Компания МЦСТ (Московский центр SPARC-технологий) объявила о выпуске новой версии своего фирменного дистрибутива «Эльбрус Линукс» 6.0 — операционной системы общего назначения для компьютеров архитектуры «Эльбрус», SPARC и x86.

Новая редакция платформы получила ядро Linux 5.4 с расширенным сроком поддержки (LTS) и полностью обновлённый графический стек (X.Org, Mesa, DRM). Также сообщается об обновлении набора включённых в состав дистрибутива приложений, системных пакетов и компонентов. Всего в дистрибутиве насчитывается свыше 2100 пакетов, в числе которых — офисные программы, графические редакторы, средства защиты информации, инструменты администрирования и удалённого доступа, серверные компоненты, СУБД и прочие востребованные в корпоративной среде программные решения.

Отдельное внимание при подготовке «Эльбрус Линукс» 6.0 к выпуску было уделено расширению набора инструментов для разработчиков. В частности, отмечается, что ОС собрана новой версией фирменного оптимизирующего компилятора LCC 1.25, который генерирует более эффективный машинный код за меньшее время, поддерживает новый стандарт языка C++ 20 (в экспериментальном режиме) и обеспечивает более высокий уровень совместимости с популярным компилятором GCC. В дополнение к этому были обновлены многие другие средства разработки: интерпретаторы и трансляторы, отладчики и профилировщики, инструменты сборки, системы контроля версий, программные библиотеки, интегрированные среды разработки.

Опробовать платформу «Эльбрус Линукс» 6.0 можно с помощью свободно распространяемого варианта для архитектуры x86 — ссылки для скачивания приведены на странице описания продукта. Тестирование на компьютерах архитектуры «Эльбрус» возможно провести удалённо, либо взяв оборудование в аренду. Дистрибутив для архитектуры SPARC планируется выпустить позже.

SUSE, крупнейшая в мире независимая компания по разработке программного обеспечения с открытым исходным кодом, объявила финансовые результаты третьего квартала 2020 финансового года, закончившегося 31 июля.

Выручка SUSE за третий квартал выросла на 14 % по сравнению с прошлым годом на фоне воздействия пандемии COVID-19 на мировую экономику. Объём ACV (годовая стоимость контракта) облачных заказов увеличился в годовом исчислении на 81 %, продолжая расти уже 14 квартал подряд.

Основные достижения SUSE в третьем квартале:

• Компанией было заключено с начала года на 35 % больше сделок с клиентами на сумму более $1 млн.
• Отмечен повышенный спрос на корпоративную ОС Linux для выполнения рабочих нагрузок SAP — рост резервирования ACV для платформы SUSE Linux Enterprise Server for SAP Applications составил 50 %.
• Зафиксирован значительный рост популярности продуктов SUSE в Северной Америке, Азиатско-Тихоокеанском регионе и Японии, где объём резервирования ACV вырос по сравнению с прошлым годом 25 % и 21 % соответственно.

В числе новых заказчиков в этом квартале есть Dell EMC и ведущий поставщик промышленных контрольно-измерительных приборов и решений для автоматизации технологических процессов Endress + Hauser.

В третьем квартале SUSE также укрепила свою команду топ-менеджеров, назначив на руководящие должности для поддержки ключевых целей компании финансового директора Энди Майерса (Andy Myers) и директора по развитию Майкла А. Райли (Michael A. Riley), а также руководителей по продажам в регионах — Джеффа Латтомуса (Jeff Lattomus), президента подразделения SUSE в Северной Америке, и Филиппа Мильтиадеса, президента подразделения компании в Азиатско-Тихоокеанском регионе и Японии.

Также сообщается, что SUSE открыла новый инженерный и инновационный центр в Софии (Болгария), присоединившийся к аналогичным центрам компании в Германии, Чехии, Индии и США.

Второе поколение подсистемы Windows Subsystem for Linux (WSL 2), как и было ранее обещано Microsoft, продолжает развиваться и получать новые функции. В Windows 10 Insider Preview 20211 появилась поддержка монтирования дисков для прямого доступа к ним. Причём не только из WSL-окружения, но и непосредственно из Windows, по пути wsl$.

Прямо сейчас есть целый ряд ограничений для данной функциональности. Поддерживается монтирование только физических дисков целиком, а не отдельных разделов на них. Судя по всему, накопитель фактически «отцепляется» от Windows, поэтому, например, нельзя будет смонтировать диск с загрузочным томом самой Windows. USB-накопители смонтировать не получится вовсе.

Формально возможна работа с любыми файловыми системами (ФС), которые поддерживаются ядром Linux (для WSL 2 это 4.19), но фактически сейчас есть поддержка только EXT4. Работа через с ФС, которые используют FUSE, невозможна. Также нет типовых опций монтирования (ro, rw, noatime и т.д.), но обещана поддержка специфичных для каждой ФС параметров. Кроме того, можно подключить диск без монтирования разделов и напрямую работать с ним как с обычным блочным устройством. Часть функций, приведённых в справке, будет полноценна реализована в будущих релизах.

В связи с ростом популярности платформ с открытым исходным кодом, исследователи «Лаборатории Касперского» предупреждают, что хакеры всё чаще атакуют устройства на базе Linux с помощью инструментов, специально разработанных для использования уязвимостей в платформе.

Windows по-прежнему чаще является объектом массовых атак вредоносного ПО. Но есть и другие примеры, когда дело доходит до сложных угроз (APT), и когда атакующий — зачастую спонсируемая государством группа хакеров — налаживает длительное присутствие в сети.

По словам «Лаборатории Касперского», эти злоумышленники всё больше диверсифицируют свои арсеналы, добавляя инструменты для взлома Linux, расширяя тем самым перечень систем, на которые они могут нацеливаться. Многие организации выбирают Linux для стратегически важных серверов и систем. В связи со «значительной тенденцией» к использованию Linux в качестве десктопной платформы крупными предприятиями, а также государственными органами, злоумышленники, в свою очередь, разрабатывают всё больше вредоносных программ для этой платформы.

«Тенденция к совершенствованию наборов инструментов APT в прошлом неоднократно фиксировалась нашими экспертами, и инструменты, ориентированные на Linux, не являются исключением», — отметил Юрий Наместников, руководитель группы глобальных исследований и анализа «Лаборатории Касперского» в России. «Стремясь защитить свои системы, ИТ-отделы и отделы безопасности используют Linux чаще, чем раньше. Злоумышленники реагируют на это созданием сложных инструментов, способных проникнуть в такие системы», — добавил он.

По данным «Лаборатории Касперского», более десятка APT-атакующих использовали вредоносные программы для Linux или некоторые модули на базе Linux. В их числе вредоносные программы LightSpy и WellMess, обе нацелены на устройства на Windows и Linux. Также было обнаружено, что вредоносное ПО LightSpy позволяет атаковать устройства на iOS и Mac. Хотя целевые атаки на системы на базе Linux по-прежнему редки, для желающих их произвести имеется целый набор веб-шеллов, бэкдоров, руткитов и пользовательских эксплойтов.

Аналитики также предположили, что небольшое количество зарегистрированных атак не отражает степень опасности, которую они представляют, указав, что компрометация отдельного сервера на Linux «часто приводит к серьёзным последствиям», поскольку вредоносное ПО распространялось по сети на конечные точки под управлением Windows или macOS, «тем самым обеспечивая более широкий доступ для злоумышленников, который может остаться незамеченным».

Например, влиятельная русскоязычная группа хакеров Turla за последние годы значительно усовершенствовала свой набор инструментов, включив использование бэкдоров Linux. По словам «Лаборатории Касперского», новая модификация бэкдора Penguin x64 Linux, о которой сообщалось ранее в 2020 году, уже затронула десятки серверов в Европе и США.

Ещё один пример — северокорейская APT-группировка Lazarus, которая продолжает диверсифицировать свой набор инструментов и разрабатывать вредоносное ПО не только для Windows, но и для других операционных систем. «Лаборатория Касперского» недавно сообщила о мультиплатформенном вредоносном фрейворке MATA, который использует Lazarus, а в июне 2020 года исследователи проанализировали новые образцы, связанные с операциями Operation AppleJeus и TangoDaiwbo, запущенными в финансовых и шпионских целях. Изученные образцы включали вредоносное ПО для Linux.

Для снижения риска того, что системы на Linux станут жертвами атак, рекомендуется принять ряд мер, включая такие простые шаги, как обеспечение правильной настройки брандмауэров и блокирование неиспользуемых портов, автоматизация обновлений безопасности и использование специального решения безопасности с защитой Linux.

Организации должны дополнительно вести учёт надёжных источников программного обеспечения и избегать использования незашифрованных каналов обновления; применять SSH-аутентификацию на основе ключей и защищать ключи паролями; использовать двухфакторную аутентификацию и применять аппаратные токены. Также следует избегать запуска бинарников и скриптов из ненадёжных источников.

«Мы советуем специалистам по кибербезопасности учитывать эту тенденцию и внедрять дополнительные меры для защиты своих серверов и рабочих станций», — сообщил Наместников.

Astra Linux намерена выделить финансовые ресурсы на развитие экосистемы отечественного программного обеспечения. Об этом сообщил гендиректор компании Илья Сивцев на пресс-конференции ассоциации «Руссофт». По данным издания «Коммерсантъ», объём инвестиций составит 3 миллиарда рублей.

По словам главы компании, целью Astra Linux как активного участника рынка является построение и развитие стека российских продуктов путём реализации M&A-стратегии и грантов. «Мы ежегодно растём более чем в два раза и замедляться не планируем. В этом году в первом полугодии мы также показали более чем двукратный рост, — заявил г-н Сивцев. — Ежедневно работая с информационными системами заказчика, мы видим, что те отечественные программные продукты, которые у него есть, пока не решают всех его задач. Поэтому нам хотелось бы инвестировать в этот рынок, в небольшие коллективы, научно-технические сообщества, и совместно развивать отечественный стек решений».

По мнению Ильи Сивцева, в 2021 году отечественный IT-рынок обязательно будет расти. Пандемия привела к изменению набора технологий, которые используют организации, увеличила востребованность для бизнеса IT-сервисов, при этом заказчик стал лучше в них ориентироваться и яснее понимать, зачем ему тот или иной продукт. Перераспределение бюджетов организаций на IT значительно нивелировало падение оборотов в ряде сегментов рынка и позволило развивать новые продукты и услуги.

Ещё одним драйвером роста станет импортозамещение ПО. «Если несколько лет назад импортозамещение можно было встретить только в ряде национальных проектов, некоторых органах исполнительной власти и силовых ведомствах, то сейчас этим занимается практически каждый ФОИВ и РОИВ, а самое главное — к программе импортозамещения подключились госкорпорации: например, такие гиганты, как «Росатом», «Почта России», «Российские железные дороги», «РусГидро» и многие другие», — резюмировал глава Astra Linux.

Компания «Доктор Веб» сообщила об обновлении защитных решений Dr.Web для интернет-шлюзов, почтовых и файловых серверов UNIX, а также рабочих станций под управлением Linux.

Выпуск апдейтов обусловлен добавлением новых функциональных возможностей, внесением улучшений и исправлением выявленных в коде продуктов ошибок.

Доработкам подверглись сканирующий, антиспамовый, конфигурационный, статистический и прочие модули. Разработчики повысили уровень защищённости продуктов, устранили проблему с функционированием Dr.Web на компьютерах под управлением Astra Linux, добавили новый компонент drweb-urlcheck, оптимизировали модуль логирования системных сообщений. Также сообщается о реализации поддержки OpenSSL 11.1.1, добавлении поддержки новых версий Samba — 4.11 и 4.12, устранении ошибки, возникавшей при обработке писем размером более 64 Мбайт, и прочих улучшениях.

Во избежание проблем с информационной безопасностью UNIX-серверов и узлов корпоративной сети рекомендуется произвести установку выпущенных компанией «Доктор Веб» пакетов обновлений.

Выполнить обновление защитных решений можно через систему обновлений Dr.Web.

Официальный инсталлятор Ubiquity десктопной версии Ubuntu к релизу 20.10 Groovy Gorilla, выход которого намечен на конец октября этого года, в последний момент получил одну важную функцию — интеграцию с Active Directory (AD).

Теперь во время установки при создании аккаунта можно будет при желании задействовать подключение к домену AD — интерфейс установщика даст возможность указать собственно домен, логин и пароль. В этом случае в ОС будут добавлены необходимые зависимости (realmd, sssd, sssd-tools, adcli), а pam_mkhomedir будет использоваться для автоматического создания домашних каталогов пользователей. При этом локальный аккаунт для административных целей будет создан в любом случае.

Поддержка AD в современных Linux-дистрибутивах присутствует достаточно давно, но включение новых машин в домен уже на этапе установки ОС заметно упростит этот процесс. Возможно, что это несколько поспособствует распространению Linux среди корпоративных заказчиков, которые отличаются инертностью и нежеланием отказываться от привычных средств, в чём их, конечно, сложно винить.

На мероприятии Linux Plumbers Conference Анд Берманн (Arnd Bermann), один из ключевых разработчиков Linux, рассказал о развитии поддержки различных архитектур в основной ветке ядра и поделился своим видением того, как будет выглядеть распределение ISA в 2030 году: нас ждёт гораздо меньшее разнообразие и уход «динозавров» эры Big Endian.

Важно отметить, что речь идёт именно об основной ветке ядра, что означает, по сути, массовую поддержку платформ, которые туда попали. Это не касается разработок самих производителей, которые могут поддерживать собственную ветку — такое обычно происходит в самом начале и в самом конце жизненного пути архитектуры. Доклад охватывает в первую очередь SoC, а не отдельные CPU.

С другой стороны, практически все современные процессоры уже давно превратились в SoC, а в будущем автор доклада предсказывает рост популярности многочиповых сборок. Кроме того, есть несколько массовых архитектур, которые практически не поддерживаются Linux, но это связано с использованием различных RTOS или отсутствием ОС как таковой. Но есть и вариант перехода на такое ПО, так как со временем меняется область применения чипа.

За последние два года из ядра Linux было «изгнано» 9 архитектур. Отчасти это связано с отсутствием сопровождения, что указывает на их ненужность массовому пользователю. Отчасти — с переходом самих чипов на другую архитектуру. Чаще всего на ARMv7/v8. Собственно говоря, именно ARM показывает наилучшую динамику роста за последние 10 лет как по уровню поддержки различных конечных устройств и SoC, так и по числу применений. Правда, это же указывает и на высокую фрагментацию платформы в отличие от x86-64, например.

Ещё одна важная тенденция — отказ от 32-бит платформ и переход к 64-бит. Это связано и с возросшими потребностями, и с постепенными удешевлением памяти. И здесь ARM снова на коне — скорость роста поддержки ARMv8 выше, чем у остальных платформ. К 2030 предсказано появление уже 128-бит архитектур. Другая тенденция — переход от Big Endian к Little Endian. Частично из-за ухода старых архитектур, частично из-за их перевода на другой порядок байтов.

Всё ещё поддерживаются в ядре, но, по-видимому, скоро будут удалены архитектуры вроде Itanium и SPARC, на базе которых уже не будет новых продуктов, но есть всё ещё работающие системы на основе старых решений. Но это же касается, например, и MIPS. Последние дизайны популярности не снискали, а вот прошлые всё ещё используются при создании новых продуктов. Интересна ситуация с POWER и z. Формально их поддержка никуда не денется, но тянуть всю разработку будет только IBM. OpenPOWER не «взлетел», а вот мейфреймы, по мнению автора, всё так же будут необходимы.

Из новых архитектур успеха добьются только RISC-V и, вероятно, ARC. Последняя весьма популярно сама по себе, но вне контекста Linux, а первая выглядит очень многообещающей, но её реального успеха ещё надо дождаться. Все остальные архитектуры значимой доли рынка не достигнут. Как итог — в 2030 году нас ждёт доминирование x86-64, ARMv8 и старше, а также 64-бит RISC-V. Тогда же начнётся окончательный закат 32-бит эпохи: последними станут ARMv7 и RISC-V. Из альтернативных «больших» архитектур сохранит развитие IBM z. И начнётся новая эра.

Уязвимости вроде L1TF (Foreshadow) и MDS (Zombieload), позволяющие проводить так называемые атаки по «побочным каналам» (англ. side-channel attack) и выявленные в последние пару лет, всё ещё доставляют некоторые неудобства облачным провайдером в связи с тем, что они касаются Intel Hyper Threading (HT), наличие которого весьма важно для облаков.

Атаки такого рода связаны с возможными утечками из ресурсов ядра (кеши, внутренние буферы) и защита от них предполагает периодическую очистку данных, что влияет на производительность. А наличие SMT усложняет задачу, так как в разных потоках могут исполняться разные процессы. В случае облака или любого другого общего ресурса, где запускаются инстансы разных клиентов, единственным простым методом защиты становится полное отключение SMT, что опять-таки бьёт по общей производительности.

Ещё один фактор — наличие большого числа процессоров, в которых нет аппаратных заплаток против такого рода уязвимостей. В частности, Intel Xeon Scalable первого поколения Skylake-SP всё ещё очень много в дата-центрах. При этом сами облачные провайдеры продают не физические ядра и потоки процессоров (если это не bare-metal, конечно), а инстансы с vCPU, которые распределяются между реальными серверами.

Digital Ocean (DO), популярный облачный провайдер, уже давно пытается решить эту проблему, сохранив и HT, и защищённость. DO, равно как и другие компании, работает над планировщиком ядер, который позволяет отслеживать процессы и управлять ими. Основная идея в том, чтобы разделять процессы по степени доверия к ним и не смешивать их потоки в рамках одного ядра с HT. При этом надо всё равно следить за тем, чтобы нагрузка на процессор была максимальной.

На мероприятии Linux Plumbers Conference 2020 разработчики DO рассказали о достигнутом прогрессе. В конце июня они представили очередную, уже шестую по счёту версию планировщика, которая пока далека от идеала и не готова к включению в основную ветку ядра Linux. Тем не менее, результаты обнадёживающие: использование нового планировщика в любом случае даёт более высокую производительность, чем при полном отключении SMT, а отставание в скорости работы систем с ним и без него сокращается. Естественно, это касается далеко не всех типов задач.

Компания «Информационные технологии и коммуникационные системы» («ИнфоТеКС»), занимающаяся разработкой VPN-решений и средств криптографической защиты информации, объявила о получении положительного заключения Федеральной службы безопасности Российской Федерации на программный комплекс ViPNet Client 4U for Linux.

ViPNet Client 4U for Linux предназначен для защиты рабочих станций под управлением Linux. Решение поддерживает более 20 операционных систем, включая аппаратные архитектуры x86-64, ARMv5, ARMv7, MIPS («Байкал-Т1»), «Эльбрус», и обеспечивает защищённую работу с корпоративными данными через зашифрованный канал, в том числе для удалённых пользователей.

Выданный ФСБ России сертификат удостоверяет, что ViPNet Client 4U for Linux соответствует требованиям к средствам криптографической защиты информации классов КС1 и КС2. Продукт может применяться для защиты информации, в том числе персональных данных, в государственных информационных системах, а также в системах критической информационной инфраструктуры.

В настоящее время программный комплекс проходит сертификацию по требованиям ФСБ России к средствам криптографической защиты информации по классу КС3, что позволит применять его в широком спектре информационных систем, требующих использования продуктов данного уровня защиты, говорится в сообщении разработчика.