Вышла новая systemd. Достойны отдельного упоминания (по мнению автора новости) следующие изменения:

• команды networkctl теперь поддерживают globbing
• публичный DNS от Cloudflare добавлен в список fallback DNS
• сгенерированные юниты .device (например посредством systemd-fstab-generator) теперь не цепляют соответствующий .mount в качестве автоматической зависимости (Wants=) - то есть подключённый девайс не обязательно будет примонтирован автоматически
• добавлена опция CPUQuotaPeriodSec= для задания отрезка времени по которому считается CPUQuota=
• новая опция юнитов ProtectHostname= предотвращает изменение имени хоста
• опция RestrictSUIDSGID= для запрета создания SUID/SGID файлов
• можно задать network namespace с помощью пути к файлу через опцию NetworkNamespacePath=
• можно создавать .socket юниты в определённом network namespace с помощью опций PrivateNetwork= и JoinsNamespaceOf=
• возможность активировать .timer юниты при изменении системного времени или часового пояса с помощью опций OnClockChange= и OnTimezoneChange=
• опция –show-transaction для ‘systemctl start’ позволяющая просмотреть что именно потребуется для активации данного юнита
• поддержка L2TP туннелей в systemd-networkd
• поддержка раздела XBOOTLDR (Extended Boot Loader) в sd-boot и bootctl монтируемого в /boot в дополнение к ESP (монтируемого в /efi или /boot/efi)
• busctl может генерировать сигналы dbus
• systemctl позволяет перезагрузку в определённую ОС (если загрузчик такое поддерживает)

И множество других любопытных новшеств и исправлений.

>>> Подробности

Уязвимость CVE-2018-19788 присутствует на большинстве операционных систем GNU/Linux и позволяет пользователю, чей UID превышает 2147483647, выполнить любую команду systemctl, равно как и получить root-права.

Проблема существует из-за ошибки в библиотеке Polkit (другое название PolicyKit), заключающейся в неправильной проверки запросов от пользователей с UID > INT_MAX. Где INT_MAX это константа определяющая максимальное значение переменной типа int, равняющаяся 0x7FFFFFFF в шестнадцатеричной или 2147483647 в десятичной системе счисления.

Исследователь по безопасности Rich Mirch (аккаунт в Twitter 0xm1rch) представил успешно работающий эксплоит, демонстрирущий данную уязвимость. Для его корректной работы требуется наличие пользователя с идентификатором 4000000000.

В Twitter'е предлагают гораздо более простой способ получения root-прав:

systemd-run -t /bin/bash

>>> Подробности

22 июня был представлен очередной релиз systemd — набора служебных компонентов для операционных систем на основе ядра Linux, в который (в числе прочего) входит система инициализации, служба ведения общесистемного лога (журнала), механизм управления пользовательскими сессиями и подсистема для работы с контейнерами. Система инициализации systemd основана на модели зависимостей (в противовес событийной модели upstart), включает в себя элементы супервизора на базе механизма cgroups ядра Linux, реализует концепции сокет- и dbus-активации процессов и предоставляет удобный декларативный синтаксис для описания демонов и других сущностей.

В рамках проекта также разрабатывается ряд легковесных вспомогательных программ, выполняющих второстепенные, но распространённые вспомогательные задачи — от настройки виртуальных терминалов (systemd-vconsole-setup) до управления сетью (systemd-networkd), SNTP-клиента (systemd-timesyncd) и UEFI-загрузчика (бывший gummiboot).

( читать дальше... )

>>> Объявление о релизе

Проекты Systemd и Leechcraft объявили о своём слиянии. В рамках этого слияния, в Systemd появятся браузер, медиаплеер, а также RSS-, IM- и BitTorrent-клиенты.

( читать дальше... )

>>> Подробности

Леннарт Поттеринг объявил в рассылке systemd-devel о выходе новой версии systemd 237.

Основные изменения:

• кнопками зума некоторых клавиатур можно пользоваться как прокруткой;
• поведение строк типа f в systemd-tmpfiles приведено в соответствии с документацией (изменение, нарушающее совместимость с предыдущими версиями);
• journalctl наконец-то обзавелся параметром --grep;
• добавлена поддержка переменной окружения SYSTEMD_OFFLINE, которая может перевести systemd в автономный режим (без взаимодействия с сервисным менеджером);
• можно динамически создавать временные юниты .path и .socket по аналогии с типом mount;
• в systemd-mount появился параметр --owner;
• новый условный оператор ConditionControlGroupController, проверяющий доступность контроллера;
• в юниты и файлы .link, .netdev и .network добавлена поддержка условного оператора ConditionKernelVersion;
• systemd-networkd получил поддержку Prefix Delegation для DHCP6;
• расширены возможности API sd-bus и sd-event;
• долгожданная поддержка VPN WireGuard;
• в systemd-notify добавлен параметр --uid;
• новая команда systemd-analyze service-watchdogs для вывода состояния watchdog'ов;
• инновационные параметры для systemd-analyze: log-level и log-target на смену устаревшим [get,set]-log-level и [get,set]-log-target;
• в sysusers.d добавлены строки типа u для одновременного указания UID и GID.

P. S. В списке контрибьюторов замечен один из четырехзвездочных ЛОРовцев.

>>> Подробности

Lennart Poettering объявил о выпуске systemd 236 в качестве окончательной версии 2017 года.

systemd основан на принципах зависимостей, производит отслеживание процессов запущенных сервисов при помощи механизма cgroups в ядре Linux, поддерживает механизмы сокет и dbus активации сервисов и предоставляет удобный декларативный синтаксис для описания демонов и других сущностей.

В этот релиз вошли, в основном, различные исправления и улучшения внутренней логики и структуры, а также расширения уже существующей функциональности.

Основные изменения:

• Поддержка формата LUKS2 на диске для зашифрованных разделов список bootctl теперь может перечислять все доступные параметры меню загрузки.
• Улучшенная опция cgroup.
• Различные усовершенствования сети systemd-networkd.
• Поддержка установки начального сопоставления клавиатуры systemd-firstboot.
• Несколько новых аргументов командной строки systemd-resol.
• Введен модуль modprobe.d (для модуля ядра bonding.ko).
• Неизвестные «%» в файлах конфигурации теперь отклонены.
• systemd-resolved теперь поддерживает новую динамику /run/systemd/resolve/stub-resolv.conf.
• В /etc/fstab два новых варианта монтирования.
• bootctl получил новую команду «list» для перечисления всех доступных опций загрузки.
• systemctl получил новый переключатель -dry-run, который показывает, что будет сделано.
• ConditionSecurity теперь может обнаружить модуль безопасности TOMOYO.
• Ряд незначительных улучшений во всем ядре systemd.

>>> Объявление о релизе

После трех месяцев разработки вышел релиз Systemd 235. Основные изменения:

• Поддержка automake прекращена. В качестве сборщика используется Meson, использующий инструментарий ninja.
• Для unit-файлов представлены опции RuntimeDirectory и RuntimeDirectoryPreserve, позволяющие определить путь к runtime-каталогу (в иерархии /run или $XDG_RUNTIME_DIR) и поведение в отношении сохранения его содержимого после остановки unit-а. Например, указание RuntimeDirectory=foobar приведёт к размещению данных в каталоге /run/foobar и удалению после завершения работы сервиса, если для него не установлена опция RuntimeDirectoryPreserve;
• По аналогии с RuntimeDirectory для unit-ов представлены опции StateDirectory, CacheDirectory, LogsDirectory и ConfigurationDirectory, позволяющие вынести данные состояния, кэша, логов и настроек в отдельные подкаталоги в иерархиях /var/lib/, /var/cache/, /var/log/ и /etc, содержимое которых сохранится между запусками сервиса. Дополнительно добавлены вспомогательные пары опций, определяющие режим доступа к каталога - StateDirectoryMode, CacheDirectoryMode, LogsDirectoryMode, ConfigurationDirectoryMode.
• В Systemd-Jornald реализована более агрессивное кеширование из /proc/ , а также запись в /proc/, что позволило увеличить производительность записи логов при большой нагрузке. Так как метаданные читаются в асинхронном режиме, их состояние может немного запаздывать относительно выводимых в лог записей. Владельцам SSD с TLC-памятью рекомендуется быть поосторожнее.
• В unit-ы добавлена опция IPAccounting, при включении которой для сервиса добавляются счётчики с данными о трафике и числе пакетов. Данные о трафике можно посмотреть через «systemctl status» или «systemd-run --wait»;
• Обеспечено сохранение в логе сведений о потреблении ресурсов CPU и трафике. Запись создаётся при каждой остановке юнита, если включены опции CPUAccounting или IPAccounting;
• В unit-ах реализован Firewall, основанный на опциях IPAddressAllow и IPAddressDeny. Ограничения можно наложить как на входящий, так и на исходящий трафик.
• В systemd-networkd представлена серия новых настроек, задаваемых через файлы .network: Scope (область достижимости) в секции [Address], ConfigureWithoutCarrier (игнорировать статус линка при настройке) в секции [Network], Anonymize (включение опций анонимного профиля RFC 7844) в секции [DHCP], Type (определение спецмаршрутов для направления трафика в blackhole/unreachable/prohibit) в секции [Route]. Добавлена новая секция [RoutingPolicyRule] для задания правил маршрутизации;
• В файлы .netdev добавлены опции: Table в секции [VRF] для выбора используемой таблицы маршрутизации, Independent в секции [Tunnel] для настройки туннеля независимо от связанного с ним сетевого интерфейса, GroupForwardMask в секции [Bridge] для настройки распространение локальных сетевых кадров между портами сетевого моста;
• В файлах .link добавлены новые режимы работы опции WakeOnLan, добавлена настройка TCP6SegmentationOffload для включения аппаратного ускорения обработки сегментов TCP/IPv6;
• В реализацию сервера для анонса маршрутов IPv6 (Router Advertisment) добавлена поддержка отправки записей RDNSS и RDNSSL для передачи настроек DNS;
• В systemd-nspawn добавлен флаг "--system-call-filter" для добавления и удаления элементов из применяемого по умолчанию фильтра системных вызовов. Реализована возможность определения белых списков системных вызовов с запретом всех остальных (ранее предлагались черные списки);
• Добавлены новые фильтры групп системных вызовов: @aio, @sync, @chown, @setuid, @memlock, @signal и @timer, которые можно указывать через опцию SystemCallFilter или флаг "--system-call-filter";
• В опцию ExecStart для unit-файлов добавлены два новых модификатора: При указании префикса "!" команда запускается без смены идентификатора пользователя/группы (без вызова setuid/setgid/setgroups). Второй модификатор "!!" идентичен "!" за исключением того, что его действие игнорируется на системах с поддержкой наследования расширенных прав (capabilities PR_CAP_AMBIENT, появились в ядре 4.3);
• В systemd-run добавлен флаг "--pipe", при котором в вызываемый сервис systemd передаются файловые дескрипторы на STDIN/STDOUT/STDERR, что позволяет использовать его в цепочке с другими утилитами в shell с передачей данных через неименованные каналы;
• Для каждого сервиса обеспечено поддержание счётчика перезапусков, который можно посмотреть командой «systemctl show -p NRestarts сервис».
• Для unit-файлов реализована новая опция LockPersonality, позволяющая на лету привязать сервис к выбранному домену выполнения;
• В поставку добавлен файл для modprobe.d, обеспечивающий переопределение параметров модуля bonding для корректного управления интерфейсом bond0 из systemd-networkd;
• В journald.conf добавлена включенная по умолчанию настройка ReadKMsg, управляющая чтением лога ядра в systemd-journald, а также опция LineMax для задания максимального размера строки при выводе логов через STDOUT/STDERR;
• В nss-myhostname/systemd-resolved по умолчанию обеспечена генерация DNS-записей A/AAAA для хоста «_gateway» вместо ранее применяемого имени «gateway», так как оно используется для внутренних нужд некоторых дистрибутивов (старое поведение можно вернуть во время сборки);
• Добавлен новый целевой юнит для пользовательских сеансов: «getty-pre.target», который выполняется до консольного входа в систему;
• Для увеличения качества энтропии в генераторе псевдослучайных числе systemd теперь при запуске каждого виртуального окружения пытается загрузить модуль ядра virtio-rng.ko;
• В /etc/crypttab обеспечена возможность применения опции _netdev, по аналогии с /etc/fstab, для организации настройки шифрованных устройств после запуска сети; Для подключения внешних обработчиков в cryptsetup.target добавлено два целевых юнита remote-cryptsetup-pre.target и remote-cryptsetup.target, решающих те же задачи, что remote-fs.target и remote-fs-pre.target в local-fs.target;
• В сервисы добавлена опция UnsetEnvironment, позволяющая убрать любую переменную окружения, которая в обычных условиях будет передана сервису;
• Команды «systemctl poweroff», «systemctl reboot», «systemctl halt», «systemctl kexec» и «systemctl exit» теперь всегда выполняются в асинхронном режиме, т.е. сразу возвращают управление, не дожидаясь фактического завершения операции;
• В systemd-resolve добавлен флаг "--reset-server-features", при указании которого очищаются и перезапрашиваются ранее полученные сведения о возможностях вышестоящих DNS-серверов. Отправка данных в лог теперь включает сведения о всех используемых DNS-серверах.

>>> Подробности

На церемонии, ежегодно проходящей в рамках конференции Black Hat USA в Лас–Вегасе, объявлены победители премии Pwnie Awards 2017, присуждаемой за выдающиеся достижения либо провалы в области компьютерной безопасности.

В категории «Самая дурацкая реакция разработчика» (Lamest Vendor Response) премии удостоен Леннарт Поттеринг за реакцию на ошибки в systemd и отказ документировать уязвимости, получившие индекс CVE: 5998 (новость), 6225, 6214, 5144, 6237 (обсуждение в Talks).

>>> Подробности

Основные изменения:

• Добавлена поддержка системы сборки Meson. Полный переход c autotools состоится в скором времени.
• Добавлен параметр JobRunningTimeoutUSec= для ограничения времени выполнения запущенного процесса.
• Реализованы новые варианты Condition* для проверки пользователя и группы.
• Улучшена поддержка V(X)LAN, IPv6 в systemd-networkd.
• systemd-logind теперь можно перезапускать без потери состояния (файловые дескрипторы сохраняются посредством FDSTORE).
• Исправлена уязвимость CVE-2017-1000082, связанная с неправильной обработкой имени пользователя.

В благодарностях упомянут один из пользователей linux.org.ru — intelfx.

>>> Подробности

Manjaro-Architect ISO - это альтернативный установочный образ Manjaro Linux, использующий консольный сетевой установщик Manjaro-Architect v0.8.13.

Будучи изначально экспериментом члена команды @Chrysostomus, этот проект начался как форк установщика Architect из Archlinux, с упором на некоторые продвинутые и экзотические варианты установки, которых не было в обычных ISO. Но вскоре сообщество уделило проекту больше внимания и за более 6 месяцев интенсивной разработки новый консольный установщик вырос в мощное средство для продвинутых и средних пользователей, набирая все больше популярности.

Что это?

Образ Manjaro-Architect ISO занимает менее 500MB и поставляется без графического окружения, но использует интерфейс командной строки для скачивания и установки последних доступных версий всех необходимых пакетов, что выглядит идеально для дистрибутива с роллинг-релизом.

Также этот вид установки предоставляет практически неограничнную гибкость: с его помощью можно установить как любую официальную или поддерживаемую сообществом редакцию Manjaro, так и специальную систему, настроенную индивидуально с выбором любого DE или WM. Предпочитаемые ядра и драйвера могут быть выбраны вручную или автоматически с помощью Manjaro Hardware Detection.

Manjaro-Architect поддерживает системы инициализации systemd и openrc, шифрование диска и множество файловых систем, включая LVM и btrfs.

Скачать образ можно здесь: https://manjaro.org/get-manjaro/

Туториал по установке: https://forum.manjaro.org/t/installation-with-manjaro-architect-iso/20429

>>> Подробности

Разработчик Canonical Крис Колсон сообщил об обнаружении критической уязвимости в системном менеджере systemd. Атакующий может удалённо спровоцировать переполнение буфера, что ведёт к выполнению произвольного кода.

Уязвимость, получившая идентификатор CVE-2017-9445, кроется в функции dns_packet_new из состава systemd-resolved. Особым образом сформированный DNS-ответ может привести к падению systemd-resolved, когда тот пытается получить ответ от DNS-сервера, контролируемого злоумышленником. В итоге, чрезвычайно большой ответ переполняет память, позволяя выполнить произвольный вредоносный код.

Уязвимость существует на протяжении 2 лет, начиная с systemd 223 и заканчивая последней 233.

Отслеживать появление патчей в Ubuntu и Debian можно по ссылкам:

https://www.ubuntu.com/usn/usn-3341-1/

https://security-tracker.debian.org/tracker/CVE-2017-9445

>>> Подробности

Ленарт Поттеринг объявил в списке рассылки systemd-devel о новой конференции «All Systems Go!», пришедшей на смену «systemd.conf».

В отличие от предшественника, «All Systems Go!» расчитана на более широкую аудиторию, и хотя systemd останется одной из главных тем, в целом конференция ориентирована на проекты, находящиеся в основе современных дистрибутивов GNU/Linux, в частности на низкоуровневые технологии пользовательского пространства.

Конференция пройдёт 21—22 октября в Берлине. Стоимость билетов при покупке заранее составляет 25 или 150 € (включая налоги).

>>> Подробности

Из-за уязвимости в менеджере входа в систему LightDM в релизах Ubuntu начиная с 16.10 временно прекращена возможность использования гостевого сеанса.

Проблема открывает гостю доступ к чужим файлам на компьютере. Она была вызвана прекращением применения ограничений AppArmor (в Ubuntu 16.04 и более ранних выпусках применялся профиль /usr/lib/lightdm/lightdm-guest-session) после перехода к использованию systemd для управления сеансами.

>>> Подробности

Спустя две недели после выхода Devuan Jessie 1.0 RC 1, представлен второй кандидат в релизы Devuan Jessie 1.0 RC2. По словам разработчиков, теперь они на шаг ближе к первой стабильной сборке с длительным циклом поддержки.

Devuan — форк Debian, в котором вместо системного менеджера systemd используется SysVinit.

Подготовлены сборки:

• для AMD64 и i386 (minimal 305 МиБ, install 645 МиБ, live 832 МиБ);
• для ARM (Raspberry Pi 1/2/3, Banana Pi, cubieboard2, odroid, n900, Chromebook Acer и другие).

Основные изменения:

• решена проблема с цифровыми подписями в установочных и live образах;
• free и non-free прошивки теперь включены в desktop-live и minimal-live, в /root есть скрипт для удаления несвободных прошивок;
• пакеты из бэкпортов не устанавливаются автоматически;
• добавлена версия network-manager без привязки к systemd;
• новые версии reportbug, desktop-base, xfce4-panel;
• в jessie-proposed добавлены некоторые пакеты, без привязки к libsystemd0;
• из инсталлятора удалены GNOME, KDE и Cinnamon, у которых есть проблемы в работе без systemd.

>>> Подробности

Представлен кандидат в релизы Devuan Jessie 1.0, форка Debian без systemd. Если он оправдает ожидания сообщества, то будет выпущена первая стабильная сборка.

Подготовлены сборки: minimal (279 МиБ), install (645 МиБ) и live (803 МиБ) для amd64 и i386 и образы для машин с ARM.

Философией Devuan является предоставление пользователям свободы в выборе системы инициализации. Вместо systemd используется SysVinit, а в качестве стандартного окружения рабочего стола — XFCE.

>>> Подробности

В начале этого месяца после почти 4 месяцев разработки состоялся релиз systemd 233 — системного менеджера для GNU/Linux.

( Основные изменения )

>>> Подробности

Состоялся релиз системного менеджера systemd 232.

( читать дальше... )

>>> Подробности

В системном менеджере systemd выявлена локальная уязвимость. Процесс PID 1 зависает на системном вызове pause() при поступлении в сокет уведомлений systemd сообщения нулевой длины, после чего невозможно запустить/остановить демоны или выполнить «чистую» перезагрузку, а systemd-сервисы в стиле inetd перестают принимать соединения. Так как сокет уведомлений /run/systemd/notify доступен всем на запись, то любые локальные пользователи могут вызвать отказ в обслуживании на системах с systemd.

Уязвимость проявляется во всех версиях systemd, начиная, по крайней мере, с версии 209.

Атака сводится к выполнению команды

NOTIFY_SOCKET=/run/systemd/notify systemd-notify ""

>>> Подробности

На состоявшемся сегодня заседании комитета FESCo (Fedora Engineering Steering Committee), отвечающего за техническую часть разработки дистрибутива Fedora Linux, утверждено решение по использованию в Fedora 25 по умолчанию окружения рабочего стола GNOME на базе Wayland. Несмотря на применение по умолчанию Wayland, сеанс с классическим X.Org-сервером будет оставлен в качестве опции. Напомним, что Wayland пока что оптимизирован только для встроенных видеокарт, драйверов на дискретные видеокарты не было выпущено ни Nvidia (по-прежнему экспериментальная функция до 600-ой серии), ни AMD (Catalyst по-прежнему на X.org).

>>> Подробности

Представлен выпуск системного менеджера systemd 230. Из новшеств можно отметить включение по умолчанию DNSSEС и режима чистки процессов пользователя после завершения сеанса, поддержку унифицированной иерархии cgroup, возможность настройки прокси ARP для сетевого интерфейса, новые типы юнитов generated и transient, новую команду systemctl revert и возможность создания виртуальных прямых сетевых ссылок между контейнерами.

( Основные изменения )

>>> Подробности