Linux Club | КДЧ

Microsoft Azure Linux 4.0 — дистрибутив на базе Fedora 43 для облачных рабочих нагрузок Microsoft выпустила первую публичную экспериментальную сборку Azure Linux 4.0 для виртуальных машин и контейнеров, переведя дистрибутив на пакетную базу Fedora 43 с системой оверлеев и инструментом azldev для кастомизации под платформу Azure. В основе лежит ядро Linux 6.18 с оптимизациями для Azure, защитой от атак через зависимости, фильтрацией системных вызовов, шифрованием дисков и верификацией пакетов по цифровой подписи. Обновление также включает поддержку SELinux, переход на пакетный менеджер dnf5, новые драйверы для оборудования Azure с улучшенной интеграцией Hyper-V и поддержкой GPU/AI-ускорителей, а также актуальные версии системных компонентов: glibc 2.42, OpenSSL 3.5, systemd 258 и Python 3.14. #Azure @clubLinux

Открытая энциклопедия по пентесту и кибербезопасности HackTricks — это масштабная открытая вики с практическими методиками тестирования на проникновение, охватывающая всё от разведки и эксплойтов до пост-эксплуатации и защиты облачных сред. Репозиторий структурирован по темам и включает готовые команды, чек-листы, примеры уязвимостей и ссылки на инструменты для быстрого применения в реальных задачах. Проект поддерживается сообществом и регулярно обновляется, отражая актуальные векторы атак, новые CVE и изменения в популярных технологиях. Материалы распространяются бесплатно и служат справочником как для начинающих специалистов по безопасности, так и для опытных пентестеров и участников CTF. #инфо @clubLinux

rsync 3.4.3 — исправление уязвимостей ценой регресси Выпуск rsync 3.4.3 устранил шесть уязвимостей, но внёс регрессии, сломавшие инкрементальные бэкапы, сборку на старых ядрах Linux и macOS, а также работу отдельных опций вроде --link-dest и --delete-missing-args. Основатель проекта Эндрю Триджелл пояснил, что лавина отчётов об уязвимостях (многие сгенерированы ИИ) вынудила приоритизировать безопасность, даже ценой нарушения редких, но корректных сценариев, не покрытых тестами. Для ускорения разработки Триджелл привлёк ИИ-ассистенты (Claude, Codex, Gemini) для генерации нового тестового набора на Python и автоматизации рутинных задач, сохранив ручную проверку критических изменений. Исправления регрессий запланированы в версии 3.4.4, а проект уже модернизирует инфраструктуру тестирования и внедряет непрерывную интеграцию для предотвращения подобных проблем в будущем. #rsync @pcTeapot

Аудит доступа к файлам с auditd: контроль безопасности в деталях Auditd позволяет отслеживать, кто и когда обращается к критическим файлам, даже при корректных правах доступа. Установка и запуск службы выполняется стандартными командами:

sudo apt install auditd
sudo systemctl enable --now auditd

Добавление правила слежения за файлом /etc/shadow (чтение, запись, атрибуты):

sudo auditctl -w /etc/shadow -p rwa -k shadow_access

Ключ -k задаёт метку, по которой удобно фильтровать логи. Просмотр всех активных правил:

sudo auditctl -l

Поиск событий по метке в логах:

sudo ausearch -k shadow_access

Мониторинг системных вызовов, например, отслеживание всех попыток открыть файлы на запись:

sudo auditctl -a always,exit -S openat -F dir=/etc/ -F perm=w

Для постоянного сохранения правил добавьте их в файл /etc/audit/rules.d/custom.rules. Просмотр логов в реальном времени без дополнительных утилит:

sudo tail -f /var/log/audit/audit.log

Генерация отчёта о попытках доступа к защищаемому каталогу:

sudo aureport -f | grep /var/www

Auditd незаменим для соответствия стандартам безопасности, так как фиксирует даже действия root, обходящие стандартные права доступа. #clubLinux @clubLinux

Уязвимость в libinput позволяет локальному пользователю получить root-доступ через эмуляцию устройств ввода В библиотеке libinput, отвечающей за обработку ввода в Wayland и X.Org, найдена уязвимость, позволяющая непривилегированному пользователю выполнить код с правами root через подключение виртуального устройства ввода. Проблема вызвана отсутствием экранирования спецсимволов в udev-обработчике: подстановка перевода строки в атрибут устройства позволяет внедрить произвольное udev-правило со свойством REMOVE_CMD для запуска команд при отключении устройства. Для эксплуатации требуется доступ к /dev/uinput или /dev/uhid, который в некоторых дистрибутивах (например, Fedora с пакетами steam-devices или kdeconnectd) предоставляется обычным пользователям. #новости @clubLinux

Linux для администраторов Актуальное практическое руководство, которое ведёт читателя от базовой установки и работы с терминалом до автоматизации задач, настройки безопасности и развёртывания контейнерных и облачных инфраструктур. В книге подробно разбираются Bash-скриптинг, управление правами доступа, брандмауэры, SELinux/AppArmor, Docker, KVM, Kubernetes, а также интеграция с AWS и Azure через Ansible и другие инструменты управления конфигурациями. Издание подойдёт как специалистам, переходящим с Windows на Linux, так и опытным администраторам, желающим систематизировать знания и освоить современные практики работы с виртуализацией и облачными рабочими нагрузками. ➡️ СКАЧАТЬ | 0,11 ГБ #книга @clubLinux

Использование видеопамяти NVIDIA в качестве подкачки для Linux Утилита nbd-vram позволяет задействовать свободную видеопамять графических карт NVIDIA в качестве дополнительного раздела подкачки, что особенно полезно для ноутбуков с распаянной оперативной памятью. Программа выделяет VRAM через драйвер CUDA и предоставляет системе доступ к ней по протоколу NBD, формируя блочное устройство для настройки swap без загрузки специальных модулей ядра. В связке с модулем zram и SSD-разделом подкачки решение способно расширить адресное пространство до десятков гигабайт, обеспечивая скорость последовательного чтения около 1.3 ГБ/с при задержках ниже обычных NVMe-накопителей. #nbdvram @clubLinux

Мощные таймеры systemd вместо классического планировщика Systemd timers приходят на смену cron, предлагая интеграцию с юнитами, полноценное логирование и гибкие зависимости. Для создания таймера нужно два файла в /etc/systemd/system/: service-юнит с командой и timer-юнит с расписанием. Пример сервиса /etc/systemd/system/backup.service:

[Service]
Type=oneshot
ExecStart=/usr/local/bin/backup-script.sh

Пример таймера /etc/systemd/system/backup.timer:

[Timer]
OnCalendar=daily
Persistent=true

[Install]
WantedBy=timers.target

Активация и запуск таймера выполняется командами:

sudo systemctl enable backup.timer
sudo systemctl start backup.timer

Просмотр всех активных таймеров с временем следующего запуска:

systemctl list-timers

Ключевое преимущество — логи выполнения таймера доступны через journalctl:

journalctl -u backup.service

Можно задавать сложные календарные выражения, например, каждый понедельник в 3:15:

OnCalendar=Mon *-*-* 03:15:00

Таймеры поддерживают зависимости: сервис не запустится, пока не будет активен network.target. В отличие от cron, systemd гарантирует выполнение даже для спящих систем (Persistent=true) и не пропускает задачи из-за выключения. #терминал @clubLinux

86Box 6.0 — эмулятор ретро-ПК с новыми устройствами и улучшениями интерфейса Выпуск 86Box 6.0 расширяет возможности эмуляции старых x86-систем от IBM PC 5150 до Pentium II, позволяя запускать MS-DOS, Windows 95, OS/2 и другие классические операционные системы. В новой версии добавлена симуляция звуков жёстких дисков, виртуальный сетевой коммутатор для связи между экземплярами, турбо-режим без ограничения производительности и переработанный интерфейс с вкладками и поиском. Расширена поддержка оборудования: эмулируются новые звуковые и сетевые карты, SCSI-ленты, IDE-контроллеры, реальные HDD через проброс, а также десятки моделей компьютеров на процессорах от 8086 до Slot 1. Проект на языке C с лицензией GPLv2 также получил оптимизацию для ARM-хостов, драйверы для последовательных портов и CD-ROM, а также эмуляцию видеокарт 3dfx ViRGE и Trio3D/2X. #86Box @clubLinux

Bumblebee — сканер уязвимостей в зависимостях Bumblebee — это утилита на Go для сбора инвентаризации пакетов, расширений и инструментов разработки, которая помогает быстро находить уязвимые зависимости при инцидентах в цепочке поставок. Она работает в режиме только для чтения: сканирует lock-файлы, метаданные пакетных менеджеров и конфиги, не запуская внешние команды и не читая исходный код. Три профиля сканирования (baseline, project, deep) позволяют гибко настраивать глубину проверки, а вывод в формате NDJSON и поддержка каталогов уязвимостей упрощают интеграцию с SIEM и системами реагирования. Инструмент распространяется как единый бинарник под лицензией Apache 2.0, не имеет сторонних зависимостей и покрывает основные экосистемы: npm, PyPI, Go, RubyGems, Composer, а также расширения редакторов и браузеров. #Bumblebee @clubLinux

NixOS 26.05 — декларативная конфигурация, ядро 6.18 и переход на systemd в initrd Релиз NixOS 26.05 продолжает философию управления системой через единый файл configuration.nix, позволяя откатываться к предыдущим состояниям, запускать несколько версий программ и обеспечивать воспроизводимость сборок. Пакеты хранятся в /nix/store с хеш-именами зависимостей, а их установка сводится к сборке или загрузке готовых бинарников с формированием профилей через символические ссылки. В новом выпуске добавлено более 20 тысяч пакетов, initrd переведён на systemd по умолчанию, обновлены GCC 15, glibc 2.42, ядро Linux 6.18 и GNOME 50 без поддержки X11. Проект прекратил поддержку ФС Reiserfs и ecryptfs, объявил устаревшей платформу x86_64-darwin и перешёл на dbus-broker для повышения стабильности D-Bus. #NixOS @clubLinux

Атомарное обновление nftables: безопасное управление файрволом В отличие от iptables, nftables позволяет применять новые правила целиком без опасного окна, когда пакеты могут пройти непроверенными. Ключевой принцип — собрать полный набор правил в файле и загрузить его одной командой. Сначала подготовьте файл с правилами, например /etc/nftables/workspace.nft. Затем выполните атомарную замену работающей конфигурации:

sudo nft -f /etc/nftables/workspace.nft

Чтобы проверить синтаксис перед применением, используйте флаг --check. Это защитит от ошибок, которые могут разорвать соединение:

sudo nft --check -f /etc/nftables/workspace.nft

Для просмотра текущих активных правил выполните:

sudo nft list ruleset

Атомарное удаление всех правил с заменой на новую конфигурацию делается через сброс и загрузку:

sudo nft flush ruleset && sudo nft -f /etc/nftables/workspace.nft

Более безопасный способ — загрузить новую конфигурацию в отдельную таблицу, а затем переключить на неё ссылку. Для автоматизации удобно использовать сценарии с атомарным переименованием таблиц в одной транзакции. Сохранить текущую рабочую конфигурацию в файл можно командой:

sudo nft list ruleset > /etc/nftables/backup.nft

#терминал @clubLinux

ReactOS 0.4.17 — единый BootCD, новый ATA-драйвер и экспериментальная поддержка ARM64 ReactOS 0.4.17 объединила установщик и LiveCD в единый образ BootCD, добавив опцию запуска графического инсталлятора для упрощения настройки системы новыми пользователями. В кодовую базу интегрирован новый ATA-драйвер с поддержкой PnP, работающий с SATA, PATA, ATAPI, AHCI и SCSI-устройствами, что расширяет совместимость с различным оборудованием. Проект также добавил экспериментальную поддержку архитектуры ARM64, позволяя ReactOS загружаться на Raspberry Pi 5 и в QEMU с процессорами Apple Silicon. #ReactOS @clubLinux

Фреймворк для кастомизации Steam через скрипты и плагины SteaMidra (SFF) — это многофункциональный инструмент с открытым исходным кодом, который помогает настраивать запуск игр в Steam через Lua-скрипты, манифесты и библиотеку LumaCore, не заменяя сам клиент платформы. Программа поддерживает скачивание игр напрямую из Steam, установку фиксов для мультиплеера, обход защит вроде Denuvo через HyperVisor, работу с разблокировщиками DLC и резервное копирование сохранений в облако. Проект имеет современный графический интерфейс с темами, мультиязычную поддержку и подробную документацию — но предназначен исключительно для образовательных целей и требует осторожности при использовании. #SteaMidra @clubLinux

Офисы класса А в 100 метрах от метро «Новопеределкино» Проект расположен на западе Москвы, всего в 3 минутах от метро, рядом с Ульяновским лесопарком и ключевыми магистралями запада Москвы — Боровским, Киевским и Можайским шоссе. До аэропорта Внуково — 10 минут. В проекте - офисы от 45 до 877 м² с гибкими планировочными решениями, панорамным остеклением и лаконичной архитектурой. На территории кластера — мультиарена, рестораны и кафе, формирующие полноценную среду для работы и встреч. Стартовые цены - от 13,7 млн ₽ Получите презентацию проекта, актуальные цены и условия покупки, оставив заявку на сайте! Перейти на сайт Финансовые услуги оказывает: АО «Альфа-банк». Проектная декларация на сайте https://наш.дом.рф/. Застройщик: ООО "СЗ "РОДИНА ПЕРЕДЕЛКИНО". #реклама rodina-peredelkino.ru О рекламодателе

Кроссплатформенная реализация стандартных утилит UNIX на Rust Проект uutils coreutils развивает альтернативу GNU Coreutils на языке Rust, включая более ста классических утилит вроде ls, cp, cat и chmod, с целью работы на Linux, Windows, Redox и Fuchsia. Реализация распространяется под лицензией MIT, уже используется по умолчанию в Ubuntu 25.10 и частично в Ubuntu 26.04, а также в дистрибутивах AerynOS и Apertis. В версии 0.9.0 устранено 44 уязвимости, продолжен переход на crate rustix, добавлена поддержка WebAssembly/WASI для ряда утилит и улучшена производительность через системные вызовы splice/tee/pipe. Команда также развивает Rust-аналоги util-linux, diffutils, findutils и других наборов, постепенно повышая совместимость с эталонными тестами GNU. #uutils @clubLinux

Анализ времени загрузки: находим медленные юниты в systemd Если ваша Linux-система загружается слишком долго, встроенный инструмент systemd-analyze поможет выявить виновных. Общее время загрузки и время работы ядра покажет команда:

systemd-analyze time

Список всех сервисов и юнитов, отсортированный по времени их запуска (от самого долгого к быстрому):

systemd-analyze blame

Самые медленные юниты окажутся вверху списка. Визуализировать цепочку зависимостей и понять, какие юниты блокируют запуск других, можно так:

systemd-analyze critical-chain

Эта команда покажет критический путь загрузки. Для детального анализа конкретного юнита, например network.target, используйте:

systemd-analyze critical-chain network.target

Чтобы сохранить полный график загрузки в формате SVG для просмотра в браузере:

systemd-analyze plot > boot.svg

Если виновником тормозов оказался NetworkManager-wait-online.service, его можно отключить без вреда для сети:

sudo systemctl mask NetworkManager-wait-online.service

#терминал @clubLinux

60 дней бесплатно — грант от Yandex Cloud Запустили программу миграции в Yandex Cloud. Для компаний, которые переносят инфраструктуру с другого облака, хостинга или своих серверов. Что получаете: ✅ Грант без лимита — покрываем потребление на 60 дней ✅ Консультация архитектора — план миграции и проектирование ✅ Персональный менеджер на всём пути переезда и после Yandex Cloud — 75+ сервисов, 4 дата-центра, соответствие 152-ФЗ, ГОСТ Р 57580 и GDPR. Платите только за реальное потребление. 📊 Предложение до 20 июня. Оставьте заявку — рассчитаем грант под ваш проект. Узнать больше #реклама 16+ yandex.cloud О рекламодателе

В ядре Linux нашли опасную уязвимость в CIFS Непривилегированный пользователь может получить root-права через уязвимость в обработчике cifs.upcall, который вызывается для аутентификации по протоколу SPNEGO и выполняется с максимальными привилегиями. Проблема в том, что этот обработчик не проверяет подозрительные параметры от ядра, что позволяет атакующему подменить системные библиотеки NSS, создав своё пространство имён и конфигурацию /etc/nsswitch.conf. Эксплуатация требует установленного пакета cifs-utils и разрешённых пространств имён пользователей, что по умолчанию возможно во многих дистрибутивах вроде Ubuntu, Debian, CentOS Stream 9, Rocky Linux 9 Workstation и Kali Linux. В качестве временной защиты можно заблокировать загрузку модуля cifs, отключить unprivileged user namespaces или перенастроить правило cifs.spnego через request-key.d. #новости @clubLinux

Мгновенный RAM-диск: сверхбыстрое хранилище в памяти Нужно место для кэша, временных файлов или тестов, где скорость важнее сохранности? Создайте RAM-диск одной командой. Создать RAM-диск размером 1 ГБ:

sudo mount -t tmpfs tmpfs /mnt/ramdisk -o size=1G

Настройка прав для обычного пользователя:

sudo mount -t tmpfs tmpfs /mnt/ramdisk -o size=512M,uid=1000,gid=1000

Проверить созданные RAM-диски:

df -h | grep tmpfs
mount | grep tmpfs

Удалить RAM-диск (данные потеряются):

sudo umount /mnt/ramdisk

Сравнение скорости:

# Тест записи на RAM-диск
dd if=/dev/zero of=/mnt/ramdisk/test bs=1M count=100

# Против обычного SSD — разница в 10-50 раз!

Автоматическое создание при загрузке. Добавьте в /etc/fstab:

tmpfs /mnt/ramdisk tmpfs defaults,size=1G 0 0

Идеально для: сессий браузера, компиляции, обработки изображений и логов. Помните: при перезагрузке или отмонтировании все данные исчезнут навсегда. #терминал @clubLinux