Министерство юстиции США объявило об аресте Дональда Остина (Donald Austin), обвиняемого во взломе серверов с инфраструктурой ядра Linux.

28 августа 2011 года разработчики, использующие центральный архив с исходным кодом ядра Linux — kernel.org, — обнаружили брешь в безопасности. Оказалось, что некий злоумышленник получил root-доступ к системе и установил зловредное программное обеспечение в загрузочные скрипты сервера. Вскоре было обнаружено проникновение и на некоторые другие ключевые ресурсы по Linux включая веб-сайты LinuxFoundation.org и Linux.com. На серверах была оперативно переустановлена система, а в 2014 году на kernel.org завершили внедрение двухфакторной аутентификации для доступа к Git-репозиторию с ядром Linux.

27-летний программист Дональд Остин из Южной Флориды был арестован 28 августа 2016 года с обвинением во взломе четырёх серверов Linux Foundation. Согласно обвинительному заключению, для проникновения в инфраструктуру он похитил учётные данные одного из сотрудников, после чего установил на серверы руткит (rootkit) и зловредное ПО, названное трояном. Обвиняемый отпущен под залог в 50 тысяч USD — ему грозит до 10 лет лишения свободы и штраф в 250 тысяч USD.

GitHub ежедневно обслуживает миллиарды подключений к HTTP, Git и SSH. Для этого в компании создали своё решение — GitHub Load Balancer (GLB). Его Open Source-релиз запланирован на ближайшее время.

GLB — балансировщик нагрузки, разработанный внутри GitHub и запускаемый на «голом» железе (bare metal) для обеспечения лучшей производительности. Изначально администраторы сервиса использовали вертикальное масштабирование, используя небольшое количество производительных машин с HAProxy, но для этого требовалось специфичное оборудование, обеспечивающее выделенное подключение на 10 гигабит с failover. Со временем они пришли к необходимости создания балансировщика, который можно было бы запустить на типовом железе, доступном в типовом дата-центре. Так в прошлом году появился GitHub Load Balancer.

В основе алгоритма его работы — хэширование Rendezvous (еще известное как Highest Random Weight, HRW). Полученная реализация позволяет удалять управляющие (director) и прокси- узлы из ротации балансировщика без разрывов для пользователей, насколько это вообще возможно. GLB решил ряд задач, стоявших перед инженерами GitHub, среди которых не только горизонтальная масштабируемость, высокая доступность и поддержка connection draining, но и возможность внедрения как обычного ПО, тестируемость на любом уровне, устойчивость к типовым DDoS-атакам.

Авторы обещают, что «на протяжении нескольких последующих недель будет выложена архитектура и выпущены компоненты [GLB] как Open Source-проекта».

Сегодня разработчик российского дистрибутива Astra Linux, НПО «РусБИТех», объявил о доступности новых свободных шрифтов PT Astra Sans и PT Astra Serif, созданных в рамках импортозамещения.

Представленные отечественные шрифты были подготовлены и выпущены НПО «РусБИТех» вместе с разработчиком общенациональных шрифтов НПП «ПараТайп». PT Astra Sans и PT Astra Serif являются полноценными метрическими аналогами Times New Roman, использование которого «в операционных системах, отличных от MS Windows, требует заключения соответствующего лицензионного договора с правообладателем — компанией Monotype Imaging Inc.», что «в связи с санкционной политикой, проводимой в отношении Российской Федерации, [..] стало невозможным». Новые шрифты распространяются на условиях свободной лицензии SIL Open Font License (OFL), одобренной в OSI и FSF.

Скачать PT Astra Serif и PT Astra Sans (архив с файлами в формате TTF), а также увидеть сравнение этих шрифтов с Times New Roman можно на этой странице.

P.S. В конце 2011 года ROSA Typography (дочерняя компания ROSA Lab) публиковала метрические аналоги шрифтов Arial и Verdana (ROSA Arion и ROSA Verde), а также сообщала о развитии аналогов Tahoma, Courier и Times New Roman (Tahion, Courant и Timer). На сегодняшний день сайт ROSA Typography не является доступным.

Начинающая компания Onion Corporation из Бостона (США) создала «самый маленький Linux-сервер с Wi-Fi в мире» — Omega2. Этот мини-компьютер, предназначенный для интернета вещей (IoT), стоит всего 5 USD.

Новинка Omega2 описывается как Linux-компьютер, предназначенный для подключаемых по сети умных устройств. По словам авторов, он сочетает в себе «миниатюрный форм-фактор и энергоэффективность Arduino с мощностью и гибкостью Raspberry Pi». Его размер составляет менее 1/4 от Raspberry Pi и менее 1/3 от Arduino Uno. Модуль Wi-Fi уже встроен, а расширения позволяют добавить поддержку Bluetooth 4.0, сотовой связи (2G/3G) и GPS.

Основные технические характеристики Omega2 (и его расширенной версии Omega2 Plus за 9 USD) таковы:

• процессор с тактовой частотой 580 МГц;
• 64 Мб RAM (128 Мб);
• хранилище на 16 Мб (32 Мб + и microSD-слот);
• USB 2.0;
• Wi-Fi (b/g/n);
• 15 GPIO, 2 PWM, 2 UART, 1 I2C, 1 SPI, 1 I2S.

В качестве основной операционной системы Omega2 предлагается GNU/Linux, но предусмотрена и возможность запуска FreeBSD. Из поддерживаемых языков указаны C++, PHP, Python, Ruby, JavaScript (Node.js).

За время crowdfunding-кампании на Indiegogo проект собрал более 784 тысяч USD, что стало огромным превышением (4485 %) изначально запланированной суммы. Первые поставки мини-компьютера Omega2 запланированы на декабрь этого года.

Вчера утром в блоге некоммерческой организации Raspberry Pi Foundation было анонсировано новое легковесное графическое рабочее окружение PIXEL, предназначенное для использования в Linux-дистрибутиве Raspbian, применяемом в устройствах на базе Raspberry Pi.

PIXEL расшифровывается как «Pi Improved Xwindows Environment, Lightweight» и начинался как кастомизация окружения LXDE. Со временем, по мнению его автора — Саймона Лонга (Simon Long), — разработка «достигла точки, когда стала полноценным продуктом» и получила собственное наименование. Изменениям подверглись многочисленные компоненты среды LXDE: в PIXEL можно встретить как новые обои рабочего стола, иконки, шрифты и дизайн окон, так и добавленную заставку при перезагрузке компьютера, улучшенное окно входа, новые опции меню (отключение модулей WiFi и Bluetooth), новые приложения (VNC-сервер и клиент RealVNC, эмулятор SenseHAT). Также авторы сообщают о замене Epiphany на Chromium в качестве веб-браузера для Raspberry Pi по умолчанию.

В комментариях к анонсу PIXEL разработчики пишут, что решение о переходе на LXQt (вместо LXDE) пока не принималось: это может произойти, но в таком случае созданное окружение сохранит свой внешний вид.

Посмотреть на PIXEL уже можно, скачав и установив образ Raspbian с raspberrypi.org.

Сегодня было объявлено о выпуске новой крупной версии популярной свободной СУБД PostgreSQL — 9.6.

Новая версия объектно-реляционной СУБД улучшила одновременно и вертикальную, и горизонтальную масштабируемость, а также привнесла ряд новых возможностей и улучшений. Среди ключевых изменений в PostgreSQL 9.6 выделяются:

• распараллеливание некоторых запросов, позволяющее использовать несколько ядер (или все) для более быстрого получения результатов: на данный момент поддерживаются параллельные последовательные (табличные) сканирования, агрегации, JOIN; для некоторых операций с большими данными возможно достижение 32-кратного улучшения производительности;
• синхронная репликация получила поддержку групп реплицирующихся серверов и режим remote_apply (для поддержки идентичных узлов с целью балансировки нагрузки на операции чтения);
• драйвер postgres_fdw получил возможности исполнения задач на удаленных серверах, благодаря чему возможно распределение нагрузки от операций сортировки, JOIN и массовых обновлений данных по серверам (в дальнейшем это нововведение появится и в других драйверах FDW);
• функция полнотекстового поиска получила поддержку «поиска фраз» (phrase search) для указания при поиске точных фраз или слов с определенной удаленностью друг от друга, используя индексы GIN;
• итогом отзывов и тестов пользователей крупных баз данных с PostgreSQL стали улучшенная эффективность репликации, агрегации, индексирования, сортировки и хранимых процедур, уменьшенный overhead при работе с большими таблицами и сложными нагрузками (особенно в VACUUM), а также СУБД стала лучше использовать ресурсы на последних ядрах Linux;
• новые системные представления и функции: pg_stat_wal_receiver, pg_visibility, pg_config, pg_blocking_pids, pg_notification_queue_usage.

С более полным списком изменений, представленных в PostgreSQL 9.6, можно ознакомиться в документе «What’s New in 9.6».

Вчера компания Percona анонсировала первый общедоступный (general availability, GA) релиз новой крупной версии (5.7) своего кластера для СУБД MySQL — 5.7.14-26.17 GA.

Percona XtraDB Cluster предназначен для организации MySQL-сервера высокой доступности, предоставляя простое в использовании решение для линейного масштабирования с синхронной репликацией. В основе релиза 5.7 лежат два продукта: СУБД Percona Server 5.7.14-8 и инструмент репликации Galera Replicator 3.17. Кластер полностью совместим с другими серверами MySQL (включая MySQL Server Community Edition и MariaDB) на уровне данных (можно использовать данные, созданные в любой из реализаций СУБД) и приложения (не требуются изменения в коде или они минимальны). Среди ключевых новшеств, представленных в Percona XtraDB Cluster 5.7 по сравнению с прошлой версией (5.6), можно выделить следующие:

• режим PXC Strict Mode, предназначенный для production и отключающий экспериментальные и неподдерживаемые функции;
• поддержка мониторинга инструментов Galera Library и wsrep как части Performance Schema;
• поддержка зашифрованных пространств таблиц (tablespaces) в топологии мультимастер (Multi-Master);
• совместимость с ProxySQL (включая скрипт быстрой конфигурации);
• поддержка мониторинга узлов Percona XtraDB Cluster в Percona Monitoring & Management (PMM);
• упрощённое пакетирование для Percona XtraDB Cluster в виде единого пакета, устанавливающего все необходимые компоненты (включая библиотеку Galera).

Документация по Percona XtraDB Cluster 5.7 с информацией об установке этого кластера доступна на сайте Percona.

Компания Design Shift собирает средства на реализацию проекта ORWL — первого в мире Open Source-компьютера, безопасность которого обеспечивается на аппаратном уровне.

Технические характеристики компьютера ORWL таковы: процессор Intel Skylake Core m3, 8 Гб оперативной памяти, SSD на 120 или 480 Гб, графика от Intel 515, порты USB 3.0 Type-C, Micro HDMI, возможность использования дистрибутивов GNU/Linux или Windows 10. Что делает новинку защищенной?

1. Интегрированный безопасный микроконтроллер MAX32550 DeepCover Secure Cortex-M3 (работает на батарее, которой хватает до 6 месяцев использования без подключения к питанию), используемый для верификации целостности прошивки до загрузки и обеспечивающий высокий уровень безопасности, какого нет у микроконтроллеров общего назначения (хранение значений на базе flip-flop, зашифрованный SNVRAM, защита от glitching, аппаратный генератор случайных чисел и т.п.).
2. SSD с поддержкой полного шифрования данных (Intel SSD 540s Series).
3. Специальный корпус (active clamshell mesh), созданный прямым лазерным структурированием (LDS) и разрушающийся при сверлении (а открытие этой «оболочки» приведёт к удалению ключа шифрования SSD)
4. Аутентификация через брелок (key fob) с помощью NFC (Near Field Communication).
5. OLED-дисплей, отображающий статус (выключен, заблокирован, разблокирован) и полностью управляемый микроконтроллером (недоступен из операционной системы).
6. Устройство проходит сертификацию по FIPS 140-2 Security Level 4 (стандарт для американских государственных ведомств, финансовых учреждений, медицинских и других организаций, хранящих и обрабатывающих конфиденциальные данные).

Интересна и «открытая» сторона нового компьютера: «ORWL — это составной продукт с множеством частей, исходный код которых может быть открыт. Мы всё ещё работаем над тем, какие лицензии будут использованы и как лучше всего сделать доступной всю эту информацию». Разработчики обещают доступность всех схемотехнических исходников и компоновочных файлов (не только PDF и файлы в Gerber), а также всего программного обеспечения из их зоны ответственности (прошивка BIOS, прошивка безопасного контроллера, прошивка брелока). Некоторые компоненты будут ограничены некоммерческим использованием из соображений рыночной конкуренции.

Проект безопасного Open Source-компьютера ORWL собирает средства в рамках crowdfunding-кампании на Crowd Supply. На момент написания этой новости сумма собранных средств (45 тысяч USD) уже превышала поставленную цель (25 тысяч USD), а до конца инициативы оставалось ещё 5 дней.

Минувшей ночью Линус Торвальдс анонсировал очередной релиз ядра Linux — 4.8.

Среди значимых изменений, представленных в Linux 4.,8 можно выделить следующие:

• Open Source-драйвер для AMD (AMDGPU) впервые получил поддержку OverDrive для оверклокинга (на данный момент её использование ограничено консолью через sysfs);
• многочисленные исправления в PowerPlay в коде AMDGPU (особенно для Carrizo и Stoney);
• начальная поддержка NVIDIA Pascal в драйвере Nouveau (пока только для GeForce GTX GP100);
• фреймворк HDMI CEC (Consumer Electronics Control) для контролирования с помощью единого пульта управления удалённых устройств, подключенных по HDMI;
• поддержка Raspberry Pi 3 SoC (Broadccom BCM2837);
• новый драйвер ввода для поддержки тачскрина Microsoft Surface 3, планшета Pegasus Notetaker, кнопок Atmel Captouch, тачскринов Raydium I2C;
• драйвер reboot mode, распознающий команды вроде «reboot bootloader» и «reboot recovery»; основное применение — загрузка в режим быстрой загрузки (fastboot) или восстановления (recovery) для устройств на базе Android;
• новый драйвер SDIO Wi-Fi для обладателей беспроводных карт размером с Secure Digital;
• переписанный код проверки нехватки места на диске (ENOSPC) в файловой системе btrfs для лучшей пропускной способности и меньших задержек;
• поддержка обратного маппинга (reverse-mapping) в XFS, ставшая базой для добавления новых функций в эту ФС, таких как дедупликация данных и copy-on-write;
• усиленная (hardened) защита для usercopy при копировании объектов из пользовательского пространства и обратно;
• CONFIG_RANDOMIZE_MEMORY для рандомизации виртуальных адресов секций памяти (включая физические маппинги памяти, vmalloc, vemmap);
• многочисленные улучшения в /dev/random включая CRNG на базе ChaCha20.

26 сентября в почтовой рассылке пользователей свободной коммуникационной платформы Asterisk было объявлено о выпуске версии 14. За прошедшее время он уже получил первые обновления вместе с релизами 14.0.1 и 14.0.2.

Asterisk 14 — это крупное обновление VoIP-решения Asterisk, относящееся к категории релизов со стандартной поддержкой (Standard Support): 1 год полноценных релизов + 1 год исправлений проблем в безопасности. Краткий список наиболее примечательных изменений, представленных в Asterisk 14, включает в себя:

• полностью переделанное ядро поддержки DNS с полноценной реализацией NAPTR и SRV в стеке PJSIP (через библиотеку libunbound);
• возможность публикации состояния расширения на серверах подписки (SIP Subscription), таких как Kamailio; в частности, можно автоматически (с помощью настройки autohint) генерировать подсказку в номерном плане (dialplan) на основе изменений состояния;
• поддержку во всех приложениях dialplan и AGI воспроизведения медийного контента с удалённого HTTP-сервера (контент кэшируется и по возможности повторно используется);
• возможность предоставлять список ресурсов для медиа при использовании ARI для управления медиа на ресурсе (ресурсы воспроизводятся последовательно в указанном порядке);
• каналы, созданные через ARI, теперь могут создаваться и передаваться в Stasis для удалённого контролирования перед выполнением исходящего вызова.

Документация по Asterisk 14 доступна на wiki.asterisk.org.