С праздником, котанессы!

Полтора года назад я писал, что разыскиваю последний номер Linux Format, которого у меня не хватало.

Теперь он у меня есть, я собрал все выпуски Linux Format в бумаге 🌝

Так же у меня образовались лишние номера

Январь 2014 - 178/179
Февраль 2014 -  180
Март 2014 - 181
Апрель 2014 - 182
Май 2014 - 183
Июнь 2014 -184
Июль 2014 - 185
Август 2014 - 186
Сентябрь 2014 - 187
Ноябрь 2014 - 188

Если кому-то нужны, то пишите в комменты или в личку @rusdacent

Аварийная смена пароля в #linux

Я несколько лет использовал такую громоздкую схему для смены пароля при аварийном восстановлении доступа

mount --bind /dev /mnt/dev 
mount --bind /dev/pts /mnt/dev/pts 
mount --bind /proc /mnt/proc 
mount --bind /sys /mnt/sys 
chroot /mnt/
passwd root

Но только сегодня случайно узнал, про аргумент passwd --root
И вся работа свелась к двум простым командам, прекрасно!

mount /dev/sda3 /mnt
passwd --root /mnt root

Можно, конечно, ещё и через grub рутоваться и менять, но это не всегда удобно.

Старый, но интересный пост про то как разные парсеры JSON мучали

JSON is the de facto standard when it comes to (un)serialising and exchanging data in web and mobile programming. But how well do you really know JSON? We'll read the specifications and write test cases together. We'll test common JSON libraries against our test cases. I'll show that JSON is not the easy, idealised format as many do believe. Indeed, I did not find two libraries that exhibit the very same behaviour. Moreover, I found that edge cases and maliciously crafted payloads can cause bugs, crashes and denial of services, mainly because JSON libraries rely on specifications that have evolved over time and that left many details loosely specified or not specified at all.

Parsing JSON is a Minefield 💣
https://seriot.ch/projects/parsing_json.html

нацеленной на решение накопившихся проблем, связанных со взаимодействием разработчиков открытого ПО и коммерческих компаний в контексте получения справедливой обратной отдачи от коммерческого использования кода. В лицензии отражена возможность наложения дополнительных условий на коммерческое использование, например, за получаемую в результате использования открытого ПО выгоду компаниям предлагается расплачиваться либо участием в разработке, либо оплачивая отчисления, которые будут распределяться между непосредственными разработчиками.

Ключевым отличием лицензии Post-Open от существующих открытых лицензий, таких как GPL, является введение договорной составляющей, доступной для расторжения в случае нарушения условий лицензии. Предусмотрено два вида договорных соглашений - бесплатный и платный. Платный договор предусматривает возможность заключения соглашения на предоставление дополнительных прав, и применяется при коммерческом распространении продуктов или внесении изменений без их публичного раскрытия.

Лицензия также определяет организацию "POST-OPEN ADMINISTRATION", выступающую от имени лицензиаров, являющуюся их юридическим представителем, при необходимости отстаивающую их права и занимающуюся распределением полученных средств с учётом вклада в разработку.

Среди ситуаций, которые приводят к расторжению договорной составляющей упомянуты: нарушение условий лицензии; предъявление претензий в нарушении патентов; наложение дополнительных условий (например, добавление в договор с клиентами санкций, в случае распространения информации об исправлении уязвимостей); внесение изменений, подпадающих под закон об экспортном контроле (например, для военных целей и создания оружия); утаивание сведений об уязвимостях или препятствование их раскрытию; использование кода для обучения моделей машинного обучения, распространяемых под другими условиями.

Из проблем GPL, которые пытаются решить в новой лицензии, отмечается ориентация GPL лишь на предоставление прав, без возможности отнимать чьи-то права. Подобная особенность позволяет компаниям обходить требования лицензии GPL в отношении предоставления неограниченного доступа к исходным текстам. 

Например, при покупке дистрибутива RHEL клиент подписывает с компанией Red Hat договор на поддержку и получение обновлений, в котором ограничена редистрибуция данных и упомянуто право расторгнуть договор при несоответствии фактически установленных и купленных копий RHEL, что заставляет выбирать между свободой распоряжения ПО и сохранением статуса клиента Red Hat. Поставляемые для RHEL патчи с устранением уязвимостей применяются к GPL-коду и в соответствии с лицензией пользователь имеет право на их распространение, но это может быть воспринято как нарушение договора с Red Hat и станет поводом для прекращения оказания услуг компании.

Брюс Перенс опубликовал черновой вариант лицензии Post-Open
https://www.opennet.ru/opennews/art.shtml?num=60761

Оригинал
https://perens.com/2024/03/08/post-open-license-first-draft/

Черновик лицензии
https://perens.com/static/DEVELOPMENT_LICENSE.txt

Ладно

https://mirror.yandex.ru/ubuntu/ubuntu/ubuntu/ubuntu/ubuntu/ubuntu/ubuntu/ubuntu/ubuntu/ubuntu/ubuntu/ubuntu/ubuntu/ubuntu/ubuntu/ubuntu/ubuntu/ubuntu/ubuntu/ubuntu/ubuntu/ubuntu/ubuntu/ubuntu/ubuntu/ubuntu/ubuntu/ubuntu/ubuntu/ubuntu/ubuntu/ubuntu/ubuntu/ubuntu/ubuntu/ubuntu/ubuntu/ubuntu/ubuntu/ubuntu/ubuntu/

Если провалиться ещё на один уровень, то будет отлуп по 403

https://mirror.yandex.ru/ubuntu/ubuntu/ubuntu/ubuntu/ubuntu/ubuntu/ubuntu/ubuntu/ubuntu/ubuntu/ubuntu/ubuntu/ubuntu/ubuntu/ubuntu/ubuntu/ubuntu/ubuntu/ubuntu/ubuntu/ubuntu/ubuntu/ubuntu/ubuntu/ubuntu/ubuntu/ubuntu/ubuntu/ubuntu/ubuntu/ubuntu/ubuntu/ubuntu/ubuntu/ubuntu/ubuntu/ubuntu/ubuntu/ubuntu/ubuntu/ubuntu/ubuntu

Расследование началось после того, как специалисты получили предупреждение о компрометации ханипота Docker Engine API, и на сервере появился новый контейнер на базе Alpine Linux. Затем хакеры, используя многочисленные шелл-скрипты, установили криптовалютный майнер, закрепились в системе и  настроили реверс-шелл.

По словам исследователей, атакующие развернули набор из четырех полезных нагрузок, написанных на Go, которые позволяли идентифицировать и эксплуатировать хосты, на которых запущены сервисы для Hadoop YARN (h.sh), Docker (d.sh), Confluence (w.sh) и Redis (c.sh). Названия этих пейлоадов свидетельствовали о неудачных попытках злоумышленников замаскировать бинарники ELF под bash-скрипты.

Исследователи пишут, что хакеры используют перечисленные инструменты для эксплуатации распространенных ошибок конфигурации и N-day уязвимостей, ради последующего проведения RCE-атак и заражения новых хостов.

Новая малварь нацелена на Docker, Hadoop, Redis и Confluence ради добычи криптовалюты
https://xakep.ru/2024/03/11/novaya-malvar-natselena-na-docker-hadoop-redis-i-confluence-radi-dobychi-kriptovalyuty/

Оригинал с подробностями и примерами
https://www.cadosecurity.com/spinning-yarn-a-new-linux-malware-campaign-targets-docker-apache-hadoop-redis-and-confluence/

Бывшая «дочка» Сбербанка SberDevices распространила прошивку для своих смарт-ТВ, которая искусственно снизила разрешение их экрана. Пользователи в ярости, но производитель, судя по всему пока не планируют выпускать исправление.
. . .
В SberDevices заявили изданию, что «оптимизировали разрешение отображаемых элементов интерфейса. В понимании разработчиков, по всей видимости оптимизация – это лишение россиян возможности смотреть контент в Full HD и подмена разрешения на существенно более низкое.

Проблема затронула недорогие модели телевизоров Sber с экранами на 32 и 43 дюйма по диагонали. Разработчики заявляют, что такая «оптимизация» продиктована стремлением увеличить скорость отклика телевизоров.

Крупный российский производитель смарт-ТВ удаленно и без предупреждения ухудшил разрешение на телевизорах россиян.
https://www.cnews.ru/news/top/2024-03-04_pretsedentkrupnyj_rossijskij

За наводку спасибо @theaftertimes

Мы живем в обществе

https://gitlab.freedesktop.org/mesa/mesa/-/issues/10803

Спасибо подписчику за ссылку

5 июня 2024 в Москве будет проходить второй раз БЕКОН - bekon.luntry.ru

Цель мероприятия – помочь компаниям перейти на новый уровень понимания контейнерной безопасности и адаптировать современные подходы по ее обеспечению.

В 2023 году мероприятие собрало множество положительных отзывов от участников, среди которых были архитекторы, инфраструктурные и платформенные команды, DevOps/DevSecOps, специалисты и руководители ИБ-департаментов. Подробнее – в обзоре.

Программа на 2024 год уже начала формироваться и в списке есть доклады

- Почему защитой k8s должно заниматься целое подразделение? / Артем Мерец, Tinkoff
- Linux user namespace в чертогах Kubernetes / Дмитрий Евдокимов, Luntry
- Мечтают ли антивирусы о docker-образах? / Владимир Капистка, samokat.tech
- Мультитенантность в Kubernetes: есть ли серебряная пуля? / Константин Аксенов, Флант

Посмотреть актуальную программу, приобрести билет или предложить идею для сотрудничества можно на официальном сайте конференции.

Билеты со скидкой можно купить до 14 марта включительно.

Я тоже планирую быть там, возможно, с докладом 🌝

You are here:
TypeScript + SQL-based OPERATING SYSTEM by Mike Stonebraker

https://www.dbos.dev/blog/announcing-dbos

F

От лица ГК Softline мы подтверждаем получение официальной информации от Microsoft и Amazon о приостановлении с 20 марта 2024 г. доступа к облачным продуктам на территории России. В связи с этим ГК Softline предупреждает о возможных функциональных ограничениях в работе облачных продуктов и сервисов Microsoft, Amazon и Google. Согласно письмам от правообладателей, с указанной даты будет прекращен доступ к облачным продуктам, таким как (включая, но не ограничиваясь): Power BI, Dynamics CRM и другие. Мы ожидаем, что приостановка также затронет облачные решения, содержащие эти продукты.

Эти ограничения в отношении России определены так называемым «12 пакетом санкций Европейского союза» от 19 декабря 2023 года, который ограничивает поставку в Россию программного обеспечения для бизнес-аналитики (business intelligence (BI), Customer Relationship Management (CRM) и других продуктов.

Для российских компаний это означает, что воспользоваться этими продуктами или получить доступ к данным, содержащимся в них, с 20 марта 2024 г. будет невозможно. Согласно письмам от правообладателей, данные продукты станут недоступны для российских клиентов в связи с требованиями новых положений Регламента ЕС 833/2014, который вводит ограничения на поставку в Россию различных видов программного обеспечения. Важно отметить, что речь может идти о всех облачных продуктах Microsoft, Amazon и Google, которые правообладатели определят в качестве запрещенных для поставки в РФ согласно требованиям указанного выше Регламента.

Чтобы избежать полной или частичной потери информации, ГК Softline рекомендует всем компаниям в кратчайшие сроки выполнить резервное копирование данных, связанных со всеми облачными продуктами Microsoft, Amazon и Google.

https://softline.ru/about/news/priostanovka-dostupa-k-oblachnym-produktam-inostrannykh-vendorov-dlya-zakazchikov-iz-rossii

Пятница!

> The conversion is still quite slow (it takes ~10ms on my Xeon E5-2680v2), but this is to be expected with bash scripts. For a cheap comparsion, the old version took around 350ms, but I don't have solid measurements to prove that. still, 35x faster, woo!

My thoughts on writing a Minecraft server from scratch (in Bash)
https://sdomi.pl/weblog/15-witchcraft-minecraft-server-in-bash/

🫡

- Bash is notoriously bad at handling decimal numbers. It's *ok* with Integers (as long as you don't do too advanced maths on them), but the only way to handle a decimal number is by multiplying it on input, and somehow placing a dot in the correct place for output. Because of this, most (if not all?) numbers handled by Witchcraft are ints.

- The multiplayer doesn't really work? I mean, it kinda does, but I never really took time to finish it and polish it up.

- Witchcraft is technically a multi-threaded server!

- ... which means that it has to use terrible hacks to communicate between threads. Currently, most global data is stored under /dev/shm/witchcraft, internally referenced to as $TEMP.

- Witchcraft is slow, especially in terms of data exchange between multiple threads. Don't expect to be able to send massive amounts of data, generating and sending 16 solid chunks can take as long as a second.

- Witchcraft currently runs *only* if you have the latest BusyBox (1.35.0) installed. I haven't tested it with GNU coreutils, but I expect it won't work.

+
Witchcraft - a Minecraft server, written in Bash
https://git.sakamoto.pl/domi/Witchcraft/

Выводы, которые сделал OpenEBS, после того, как CNCF их передвинула в архивные проекты

Lesson 1: Understand the Purpose Behind Open Source
. . .
DataCore has 20 engineers working full-time on the OpenEBS project, contributing 90% of the code. What do we do? Do we rush to monetize it? Is investing in the Kubernetes community enough? How do we measure the benefit? For us, we didn’t know.
. . .
Lesson 2: Be True to Who You Are
. . .
One of the challenges with open source is that “commercialization” is a dirty word. One of the challenges with proprietary software is that “open source” is a dirty phrase. As a community, we need to get past this.
. . .
Lesson 3: Life after Archival
. . .
When people using an open source project invest years of their lives and base their own software on an open source project, they are depending on it and need to know it will continue. A CNCF sandbox, incubating or graduated project provides this certainty. An archived project does not.

Полностью тут

OpenEBS: Lessons We Learned from Open Source
https://thenewstack.io/openebs-lessons-we-learned-from-open-source/

Список проектов CNCF, которые уехали в архивные доступен тут
https://www.cncf.io/archived-projects/