохромный режиме, а для звука будет использоваться только 1 канал. Потеря качества будет восполняться при помощи системы машинного обучения, восстанавливающей потерянные детали. Потоковое вещание и IPTV будет ограничено только местными региональными трансляциями. Для обеспечения режима самоизоляции Kodi будет работать только из домашней сети, выход через общественные беспроводные сети будет блокироваться. Для выполнения условий социального дистанцирования просмотр будет возможен только на экранах, превышающих 60 дюймов.
Компания NGINX добавила в сервер приложений NGINX Unit поддержку языка ассемблер. По мнению разработчиков, использование ассемблера для создания web-приложений позволит полностью контролировать код приложения, даст понимание что именно выполняется и поможет вернуть былую эффективность и компактность программного обеспечения.
Дополнения:
DNSCrypt добавили поддержку DNS-Over-HTTPS с сервером doh.nsa.gov от АНБ (и сразу убрали).
Для Haskell реализована функция "don't", которая не запускает указанное в аргументе действие.
По мере выявления новых розыгрышей текст новости будет пополняться новыми первоапрельскими шутками. Ссылки на интересные первоапрельские розыгрыши просьба присылать в комментариях.
C 7 апреля по 21 июля учебным центром Слёрм будет проведён бесплатный теоретический курс по свободной платформе оркестровки контейнеров Kubernetes. Занятия предоставят администраторам понимание основ, достаточное чтобы влиться в мультифункциональные DevOps-команды, использующие Kubernetes для организации работы высоконагруженных проектов. Разработчикам курс поможет получить знания о возможностях и ограничениях Kubernetes, влияющих на архитектуру приложения, а также даст возможность научиться самим развёртывать приложения, настраивать мониторинг и создавать окружения.
Курс будет проведён в форме вебинаров-лекций, которые стартуют в 20:00 по московскому времени. Курс бесплатный, но требуется регистрация. Расписание занятий:
7 апреля: Что даст вам Kubernetes и его изучение на Слёрме?
13 апреля: Что такое Docker. Основные команды cli, образ, Dockerfile.
14 апреля: Docker-compose, использование Docker в CI/CD. Лучшие практики по запуску приложений в Docker.
21 апреля: Знакомство с Kubernetes, основные абстракции. Описание, применение, концепции. Pod, ReplicaSet, Deployment.
Опубликован выпуск пакетного фильтра nftables 0.9.4, развивающегося в качестве замены iptables, ip6table, arptables и ebtables за счёт унификации интерфейсов фильтрации пакетов для IPv4, IPv6, ARP и сетевых мостов. В пакет nftables входят компоненты пакетного фильтра, работающие в пространстве пользователя, в то время как на уровне ядра работу обеспечивает подсистема nf_tables, входящая в состав ядра Linux начиная с выпуска 3.13. Необходимые для работы выпуска nftables 0.9.4 изменения включены в состав будущей ветки ядра Linux 5.6.
На уровне ядра предоставляется лишь общий интерфейс, не зависящий от конкретного протокола и предоставляющий базовые функции извлечения данных из пакетов, выполнения операций с данными и управления потоком. Непосредственно правила фильтрации и специфичные для протоколов обработчики компилируются в байткод в пространстве пользователя, после чего данный байткод загружается в ядро при помощи интерфейса Netlink и выполняется в ядре в специальной виртуальной машине, напоминающей BPF (Berkeley Packet Filters). Подобный подход позволяет значительно сократить размер кода фильтрации, работающего на уровне ядра и вынести все функции разбора правил и логики работы с протоколами в пространство пользователя.
Основные новшества:
Поддержка диапазонов в присоединениях (concatenation, определённые связки адресов и портов, упрощающие сопоставление). Например, для набора "whitelist", элементы которого являются присоединением, указание флага "interval" будет указывать на то, что набор может включать диапазоны в присоединении (для присоединения "ipv4_addr . ipv4_addr . inet_service" раньше можно было перечислять точные совпадения вида "192.168.10.35 . 192.68.11.123 . 80", а теперь можно указывать группы адресов "192.168.10.35-192.168.10.40 . 192.68.11.123-192.168.11.125 . 80"):
table ip foo {
set whitelist {
type ipv4_addr . ipv4_addr . inet_service
flags interval
elements = { 192.168.10.35-192.168.10.40 . 192.68.11.123-192.168.11.125 . 80 }
}
chain bar {
type filter hook prerouting priority filter; policy drop;
ip saddr . ip daddr . tcp dport @whitelist accept
}
}
В наборах и map-списках обеспечена возможность использования директивы "typeof", определяющей формат элемента при сопоставлении.
Например:
table ip foo {
set whitelist {
typeof ip saddr
elements = { 192.168.10.35, 192.168.10.101, 192.168.10.135 }
}
chain bar {
type filter hook prerouting priority filter; policy drop;
ip daddr @whitelist accept
}
}
table ip foo {
map addr2mark {
typeof ip saddr : meta mark
elements = { 192.168.10.35 : 0x00000001, 192.168.10.135 : 0x00000002 }
}
}
Добавлена возможность использования присоединений в NAT-привязках, что позволяет указывать адрес и порт при определении NAT-преобразований на основе map-списков или именованных наборов:
nft add rule ip nat pre dnat ip addr . port to ip saddr map { 1.1.1.1 : 2.2.2.2 . 30 }
nft add map ip nat destinations { type ipv4_addr . inet_service : ipv4_addr . inet_service \\; }
nft add rule ip nat pre dnat ip addr . port to ip saddr . tcp dport map @destinations
Поддержка аппаратного ускорения с выносом некоторых операций фильтрации на плечи сетевой карты. Ускорение включается через утилиту ethtool ("ethtool -K eth0 hw-tc-offload on"), после чего активируется в nftables для основной цепочки при помощи флага "offload". При использовании ядра Linux 5.6 поддерживается аппаратное ускорение для сопоставления полей заголовка и проверки входящего интерфейса в сочетании с приёмом, отбрасыванием, дублированием (dup) и перенаправлением (fwd) пакетов. В примере ниже операции отбрасывания пакетов, приходящих от адреса 192.168.30.20, выполняются на уровне сетевой карты, без передачи пакетов ядру:
# cat file.nft
table netdev x {
chain y {
type filter hook ingress device eth0 priority 10; flags offload;
ip saddr 192.168.30.20 drop
}
}
# nft -f file.nft
Улучшено информирование о месте ошибки в правилах.
# nft delete rule ip y z handle 7
Error: Could not process rule: No such file or directory
delete rule ip y z handle 7
^
# nft delete rule ip x x handle 7
Error: Could not process rule: No such file or directory
delete rule ip x x handle 7
^
# nft delete table twst
Error: No such file or directory; did you mean table ‘test' in family ip?
delete table twst
^^^^
В первом примере показано, что таблица "y" отсутствует в системе, во втором, что отсутствует обработчик "7", а в третьем, что выводится подсказка об опечатке при наборе имени таблицы.
Добавлена поддержка проверки slave-интерфейса через указание "meta sdif" или "meta sdifname":
... meta sdifname vrf1 ...
Добавлена поддержка операции сдвига вправо или влево. Например, для сдвига существующей метки пакета влево на 1 бит и установки меньшего бита в 1:
... meta mark set meta mark lshift 1 or 0x1 ...
Реализована опция "-V" для отображения расширенной информации о версии.
# nft -V
nftables v0.9.4 (Jive at Five)
cli: readline
json: yes
minigmp: no
libxtables: yes
Опции командной строки теперь обязательно должны указываться перед командами. Например, нужно указывать "nft -a list ruleset", а запуск "nft list ruleset -a" приведёт к выводу ошибки.
Доступен релиз десктоп-ориентированного дистрибутива GhostBSD 20.03, построенного на базе платформы TrueOS и предлагающего пользовательское окружение MATE. По умолчанию в GhostBSD применяется система инициализации OpenRC и файловая система ZFS. Поддерживается как работа в Live-режиме, так и установка на жесткий диск (используется собственный инсталлятор ginstall, написанный на языке Python). Загрузочные образы сформированы для архитектуры x86_64 (2.2 Гб).
В новой версии предлагаемые по умолчанию настройки пакетного менеджера pkg теперь ссылаются на репозиторий пакетов GhostBSD, а не FreeBSD. Приложение Update Station изменено только для запуска обновлений через pkg. Налажено корректное отображение пиктограммы для индикации наличия обновлений. В NetworkMgr сетевой интерфейс wg добавлен в список notnics, чтобы не отображать Wireguard в числе сетевых адаптеров.
Проект GNU представил выпуск свободной системы электронных платежей GNU Taler 0.7. Особенностью системы является то, что покупателям предоставляется анонимность, но продавцы не являются анонимными для обеспечения прозрачности предоставления налоговой отчётности, т.е. система не позволяет отследить информацию о том, куда пользователь тратит деньги, но предоставляет средства для отслеживания поступления средств (отправитель остаётся анонимным), что решает свойственные BitCoin проблемы с налоговым аудитом. Код написан на Python и распространяется под лицензиями AGPLv3 и LGPLv3.
GNU Taler не создаёт собственную криптовалюту, а работает с уже существующими валютами, в том числе с долларами, евро и биткоинами. Поддержку новых валют можно обеспечить через создание банка, который выступает финансовым гарантом. Бизнес-модель GNU Taler основана на выполнении операций обмена - деньги из традиционных платёжных систем, таких как BitCoin, Mastercard, SEPA, Visa, ACH и SWIFT, преобразуются в анонимные электронные деньги в той же валюте. Пользователь может передавать электронные деньги продавцам, которые затем могут на точке обмена поменять их обратно в реальные деньги, представленные традиционными системами платежей.
Все транзакции в GNU Taler защищены с использованием современных криптографических алгоритмов, позволяющих сохранить достоверность даже при утечке приватных ключей клиентов, продавцов и точек обмена. Формат БД предоставляет возможность верификации всех совершённых транзакций и подтверждения их непротиворечивости. Подтверждением платежа для продавцов является криптографическое доказательство перевода в рамках заключённого с клиентом контракта и криптографически подписанное подтверждение о наличии средств на точке обмена. В состав GNU Taler входят набор базовых компонентов, предоставляющих логику для работы банка, точки обмена, торговой площадки, кошелька и аудитора.
В новом выпуске:
Улучшен HTTP API для взаимодействия с точкой обмена (биржей).
Создано приложение с кошельком для Android (будет размещено в каталоге F-droid).
Полностью протестированы операции отзыва ключа и возврата средств.
Бэкенд для Wire приведён к стилю, совместимому с LibEuFin.
Определены и реализованы сервисы синхронизации (пока не интегрированы в кошелёк).
Проект также сообщил о получении гранта от фонда NLnet на проведение независимого аудита криптографической надёжности и качестве кода точки обмена.
Федеральное агентство по связи США (FCC) утвердило новые требования к операторам связи, обязывающее применять технический стандарт STIR/SHAKEN для аутентификации идентификатора вызывающего абонента (Caller ID) с целью борьбы с фальсификацией телефонных номеров при автоматизированном обзвоне. Телефонным операторам и провайдерам голосовых сервисов из США, инициирующим и терминирующим звонки, предписано внедрить проверку соответствия Caller ID реальному номеру вызывающего до 30 июня 2021 года.
Мошенники и спамеры всё чаще прибегают к технике спуфинга Caller ID для передачи фиктивной информации о номере вызывающего абонента, чтобы обходить чёрные списки и подталкивать пользователя к ответу на звонок.
Спецификация STIR/SHAKEN основывается на заверении Caller ID цифровой подписью, связанной с сертификатом оператора, через сеть которого был инициирован вызов. Оператор вызываемого абонента может проверить корректность цифровой подписи, используя распространяемые через публичный репозиторий открытые ключи.
