Russian Fedora

cообщество русскоязычных участников
международного проекта Fedora

Тестовый день Fedora 23 - NetworkManager

Это архивная статья

Мы только-только собираемся устроить Fedora 22 Release Picnic, а уже начались тестовые дни для Fedora 23. Одним из первых будет тестовый день NetworkManager, запланированный на 20 августа.

Вы уже знаете, что с Fedora 22 мы перешли на NetworkManager 1.x.x.

В версии 1.0.0 он стал тоньше (меньше зависимостей), его DHCP-клиент стал быстрее (код, взятый из systemd и connman), он стал лучше сосуществовать с уже сконфигурированными устройствами, статическими интерфейсами, и предустановленными маршрутами. К счастью, особо крупных проблем не нашлось. Тем не менее, последовало уже два багфикс-релиза.

Сначала вышел NetworkManager 1.0.2, в котором среди прочих исправлена ошибка, с которой только что столкнулись разработчики systemd-networkd - если на устройстве исчезает питание (выдернули и воткнули кабель, или глюк ядра), то не стоит сразу же сбрасывать настройки и запускать DHCPклиент по новой). Затем вышел NetworkManager 1.0.4.

Сейчас на подходе уже версия 1.0.6, и вот ее-то и будем проверять.

В Fedora одобрили включение EC-криптографии с алгоритмом secp256k1!

Это архивная статья

Почти два года прошло с тех пор, как в Fedora вновь отключили шифрование на базе эллиптической кривой secp256k1, и вот, наконец-то ситуация сдвинулась с мертвой точки. Ждем активизацию работы по включению ПО для работы с Bitcoin!

Dave Jones вновь меняет работу.

Когда Dave Jones объявил в декабре 2014, что он уходит из Red Hat, многие гадали, кому это так повезло? Оказалось, что это был Akamai. К сожалению, по сравнению с невероятной открытостью рабочего процесса в Red Hat, и его полной ориентацией на открытые инструменты, стандарты, и код, в Akamai оказалось все совсем не так. Например, Dave пишет, что в Akamai используется peforce! Не, ну это как вообще? Помучавшишь несколько месяцев в Akamai, Dave решил уйти в Facebook.

Желаем удачи на новом месте!

Вышел Qemu 2.4

Наконец-то вышел Qemu 2.4. В большом списке изменений хотелось бы выделить поддержку VirtIO GPU, разработанного нашим коллегой David Airlie, горячее удаление памяти, улучшение в зеркалировании блочных устройств.

Одновременно выпустили багфикс-релиз Qemu 2.3.1.

Вообще, несмотря на взрывной рост интереса к контейнерам, отметим, что старый конь борозды не испортит. Учитывая пока что нерешенные проблемы с безопасностью контейнеров, особенно в маргинальных дистрибутивах, без SELinux, у виртуализации будет своя ниша.

Конечно, конкуренция решений тут лишь обостряется. Большие игроки медленно решаются что-то менять, но если решаются, то бесповоротно. Вы уже могли слышать, что пару месяцев назад Linode решил уйти с Xen на KVM (причем, отметьте, они утверждают, что KVM-виртуалки заметно быстрее Xen-виртуалок), но впереди еще миграция еще больших размеров, которую мы пока что ждем.

Итак, виртуализация не собирается уходить, и уже понятно, что завоевала некую стабильную долю среди всех решений. Де-факто стандартом для новинок становится Qemu, на котором смело экспериментируют. Например, Intel уже несколько месяцев, как анонсировала проект Clear Containers, в рамках которого ведется научно-исследовательская работа по оптимизации виртуальной машины с Linux-системой для запуска контейнеров. Они обнаружили неисследованное поле для оптимизации - загрузка и инициализация виртуальной машины. Т.к. Qemu декларирует поддержку операционных систем в общем случае, то по умолчанию загрузка виртуалки не сильно отличается от загрузки персоналки с Windows 95. Тот же 16-битный BIOS вместо UEFI, те же процедуры инициализации. А почему бы не изменить эту часть, выбросив поддержку операционных систем из 1980х и 1990х годов? После экспериментов с пересборкой Qemu и разработкой специального firmware, Paolo Bonzini официально объявил о выходе qboot, специальном firmware и инструкции для пересборки Qemu, позволявшим запустить исполнение виртуальной машины через 40 миллисекунд, вместо обычных 500-700. Дальше, конечно, время тратится на запуск ядра, initrd, init-процесс, но полсекунды сэкономить получилось! Анонс qboot вызвал оживленное обсуждение. Понятно, что кое-чего при таких результатах еще нет, да и Paolo признался, что разработал прототип за 24 часа, и понятно, что SeaBIOS можно тоже подсушить, но 200 миллисекунд в SeaBIOS против 20 в qboot, это заметная разница. Можно ожидать, что qboot как таковый, использоваться будет незначительно - уж слишком это изменение инвазивно со своим требованием пересборки Qemu, но определенно стоит ожидать оптимизаций в SeaBIOS и возможно в Coreboot.

Dan Walsh о том, почему SELinux не защищает Firefox

Dan решил объяснить, почему SELinux не смог бы предотвратить недавнюю уязвимость в Firefox. К сожалению, как пишет в своем блоге Dan, проблема гораздо серьезней.

Для начала, Firefox пока вынужден общаться с устаревшей и небезопасной системой X11, и, например, хотя возможность заблокировать извне процесс от получения информации о нажатых клавишах (т.е. от работы кейлоггером) есть, но применив ее Dan обнаружил, что очень много ПО перестало работать. Также любое ПО может снимать скриншоты экрана, или обладать доступом к буферу обмена (в Wayland, спроектированном с учетом современных требований, это будет исправлено).

Еще одна проблема, это доступ к файлам в домашней директории. В ряде случаев бывает, что пользователь, например, переопределяет папки для сохранения загруженных файлов, и поэтому белый список ввести не получится. Ввести не белые, а ченые списки (например, запретить Firefox доступ к ~/.ssh) тоже не сработает, т.к. есть варианты работы с аутентификацией по ssh-ключу.

Проблемой безопасности является и доступ к D-Bus, к камере, к микрофону, к GPS и т.п. - запрещать это на уровне SELinux нельзя. Непросто и написать правила для приложений-хелперов. Например, если Firefox запустит LibreOffice для открытия документа, то в каком пространстве SELinux нужно запустить LO? В пространстве Firefox или в своем? Самым простым было ограничение возможностей у дополнений Firefox.

Конечно, пришлось ввести дополнительные флаги SELinux для полного отключения ограничений для ряда популярных приложений - на случай, если им потребуется дополнительные права. Хотя, конечно, лучше проприетарные плагины вовсе не использовать.

В ближайшем будущем, благодаря Alex Larsson, который разрабатывает новый стандарт распространения и работы с десктопными приложениями, эти проблемы будут решены. Каждое приложение будет работать в своем контейнере, с ограничениями SELinux, и под Wayland. Почти все проблемы, благодаря этой связке, будут решены. Примерно так и работают приложения в Android, благодаря SEAndroid, о котором мы вам рассказывали.

Кстати, если вы почему-то не используете Fedora, то требуйте от мэйнтейнеров вашего дистрибутива включать SELinux - на его использование будет завязано все больше и больше ПО.

Раз уж заговорили о безопасности, то стоит отметить, что в Fedora наши коллеги относятся к ней очень тщательно. Ну, по крайней мере, мы стараемся. Например, много вопросов было от переключавшихся с других дистрибутивов, почему у нас не работает добавление пользователя в группу "docker". В ряде других дистрибутивов после добавления пользователя в эту группу, ему позволяется запускать контейнеры, а у нас ему нужно поднять свои привилегии до суперпользователя с помощью su или sudo.

Проблема в том, что если разрешить пользователю запускать произвольные контейнеры, он сумеет получить полный доступ к файловой системе от суперпользователя. Т.е. добавив его в группу docker мы фактически даем ему право выполнять sudo без пароля. И т.к. в Docker журналирование событий крайне убогое (как и много чего еще), то это рассматривается, как дыра в безопасности. Dan Walsh решил завести специальный тикет с объяснением на GitHub, чтобы не повторяться вновь и вновь. Конечно, лучше бы вам вообще не использовать Docker для контейнеров, т.к. systemd и сопутствующее ПО предоставляют гораздо больше возможностей для этого.

А зачем нам 32-битные системы?

В рамках проекта CentOS объявили о создании рабочей группы по сборке для неосновных архитектур. Уже собрали CentOS для AArch64 и более-менее идет работа по сборке для POWER BE, так что есть что показать!

А вот в Fedora обсуждают диаметрально противоположную инициативу - не перевести ли 32-битный x86 в категорию вторичных платформ (это первый шаг на скорое выкидывание за ненадобностью). Нет, ну а правда - у всех уже давно 64-битные компьютеры, и если 32-битные ARM-машинки еще есть, то какой смысл в сборке для 32-битных Intel-совместимых машин? Обсуждение пока ни к чему не привело, но идея уже посеяна. Интересно, что одновременно с упрощением букета поддерживаемых систем, не так давно появилась инициатива по упрощению сборки Fedora для неподдерживаемых систем.

Ну мало ли - вдруг кто-нибудь захочет собрать Fedora для Эльбруса или Байкала.

Oded Gabbay присоединяется к Red Hat

К команде Red Hat и к проекту Fedora присоединился еще один широко известный в узких кругах разработчик - Oded Gabbay. Раньше он работал в AMD над драйвером для архитектуры HSA. Он объявил, что будет работать над улучшением графического стека для POWER-архитектуры.

Помимо этого он еще и действующий разработчик и release manager библиотеки pixman, мэйнтейнером которой он будет в Fedora.

Вышел LibreOffice 5.0

Это архивная статья

The Document Foundation официально объявило о выходе LibreOffice 5.0! Ждем ебилдов! К этой версии приложили руку и наши коллеги, так что это еще и праздник нашего коммьюнити. Уже доступен анонс на русском с подробным описанием изменений.

Инженер дружественной нам Collabora, Michael Meeks, обращает наше внимание на невидимые для обычного пользователя изменения в этой версии LibreOffice.

Fedora 22 Release Party в Москве

Это архивная статья

Мы вновь собираемся на уже ставшем традиционным месте, в Долгопрудном, около Физтеха, между кладбищем, свалкой и болотом.
Что: Release Party
Где: березовая роща около платформы Новодачная Савеловского направления
Широта: 55°55′41.1′′N (55.928084) Долгота: 37°31′55.57′′E (37.532104)
Когда: в субботу, 15 августа, с 12:00 (докладчики прибудут к 14:00)

В программе:

  • Рассказ о том, что нового появилось в Fedora
  • Восхваление systemd
  • Рассказ про DNF
  • Построение планов на будущее
  • О(б)суждение маргинальных дистрибутивов
  • Культурное общение, DIY* шашлык и активный отдых

* Мы организуем мангал и уголь для всех желающих, а что вы будете есть и пить - приносите самостояльно.

Как добраться:


Рекомендуемый способ: электричка с Савеловского вокзала. См.
расписание.
Способ посложнее: маршрутки 456 или 545 от м. Алтуфьево. См.
схему.

Контакты:

Связаться с организаторами можно в Jabber-конференции fedora@conference.jabber.ru, в рассылке.