Аа, мой любимый systemd-вкус!

Linux / Линукс 🥸

Представлен Proton Authenticator, генератор одноразовых паролей для двухфакторной аутентификации

Швейцарская компания Proton AG представила открытое приложение Proton Authenticator, предназначенное для аутентификации при помощи одноразовых паролей с ограниченным сроком действия, генерируемых при помощи алгоритма TOTP (Time-based One-Time Password). Proton Authenticator может применяться как более функциональная замена проприетарным аутентификаторам, таким как Google Authenticator, Microsoft Authenticator, Authy и Duo, а также в качестве альтернативы открытым проектам FreeOTP и oathtool. Код Proton Authenticator распространяется под лицензией GPLv3. Доступны как мобильные приложения для Android и iOS, так и настольные программы для Linux, macOS и Windows. При разработке в зависимости от платформы применяются языки Kotlin, Swift и Rust.

Алгоритм TOTP позволяет генерировать на локальном устройстве пользователя одноразовые коды подтверждения и проверять их на внешнем сервере, используя в качестве параметров секретный ключ и текущее время. Для генерации пароля обмен данными между клиентом и сервером не требуется (достаточно один раз инициализировать ключ, распознав показанный сервером QR-код или импортировав ключ вручную). Время жизни одноразового пароля обычно ограничивается 30 секундами, после чего требуется генерация нового пароля. Пароль генерируется путём вычисления хэша SHA-1, SHA-256 или SHA-512 над сочетанием из ключа и очередного интервала времени, и использования нескольких младших битов хэша для выделения проверочных цифр.

Linux / Линукс 🥸

Linux / Линукс 🥸

FEX 2508: эмулятор x86 теперь быстрее на ARM и даже тянет Cyberpunk

Вышел новый релиз FEX 2508 — эмулятора, позволяющего запускать x86 и x86-64 приложения на Linux-системах с ARM64 (AArch64). Его активно использует проект Asahi Linux, чтобы гнать Steam-игры на Apple Silicon. Код на C++ с ассемблером, лицензия MIT.

Вместо chroot используется overlay-прослойка с rootfs в формате SquashFS. Всё нужное подтягивается утилитой FEXRootFSFetcher. Звук, графика и системные вызовы прокидываются через специальные thunk-библиотеки — поддерживаются OpenGL, Vulkan, SDL2, X11, ALSA и пр. Работает даже bidirectional — часть API можно пробрасывать и обратно.

Что нового:
— FPS в Cyberpunk 2077 вырос на 38.9%, в Doom 2016 — на 30.9%, Stray — на 25%, Grim Fandango Remastered — почти на 25%, Teardown — на 12.6%.
— Улучшили JIT-компиляцию, оптимизировали call-return и память под TSO (Total Store Ordering), что особенно актуально для Apple M1/M2.
— Добавили поддержку NX-бита, теперь исполняемый код не полетит из любой дырки в памяти.
— Повысилась устойчивость к антиотладке в старых играх вроде Crysis 2 и Peggle Deluxe.

Linux / Линукс 🥸

Linux / Линукс 🥸

Python-скрипт запускал комментарии, но не так, как ожидалось

На CTF-соревновании UIUCTF 2025 участнику удалось выполнить произвольный код на сервере, несмотря на то, что он мог менять только содержимое комментария в Python-скрипте. Казалось бы, надёжно: никакого eval, спецсимволы \n и \r вырезаются, данные помещаются в # комментарий, а затем скрипт запускается как .py. Но не всё так просто.

Уязвимость не в синтаксисе Python, а в его механике запуска файлов. Python с версии 2.6 умеет выполнять ZIP-архивы, если в них есть __main__.py. Причём архив может иметь расширение .py — Python определяет ZIP не по имени файла, а по структуре. Индексация архива идёт не с начала, а с конца — по секции EOCD, в которой можно хранить произвольный комментарий.

Именно это и использовал участник: подставил структурированный zip-архив прямо в текст комментария, где в конце файла лежал __main__.py со зловредом. Даже строка print("Thanks for playing!") после комментария не мешала — её Python игнорирует, считая частью ZIP-комментария.

Этот баг не связан с недавно закрытой уязвимостью с \0, но эксплуатирует аналогичную идею: исполнение "данных", маскирующихся под код.

Linux / Линукс 🥸

Linux / Линукс 🥸

Чат в терминале Linux: почти «Матрица» в реальной жизни

В статье рассказывается о том, как создать защищённое текстовое общение в духе «Матрицы» — без серверов и доверия, используя инструменты типа Cryptcat.

📌 https://habr.com/ru/companies/ru_mts/articles/900928/

Linux / Линукс 🥸

🖥 Ubuntu Server 25.10 прощается с wget

В рамках оптимизации Ubuntu Server 25.10 разработчики приняли решение убрать wget из стандартной установки. Вместо него для базовых задач теперь будет использоваться wcurl, который предлагает схожую функциональность. Сам пакет wget не удален из репозиториев, а просто перемещен в категорию поддерживаемых.

Это часть более широкой кампании по зачистке, т.к. из этой же сборки удалили терминальные мультиплексоры byobu и screen, оставив только tmux. Разработчики считают, что раз в новой версии curl (8.14.x) появилась обертка wcurl, способная заменить wget в большинстве простых сценариев, то нет смысла держать два инструмента с похожими задачами.

Технически, wcurl обертка, которая транслирует базовые команды wget в их эквиваленты для curl. Она умеет скачивать файлы, следовать редиректам, автоматически подбирать имена файлов, избегать перезаписи и выполнять повторные попытки при сбое. Однако для более сложных сценариев, особенно в старых скриптах с множеством специфичных флагов, все еще придется ставить wget вручную.

Linux / Линукс 🥸

Невидимый бэкдор Plague атакует Linux-серверы через PAM

Исследователи из Nextron Systems обнаружили новый изощренный бэкдор для Linux под названием Plague. За последний год на VirusTotal было загружено несколько его вариантов, и ни один из них не был обнаружен ни одним из 66 антивирусных движков (рейтинг детекта 0/66).

Такая неуловимость достигается за счет глубокой интеграции в систему. Plague маскируется под легитимный модуль PAM (Pluggable Authentication Modules), встраиваясь в самый корень процесса аутентификации в Linux. Вместо того чтобы ломать систему снаружи, он становится ее частью. Вредоносная библиотека (часто с именем libselinux.so.8) подменяет собой легитимную и перехватывает функцию pam_sm_authenticate(), получая доступ к логинам и паролям в открытом виде.

Plague использует многоуровневую обфускацию строк, которая эволюционировала от простого XOR до сложных алгоритмов, похожих на RC4. Вредонос также оснащен антиотладочными механизмами: он проверяет, что его имя файла не изменено, и что в переменных окружения отсутствует ld.so.preload, что характерно для песочниц.

Для персистентности в бэкдор зашит статический пароль, который позволяет атакующим входить в систему по SSH, обходя стандартную аутентификацию. После успешного входа Plague тщательно зачищает следы: обнуляет переменные окружения SSH_CONNECTION, SSH_CLIENT, SSH_TTY (чтобы скрыть IP и порт атакующего) и перенаправляет историю команд (HISTFILE) в /dev/null, не оставляя никаких записей в .bash_history.

После успешного обхода аутентификации вредонос выводит сообщение-пасхалку из культового фильма «Хакеры» (1995):

Uh. Mr. The Plague, sir? I think we have a hacker.

Linux / Линукс 🥸

Linux / Линукс 🥸

Linux / Линукс 🥸

Orbitiny Desktop 4: необычное окружение с Qt стало чуть удобнее

Вышел четвёртый экспериментальный релиз Orbitiny Desktop — среды рабочего стола на Qt, написанной с нуля на C++ и распространяемой под GPL. Проект старается совместить классический интерфейс (панель, меню, значки) с новыми UX-идеями, которые редко встречаются в других DE.

Большая часть изменений касается файлового менеджера Qutiny и взаимодействия с рабочим столом. Теперь:
— В описаниях точек монтирования отображаются реальные устройства (например, /dev/sdc1)
— Для них появились отдельные пиктограммы, и они видны в боковой панели
— В панель инструментов добавлена кнопка для быстрого доступа к точкам монтирования
— В диалоге удаления теперь видно полный путь до файла, а в свойствах — хэши и владельца
— Диалог переименования получил обновлённый внешний вид

Orbitiny по-прежнему экспериментальный, но двигается к полноценной DE для тех, кто хочет что-то отличное от GNOME и KDE, но с Qt и классическим поведением.

Linux / Линукс 🥸

Linux / Линукс 🥸

В Clang появится режим «усиленной безопасности» по примеру GCC

Ведущий разработчик Clang Аарон Баллман предложил добавить единый флаг безопасности — аналог GCC -fhardened. Режим разом включит набор защит:
— Усиленную проверку границ (_FORTIFY_SOURCE=3);
— Инициализацию переменных нулём;
— Защиту стеков и контроль потоков;
— ASLR через PIE;
— Защиту от ROP-атак (-fcf-protection).

Сейчас эти опции разрознены, плохо документированы и часто нарушают ABI-совместимость — их редко используют. Новый режим (-fhardened, --config=hardened или отдельный драйвер) решит проблему, дав разработчикам «одну кнопку» для безопасности.

Linux / Линукс 🥸

Linux / Линукс 🥸

Linux / Линукс 🥸

В Clang намерены добавить режим усиленной безопасности

Аарон Баллман, главный сопровождающий компилятор Clang, начал обсуждение добавления в компилятор Clang режима усиления безопасности. Новый режим позволит разом активировать набор опций для усиления защиты по аналогии с добавленным в GCC 14 флагом "-fhardened", при котором включаются опции "-D_FORTIFY_SOURCE=3 -D_GLIBCXX_ASSERTIONS -ftrivial-auto-var-init=zero -fPIE -pie -Wl,-z,relro,-z,now -fstack-protector-strong -fstack-clash-protection -fcf-protection=full".

Отмечается, что в настоящее время ведётся работа по добавлению возможностей для усиления безопасности в стандарты C и C++, но этот процесс не быстрый, при том, что в Сlang уже доступны отдельные опции с реализацией дополнительных механизмов защиты. Реализуемые методы защиты часто приводят к отдельным несовместимостям с существующим кодом или нарушению ABI, что не позволяет активировать их по умолчанию. Кроме того, подобные опции разрознены (флаги для управления компиляцией, флаги генерации машинных инструкций, привязанные к аппаратным архитектурам, предупреждения, режимы диагностики, макросы), плохо документированы и выпадают из поля зрения многих разработчиков.

Linux / Линукс 🥸

Linux / Линукс 🥸