Проект Netfilter представил первый ориентированный на конечных пользователей выпуск пакетного фильтра Nftables 0.099, а также релиз сопутствующей библиотеки libnftnl 1.0.0, предоставляющей низкоуровневый API для взаимодействия с подсистемой nf_tables. Напомним, что подсистема nf_tables включена в состав ядра Linux 3.13, а в рамках пакета Nftables поставляются компоненты, работающие в пространстве пользователя.


Выпуск Nftables 0.099 уже не позиционируется как альфа-версия и отмечен как пригодный для персонального использования, но пока не рекомендуется для промышленного применения. Сообщается, что до выпуска Nftables 0.1 не исключено незначительное изменение грамматики правил и внесение нарушающих совместимость изменений. Одновременно анонсирован пакет nftables-plus 0.099, который включает в себя дополнительные патчи для улучшения удобства использования.


В рамках проекта Nftables развивается новая реализация пакетного фильтра, унифицирующая интерфейсы фильтрации пакетов для IPv4, IPv6, ARP и сетевых мостов, и нацеленная на замену iptables, ip6table, arptables и ebtables. Для реализации поставленной задачи Nftables предоставляет на уровне ядра лишь общий интерфейс, не зависящий от конкретного протокола и предоставляющий базовые функции извлечения данных из пакетов, выполнения операций с данными и управления потоком. В работе используются уже существующие типовые универсальные компоненты инфраструктуры Netfilter, в том числе применяются существующие хуки, система отслеживания состояния соединений, компоненты организации очередей и подсистема ведения лога.


Непосредственно логика фильтрации и специфичные для протоколов обработчики компилируются в байткод в пространстве пользователя, после чего данный байткод загружается в ядро при помощи интерфейса Netlink и выполняется в специальной виртуальной машине, напоминающей BPF (Berkeley Packet Filters). Например, если в iptables при выполнении в правилах сопоставления номера входящего TCP-порта использовалась специальная предопределённая функция модуля ядра xt_tcpudp, то в nftables производится формирование инструкции "прочитать в регистр 2 байта из определённой позиции заголовка пакета и сравнить содержимое регистра с указанным значением".


Подобный подход позволяет значительно сократить размер кода фильтрации, работающего на уровне ядра и вынести все функции разбора правил и логики работы с протоколами в пространство пользователя. Например, для реализации поддержки фильтрации нового протокола все изменения могут быть внесены в пользовательском пространстве без обновления кода ядра.


Для формирования правил фильтрации предлагается использовать утилиту nft, которая проверяет корректность правил и транслирует их в байткод. Правила могут как добавляться инкрементально, так и загружаться целиком из файла на диске. Синтаксис правил не похож на iptables и отличается использованием иерархических блочных структур вместо линейной схемы. Язык классификации правил основан на реальной грамматике, при обработке которой используется сгенерированный в bison парсер. Поддерживается словарный маппинг (хеши), поиск по наборам правил (sets), диапазоны значений (можно определять подсети), средства для отслеживания соединений, NAT, ведение лога. Для обеспечения совместимости с правилами iptables/ip6tables предоставляется специальная прослойка.
Пример правил:

Многие забывают, что людей, способных эффективно вести OpenSource-разработку такого сложного проекта, как операционная система, да еще и с уклоном в безопасность и «непробиваемость», гораздо меньше, чем тех, у кого есть свободные 20 тысяч баксов. Несколько дней назад в СМИ сообщалось, что свободному проекту OpenBSD катастрофически не хватает средств на существование. Дошло даже до того, что нет денег на оплату электричества. Всё железо, на котором собирается и тестируется операционная система OpenBSD, установлено в доме ведущего программиста Тео де Раадта и его невозможно перевезти в другое место. В Канаде электричество стоит как в Москве: приходится платить почти $2000 в месяц. Есть и другие статьи расходов, при этом OpenBSD существует исключительно за счёт частных пожертвований.

Ссылку на новость о нехватке средств OpenBSD кто-то опубликовал в IRC-канале #bitcoin-assets — и уже через несколько часов проект OpenBSD нашёл спонсора.

Оплатить долги проекта OpenBSD в размере $20k согласился румынский предприниматель Мирча Попеску, которого называют «биткоин-миллиардером». Хотя вряд ли у него есть биткоинов на миллиард долларов, но хотя бы $20k имеется, и этого уже достаточно.



В ближайшее время Мирча свяжется с Тео де Раадтом и они, наверное, согласуют условия спонсорства.

Многие рассуждают, что от системы Bitcoin нет никакой пользы — только бестолковая трата электричества в мировом масштабе. Но нельзя отрицать и наличие преимущества: маленькая часть мировых финансов перешла в руки хакеров и инженеров-программистов, которые используют эти деньги так, как их никогда не потратит миллиардер с Уолл-Стрит, то есть правильным образом.

Компанией ОВЕН было объявлено о старте продаж ОВЕН ПЛК 323 универсального коммуникационного контроллера. В его комплектацию входят: GSM/GPRS модем, Web-визуализация, набор дискретных входов и выходов.

На базе коммуникационного контроллера ОВЕН ПЛК 323 можно реализовать:

АИИС - автоматизированную информационную измерительную систему;
АСКУЭ (АСТУЭ) - систему по автоматизированному коммерческому и техническому учету энергоресурсов;
Систему телеметрии.


Целесообразно использование ОВЕН ПЛК 323 в качестве устройства сбора и передачи накопленных данных. А также объединения устройств, работающих на различных протоколах/интерфейсах в одну общую сеть.

Основное отличие контроллера ОВЕН ПЛК 323 от аналогичных, присутствующих в том же секторе рынка, коммуникационных ПЛК – наличие интегрированного GSM/GPRS модема, позволяющего организовать удаленную беспроводную связь с объектом. Получение информации об объекте в любой точке Земли возможно благодаря встроенному web-серверу, что позволяет при помощи обычного web-браузера удаленно управлять объектом.

Как говорилось выше, ОВЕН ПЛК 323 имеет несколько набор дискретных входов и выходов. В случае необходимости осуществления подключения каких-либо дополнительных устройств (газо- и энергосчетчиков, тепловычислителей и прочих), информацию относительно которых необходимо передавать на более высокий уровень АСУ, имеются три последовательных интерфейса (RS-232 и два RS-485 или CAN). Связь с устройствами верхнего уровня АСУ осуществляется за счет наличия порта Ethernet, который в случае необходимости выполняет роль основного канала связи с компьютером оператора. Резервный канал связи можно оборудовать за счет встроенного модема. ПЛК 323 поддерживает возможность подключения SD-карт, объем памяти которых, не превышает 32 Гб.

Кроме этого коммуникационный контроллер ОВЕН ПЛК 323 обладает:

· Высокоточными часами реального времени;

· Температурным диапазоном от -40 до +75°С;

· Двухвариантной формой выпуска: пластиковый корпус (крепится на стену или DIN-рейку) и антивандальное металлическое исполнение (крепится на стену, защита – IP54).

Контроллер ОВЕН ПЛК 323 при помощи ОС Linux, с легкостью программируется с помощью среды разработки CODESYS v.3

ПЛК 323 от компании ОВЕН - идеальное решение задач создания распределенных систем диспетчеризации и управления, при помощи беспроводных и проводных технологий.

После двух с половиной месяцев разработки Линус Торвальдс выпустил ядро Linux 3.13. Среди наиболее заметных улучшений ядра 3.13: интеграция пакетного фильтра Nftables, включение по умолчанию режима TCP Fast Open, увеличение производительности Squashfs, поддержка протокола HSR для создания отказоустойчивых сетевых конфигураций, добавление нового высокопроизводительного слоя блочных устройств, поддержка автоматического переключения между GPU в драйвере Radeon, фреймворк для ограничения энергопотребления устройств, классификатор трафика на основе BPF, реализация средств для проведения защищённых финансовых транзакций по NFC, поддержка архитектуры Intel MIC.

В новую версию принято 12 тысяч исправлений от 1339 разработчиков, размер патча - 32 Мб (изменения затронули 9849 файлов, добавлено 441972 строк кода, удалено -237897 строк). Около 44% всех представленных в 3.13 изменений связаны с драйверами устройств, примерно 21% изменений имеют отношение к обновлению кода специфичного для аппаратных архитектур, 14% связано с сетевым стеком, 4% - файловыми системами и 5% c внутренними подсистемами ядра. 11.9% изменений внесено сотрудниками компании Intel, 9.7% - Linaro, 9% - Red Hat, 5% - Samsung, 3.5% - IBM, 2.7% - SUSE, 1.7% - Google, 1.5% - NVIDIA, 1.1% - Oracle, 1.0% - Huawei, 0.9% - ARM.

Сетевая подсистема:

•  Интеграция пакетного фильтра Nftables, развиваемого для замены iptables, ip6table, arptables и ebtables. Добавленный в ядро 3.13 код предусматривает сосуществование старой и новой подсистем, так как Nftables ещё требует доработки и тестирования. Nftables основывается на идеях, близких к реализации BPF (Berkeley Packet Filters) - правила фильтрации компилируются в пространстве пользователя в байткод и передаются в ядро через API Netlink, после чего для принятия решения по дальнейшим действиям с пакетом выполняются с использованием конечного автомата (pseudo-state machine)
•  Интегрирован легковесный классификатор трафика, выступающий в качестве гибко настраиваемой альтернативы ematch-классификатору. Особенностью нового классификатора является использование виртуальной машины BPF (Berkley Packet Filter) для выполнения программы классификации трафика, загружаемой в ядро в форме байткода, который в том числе может компилироваться в машинные инструкции при помощи BPF JIT-компилятора.
•  Включена по умолчанию поддержка режима быстрого открытия TCP-соединений (TFO - TCP Fast Open), который позволяет сократить число шагов установки соединения за счёт комбинирования в один запрос первого и второго шагов классического 3-этапного процесса согласования соединения, и давая возможность отправки данных на начальном этапе установки соединения.
•  В ipset добавлена поддержка сетевых пространств имён (network namespaces), возможность использования комментариев в записях, реализация модулей "hash:net,net" и "hash:net,port,net" для указания двух подсетей в одной записи.
•  Поддержка протокола HSR (High-availability Seamless Redundancy) для создания высокодоступных резервных Ethernet-каналов, обеспечивающих сохранение работоспособности сети при выходе из строя одного из каналов без задержки на восстановление.
•  Для сетевых сокетов представлена поддержка опции SO_MAX_PACING_RATE, позволяющей приложению выставить значение максимальной интенсивности обработки пакетов на транспортном уровне. Лимит задаётся в байтах в секунду. Опция эффективно работает только с планировщиком пакетов Fair Queue.
•  В стек IPv4 для сокетов добавлена поддержка режима IP_PMTUDISC_INTERFACE, позволяющего игнорировать механизм Path MTU discovery, не принимать и устанавливать новую информацию Path MTU, а всегда использовать параметры MTU сетевого интерфейса для отправляемых пакетов. Данная опция может оказаться полезной для блокирования атак на DNS-серверы, манипулирующих PMTU.
•  В интерфейсы виртуальных туннелей IPsec (vti) добавлена поддержка IPv6.
•  Добавлена возможность использования непривилегированными пользователями некоторых вызовов sysctl (например, /proc/sys/net/ipv4/ip_local_ports_range или /proc/sys/net/ipv4/icmp_echo_ignore_all) для изолированных сетевых пространств имён (network namespaces).

•  Для эффективного использования возможностей современных SSD-накопителей в ядро включен новый блочный слой (Linux block layer), рассчитанный на организацию многопоточного доступа к данным на многоядерных системах. Архитектура нового блочного слоя основана на двухуровневой модели очередей: На первом уровне функционируют очереди для передачи запросов ввода/вывода, привязанные к каждому CPU. Из данных очередей запросы направляются в очереди второго уровня, которые в свою очередь координируют обращение к оборудованию.
  
  Тестирование показало высокую эффективность нового блочного слоя, который смог обеспечить производительность в многие миллионы операций ввода/вывода в секунду, т.е. показал способность справиться с пропускной способностью современных устройств NVM-Express и PCI-E на многоядерных системах, сохранив при этом типовой интерфейс и привычные возможности слоя для работы с блочными устройствами. Старый блочный слой обеспечивал производительность порядка 800 тысяч операций в секунду, не масштабируясь от числа CPU, чего было достаточно для накопителей на гибких магнитных дисках, но уже не хватает для SSD-накопителей, производительность которых перешагнула рубеж к 1 млн операций в секунду.
•  Существенно ускорена работа специализированной файловой системы SquashFS, обычно используемой в качестве ФС для установочных образов, Live-систем и прошивок. В частности, реализована возможность непосредственной распаковки в кэш страниц (page cache), что позволяет избежать лишних операций копирования и уйти от эксклюзивной блокировки буфера, Также добавлена поддержка многопоточной распаковки сжатых данных и параллельного ввода/вывода
•  В системе Bcache, которая позволяет организовать кэширование доступа к медленным жестким дискам на быстрых SSD-накопителях, добавлена поддержка инкрементального сборщика мусора, позволяющего свести к минимуму задержки при выполнении операций чистки кэша от устаревших элементов и повысить эффективность расходования места в кэше.
•  В модуле dm-cache, предназначенном для ускорения доступа к жестким дискам через применение кэширования на SSD-накопителях, добавлен режим сквозного проброса (passthrough), применяемого кода неизвестно насколько содержимое кэша согласовано с содержимым базового устройства. В данном режиме все операции чтения выполняются с базового накопителя, минуя кэш, а операции записи перенаправляются на базовое устройство с использованием кэширования.
•  В няшной файловой системе Btrfs добавлена поддержка опций монтирования commit (задаёт интервал периодических коммитов, по умолчанию 30) и rescan_uuid_tree (инициирует процесс проверки и перестроения дерева UUID). Добавлен флаг FIEMAP_EXTENT_SHARED, позволяющий организовать совместное использование экстентов разными inode.
•  Для файловых систем SMB2/SMB3 добавлена поддержка клонирования файлов при копировании на стороне сервера (по аналогии с "cp --reflink"), возможность определения настроек сжатия для отдельных файлов (через "chattr +c filename"). Добавлена опция CONFIG_CIFS_STATS2 для сбора информации о сетевых адаптерах, что удобно использовать для отладочных целей.
•  Для F2FS представлена настройка CONFIG_F2FS_CHECK_FS, позволяющая отключить механизм проверки согласованности ФС на лету, сказывающийся на производительности.

•  Поддержка API Secure Element для организации выполнения защищённых операций с использованием протокола NFC.
•  Внесена серия улучшений в генератор псевдослучайных чисел: увеличена производительность, повышено качество энтропии, улучшена работа на платформах, отличных от х86. Генератор 32-разрядых случайных чисел prandom32*() переведён с алгоритма taus88 на taus113, обеспечивающий периодичность 2^113.
•  Добавлено устройство KVM-VFIO, позволяющее огранизовать взаимодействие гипервизора KVM c построенными с использованием механизма VFIO драйверами устройств, работающих в пространстве пользователя. В KVM обеспечена поддержка работы на системах с процессором ARM Cortex-A7;
•  Улучшения в SELinux: Обеспечена возможность установки контекста безопасности для rootfs (ramfs) в привязке к inode, что например может быть использовано для привязки метки к файлу, когда ФС не предоставляет обработчик xattr.Добавлен признак always_check_network, при включении которого поведение проверки пакетов и пиров производится всегда, как при активном SECMARK и включенных метках для пиров, даже если SECMARK-правила не определены для netfilter и отсутствует конфигурация на основе Netlabel или меток в IPSEC. Проведены оптимизации, позволившие снизить накладные расходы при использовании SELinux (по тесту AIM7 выигрыш для систем с 1100-2000 пользователями составляет 2.6%).

•  Добавлен Power Capping Framework, предоставляющий унифицированный интерфейс для управления настройками ограничения энергопотребления устройств из пространства пользователя.
•  Для систем на базе архитектуры NUMA задействован набор политик, позволяющих планировщику задач более эффективно организовывать выполнение процессов на подобных системах. Реализованные политики нацелены на размещение процессов и связанной с ними памяти в рамках одного NUMA-узла, а также на обработку таких ситуаций, как совместное использование страниц памяти несколькими процессами.
•  Проведена работа по увеличению масштабируемости при организации доступа к таблицам страниц памяти в условиях, когда выполняются операции со страницами памяти большого размера (hugepage). В частности, при использовании hugepages вместо монолитного блокирования частей таблиц страниц памяти теперь используются более гранулированные блокировки, позволяющие увеличить масштабируемость при применении многопоточности.
•  Увеличена производительность и эффективность распределения памяти в механизме slab. Изменения коснулись методов управления свободными объектами в кэшах kmem_caches, в которых хранятся объекты, размером 128 байт и меньше. В итоге, число попаданий в кэш увеличилось на 5%, что привело к увеличению производительности slab на 3.1%.
•  Увеличена масштабируемость epoll на системах с большим числом CPU за счёт переработки организации блокировок. Тестирование на системе с 16 CPU показало увеличение производительности с 35k jOPS до 125k jOPS в тесте SPECjbb.
•  Реализация NFC digital layer. Большинство NFC-чипсетов реализуют данный слой на уровне прошивки, но встречаются и такие в которых поддерживается только аналоговый слой NFC. Добавлена поддержка технологий NFC-A (106 kbits/s), NFC-F (212 kbits/s и 424 kbits/s), NFC-DEP initiator/target и цифрового стека протоколов (Digital Protocol stack).
•  Bluetooth-стеке реализована возможность создания виртуальных AMP-контроллеров, поддержка установки режима DUT (Device Under Test), добавлена команда mgmt_set_bredr для включения и отключения функций BR/EDR, добавлена команда для установки статического адреса для контроллеров, поддерживающих режимы BR/EDR и LE, добавлена поддержка нового HCI-сокета для управления определённым HCI-устройством из пользовательского приложения.
•  Добавлен новый фреймворк Generic PHY Framework для разработки драйверов для подключаемых устройств, в том числе внешних сетевых адаптеров, SATA и USB устройств.
•  Добавлена утилита, которую можно использовать для мониторинга за работой подсистемы температурного контроля.

Поставщики Adware ввели в практику новый метод распространения вредоносного программного обеспечения. Суть метода состоит в скупке популярных браузерных дополнений у авторов, которые устали заниматься проектом и не получают от него должную отдачу. Затем, пользуясь тем, что обновления к дополнениям для браузера Chrome устанавливаются молча, без подтверждения пользователя, под видом очередного обновления в браузеры пользователей перекупленного дополнения устанавливается JavaScript-код, совершающий вредоносные действия.

Подобная участь постигла пользователей дополнений "Add to Feedly" и "Tweet This Page". В первом случае, примерно через месяц после продажи, более 30 тысяч пользователей дополнения "Add to Feedly" получили обновление, которое осуществляло подстановку рекламы во все просматриваемые в браузере страницы и организовывало принудительное открытие рекламных страниц при нажатии на ссылки. Похожий случай произошёл и с дополнением "Tweet This Page", пользователи которого в один прекрасный момент столкнулись с подстановкой фиктивных блоков в результаты поисковой выдачи Google.

Судя по всему, подобная практика не ограничивается упомянутыми выше дополнениями - нечистоплотные дельцы продолжают активно рассылать авторам дополнений предложения о покупке по электронной почте. В настоящее время смена владельца дополнения никак не сказывается на уже установленных доверительных отношениях, т.е. обновление от нового владельца не приведёт к выводу каких-либо подтверждений или уведомлений на стороне пользователя. Более того, вредоносная активность включается не сразу после приёма обновления, а лишь через несколько дней, что затрудняет выяснение причин изменения характера рекламы на сайтах.

Большинство пользователей не заподозрят уже проверенное дополнение и будут списывать появление лишней навязчивой рекламы на неуважительные к посетителям действия владельцев сайтов. При подозрительном изменении характера рекламы на сайтах пользователю рекомендуется ознакомиться с последними рецензиями других пользователей на страницах применяемых дополнений и поэкспериментировать с оценкой изменения показа рекламы при последовательном отключении дополнений.



Цельнотянуто с opennet.ru

Вышел очередной экспериментальный выпуск открытой реализации Win32 API - Wine 1.7.11. С момента выпуска версии 1.7.10 было закрыто 46 отчётов об ошибках.

Крупные изменения:

•  В десктоп-режиме добавлено опциональное меню Start;
•  Продолжена подготовка к переходу на переработанный код поддержки Direct3D, позволяющий существенно поднять производительность некоторых игр на 50-100%. Ускорение достигается за счёт выноса из wined3d отдельного потока для взаимодействия с OpenGL, позволяющего выполнять отрисовку в асинхронном режиме с распараллеливанием на многоядерных системах.
•  Устранены проблемы со сборкой на платформе FreeBSD;
•  Поддержка операции Uniscribe в компоненте RichEdit;
•  Поддержка условных переменных и Slim-блокировок на запись и чтение;
•  Улучшена поддержка вертикальных метрик шрифтов;
•   Закрыты отчёты об ошибках, связанные с работой игр и приложений: Garmin MapSource, Bombzone, POI Loader, Guitar Pro 5.2, MSN Messenger Live 2009, Spotify, EasyHook 2.6, Adobe Lightroom 4, June 2010, Garmin ANT Agent, Regedit, Foxit Reader 6.xx, Depth Hunter, Secret Files 2, League of Legends.

Доступен первый корректирующий выпуск ветки KDE SC 4.12, в котором исправлено 45 ошибок и проведена работа по обновлению переводов. Наиболее важные исправления затронули компоненты системы управления персональной информацией Kontact, UML-редактор Umbrello, браузер Konqueror, файловый менеджер Dolphin, программу для просмотра документов Okular. В Umbrello нормализованы настройки и добавлена функция клонирования диаграмм. В Dolphin устранены проблемы, приводящие к замедлению просмотра PDF.

Готовые бинарные сборки KDE SC 4.12.1 в ближайшие часы будут подготовлены для openSUSE, Fedora, Kubuntu и ROSA. Следующий выпуск KDE 4.12.2, а также обновление для прошлой стабильной ветки KDE 4.11.6, в рамках которого продолжено формирование обновлений для оболочки Plasma, планируется выпустить 4 февраля.

Дёк Хон, инженер Центра Открытых Технологий корпорации Intel, поделился опытом использования GTK и Qt. В частности, он рассказал о происходившем в прошлом году портировании Subsurface (программа для дайверов от Торвальдса, хз что такое из себя представляет - прим. переводчика): Торвальдс, Дёк и другие разработчики пришли к выводу, что Qt - намного лучший в сравнении с GTK выбор.

По словам Дёка Хона, ключевой изъян GTK даже не в убогой кроссплатформенности, а в отношении "костяка" его разработчиков. Если сообщество девелоперов Qt всегда идёт навстречу, всячески помогая, предоставляя подробнейшую документацию по любому вопросу, ну и, конечно, быстро принимая полезные патчи в апстрим, то сообщество GTK раздувает флеймы и холивары из каждой проблемы, пытаясь убедить разработчиков, что они всё делают неправильно, про аппрув же патчей в апстрим речи не идёт вообще.

Выступление Дёка (в формате mp4)

Вышла обновлённая версия видеодрайвера NVIDIA долгоподдерживаемой ветки - 319.82

Обеспечена поддержка:

•  xorg-server 1.15
•  GeForce GTX 780 Ti
•  GeForce GTX 760
•  GeForce 820M
•  Tesla K40m
•  Tesla K40c
•  Tesla K40st
•  Tesla K40s

После двух с половиной лет разработки увидел свет релиз библиотеки libssh 0.6.0, предназначенной для интеграции поддержки SSH в программы на языке Си. Библиотека позволяет выполнять программы на удаленном сервере, копировать файлы через защищенное соединение, обеспечивать работу приложения в роли SSH-сервера. Поддерживаются такие механизмы, как scp и sftp. Исходные тексты библиотеки распространяются под лицензией LGPL.

Новшества:

•  Новый серверный API на основе callback-вызовов;
•  Поддержка алгоритма формирования цифровых подписей ECDSA (Elliptic Curve Digital Signature Algorithm) при сборке с OpenSSL и методов обмена ключами [email protected].
•  Новый API для управления открытыми ключами;
•  Поддержка GSSAPI (Kerberos), протестированная с FreeIPA и gssproxy. Для управления добавлены опции GSSAPIServerIdentity, GSSAPIClientIdentity, GSSAPIDelegateCredentials;
•  Новый API для аутентификации пользователей.
•  Новые функции ssh_get_publickey_hash() и ssh_get_poll_flags();
•  Поддержка алгоритма ECDH (Elliptic Curve Diffie Hellman);
•  Расширены возможности системы ведения логов;
•  Поддержка перенаправления SSH-agent;
•  Поддержка инициированая повторного обмена ключами (key-reexchange).
•  Расширено число unit-тестов.