Уязвимость в runc и LXC, затрагивающая Docker и другие системы контейнерной изоляции

1 неделя ago
В runc, инструментарии для запуска изолированных контейнеров, выявлена критическая уязвимость (CVE-2019-5736), позволяющая из подконтрольного злоумышленнику изолированного контейнера изменить исполняемый файл runc и получить root-привилегии на стороне хост-системы. Уязвимость затрагивает все системы контейнерной изоляции, использующие runtime runc, включая Docker, cri-o, containerd, Kubernetes, Podman и flatpak. Также отмечается, что аналогичная уязвимость присутствует в инструментариях LXC и Apache Mesos.

В состав OpenBSD добавлена собственная реализация rsync

1 неделя ago
В состав кодовой базы OpenBSD добавлен пакет openrsync, включающий реализацию утилиты для синхронизации файлов и резервного копирования rsync, полностью переписанной под лицензией BSD (оригинальный rsynс развивается под лицензией GPLv2).

NVIDIA открыла код StyleGAN, генератора лиц на основе машинного обучения

1 неделя ago
Компания NVIDIA открыла наработки, связанные с проектом StyleGAN, позволяющим генерировать изображения новых лиц людей, имитируя фотографии. Система автоматически учитывает аспекты размещения лиц и делает результат неотличим от настоящих фотографий (большинство опрошенных не смогли отличить оригинальные фотографии от сгенерированных). Для синтеза лиц применяется система машинного обучения на основе генеративно-состязательной нейронной сети (GAN). Код написан на языке Python с применением фреймворка TensorFlow и опубликован под лицензией Creative Commons BY-NC 4.0 (только для некоммерческого использования).

Новая версия почтового сервера Exim 4.92

1 неделя ago
После 10 месяцев разработки представлен релиз почтового сервера Exim 4.92, в который внесены накопившиеся исправления и добавлены новые возможности. В соответствии с февральским автоматизированным опросом более двух миллионов почтовых серверов, доля Exim составляет 56.91% (год назад 56.56%), Postfix используется на 34.42% (33.79%) почтовых серверов, Sendmail - 4.16% (4.59%), Microsoft Exchange - 0.61% (0.85%).

Обновление пакета с ядром для Ubuntu привело к проблемам с загрузкой на некоторых ноутбуках

1 неделя ago
Компания Canonical выпустила обновление (4.18.0-15) пакетов с ядром для Ubuntu 18.04 и 18.10, в котором устранено регрессивное изменение, внесённое в предложенном за несколько дней до этого обновлении ядра с устранением уязвимости в реализации vsock (CVE-2018-14625). Некорректное устранение уязвимости привело к невозможности загрузить некоторые системы с GPU Intel (gen4/gen5) - при использовании обновлённого ядра система зависала на этапе загрузки драйвера i965.

Сравнение производительности виртуальных машин 6 облачных платформ: Selectel, MCS, Я.Облако, Google Cloud, AWS и Azure

1 неделя ago
Давеча на глаза мне тут попалось аж две статьи из одного корпоративного блога, касающиеся облаков — одна про Kubernetes, а во второй была попытка замера производительности по методике, которая мне показалась сомнительной (спойлер — и не зря).

Про K8s мне тоже есть что сказать, но поговорим про производительность.

Недоверие к результатам было вызвано многими факторами, но основными из них для меня стали следующие: параметров запуска тестов не было, количество итераций не озвучено, как выбирались машины не озвучено, подробной конфигурации тоже не было. Сомнительно, в общем.
В целом, я пользуюсь в основном Google Cloud и AWS (в сумме уже с десяток лет опыта по ним набежало) и с отечественными облачными провайдерам особо не работаю, но, по стечению обстоятельств, у меня есть активные аккаунты в Selectel, MCS, Я.Облаке и, после этого теста, еще и в Azure.

К счастью, все эти платформы публичные и что бы я не намерил, каждый при желании может пойти, повторить и проверить.

Итогом всего этого стала мысль — почему бы не потратить пару сотен рублей, все выходные и действительно вдумчиво не померить все шесть платформ и выяснить, какая из них дает лучшую производительность относительно стоимости и в абсолютных цифрах при одинаковых конфигурациях, а заодно и сравнить глобальных поставщиков с российскими.
А так же, как выяснилось, прояснить некоторые «особенности» в выделении ресурсов и напомнить себе и окружающим, что далеко не всегда и не на всех платформах за одни и те же деньги можно получить предсказуемую производительность.

Результаты получились не сказать чтобы феноменальными, но на мой взгляд крайне любопытными.

Интересующихся прошу под кат.
Читать дальше →
onlinehead

Google представил механизм Adiantum для быстрого шифрования накопителей

1 неделя 1 день ago
Компания Google предложила механизм шифрования накопителей Adiantum, который может применяться на маломощных устройствах, на которых невозможно использовать алгоритм блочного шифрования AES из-за слишком больших накладных расходов. В частности, Google намерен применять Adiantum для шифрования накопителей младших моделей смартфонов на базе платформы Android, оснащаемых процессорами ARM, не предоставляющими инструкции для аппаратного ускорения шифрования AES. Эталонная реализация алгоритма опубликована под лицензией MIT, реализация на уровне подсистемы ядра Linux dm-crypt опубликована под лицензией GPLv2 (патчи подготовлены как для редакций ядра для Android, так и для обычных ванильных ядер Linux).

Инженеры «скрутили» свет в оптоволокне — новая технология ускорит передачу данных в сто раз

1 неделя 1 день ago
В октябре журнал Nature Communications опубликовал научную работу инженеров из Австралии, в которой описана технология передачи данных с помощью «скрученного в спираль» света.

Под катом обсуждаем принципы работы и перспективы решения.

Читать дальше →
VASExperts

[Из песочницы] IPSec VPN-соединение между MikroTik и Kerio Control

1 неделя 1 день ago


Начальные параметры:

  1. Головной офис предприятия с двумя пограничными прокси Kerio Control v.9.2.9 build 3171 (за Kerio расположен свич Cisco 3550, определяющий конфигурацию локальной сети офиса).
  2. На каждом Kerio организовано по два канала с балансировкой нагрузки до ISP (на схеме — ISP #1 и ISP #2) со статичными белыми IP.
  3. Со стороны удалённого офиса установлен MikroTik 951G-2HnD (OS v.6.43.11).
  4. На MikroTik приходят два ISP (на схеме — ISP #3 и ISP #4).

На момент написания статьи и в головном и в удалённом офисе соединение с провайдерами было по витой паре.

Список задач:
  1. Организовать IPSec VPN-соединение между MikroTik и Kerio Control, где инициатором будет выступать MikroTik.
  2. Обеспечить отказоустойчивость VPN-соединения, т.е. кроме того, что MikroTik должен отслеживать работоспособность своих ISP(статья здесь), он также должен мониторить доступность каждого сервера Kerio и определять, доступ по какому каналу (через какого ISP со стороны Kerio) будет производиться подключение.
  3. Обеспечить возможность изменения адреса сети, с которым MikroTik подключается к Kerio. Это обусловлено тем, что в головном офисе «на границе» стоят Kerio, а не маршрутизатор.
Читать дальше →
domovoy-77

Настройка резервного копирования и восстановления Zimbra OSE целиком и отдельными ящиками, не используя Zextras

1 неделя 1 день ago
1. С чего начать
С чего начинается резервное копирование? Планирование. При резервировании любой системы, необходимо составить план резервного копирования: что именно, как часто, как долго хранить, хватит ли свободного пространства? Из ответов на эти вопросы вытекает ответ на главный вопрос – чем бэкапить?

Если свободного пространства много – можно хранить целиком виртуальную машину. Делать бэкапы тем же Veeam по расписанию, и не думать о сложностях. Но как по мне, так это расточительство, я привык делать все максимально сжато и, по возможности, экономично. Veeam у меня, конечно же, развернут, но им я делаю резервные копии лишь тех систем, которые либо невозможно, либо проблематично и очень долго разворачивать из резервных копий.

Про скрипты средств управления виртуальной средой просто многозначительно промолчу.

У Zimbra есть инструмент zmmailbox. И, при ближайшем рассмотрении его функционала, я понял, что его мне будет более, чем достаточно. Он умеет резервировать и восстанавливать ящики даже на живой системе. И мне понравилась возможность делать бэкапы критичных почтовых ящиков отдельно от бэкапа всей системы. Таким образом пространство, занимаемое резервными копиями, будет ограничено размером заархивированных почтовых ящиков, помноженным на количество дней «глубины бэкапа», а не объемом всей системы, помноженной на то же количество дней. К тому же с бэкапа всей системы, в случае с Zimbra, крайне сложно восстановиться. Гораздо проще скопировать виртуальную машину с помощью Veeam или средств управления виртуальной средой (Hyper-V, ESXI, вписать нужное) сразу после настройки системы, и положить «на полочку», чтобы в критичный момент можно было быстро развернуть почти ничего не весящую ВМ и залить в нее бэкапы ящиков. По-моему, это наименее затратный во всех отношениях сценарий.
Читать дальше →
Snow_Bars

Настройка резервного копирования и восстановления Zimbra OSE целиком и отдельными ящиками, не используя Zextras

1 неделя 1 день ago
1. С чего начать
С чего начинается резервное копирование? Планирование. При резервировании любой системы, необходимо составить план резервного копирования: что именно, как часто, как долго хранить, хватит ли свободного пространства? Из ответов на эти вопросы вытекает ответ на главный вопрос – чем бэкапить?

Если свободного пространства много – можно хранить целиком виртуальную машину. Делать бэкапы тем же Veeam по расписанию, и не думать о сложностях. Но как по мне, так это расточительство, я привык делать все максимально сжато и, по возможности, экономично. Veeam у меня, конечно же, развернут, но им я делаю резервные копии лишь тех систем, которые либо невозможно, либо проблематично и очень долго разворачивать из резервных копий.

Про скрипты средств управления виртуальной средой просто многозначительно промолчу.

У Zimbra есть инструмент zmmailbox. И, при ближайшем рассмотрении его функционала, я понял, что его мне будет более, чем достаточно. Он умеет резервировать и восстанавливать ящики даже на живой системе. И мне понравилась возможность делать бэкапы критичных почтовых ящиков отдельно от бэкапа всей системы. Таким образом пространство, занимаемое резервными копиями, будет ограничено размером заархивированных почтовых ящиков, помноженным на количество дней «глубины бэкапа», а не объемом всей системы, помноженной на то же количество дней. К тому же с бэкапа всей системы, в случае с Zimbra, крайне сложно восстановиться. Гораздо проще скопировать виртуальную машину с помощью Veeam или средств управления виртуальной средой (Hyper-V, ESXI, вписать нужное) сразу после настройки системы, и положить «на полочку», чтобы в критичный момент можно было быстро развернуть почти ничего не весящую ВМ и залить в нее бэкапы ящиков. По-моему, это наименее затратный во всех отношениях сценарий.
Читать дальше →
Snow_Bars

Выпуск файлового менеджера Double Commander 0.9.0

1 неделя 1 день ago
Доступна новая версия двухпанельного файлового менеджера Double Commander 0.9.0, пытающегося повторить функциональность Total Commander и обеспечить совместимость с его плагинами. Предлагается три варианта интерфейса пользователя - на базе GTK2, Qt4 и Qt5. Код доступен под лицензией GPLv2.

Раскрыты детали новой атаки на различные реализации TLS

1 неделя 1 день ago
Исследователи из компании NCC Group раскрыли сведения (PDF) о новой атаке по сторонним каналам, позволяющей через анализ остаточных данных в процессорном кэше восстановить содержимое, передаваемое через каналы связи, зашифрованные при помощи протоколов TLS и QUIC. С некоторыми оговорками атака затрагивает и протокол TLS 1.3.

Бета-выпуск дистрибутива OpenMandriva Lx 4

1 неделя 1 день ago
Сформирован бета-выпуск дистрибутива OpenMandriva Lx 4. Проект развивается силами сообщества после того как компания Mandriva S.A. передала управление проектом в руки некоммерческой организации "OpenMandriva Association". Для загрузки предлагаются Live-сборка размером 2.1 Гб (x86_64).

FreedomEV - открытая надстройка для информационной системы автомобилей Tesla

1 неделя 2 дня ago
На конференции FOSDEM был представлен новый открытый проект FreedomEV, в рамках которого развивается серия надстроек для контроля за программным окружением автомобиля Tesla и полноценного использования Linux в автомобильной информационной системе. Работа FreedomEV обеспечена на Tesla моделей S и X c мультимедийной системой (MCU, Media Control Unit) на базе процессора с архитектурой ARM. Наработки проекта поставляются под лицензией GPLv3.

В SUSE/openSUSE будет отключено автоопределение нетипичных файловых систем

1 неделя 2 дня ago
Разработчики SUSE объявили о намерении отключить по умолчанию устаревшие или редко применяемые файловые системы, поддерживаемые ядром Linux. Изменение планируется включить в состав будущих выпусков SLE 15-SP1 и openSUSE Leap 15.1. В качестве причины называется желание защитить систему от возможных атак, проводимых через подключение носителей со специально модифицированными ФС, эксплуатирующих уязвимости в их реализациях.

[Перевод] Настройка НА-кластера Kubernetes на «голом железе» с kubeadm. Часть 1/3

1 неделя 2 дня ago

Всем привет! В этой статье я хочу упорядочить информацию и поделиться опытом создания и использования внутреннего кластера Kubernetes.


За последние несколько лет эта технология оркестровки контейнеров сделала большой шаг вперед и стала своего рода корпоративным стандартом для тысяч компаний. Некоторые используют ее в продакшене, другие просто тестируют на проектах, но страсти вокруг нее, как ни крути, пылают нешуточные. Если еще ни разу ее не использовали, самое время начать знакомство.


0. Вступление

Kubernetes — это масштабируемая технология оркестровки, которая может начинаться с установки на одной ноде и достигать размеров огромных НА-кластеров на основе нескольких сотен нод внутри. Большинство популярных облачных провайдеров представляют разные виды реализации Kubernetes — бери и пользуйся. Но ситуации бывают разные, и есть компании, которые облака не используют, а получить все преимущества современных технологий оркестровки хотят. И тут на сцену выходит инсталляция Kubernetes на «голое железо».


Читать дальше →
nAbdullin

Релиз Chrome OS 72

1 неделя 2 дня ago
Компания Google представила релиз операционной системы Chrome OS 72, основанной на ядре Linux, системном менеджере upstart, сборочном инструментарии ebuild/portage, открытых компонентах и web-браузере Chrome 72. Пользовательское окружение Chrome OS ограничивается web-браузером, а вместо стандартных программ задействованы web-приложения, тем не менее, Chrome OS включает в себя полноценный многооконный интерфейс, рабочий стол и панель задач.

Проект GTK+ объявил о переименовании в GTK

1 неделя 3 дня ago
Объявлено о переименовании библиотеки GTK+ в GTK. Следующий значительный релиз 4.0 будет именоваться gtk4. Знак "+" является рудиментом и давно утратил свой смысл. Мало кто помнит, что плюс был добавлен как признак выделения кода GTK из дерева исходных текстов GIMP для того чтобы отличать обособленный проект от версий библиотеки, развивавшихся вместе с GIMP.

Новый старый телефон. Reinvent the PSTN phone

1 неделя 3 дня ago


Сейчас многие говорят о том, что проводная телефония (switched PSTN) умирает.
И тенденция отказа от проводных телефонов, как среди физических лиц, так и среди бизнес пользователей подтверждает этот факт – на протяжении последних лет цифра подключенных проводных телефонов постоянно падает.

Некоторые пользователи, в основном физические лица, полностью переходят на GSM, некоторые переходят на виртуальные DID номера, используя VOIP технологии (в основном бизнес) и т.д.

Это мировая тенденция.

Но проблема в том что оставшихся пользователей — все равно — очень большое количество в мире и оно будет оставаться большим в бижайшем обозримом будущем – 15-20 лет точно.
С другой стороны – рост пользователей GSM также замедляется, количество их примерно одинаково в развитых странах и они в основном мигрируют между мобильными операторами.
Читать дальше →
Mobile1