В Debian намерены добавить Rust в число обязательных зависимостей к APT

Джулиан Андрес Клоде (Julian Andres Klode), основной сопровождающий проект APT, объявил о решении добавить код на языке Rust в пакетный менеджер APT, а также включить в число обязательных зависимостей компилятор Rust, стандартную библиотеку Rust и PGP-инструментарий от проекта Sequoia, написанный на Rust. Изменения намерены реализовать не раньше мая 2026 года, чтобы дать разработчикам портов Debian полгода на реализацию корректной работы инструментария Rust или сворачивание порта.

Новость: https://www.opennet.ru/opennews/art.shtml?num=64164

#debian

GitHub опубликовал отчёт с анализом статистики за 2025 год. Основные тенденции.

Новость: https://www.opennet.ru/opennews/art.shtml?num=64135

#misc

Опубликовано официальное десктоп-приложение Яндекс Музыка для Linux

Новость: https://www.opennet.ru/opennews/art.shtml?num=64126

#misc

Perl

Perl — это интерпретируемый, открытый язык общего назначения (двойная лицензия Artistic/GPL), известный мощной обработкой текста и регулярными выражениями. Портируемый, с огромным репозиторием модулей CPAN.

Где и для чего его используют:
- Администрирование и DevOps: скрипты для автоматизации, бэкапов, мониторинга, cron-задачи.
- Обработка логов и данных: парсинг, фильтрация, отчеты, ETL-пайплайны.
- Системные утилиты: множество исторических инструментов дистрибутивов написаны на Perl.
- Веб (исторически): CGI/старые веб-приложения, поддержка унаследованных систем.
- Наука/биоинформатика: быстрый прототипинг анализа данных.
- Работа с БД: через модуль DBI и драйверы.

Плюсы:
- Очень сильные регулярные выражения и "текстомолотилка".
- Богатая экосистема модулей (CPAN).
- Кроссплатформенность и зрелость.

Минусы/реалии:
- Код часто труднее читать и поддерживать.
- Сообщество и популярность ниже, чем у Python; реже выбирают для новых проектов.

Итог: Perl остаётся полезным в Linux для быстрой автоматизации и обработки текстов, особенно в существующей инфраструктуре, хотя для новых проектов чаще выбирают Python.

#misc

Ruby

Интерпретируемый, открытый язык с упором на простоту и удовольствие от кода. Имеет менеджеры версий (rbenv/rvm), пакетный менеджер RubyGems, интерактивную консоль IRB.

Где полезен:
- Веб-разработка: Ruby on Rails, Sinatra — быстрый старт, много готовых решений.
- DevOps/инфраструктура: Chef, Puppet, Vagrant, Homebrew (частично) — экосистема сильно связана с Ruby.
- Автоматизация и CLI: скрипты, парсинг, генераторы статических сайтов (Jekyll), утилиты.
- Тестирование: RSpec, Minitest — удобные фреймворки.

Плюсы:
- Очень читаемый, лаконичный синтаксис, мощная стандартная библиотека.
- Огромное число гемов (RubyGems), зрелый Rails-стек.
- Сильная метапрограммируемость.

Минусы/реалии:
- Производительность обычно ниже, чем у Go/Java.
- "Магия" Rails и метапрограммирование усложняют отладку в больших проектах.
- Требует управления версиями (rbenv/rvm) для избегания конфликтов.

Сложность:
- Входной порог низкий; писать просто.
- Глубокие Rails-проекты и метапрограммирование — средняя/выше средней сложность.

Итог: отличный выбор на Linux для веба (Rails), инструментов DevOps и быстрых CLI-скриптов; удобен и продуктивен, если не критична максимальная производительность.

#misc

А вы Ruby сильно не любите :D

Fail2ban

Это маленькая утилита‑охранник, которая защищает сервер от перебора паролей и подозрительной активности. Она следит за логами (например, sshd) и, если видит слишком много неудачных попыток входа, временно блокирует IP через Firewall. Если у вас есть сервер, советую настроить эту утилиту, очень хорошо защищает от украинских скрипт-кидди (которые ничего не могут, кроме как позориться на весь мир), ну и в подобных случаях.

Зачем нужен для SSH:
- защищает от brute‑force
- снижает нагрузку от ботов
- не требует сложной настройки
- автоматически банит подозрительные IP

Установка:

$ apt-get install fail2ban

Запуск и автозагрузка:

$ systemctl enable fail2ban
$ systemctl start fail2ban

-> Базовая настройка

Не изменяй /etc/fail2ban/jail.conf — создавай локальный файл:

$ cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Минимальная настройка для SSH в /etc/fail2ban/jail.local:

[sshd]
enabled = true
filter = sshd
port = ssh
maxretry = 5
bantime = 600
logpath = /var/log/auth.log

bantime — на сколько секунд банить
maxretry — сколько попыток можно сделать

Применить настройки:

$ systemctl restart fail2ban

-> Проверки

Статус сервиса:

$ fail2ban-client status

Статус конкретной тюрьмы (ssh):

$ fail2ban-client status sshd

Разбанить IP:

$ fail2ban-client set sshd unbanip 1.2.3.4

Где полезен кроме SSH:
- защита nginx
- защита nextcloud
- защита vsftpd и postfix
- фильтрация подозрительных паттернов в логах

#security #utils

batcat

Это утилита для удобного просмотра файлов в терминале. Это расширенная версия команды cat:

- нумерация строк
- подсветка синтаксиса
- поддержка тем оформления
- просмотр с прокруткой (через less)

Обычно устанавливается как bat, но в Debian/Ubuntu называется batcat.

#utils

Выполнение команд в SubShell

Команда выполняется в текущем Shell:

$ ls

Команда выполняется во временном дочернем процессе — в SubShell:

$ (ls)

SubShell — это отдельная копия Shell, которая запускается для команд в круглых скобках. После выполнения команд внутри ( ) Subshell завершается, и все изменения (переменные, текущий каталог и т.п.) не сохраняются в основном Shell.

Пример изоляции:

$ cd /tmp
$ (cd /; ls)
$ pwd # по‑прежнему /tmp

Subshell позволяет временно менять окружение, не затрагивая основной shell-сеанс.

#shell

Управление фоновыми задачами в Shell

Запускает команду в фоне:

$ xlogo &

Список процессов:

$ ps

Список фоновых задач:

$ jobs

Только PID фоновых задач:

$ jobs -p

Отправить задачу в фон:

Ctrl + Z # остановить задачу (перевести в состояние Stopped)

Вернуть задачу с номером 1 на передний план:

$ fg %1

Продолжить выполнение в фоне:

$ bg %1

#shell

git-cherry-pick

Это команда, которая берет конкретный коммит из одной ветки и переносит его в текущую ветку, не сливая всю ветку целиком.

Для чего используется:
• Чтобы перенести один нужный коммит без merge всей ветки.
• Чтобы быстро забрать фикс или изменение из другой ветки.
• Чтобы исправить баги в релизной ветке, не таща лишнюю историю.

-> Как использовать
(перед этим нужно найти коммит, который нужно влить в ветку)

Переход в нужную ветку:

$ git checkout <branch>

Применить нужный коммит по его хэшу:

$ git cherry-pick <hash>

Отправить результат в репозиторий:

$ git push

Грубо говоря: cherry-pick — это "взять точечно один коммит и вставить его сюда".

#git

Система контроля версий

Система контроля версий (СКВ) - это система, регистрирующая изменения в одном или нескольких файлах для того чтобы была возможность вернуться к прежним версиям этих файлов. Под версионный контроль можно поместить файлы практически любого типа.

* Локальные системы контроля версий
* Централизованные системы контроля версий (CVS, SVN)
* Распределенные системы контроля версий (GIT)

Локальные системы контроля версий
Работают на одном компьютере и хранят историю изменений только локально. Примеры — простые инструменты, сохраняющие разницы файлов. Подход удобен для одиночной работы, но неудобен при командной разработке.

Централизованные системы контроля версий (CVS, SVN)
Централизованные системы контроля версий используют один главный сервер, на котором хранится весь репозиторий и вся история изменений, а разработчики получают только рабочие копии файлов и выполняют все операции — такие как коммиты, обновления или просмотр истории — через этот сервер. Такой подход упрощает администрирование и обеспечивает единое место управления проектом, но делает работу полностью зависимой от доступности сервера: без подключения разработчик не может ни сохранить свои изменения, ни получить новые.

Распределённые системы контроля версий (GIT)
Распределённые системы контроля версий дают каждому разработчику полный клон репозитория со всей историей, что позволяет выполнять коммиты, создавать ветки, экспериментировать и просматривать историю полностью локально, без доступа к сети. Обмен изменениями происходит только при необходимости, через push и pull, а отсутствие единого центра делает систему устойчивой: даже если удалённый сервер недоступен, работа продолжается, а множество локальных копий значительно упрощают параллельную и командную разработку.

#git #theory

Отладка ядра

Отладка ядра Linux напрямую (например, через gdb и vmlinux) обычно малоэффективна. Даже если загрузить символьный файл, большинство переменных будет отображаться как optimized out. Это происходит потому, что ядро нельзя собрать с флагом -O0: без оптимизаций оно будет слишком медленным, нестабильным и во многих случаях просто не загрузится. Поэтому vmlinux полезен в основном для просмотра структуры данных и отдельных символов, но не для полноценной пошаговой отладки.

Линус Торвальдс много раз подчёркивал: ядро — это не та система, которую нужно отлаживать классическим способом (breakpoint -> step -> step). Правильный подход — использовать трассировки и профилирование. То есть не "останавливать мир", а собирать информацию во время работы системы.

Итог: полноценная пошаговая отладка ядра на той же машине, где оно выполняется, невозможна и бессмысленна. Правильный путь — инструменты вроде printk, ftrace, perf, bpftrace, kprobes, tracepoints. Они дают детальную картину происходящего без остановки системы.

#kernel

Как модули попадают в ядро Linux

Когда ядро обнаруживает необходимость в тех или иных функциональных возможностях, ещё не загруженных в память, оно вызывает helper kmod (через механизмы uevent/hotplug). Kmod в свою очередь запускает утилиту modprobe, а уже modprobe вызывает insmod. Посмотреть можно так:

$ systemctl status kmod

Утилиты modprobe, insmod, modinfo и другие - это просто ссылки на /bin/kmod, они ничем не отличаются как отдельные бинарники. Всем заправляет один kmod, можно вызвать /bin/kmod напрямую и он сам определит, какую "утилиту" вы имели в виду.

kmod и modprobe запускаются ядром автоматически, когда требуется загрузка определённого модуля. modprobe принимает на вход имя модуля или его alias.

У модулей есть alias. Например, модуль qrtr в выводе lsmod имеет такое имя. Его alias можно посмотреть в /lib/modules/*/modules.alias. Например: net-pf-42 -> qrtr

Это значит, что modprobe можно передавать один и тот же модуль:

$ modinfo qrtr
$ modprobe net-pf-42

(Примечание: modinfo ищет только по реальному имени файла модуля, alias понимает modprobe)

Затем modprobe просматривает /lib/modules/*/modules.dep. Этот файл описывает модули, которые требуют загрузки других модулей перед своей загрузкой - то есть зависимости. Файл создается командой:

$ depmod -a

Например, модуль qrtr-mhi.ko запрашивает загрузку qrtr.ko и mhi.ko:

kernel/net/qrtr/qrtr-mhi.ko: kernel/net/qrtr/qrtr.ko kernel/drivers/bus/mhi/host/mhi.ko

Затем modprobe вызывает insmod (указывая путь из /lib/modules/*/), который загружает сначала зависимые модули, затем нужный модуль.

insmod довольно "глуп" в отношении нахождения модулей, поэтому принимает абсолютные пути и нужный порядок вручную:

$ insmod /lib/modules/2.6.11/kernel/fs/fat/fat.ko
$ insmod /lib/modules/2.6.11/kernel/fs/msdos/msdos.ko

modprobe более "умный" - он ориентируется по modules.dep, поэтому достаточно передать имя:

$ modprobe msdos

Для загрузки модулей, собранных вне дерева ядра, полезно иметь включённый CONFIG_MODVERSIONS=y

Он не обязателен для загрузки модулей в принципе, но позволяет обеспечивать совместимость символов между версиями ядра и модулей (versioned symbols), что уменьшает риск получить ошибку при insmod.

#kernel #utils

Процессы в ядре Linux

В ядре существует понятие "ядерных потоков" или "потоков ядра" (kernel threads, kthreads) - это легковесные процессы, которые выполняются полностью в пространстве ядра и никогда не переходят в пространство пользователя. Они используются для различных фоновых задач: управление устройствами, обработка событий, обслуживание подсистем ядра и другие служебные функции. Большинство kthreads создаются при загрузке системы или динамически ядром по мере необходимости.

Есть также процессы kworker (kernel worker). Это универсальные фоновые рабочие потоки, обслуживающие работу подсистем workqueue. Они выполняют задачи, которые были отложены другими частями ядра: обработка таймеров, deferred work, обслуживание драйверов, ввод-вывод, управление памятью и многое другое. Kworker‑процессы автоматически создаются ядром, масштабируются по количеству CPU и не связаны с конкретным приложением - они обслуживают всю систему.

kthread - это любой обычный поток ядра, созданный через kthread_create. Он выполняет свою собственную задачу, прописанную автором кода.

kworker - это специальный тип kthread, который используется подсистемой workqueue. Эти потоки создаются и управляются автоматически ядром, а не вручную.

Каждый kworker - это kthread.
Но не каждый kthread - kworker.

#kernel

ioctl()

Input/Output Control.
Это системный вызов в UNIX‑подобных системах, который позволяет отправлять драйверу устройства специальные команды, выходящие за рамки обычных операций read/write. Каждое устройство само определяет набор своих команд, поэтому ioctl даёт гибкий, но низкоуровневый механизм управления.

Команды для ioctl разрабатываются создателями драйверов устройств и могут варьироваться от драйвера к драйверу. Это мощный инструмент, но он также может быть опасным, так как позволяет выполнять низкоуровневые операции, которые могут повредить данные или аппаратное обеспечение, если они используются неправильно.

Используется для:
1. Выполнения операций, специфичных для устройства (например, очистка буфера).
2. Запроса информации, недоступной через read.
3. Настройки параметров драйвера или устройства.
4. Любых других операций, для которых нет стандартных системных вызовов.

Пример работы выглядит так.
В пользовательской программе вызывается команда:

ioctl(fd, IOCTL_GET_MSG, buffer)

Эта команда не читает данные напрямую, а сообщает драйверу: "выполни действие IOCTL_GET_MSG". Обычно для таких команд используются макросы _IOR, _IOW и _IOWR:

#define IOCTL_GET_MSG _IOR(MAJOR_NUM, 1, char*)

_IOR — получить данные из драйвера
_IOW — отправить данные драйверу
_IOWR — и отправить, и получить

В драйвере эти команды обрабатываются функцией ioctl, указанной в структуре file_operations:

struct file_operations Fops = {
  .read = device_read,
  .write = device_write,
  .open = device_open,
  .release = device_release,
  .unlocked_ioctl = device_ioctl, // основной обработчик ioctl
  .compat_ioctl = device_ioctl // нужен только для 32‑бит -> 64‑бит совместимости
};

Таким образом, ioctl создаёт "канал команд":
пользовательское приложение отправляет запрос -> драйвер получает код команды -> выполняет нужное действие -> возвращает результат.

Это простой способ расширить возможности устройства так, как нужно автору драйвера, не изобретая собственные протоколы поверх read/write.

#kernel

Rust

Компилируемый системный язык, ориентированный на безопасность памяти и отсутствие неопределённого поведения, без GC (garbage collector). Позволяет писать низкоуровневый код с производительностью на уровне C/C++, но значительно безопаснее благодаря модели владения и строгой типизации.

Где полезен:
- Backend: высоконагруженные сервисы (Actix, Axum), микросервисы.
- Системное программирование: драйверы, ОС‑компоненты, сетевые стеки.
- WebAssembly: написание высокопроизводительных частей веб‑приложений.
- Безопасная работа с параллелизмом: многопоточные сервисы и runtime‑системы.
- Инструменты и CLI: cargo, ripgrep, fd, starship — многие современные утилиты пишутся на Rust.

Плюсы:
- Высокая производительность, сравнимая с C/C++.
- Отличная экосистема: crates.io, tokio, serde, tracing.
- Cargo: один из лучших менеджеров пакетов/сборки в мире.
- Строгий анализ на этапе компиляции предотвращает целые классы ошибок.
- Безопасность памяти без garbage collector — нет segfault, нет use‑after‑free.

Минусы/реалии:
- Компиляция тяжелее и медленнее, чем у C.
- Встраивание Rust в очень старые экосистемы (например, firmware) может быть сложным.
- Иногда низкоуровневые операции требуют unsafe (компилятор снимает с себя ответственность).
- Крутая кривая обучения из‑за модели владения и borrow checker (строго контролирует доступ к памяти).

Rust vs C/C++:
- Безопаснее C/C++ благодаря строгой модели владения.
- Но C всё ещё проще интегрировать в старые системы и ABI стабильнее.
- Производительность сопоставима или выше, особенно в многопоточных задачах.
- Для embedded Rust часто удобнее C++, но не всегда доступен на самых низких MCU.

Rust в ядре Linux:
- Rust официально принят в mainline Linux (начиная с 6.1).
- Поддержка пока ограничена, но активно развивается.
- Можно писать драйверы и части подсистем ядра, но API Rust в ядре ещё не полный.
- В ядро Rust включён не для переписывания всего, а для безопасных новых драйверов.
- Модули ядра на Rust уже возможны, но только те, которые используют предоставленный Rust‑абстракционный слой (kernel crate).

Где Rust нужен в Linux:
- Пользовательские утилиты: многие современные CLI (ripgrep, exa, fd, bat, starship) уже стандарт-де-факто.
- Внутренние абстракции ядра: безопасные обёртки над указателями, блокировками, refcount, pinning.
- Рендеринг и графика: wgpu (кроссплатформенный WebGPU/Vulkan/Metal/DX12 backend), rend3.
- Игры: на Rust пишут игры и игровые движки с поддержкой Linux (Bevy, Fyrox, Amethyst).
- Новые драйверы: сетевые, USB, storage, сенсоры — безопасное ядро без use-after-free.
- Аудио и DSP: rodio, kira, cpal.
- WebAssembly: выполнение WASM‑модулей на Linux (wasmtime, wasmer).
- DevOps/инфраструктура: контейнерные рантаймы, файловые утилиты, CI‑инструменты.
- Сетевые сервисы: высокопроизводительные backend‑приложения под Linux (Axum, Actix).
- Security‑инструменты: сканеры, песочницы, анализаторы (Rust популярен в security‑комьюнити).
- Файловые системы и блочные устройства: есть исследования и эксперименты по FUSE‑драйверам на Rust.

Сложность:
- Порог входа выше среднего.
- Но после понимания модели владения продуктивность высокая.
- Отлично подходит для кода, где важна безопасность + скорость.

Итог: Rust — мощный системный язык, который сочетает скорость C с безопасностью на уровне высокоуровневых языков (Rust ведёт себя по скорости как C). Подходит для драйверов, системного ПО, сетевых сервисов и CLI. Linux уже официально поддерживает Rust, и будущее ядра включает постепенное расширение Rust‑подсистем для безопасных драйверов и новых модулей.

#misc #kernel

Debian тестирует Debusine, систему индивидуальных репозиториев в стиле PPA

Новость: https://www.opennet.ru/opennews/art.shtml?num=64446

#debian