Новости Software → unix-системы

Заплатка против Spectre 2 снижает производительность Linux на значение до 50 %

На что можно пойти, чтобы сделать компьютер более безопасным? Большинство людей, обеспокоенных защитой данных, понимают, что уменьшение рисков связано с какими-то компромиссами, либо в области удобства, либо затрат, либо производительности. Тем не менее, многие пользователи Linux не были готовы к тому, что заплатка против уязвимости Spectre 2 снизит производительность их систем с процессорами Intel на значение до 50 %.

Обновление, о котором идёт речь, было выпущено вместе с ядром Linux 4.20. Оно включает исправление STIBP (Single Thread Indirect Branch Predictors) для исполняющихся в многопоточном режиме процессов (SMT). Заплатка должна предотвращать атаки, основанные на уязвимости Spectre 2, но она также вредит производительности процессоров Intel с поддержкой Hyper-Threading, если эти чипы используют последние обновления микрокода.

Было изначально ясно, что STIBP повлияет на производительность. Тем не менее Линус Торвальдс (Linus Torvalds), который вернулся к штурвалу после краткого перерыва в сентябре, сказал с негодованием: «Нигде в обсуждении я не заметил упоминания о том, насколько негативным оказалось влияние на производительность этой заплатки. Когда скорость снижается на 50 % в некоторых задачах, люди должны начать спрашивать себя, стоит ли использовать подобную „защиту“?».

Господин Торвальдс также добавил, что люди, действительно обеспокоенные своей безопасностью, просто полностью отключают технологию SMT. Поэтому текущая ситуация побудила известного разработчика предложить следующее решение для будущей сборки Linux под системы Intel, которое должно успокоить большинство пользователей:

«Я думаю, нам необходимо использовать ту же логику, что и для L1TF: мы по умолчанию используем такие заплатки, которые не влияют на производительность. Нужно предупреждать о таком, а после этого я бы посмотрел на сумасшедших, которые предпочли бы 50-процентное падение производительности, лишь бы решить проблему, носящую всё ещё теоретический характер».

Кстати, господин Торвальдс — не единственный, кого удивляет эта реализация STIBP. Например, работающий на Intel специалист по безопасности Linux Аржан ван де Вен (Arjan van de Ven) отметил: «В документации AMD официально рекомендует не активировать эту заплатку по умолчанию, и я могу сказать, что и наша позиция в Intel аналогична: данная защита действительно не должна быть активирована по умолчанию». Он добавил, что использование инструмента в «хирургически необходимых» случаях — это одно, а включать его всегда неверно.

Источник:

Apple запретила установку Linux на новые компьютеры

На прошлой неделе компания Apple показала новые компьютеры Mac mini и ноутбуки MacBook Air. В них, а также в iMac Pro и MacBook Pro, встроен чип T2, который отвечает за ряд аспектов безопасности. При этом он же не позволяет установить Linux на такие компьютеры.

ocsmag.com

ocsmag.com

Этот чип управляет системой Secure Enclave, которая обеспечивает безопасность Touch ID, шифрует файловую систему APFS и поддерживает безопасную загрузку UEFI Secure Boot. Также он проверяет цифровую подпись загружаемой операционной системы. Суть в том, что такую подпись имеет macOS, а также Windows 10, которую можно установить через BootCamp. Для этого используется сертификат Microsoft Windows Production CA 2011. А вот другой — Microsoft Corporation UEFI CA 2011, там не поддерживается, что не позволяет установить никакую другую ОС, во всяком случае на текущий момент. При этом пользователь не может установить сертификат самостоятельно — в отличие от систем с UEFI Secure Boot.

При этом не помогает даже использование утилиты Apple Startup Security Utility, которая отключает функцию Secure Boot в macOS Recovery. Переход в режим No Security не помогает, поскольку T2 всё равно блокирует доступ к важным компонентам, нужным для загрузки ОС. В частности, чип связан с контроллером SSD-накопителя, и так далее.

techpowerup.com

techpowerup.com

В компании пока не комментируют ситуацию, однако не исключено, что в будущем решение появится. На данный момент проблема затрагивает MacBook Pro 2018 года и младше, MacBook Air Retina, новые Mac mini и iMac Pro.

При этом многие пользователи утверждают, что поддержка Linux на устройствах Mac не слишком и нужна.

Источник:

Microsoft присоединилась к Open Invention Network и передала ей 60 тысяч патентов

Организация Open Invention Network (OIN) объявила о присоединении к числу участников компании Microsoft. Члены OIN обязуются не выдвигать патентные претензии и позволяют бесплатно использовать некоторые запатентованные технологии в экосистеме Linux. Со своей стороны, корпорация из Редмонда передала OIN права на 60 тысяч патентов.

windowscentral.com

windowscentral.com

OIN была создана в 2005 году и с тех пор в её состав вошли 2650 компаний, сообществ и организаций. Все они подписали лицензионное соглашение о совместном использовании патентов. В числе участников можно отметить гигантов IT-рынка Google, IBM, NEC, Toyota, SUSE, Philips, Red Hat, HP, Juniper, Facebook, Cisco, Fujitsu и Sony. В ответ на участие они получили доступ к патентам других компаний, переданным OIN.

При этом отмечается, что соглашение касается только компонентов дистрибутивов. В списке сейчас 2728 пакетов, в том числе ядро Linux, платформа Android, браузер Firefox, офисный пакет LibreOffice, языки программирования Python, Ruby, Go, Lua, PHP, графические среды KDE, GNOME, системы виртуализации KVM, QEMU и многое другое.

При этом любопытно, что ранняя политика Microsoft, по которой компания обвиняла Linux в нарушении более 300 её патентов, и стала одной из причин создания OIN. То же было с Android и другими продуктами.

Сейчас же Microsoft кардинально сменила свою позицию и заявила о поддержке экосистемы Linux и открытого ПО. При этом драйвер exFAT, созданный Samsung под лицензией GPLv2, до сих пор не включён в состав Linux. А в списке переданных патентов Microsoft нет связанных с этой тематикой. Так что не исключено, что компания таким образом просто защищает собственные разработки, одновременно оставляя себе пространство для манёвра.

openinventionnetwork.com

openinventionnetwork.com

В Фонде свободного ПО приветствовали такой шаг со стороны Microsoft и порекомендовали не останавливаться на достигнутом. В Фонде предложили компании опубликовать заявление об отзыве патентных претензий, связанных с использованием Linux в рамках платформы Android, а также способствовать расширению состава «системы Linux». Однако комментария из Редмонда на этот счёт пока не последовало.

Источник:

Что нужно знать об изменении криптографического ключа DNS 11 октября 2018 года

Через несколько дней, 11 октября 2018 года, произойдёт первое в истории обновление криптографического ключа для защиты корневой структуры DNS — системы доменных имён Интернета. Речь идёт об обновлении корневого ключа DNSSEC — системы цифровых подписей, которая предотвращает подмену сервера.

seofarming.it

seofarming.it

Как ожидается, работы начнутся в 16:00 по Гринвичу, и, если всё будет нормально, пользователи и провайдеры ничего не заметят. Процесс будет проводиться и координироваться поставщиками DNS, группой Internet Engineering Task Force (IETF), ICANN и другими. Однако есть вероятность, что некоторые старые забытые серверы и виртуальные машины, на которых не обновляли DNSSEC, останутся без доступа к сети.

Впрочем, решение есть. Разработчики Red Hat предприняли свои шаги и постарались максимально автоматизировать процесс. А по ссылке доступен полный план имплементации нового ключа.

redhat.com

redhat.com

Как сообщается, текущий корневой ключ DNSSEC, также называемый KSK-2010, имеет идентификатор 19036. У версии KSK-2017, которую поставят 11 октября, идентификатор ключа 20326.

В случае возникновения проблем рекомендуется просто перезагрузить DNS-сервер. По идее, после этого система должна штатно запуститься. На случай же аварийной ситуации рекомендуется временно перейти на любой из открытых DNS-серверов. Список их выглядит так:

Возможно также придётся изменить некоторые правила брандмауэра. В частности, должен быть доступен порт 53 по TCP и доступ к UDP. Отметим, что в будущем подобная операция вряд ли потребуется, поскольку в ICANN намерены автоматизировать процесс и менять ключ каждые 5–7 лет.

Источник:

Ремонт MacBook Pro в неофициальной мастерской пока не приводит к проблемам

Компания Apple давно уже пытается максимально ограничить возможности ремонта своих фирменных ПК и ноутбуков сторонними мастерскими. И сейчас, похоже, корпорация выиграла новый раунд в противостоянии.

Чип T2, который установлен в MacBook Pro 2018 года в iMac Pro 2017, потенциально может помешать обычному ремонту. Для того чтобы починить вышедший из строя «яблочный» компьютер с таким чипом, нужно использовать фирменную утилиту Apple Service Toolkit. Если этого не сделать, то после сборки компьютер может не запуститься.

arstechnica.com

arstechnica.com

Дело в том, что вышеуказанный чип выступает контроллером для многих элементов. В случае ноутбука это материнская плата, дисплей, сканер отпечатка пальцев Touch ID и сенсорная панель, а также «бутерброд», включающий в себя клавиатуру, аккумулятор и колонки. Для iMac Pro это материнская плата и SSD-накопитель.

engadget.com

engadget.com

Ранее ряд стран уже пытался ввести у себя законы, которые бы регулировали эту сферу. И дело даже не столько в цене ремонта, сколько в нехватке сервисных центров. Однако пока ни одно государство не довело эту ситуацию до логического финала. Впрочем, если то произойдёт, то закон наверняка будет запрещать использование проприетарных диагностических утилит.

В самой компании уже заявили, что никак не мешают ремонтировать свои устройства в сторонних мастерских. И хотя ранее у компании уже были проблемы с последствиями ремонта iPhone и других устройств у несертифицированных мастеров, на сей раз, похоже, ситуация действительно выглядит так, как и говорят в Купертино.

ifixit.org

ifixit.org

И это подтверждается выводом специалистов ресурса iFixit. Они взяли два MacBook Pro 2018 года и поменяли у них экраны. После этого никаких ошибок не было, ноутбуки функционировали нормально даже после обновления до Mojave. По мнению специалистов iFixit, Apple использует чип T2 для отслеживания оригинальности запчастей по уникальным номерам. Это позволяет блокировать работу, если установлены не родные запчасти. Также система позволяет следить за скоростью и качеством работы сервисных центров. При этом пока система не препятствует работе сторонних ремонтных мастерских. В Apple это пока не комментировали. 

При этом в iFixit не исключают, что компания идёт по пути американского производителя сельхозтехники John Deere, который, фактически, сдаёт её в аренду, а не продаёт, учитывая необходимость сервисного обслуживания исключительно специалистами компании. 

Источник:

В сервисах Microsoft доминирует Linux

Три года назад Марк Руссинович (Mark Russinovich), технический директор облачного сервиса Azure компании Microsoft, заявил, что 75 % серверов работают на Linux. В 2017 году эта цифра упала до 40 %. А по состоянию на сегодняшний день более половины виртуальных машин Azure «крутятся» на свободной операционной системе. Об этом заявил Скотт Гатри (Scott Guthrie), вице-президент подразделения разработки корпорации.

eweek.com

eweek.com

Он уточнил, что именно Linux, а не Windows Server является наиболее популярной платформой для «облака». Также на этой ОС работают собственные службы облака, например, Azure Software Defined Network.

В своё время Марк Руссинович активно продвигал использование Open Source-программ в качестве практического бизнес-решения. И, как оказалось, он был прав. А Гатри уточнил, что переход Microsoft к использованию открытых решений начался десять лет назад после выпуска ASP.NET с открытым исходным кодом.

Из последних событий, связанных с этим, следует отметить покупку GitHub компанией, а также внедрение Linux в качестве подсистемы Windows 10. Для операционной системы есть как адаптированные дистрибутивы, так и созданные специально под неё. А на платформе GitHub работает более 20 000 сотрудников Microsoft и разрабатывается свыше 200 открытых проектов.

starwindsoftware.com

starwindsoftware.com

Забавный момент — в своё время бывший СЕО Microsoft Стив Балмер ( Steve  Ballmer) весьма нелицеприятно отзывался о Linux. Но теперь, спустя пять лет после ухода с поста главы компании, он также признался в любви к открытой ОС.

Наконец, Гатри отметил, что Microsoft имеет тесные отношения с Red Hat, SUSE и Canonical. А на платформе Azure доступны минимум восемь дистрибутивов Linux.

Проект WLinux развивает дистрибутив Linux исключительно для Windows 10

Компания Microsoft в своё время внедрила в Windows 10 подсистему Windows Subsystem for Linux (WSL). Это позволяет использовать скрипты и программы Linux, не перегружаясь в другую ОС. Однако теперь появился проект WLinux от стартапа Whitewater Foundry, который, как утверждается, специально «заточен» под работу исключительно в рамках подсистемы. По словам разработчиков, он оптимизирован под WSL, поддерживает необходимые стандарты и занимает меньше места. Также обещаны оперативные исправления ошибок. Сам дистрибутив основан на кодовой базе Debian и доступен только в Microsoft Store на платной основе. Хотя его наработки свободно распространяются под лицензией MIT.

mspoweruser.com

mspoweruser.com

WLinux, в отличие от существующих сборок Debian для WSL, не использует системный менеджер systemd, зато в нём есть набор утилит wslu для работы с «десяткой». Также присутствуют консольные приложения, в том числе zsh, git, neovim и python 3.7. По умолчанию работа доступна только через терминал, однако можно установить и платный X-сервер X410, после чего заработают и графические приложения Linux.

К слову, это не единственный подобный вариант. Canonical вместе с Microsoft формируют сборки Ubuntu Desktop для виртуальных окружений на базе гипервизора Microsoft Hyper-V. Они позволяют получить полноценный рабочий стол Ubuntu 18.04 в виде гостевой системы в Windows 10 Pro.

softpedia.com

softpedia.com

Технически это обратный аналог программы Wine. В сборке WLinux системные вызовы Linux транслируются в Windows, тогда как в Wine — наоборот. Это позволяет максимально бесшовно работать с теми или иными приложениями, которые жёстко привязаны к платформе Linux и не имеют аналогов под Windows 10.

Отметим также, что в Microsoft Store уже доступны готовые сборки Debian GNU/Linux, Kali Linux, SUSE и openSUSE.

Источник:

Французское правительство опубликовало исходники защищённой ОС

Национальное агентство кибербезопасности Франции (Agence Nationale de la Sécurité des Systèmes d’Information, ANSSI) открыло исходники операционной системы CLIP OS, разработанной специально для правительственных служб. Новинка позиционируется как сверхзащищённая система, которая основана на Linux, но при этом снабжена рядом механизмов безопасности.

pinterest.fr

pinterest.fr

CLIP OS, как следует из пресс-релиза, использует технологию разбиения публичных и приватных данных по двум изолированным программным средам. Это позволяет использовать её на обычных рабочих станциях, где нужно обеспечить защиту информации. Правда, разработчики пока не публиковали готовый дистрибутив, так что желающим попробовать новинку придётся компилировать её самостоятельно.

Как отмечается, разработка CLIP OS продолжалась более десяти лет, но первые публичные подробности были озвучены лишь в 2015 году. Исходники доступны на GitHub под лицензией GNU Lesser General Public License v2.1. Там присутствует стабильная ветка CLIP OS 4 и альфа-версия CLIP OS 5. Документация для стабильной сборки доступна только на французском. Больше информации об операционной системе доступно на официальном сайте проекта. 

Разработчики также опубликовали 14 модулей CLIP OS 4, в числе которых есть подключаемый модуль аутентификации (PAM), демон для административных задач пользователя, модуль Trusted Platform Module (TPM) с интерфейсом терминала и ряд библиотек для шифрования. Всё это можно использовать повторно.

Сама ОС базируется на Gentoo с включением элементов из Yocto project. На официальном сайте проекта доступны все инструкции по сборке операционной системы.

Источник:

Выявлена новая уязвимость на iOS, из-за которой устройство перегружается

В Сети появилась информация о новой уязвимости программного обеспечения компании Apple. Как оказалось, браузеры на компьютере Mac, iPhone и iPad зависают при попытке обработать несколько строк CSS-кода. После этого мобильное устройство самопроизвольно перегружается. На настольном ПК достаточно принудительно закрыть и перезапустить Safari или его отдельную вкладку.

Как сообщается, причина состоит в том, что на iOS все браузеры используют WebKit, потому любой из них «подвешивает» систему. Также проблема затрагивает Apple Watch. К слову, о сбоях в браузерах на основе Chromium не сообщалось, хотя они точно так же базируются на WebKit. Вероятно, там CSS обрабатывается иначе. Саму уязвимость обнаружил пользователь Сабри Хаддучи (Sabri Haddouche), который и написал об этом в Twitter. 

Предупреждение: при переходе на нижеприведённую страницу с iPhone или iPad, произойдёт зависание и последующая перезагрузка устройства с потерей всех несохранённных данных!

Сабри Хаддучи также привёл ссылку  на «смертельную» страницу.

В компании Apple уже знают об этой уязвимости, но пока не прокомментировали её, а также не уточнили, когда можно ждать исправления. Впрочем, учитывая недавний выход iOS 12, watchOS 5 и других обновлений, не исключено, что патч появился уже в них.

anews.com

anews.com

Следует отметить, что iOS 11 была особо богата на подобные сбои. Там были проблемы с обновлениями, с системой авторизации, были бреши в безопасности и так далее. Потому в Купертино и изменили схему выпуска релизов операционных систем. Ведь большинство проблем такого рода легко выявляются на этапе тестирования, однако из-за ограниченного времени многие функции проверялись недостаточно тщательно. Видимо, вышеупомянутый сбой — один из тех, которые не удалось отследить тестерам.  

Источник:

Chrome OS научили монтировать сетевые хранилища Windows и Samba

Разработчики из Google продолжают наращивать функциональность операционной системы Chrome OS, что позволит Chromebook работать не только в глобальной, но и в локальной сети, наряду с компьютерами под управлением Windows, macOS или Linux. Речь идёт о включении в тестовую версию функции монтирования сетевых хранилищ.

Сообщается, что в кодовую базу Chrome OS был принял код для доступа к сетевым хранилищам Windows и Samba с использованием протокола SMB. При этом возможность работы с ним встроена в штатный файловый менеджер Chrome OS, а все настройки осуществляются в конфигураторе в программе «Настройки» (Settings), где появился новый раздел «Сетевые файлы» (Network File Shares). Эта возможность появится в релизе уже 23 октября в рамках Chrome OS 70.

Для подключения к сетевому хранилищу нужно лишь ввести адрес, затем имя пользователя и пароль. После этого система подключится. На текущий момент функцию доступа к «расшаренным» дискам и папкам тестируют в Chrome OS Canary. Всё это должно упростить работу с ними, а также дать возможность сбрасывать контент на локальные хранилища, не привязываясь к глобальным облакам. В случае перебоев в работе Интернета это может оказаться нужным.

Пока что не уточняется, появится ли в Chrome OS полноценная поддержка протокола WebDAV для подключения к облачным хранилищам как к обычным дискам. Разумеется, можно использовать сторонние программы, однако куда удобнее встроенные решения. Хотя бы потому, что клиентские модули пишут другие разработчики, и в них могут быть уязвимости.

В целом же Google Chrome OS явно эволюционирует и становится всё лучше. Системе ещё далеко до Windows, macOS и Linux, но в качестве ОС для клиентского терминала, который подключён к Сети постоянно, её возможностей вполне хватает.

Источник:

window-new
Soft
Hard
Тренды 🔥