Если точнее, речь идёт об initrd, который используется в процессе загрузке Linux. Новые патчи, предложенные для следующего релиза ядра Linux 5.8, позволят использовать образ, размещённый непосредственно во флеш-памяти BIOS/UEFI материнской платы. Свободное место  для initrd можно получить, удалив из прошивки, например, Intel ME.

Новые патчи добавляют возможность передать в параметре initrdmem физический адрес и размер initrd, записанного во флеш-память. Такой подход необходим из-за ограничений, связанных со строением UEFI: добавление нового раздела невозможно без пересборки образа прошивки из исходников или написания отдельного драйвера. Так что единственная возможность — прямое указание адреса в памяти.

Новую функцию предлагается сделать опциональной для x86-платформ, а свободное место для initrd можно получить, удалив Intel ME. Автор патча отмечает, что для Intel ME обычно отводится половина объёма набортной флеш-памяти, да и вторая половина может использоваться не полностью, так что из типовых 16 Мбайт может быть доступно более десяти, чего вполне достаточно для initrd. Автор также занимается разработкой coreboot, открытой замены BIOS/UEFI.

Напомним, что в 2017 году в Intel ME (Management Engine) нашли серьёзные уязвимости, которые впоследствии были подтверждены Intel. В качестве одной из основных мер защиты предлагалось отключение части функций или полное удаление компонентов ME из прошивки плат. Соответствующие утилиты были созданы и сторонними разработчиками, и производителями оборудования.

Впрочем, новые патчи пригодятся не только для серверов или, реже, десктопных ПК, но и для одноплатных и промышленных компьютеров — в комментариях к патчу, например, указывается возможность работы на Atomic Pi на базе Intel Atom.

iXsystems известна Unix-сообществу двумя разработками: FreeNAS и TrueNAS, которые она в марте этого года объединила в под одним брендом. FreeNAS теперь называется TrueNAS CORE. Новый проект под названием TrueNAS SCALE разрабатывался давно и должен заполнить пробел в портфеле программных продуктов iXsystems.

Сам автор системы, Крис Мур, расшифровывает SCALE следующим образом: Scale-out, Converged, Active-active, Linux containers, Easy-to-manage. TrueNAS SCALE ориентирован на конвергентную инфраструктуру и получит горизонтально масштабируемое хранилище, а также возможность работы с контейнерами, что отвечает запросам современных корпоративных заказчиков. 

Да, вместо того чтобы взять за основу FreeBSD, iXsystems выпускает TrueNAS SCALE на базе Debian GNU/Linux и тому есть причина. Несмотря на то, что iXsystems на протяжении многих лет расширяла возможности Jail и виртуализации во FreeBSD, сложно отрицать очевидное — KVM и Linux- контейнеры имеют гораздо более обширную экосистему.  TrueNAS SCALE продолжит продвигать файловую систему ZFS, так как OpenZFS (ZFS On Linux) теперь используется и в обычной TrueNAS.

Очевидно, что новый продукт iXsystems создает определённую конкуренцию Proxmox VE, т.к. предлагает набор схожих функций и базируется на той же ОС Debian Linux. Конечно, Proxmox VE существует уже много лет, признан сообществом и имеет большую клиентскую базу, однако TrueNAS SCALE обещает быть проще в развертывании и управлении и при этом ни в чем не уступать конкуренту.

Будем наблюдать за противостоянием двух систем, возможно, это подстегнет разработчиков быстрее разрабатывать новые полезные функции, а не «почивать на лаврах» прошлых успехов. Исходный код TrueNAS SCALE уже доступен на GitHub и находится в стадии активной разработки. Пока что  iXsystems будет одновременно разивать обе системы и оказывать поддержку заказчикам TrueNAS на базе FreeBSD. А вот от развития десктопного дистрибутива TrueOS компания весной отказалась. 

Борьба с различными уязвимостями семейства Spectre уже приводила к неоднозначным результатам. Даже сам создатель Linux, Линус Торвальдс, с негодованием отметил, что падение производительности на 50% явно не стоит такой «защиты». Речь шла об исправлении STIBP (Single Thread Indirect Branch Predictors) для процессоров с SMT/HT. На этот раз он выступил против включения в ядро Linux 5.8 опции сброса кеша данных L1 при переключении контекста.

Окно внесения различных нововведений в новое ядро Linux 5.8 открывается: так, мы уже писали о том, что эта ветка получит поддержку процессорной архитектуры MIPS R5. Как оказалось, в рамках борьбы с уязвимостями класса Spectre, а также другими потенциальными утечками из кешей, которым ещё нет названия, в ядре 5.8 должна была появиться такая неоднозначная функция, как сброс кеша данных L1 при переключении контекста. К счастью, Торвальдс не одобрил этой идеи и даже назвал её безумной.

Дело в том, что речь идёт не просто о сбросе кеша в действительно требующей этого ситуации. Это функция, позволяющая делать такой сброс по «приказу» любого приложения, причём это приложение в многозадачной ОС, каковой является Linux, будет замедлять не только себя, но и остальные процессы. Для высоконагруженных серверных систем это крайне вредная практика. Кроме того, сам сброс является осмысленной задачей только для процессоров Intel, и Торвальс закономерно посчитал навязывание сброса L1 даже тем конфигурациям, где оно не требуется, плохой идеей.

В своём посте, посвященном этой теме, он прямо заявил, что не желает видеть опции в стиле «я могу заставить делать ядро глупые вещи». Такая опция должна иметь двойное подтверждение. Кроме того, использование SMT делает всю идею практически бессмысленной. Далее Торвальдс отметил, что будет счастлив получить больше информации о том, почему он может быть неправ, но на данный момент он отзывает данную опцию ядра 5.8 по причине «нехватки информации».

За патч со сбросом данных из L1 при смене контекстов отвечает разработчик из Amazon, но пока с его стороны, а также со стороны Intel не поступало никаких комментариев и заверений в том, что этот патч действительно необходим и действительно спасает от реальных угроз. 

Компания МЦСТ (Московский центр SPARC-технологий) разместила в отрытом доступе руководство по эффективному программированию на платформе «Эльбрус».

Руководство предназначено для разработчиков, занимающихся созданием, портированием и оптимизацией приложений для вычислительной платформы «Эльбрус» с использованием языков программирования C и C++.

В опубликованном документе изложены основы архитектуры платформы и приёмы работы с компилятором LCC, приведено описание языка ассемблера и системы команд процессоров «Эльбрус», представлены техники по оптимизации и повышению производительности ПО за счёт распараллеливания исполнимого кода на уровне инструкций. Отдельное внимание уделено инструментам для анализа производительности кода на платформе «Эльбрус».

Руководство распространяется по лицензии Creative Commons BY 4.0 и представлено в форматах PDF и HTML. Скачать документ можно по ссылке mcst.ru/elbrus_prog.

Процессорная архитектура MIPS некогда доминировала на рынке рабочих станций — достаточно вспомнить Silicon Graphics. Ныне она встречается во встраиваемых системах, контроллерах и сопроцессорах, однако реализация R5 2012 года получила возможности, свойственные «большим» системам, и следующая версия основной ветки ядра Linux, наконец, должна получить наиболее полную поддержку Warrior P5600.

Это стало возможным, в частности, благодаря компании «Байкал Электроникс», в портфолио который есть SoC Байкал-Т1 на базе этой архитектуры. 

Архитектура MIPS Warrior P5600

В дополненной в 2013 году версии микроархитектуры впервые появились такие «взрослые» возможности, как поддержка векторных расширений и виртуализации. Серия процессоров на базе этой архитектуры известна под общим именем MIPS Warrior. Помимо вышеупомянутых технологий, эти процессорные ядра также могут поддерживать мультипоточность, в них реализована возможность изоляции выполняемых приложений друг от друга. 

Блок-схема процессора Байкал-Т1

Системы на базе MIPS Warrior P5600 могут быть достаточно производительными, чтобы использоваться, в том числе, и в качестве рабочих мест. А это означает использование различных вариацией Linux в качестве основной операционной системы. Первичная поддержка P5600 появилась ещё в 2014 году, так что ядро могло работать с этой архитектурой с тех самых пор. Сейчас же можно сказать, что вся работа по поддержке доведена до логического конца.

К сожалению, серьёзного влияния на роль MIPS на рынке архитектур это не окажет, несмотря на бо́льшую открытость, чем прежде: в последнее время MIPS активно вытесняется ARM, также усиливается давление со стороны RISC-V. Релиз MIPS R6 популярности не снискал, а нынешний владелец патентов и технологий стал банкротом.

Механизм получения статистических данных, генерируемых ядром Linux, использует DebugFS и устроен таким образом, что обычно требует root-доступа, а sysfs не всегда удобна. Более того, в ряде случаев требуется создание пользователями собственного инструментария.

Один из разработчиков Red Hat вынес предложение изменить столь неудобное положение дел. Для этого предлагается использовать новую, специально предназначенную для сбора статистики виртуальную файловую систему Statfs.

Изначально единого механизма сбора статистики ядра в Linux не существует. Как отмечает в своём посте Эмануэль Джузеппе Эспосито (Emanuele Giuseppe Esposito), подсистемы ОС вынуждены использовать свои механики сбора, например, в виде файлов в пространстве debugfs. Так, KVM имеет свой блок кода, отвечающий за эту функцию (обработчики debugfs находятся в файле virt/kvm/kvm_main.c). Из этого, отмечает разработчик, вытекает две основные проблемы: избыточный код и то, что debugfs далеко не всегда подходит для накопления статистики, хотя бы потому, что эта файловая система подвержена механизму локдауна (lockdown).

Решение проблемы он видит в использовании специальной виртуальной файловой системы statsfs, которая располагается в оперативной памяти. Эта система создана Паоло Бонзини (Paolo Bonzini), она достаточно проста и имеет стабильный API. В общем дереве она монтируется как /sys/kernel/stats, и в этом виде KVM уже может использовать statsfs. Данная ФС поддерживает любую структуру файлов и директорий, различные типы данных, а также их агрегацию, причём, не только в виде суммы, но также и в виде значений average, max, min и count_zero.

Применение statsfs позволяет избежать необходимости root-доступа, «загрязнения» пространства debugfs и существенно упрощает саму процедуру сбора статистики. Подробности можно узнать в этой ветке обсуждения ядра.

Компания ESET объявила о выпуске новой версии программного решения Endpoint Antivirus 7 для Linux, обеспечивающего комплексную защиту корпоративных рабочих станций от киберугроз.

Ключевой особенностью обновлённого ESET Endpoint Antivirus для Linux стала микросервисная архитектура. Благодаря этому продукт работает стабильнее, поскольку компоненты запускаются по мере необходимости, а сбой одного из них не выводит из строя все приложение. За счёт этого сохраняется производительность рабочей станции.

В числе прочих изменений нового решения называются доработанные средства защиты от вредоносного ПО, поддержка облачной технологии обнаружения цифровых угроз LiveGrid и совместимость с консолью централизованного управления продуктами ESET — Security Management Center. Кроме того, в обновлённом Endpoint Antivirus 7 для Linux отсутствует графический интерфейс: пользователи получают только всплывающие уведомления, которые отображаются при обнаружении угрозы и запуске автоматического сканирования съёмного носителя.

Продукт предназначен для защиты данных организации любого масштаба. Более подробную информацию о пакете ESET Endpoint Antivirus для Linux можно получить на сайте esetnod32.ru/business/products/linux.

В конце прошлого года разработчики Canonical приняли окончательное решение об отказе от классического Debian-инсталлятора — начиная с релиза 20.04 в Ubuntu Server по умолчанию используется инсталлятор Subiquity, разработкой которого компания занимается уже несколько лет.

Subiquity умеет автоматически обновляться прямо во время установки ОС, если есть активное интернет-подключение. Увы, эта функция пригодилась раньше, чем можно было бы ожидать.

Новый инсталлятор имеет и множество других полезных функций, так что отказ от debian-installer понятен. Впервые Subiquity появился в качестве опции ещё в релизе Ubuntu 17.10, но массовое использование началось только сейчас, что, судя по всему, и позволило найти критический баг, который получил идентификатор CVE 2020-11932.

Суть ошибки очень проста. Если во время установки воспользоваться LUKS для шифрования накопителей, то пароль открытым текстом будет записан в логи инсталлятора и сохранён на диск, причём необязательно зашифрованный, откуда его потом не составит труда извлечь. Исправленная версия Subiquity 20.05.2 уже доступна для всех платформ. Готовятся обновления официальных ISO-образов.

В конце апреля состоялся релиз новой версии Red Hat Enterprise Linux за номером 8.2. RHEL — один из самых популярных дистрибутивов для корпоративного использования, и на его основе базируется ряд специфических вариантов ОС.

Одной из таких операционных систем является Oracle Linux. 7 мая компания объявила о выпуске новой версии Oracle Linux 8 Update 2.

Как уже было сказано, в основе Oracle Linux 8 Update 2 лежит RHEL 8.2 со всеми его доработками в области ИТ-безопасности и мониторинга. Дистрибутив бесплатен, но загрузить его можно только после регистрации, которая, к счастью, тоже бесплатна. Объём образа ISO составляет 6,6 Гбайт, он доступен для архитектур x86_64 и ARM64. Предусмотрен неограниченный доступ к бинарному репозиторию с обновлениями пакетов и к модулям Application Stream.

Классический рабочий стол Oracle Linux

Для новой версии Oracle Linux доступна два варианта ядра — обычное ядро Linux 4.18 от RHEL и устанавливаемое теперь по умолчанию собственное ядро Oracle Unbreakable Enterprise Kernel 6. Последнее базируется на ветке 5.4, но содержит ряд доработок и оптимизаций для работы с ПО и аппаратным обеспечением Oracle. Несмотря на это, исходные тексты ядра UEK6 доступны в публичном репозитории.

В сравнении с классическом ядром, UEK6 имеет ряд расширенных возможностей и улучшений. В нём реализована поддержка zswap, zram, улучшена работа балансировки на системах с NUMA, имеются опции, повышающие защищённость системы, поддерживаются расширенные возможности виртуализации Xen и многое другое. Улучшены реализации различных файловых систем: Btrfs, XFS, Ext4, NFS и FUSE, поддерживается OverlayFS и NFS over RDMA.

В остальном, возможности двух версий Oracle Linux идентичны и все нововведения соответствуют тем, которые были описаны в релизе RHEL 8.2. Более подробно о новой ОС написано в корпоративном блоге Oracle.

Microsoft расширяет программу поиска уязвимостей в рамках Azure Security Lab, анонсированную на прошлогодней конференции Black Hat. Тогда, напомним, корпорация подняла максимальный размер выплат за найденные баги до $40 тыс. Кроме того, иногда организуются специальные соревнования по поиску проблем в конкретных продуктах и сценариях работы.

На этот раз Microsoft предлагает «проверить на прочность» Azure Sphere OS — первую в истории компании публично доступную ОС на базе ядра Linux.

Azure Sphere OS предназначена для индустриального Интернета вещей. Программно-аппаратная платформа включает одобренную Microsoft специализированную SoC со встроенными средствами безопасности и связи, на которой запускается ОС и которая подключается непосредственно к облаку Azure. В данном случае Microsoft хочет, чтобы исследователи изучили безопасность именно ОС, а не пытались атаковать облачную или аппаратную части.

Если точнее, речь идёт о двух компонентах. Первый — подсистема безопасности Microsoft Pluton. Она отвечает за генерацию и хранение криптоключей, включает в себя генератор истинно случайных чисел и акселератор криптографических функций. Работает она на отдельном ядре, а уникальная пара ключей, которая впоследствии поможет идентифицировать и обезопасить конкретный чип, генерируется Pluton ещё во время изготовления SoC, навсегда сохраняется в её недрах и не доступна снаружи. Подсистема отвечает и за обнаружение попыток вмешательства в работу платформы.

Второй компонент — безопасная «песочница» Secure World, где могут выполняться только приложения от самой Microsoft, в частности, монитор безопасности. На первый взгляд вся эта цепочка достаточно хорошо защищённой. Однако именно это и предстоит выяснить исследователям. За взлом защиты любого из этих двух компонентов и запуск собственного кода корпорация готова заплатить до $100 тыс.