Ubuntu заменит традиционный sudo на sudo-rs — переписанную на Rust версию с улучшенной защитой от уязвимостей памяти.

В Ubuntu 25.10 эта смена станет стандартом, сохранив привычный интерфейс и предлагая более высокий уровень безопасности при работе с правами root.

Linux / Линукс 🥸

В http-сервере Apache 2.4.65 устранена проблема, ломающая работу mod_rewrite

Представлен релиз HTTP-сервера Apache 2.4.65, в котором исправлена критическая ошибка в mod_rewrite из-за которой условия, заданные через выражение "RewriteCond", всегда возвращали значение "true", т.е. правила всегда срабатывали, независимо от проверяемых данных. Выражение "RewriteCond" является ключевым в mod_rewrite и применяется для проверки условий в большинстве ситуаций.

Проблема вызвана некорректным изменением в прошлом выпуске и проявляется только в версии Apache httpd 2.4.64. В версии 2.4.64 для определения результата проверки было добавлено перечисление cond_return_type, которое могло принимать значения COND_RC_NOMATCH, COND_RC_MATCH и COND_RC_STATUS_SET. При этом в коде выставлялось только значение COND_RC_MATCH, вне зависимости от результата обработки регулярного выражения (проверялось только отрицательное значение с кодом ошибки, но не учитывалось нулевое значение, выдаваемое при несовпадении).

Linux / Линукс 🥸

Linux / Линукс 🥸

Linux / Линукс 🥸

🎉 Друзья, с праздником! С Днём Сисадмина – 2025! 🎉

Братья и сёстры по ssh, по bash, по rsync — и по Ctrl+C в нужный момент,

Сегодня — не просто пятница. Сегодня тот день, когда мир дышит спокойнее и ровнее, потому что ты рядом. День, когда даже самые забывчивые пользователи иногда вспоминают что сегодня же День Сисадмина... 😬

Мы — люди фона. Мы не светимся на авансцене, не носим костюмы супергероев. Но мы их заменяем! Мы те, кто чинит то, что никто не трогал. Кто отвечает на "всё пропало", даже когда нет ни сна, ни логов, ни совести у клиента. Мы те, кто не ломается, когда ломается всё остальное. Мы тихие воины в битве за стабильность. Мы SSH-мастера. DNS-подкастеры. Починщики почт и укротители UEFI. Мы архитекторы. Да Мы цифровая мускулатура этого бренного мира, мать его!

Посмотри на себя. Ты больше, чем просто админ! 🫵

Ты — инженер, диагност, укротитель багов, специалист по магии API и шаман по вызову. Ты умеешь читать по трассировке, дышать в такт пингу и говорить на языке логов. Ты держал прод на чистом энтузиазме. Ты возвращал к жизни то, что по всем законам логики должно было умереть. Ты нажимал Enter, не зная, сработает ли, но знал, что должен. Ты был там, где были только дымящиеся логи и надежда. Ты слышал звук ребута, как музыку. И ты держался. Без сна. Без моральной поддержки. Ты фаервол во плоти!

Сегодня тот самый повод вспомнить, кто ты. Ты не загнанный специалист. Не айтишник для всего офиса. Ты истинный хранитель порядка в цифровом хаосе. Ты нужен вселенной! И таких, как ты, мало, но мы держим этот мир без громких лозунгов и привлечения внимания, но с крепким и твёрдым аптаймом 💪

Так что выпрямись. Протри монитор, глотни кофе, посмотри на стол, посмотри под стол — да, вон тот роутер снова мигнул не тем цветом. И еще раз вспомни что ты не один. По всей стране и далеко за её пределами тысячи таких же, как ты, сейчас тоже читают эти строки, улыбаются и мысленно говорят:

Да. Это про меня. Недоспал, но инфру не подвёл.

Сисадмины, воспрянем! Не дадим себя сломать ни поломанным дискам, ни ночным деплойам, ни обновлениям, которые ничего не должны были затронуть. Мы не просто аптайм. Мы основа. Стабильность. Надёжность. Хребет, чтоб его!

С праздником нас. И пусть сегодня хотя бы кто-нибудь скажет тебе:

Спасибо, герой. Всё держится на тебе и изоленте. Ты нужен нам ❤️

Обнял. Всё не зря. Даже если никто не заметил 🫡

Типичный 🥸 Сисадмин

Когда потратил 5 часов на изучение того, как работает ввод в Linux

Linux / Линукс 🥸

Проект XLibre интегрирует драйверы в основную ветку X-сервера

Энрико Вайгельт (Enrico Weigelt), руководитель проекта XLibre, после обсуждения с сообществом подготовил pull-запрос, интегрирующий в master-ветку X-сервера основные драйверы для X11. Причиной указывается рассинхронизация X-сервера и драйверов из-за меняющегося ABI, с которым взаимодействуют драйверы, а также желание сразу предоставлять все необходимые драйверы вместе с X-сервером без необходимости ручного поиска совместимых версий.

Часть сообщества критикует данное решение, опасаясь усложнения разработки новых драйверов для XLibre, но Энрико настаивает на нужности такого подхода. В качестве аргументов упоминается аналогичная модель разработки ядра Linux, фактически не имеющего стабильного ABI, а также «сырое» состояние кодовой базы XLibre, которая всё ещё проходит через полномасштабный рефакторинг. Впрочем, в будущем с ростом зрелости проекта разработчики не исключают стабилизацию ABI. Разработка новых драйверов для X11 вне дерева XLibre возможна, однако синхронизация ABI остаётся на совести разработчика. Для не желающих ставить все драйверы вместе с сервером обещают реализовать флаги сборки.

Также можно отметить появление порта XLibre для FreeBSD и обсуждение перевода XLibre на Rust. Разработчики высказались против переписывания частей XLibre на Rust, аргументируя это длительностью процесса, падением производительности, недостатком преимуществ и сложностью поддержки двуязычной кодовой базы.

Linux / Линукс 🥸

Linux / Линукс 🥸

Инициатива Maintenance Fee, предлагающая взимать плату за доступ к сборкам релизов открытых проектов

Автор WiX, открытого инструментария для создания установочных пакетов для Windows, развивает инициативу Maintenance Fee для решения проблемы с финансированием сопровождающих открытые проекты. Инициатива Maintenance Fee позволяет через взимание небольшой ежемесячной платы (как вариант, предлагается $10) обеспечить финансовую устойчивость проектов, не ограничивая при этом их открытость и не прибегая к моделям финансирования, подобным Open Core, подразумевающим поставку расширенной платной версии.

Суть Maintenance Fee в ведении ежемесячного платежа для пользователей и компаний, которые получают коммерческую выгоду и прямо или косвенно зарабатывают на использовании открытого проекта. Стимулирование оплаты производится через добавление сопровождающим пользовательского соглашения (EULA), регламентирующего доступ к инфраструктуре, бинарным сборкам и готовым пакетам. Для перечисления платы предлагается использовать систему GitHub Sponsorship.

В соответствии с EULA, загружать бинарные сборки релизов, участвовать в обсуждениях и отправлять заявки по решению проблем могут лишь платные подписчики, а также пользователи, не получающие коммерческую выгоду от применения проекта. Доступ к исходным текстам остаётся без изменений и производится в соответствии с применяемыми проектами открытыми лицензиями. Если компания, получающая выгоду от проекта, не желает перечислять ежемесячную плату, то она может использовать код из репозитория и самостоятельно формировать для себя сборки, но не имеет права пользоваться готовыми сборками релизов, предоставляемыми основным проектом (среди прочего запрещается использовать официальные сборки пакетов в числе зависимостей, подключаемых через пакетные менеджеры, такие как NPM и NuGet).

Отмечается, что сопровождающие выполняют большую работу, но часто ничего не получают взамен и рассматриваются многими компаниями как бесплатная рабочая сила. Подобное отношение приводит к выгоранию и потере интереса к развиваемым проектам. Зарабатывание денег на поддерживаемом другими людьми открытом коде, ничего не возвращая взамен, воспринимается как паразитирование. Перечисление сопровождающим небольшой доли от получаемого дохода рассматривается как справедливое и взаимовыгодное решение, при котором компании напрямую финансируют сопровождающих проектов, от которых зависят их продукты.

Предполагается, что плата за сопровождение повысит устойчивость открытых проектов и даст возможность уделять больше внимание разбору сообщений об ошибках, ответам на вопросы пользователей, поддержанию сборочной инфраструктуры, обновлению зависимостей, отслеживанию уязвимостей и выполнению рутинных действий, таких как модерирование дискуссий и обновление сертификатов для цифровых подписей.

Linux / Линукс 🥸

Linux / Линукс 🥸

Linux / Линукс 🥸

Повышение производительности Btrfs в ядре Linux 6.17

Для включения в будущее ядро 6.17 предложены оптимизации и новые возможности, повышающие производительность Btrfs:

— Экспериментальная поддержка больших фолиантов страниц памяти (large folios). Ожидается, что изменение позволит снизить накладные расходы и повысить производительность ряда операций. В данный момент возможность технически готова к широкому использованию, но не получила достаточно тестирования для объявления её стабильной.
— Кэширование запросов к битовым картам распределения свободного места. В тестах с созданием пустых файлов производительность операций выросла на 20%. Также отмечены иные улучшения производительности в сценариях с высокой нагрузкой по части метаданных.
— Улучшена работа упреждающего чтения в системах, применяющих сжатие данных.
— Обеспечено более плотное размещение ключей в структуре XArray, что повышает компактность хранению узлов дерева экстентов и позволяет сократить число конечных узлов на 50-70%.

Дополнительно отмечаются изменения в ioctl дефрагментации и активация ранее разработанного механизма предотвращения разрушения файловых систем, ограничивающего запись в блочное устройство с примонтированной ФС.

Linux / Линукс 🥸

Linux / Линукс 🥸

В Android встроена возможность запуска графических Linux-приложений

В свежих Canary-сборках Android (тестовые версии) появилась возможность запускать полноценные *графические* Linux-приложения. Работает через встроенное приложение "Linux Terminal", создающее виртуальную машину с Debian 12 внутри Android.

Активировав кнопку "Display" в терминале, можно запустить минималистичное оконное окружение Weston на Wayland. Через него откроется хоть Gedit, хоть что посерьезнее. Под капотом — фреймворк виртуализации AVF (KVM/crosvm). Для X11-приложений работает XWayland.

Бонус: есть *аппаратное ускорение графики* (VirGL). Чтобы активировать, нужно создать пустой файл /sdcard/linux/virglrenderer и перезапустить терминал.

Linux / Линукс 🥸

Linux / Линукс 🥸

Представлены правила для AI-ассистентов, применяемых при разработке ядра Linux

Саша Левин (Sasha Levin) из компании NVIDIA, занимающийся сопровождением LTS-веток ядра Linux и входящий в консультативный совет организации Linux Foundation, выставил на обсуждение разработчиков набор правил и документацию, которые должны учитываться AI-ассистентами при генерации изменений для ядра Linux.

Определены следующие ключевые принципы для AI:

— Перед созданием изменений необходимо прочитать документацию и следовать изложенным в ней требованиям.
Следует выполнять требования по стилю и оформлению кода для ядра.
— Перед отправкой изменения его нужно тщательно протестировать.
— К коду нужно приложить понятное и исчерпывающее сообщение с описанием изменения.
— Изменения не должны нарушать работу компонентов в пространстве пользователя.
— В качестве соавтора изменения должен быть отмечен AI, не ограничиваясь только упоминанием разработчика, использовавшего AI-ассистент.

Для выделения изменений, подготовленных с использованием AI, к коммиту предписывается прикреплять тег "Co-developed-by: $AI_NAME $AI_MODEL $AI_VERSION".

Linux / Линукс 🥸

Вышел systemd 258-rc1. Новых фич больше, чем в ядре Linux

Поттеринг уверенно строит свою операционную систему внутри операционной системы. Осталось дождаться, когда он добавит systemd-browser для веб-серфинга из-под PID 1 😁

Леннарт выкатил релиз-кандидат systemd 258, и, похоже, это самое крупное обновление за последние годы. Сам автор анонсировал его в 32 (!!!) отдельных постах на Mastodon. Пришлось пробраться через этот поток сознания и собрать самое главное. Пристегнитесь, тут много интересного.

Новая версия требует ядро Linux не ниже 5.4 и полностью прекращает поддержку cgroups v1. Если у вас что-то старое или кастомное, будьте готовы к сюрпризам. Также серьезно переработан systemd-resolved. Теперь в нем, помимо стандартных настроек DNS, можно создавать произвольное количество делегированных зон со своими серверами и правилами.

Продолжается курс на поглощение всего и вся. systemd-homed теперь поддерживает несколько домашних каталогов для одного пользователя (переключение через username%areaname при логине). Добавлены квоты на использование /tmp для каждого юзера, чтобы один не мог забить все место. Для любителей виртуализации systemd-boot теперь умеет загружать образы UKI по сети (HTTP boot), а systemd-vmspawn научился на лету увеличивать размер файловой системы создаваемой ВМ.

Появились и полезные утилиты для админов. systemctl start -v теперь выводит подробные логи запуска сервиса, что упрощает отладку. Новая команда systemd-analyze unit-shell позволяет запустить шелл в контексте любого юнита — идеально для тестирования и траблшутинга. А еще добавили функцию сброса к заводским настройкам на следующую перезагрузку.

З.Ы. Похоже, конечная цель Поттеринга, это чтобы однажды ядро Linux стало просто еще одним опциональным компонентом для systemd 🌚

Linux / Линукс 🥸

Радость не в том, чтобы просто решить задачу, а в том, чтобы решить её СВОИМ, пусть и совершенно безумным, способом. И когда эта конструкция наконец-то начинает работать, это лучшее чувство в мире.

Linux / Линукс 🥸

Критичный баг в sudo пофикшен: больше не "убивает" все процессы

Вышло срочное обновление sudo 1.9.17p2, устраняющее опасную ошибку. При определённых условиях (особенно в PTY) sudo мог отправить сигнал SIGHUP не тому процессу, а *всем* процессам в системе! Это эквивалентно аварийному завершению работы.

Проблема (с версии 1.9.16) возникала из-за некорректного вызова killpg(-1, SIGHUP) при ошибке запуска команды. Вместо завершения одного сбойного процесса, сигнал "потеря терминала" получала вся система, что могло вызвать её крах. Также пофикшен сбой при перехвате команд (intercept) с большими аргументами (>4096 байт).

Linux / Линукс 🥸

NPM по ошибке заблокировал Stylus (4.2M загрузок/неделю)

Администраторы NPM ошибочно заблокировали популярный пакет Stylus, заподозрив в нём вредоносный код. Через 12 часов пакет восстановили, но блокировка уже вызвала массовые сбои в сборках (включая Angular CLI), напомнив печально известный left-pad (2016).

Причина ложного срабатывания — присутствие в команде Stylus разработчика "panya", ранее уличенного в публикации вредоносных пакетов (svelte-intl и др.). Сам Stylus он не скомпрометировал.

Linux / Линукс 🥸