心机黑客潜伏两年后向XZ添加后门 多个Linux发行版中招影响服务器安全

最近Linux 社区最关注的事情就是 xz-utils (以前被称为 LZMA Utils) 项目被植入后门的事情,xz 是被 Linux 发行版广泛使用的压缩格式之一,xz-utils 是一个开源项目,2022 年起有个名为 Jia Tan 的账号开始向该项目贡献代码,然后逐步接手该项目成为项目的主要贡献者。

日前该项目被发现存在后门,这些恶意代码旨在允许未经授权的访问,具体来说影响 xz-utils 5.6.0 和 5.6.1 版中,而且这些受影响的版本已经被多个 Linux 发行版合并。

简单来说这是一起供应链投毒事件,攻击者通过上游开源项目投毒,最终随着项目集成影响 Linux 发行版,包括 Fedora Linux 40/41 等操作系统已经确认受该问题影响。

恶意代码的目的:

RedHat 经过分析后认为,此次黑客添加的恶意代码会通过 systemd 干扰 sshd 的身份验证,SSH 是远程连接系统的常见协议,而 sshd 是允许访问的服务。

在适当的情况下,这种干扰可能会让黑客破坏 sshd 的身份验证并获得整个系统的远程未经授权的访问 (无需 SSH 密码或密钥)。

RedHat 确认 Fedora Linux 40/41、Fedora Rawhide 受该问题影响,RHEL 不受影响,其他 Linux 发行版应该也受影响,具体用户可以在开发商网站获取信息。

建议立即停止使用受影响版本:

如果你使用的 Linux 发行版受上述后门程序影响,RedHat 的建议是无论个人还是商用目的,都应该立即停止使用。

之后请查询 Linux 发行版的开发商获取安全建议,包括检查和删除后门程序、回滚或更新 xz-utils 等。

孤独的开源贡献者问题:

在这里还需要额外讨论一个开源项目的问题,xz-utils 尽管被全世界的 Linux 发行版、压缩软件广泛使用,但在之前只有一名活跃的贡献者在维护这个项目。

这个孤独的贡献者可能因为精力不够或者其他原因,在遇到一名新的贡献者时,随着时间的推移,在获取信任后,这名新贡献者逐渐获得了项目的更多控制权。

实际上这名黑客应该也是精心挑选的项目,知道这种情况下可能更容易获取控制权,于是从 2022 年开始就贡献代码,直到成为主要贡献者后,再实施自己的后门行动。

未来这类针对开源项目的供应链攻击应该还会显著增加,这对整个开源社区来说应该都是头疼的问题。

用Pi-Timolo和树莓派做一个夜视摄像头

安德鲁·格雷戈里 (Andrew Gregory) 发现,后花园的狗经常深夜叫唤。

于是他用树莓派做了一个夜间摄像头,来拍下那个不断引发狗叫的神秘访客。

要放在室外,少不了一个防雨且有一定强度的容器,这里他用到了几块厚木板。

市场上有一系列适用于 Raspberry Pi 的摄像头,比如:Pi Camera Module 3、Raspberry Pi Global Shutter Camera、Raspberry Pi High Quality Camera 和各种热敏模块。

但当访客在夜间到来,最好用的是 Pimoroni 等厂商提供的夜视摄像头。

关于树莓派的选择,作者用到了Raspberry Pi Zero W,比较轻便,兼容性也很好。

这个摄像头设在后花园,距离足够近,可以通过家庭 Wi-Fi 网络即可获取视频流。

但作者不想拉电源线,所以需要电池供电。

事后看来,最好是选择 USB 电池组——这种电池组可以即插即用到任何设备,并具有一定程度的保护作用。

作者选择了 1200mAh,3.7 V LiPo 电池,它裸露且易碎,无法直接连接到 Raspberry Pi Zero W。所以需要给 Raspberry Pi Zero 添加一个 LiPo SHIM(这需要一些焊接)。

本文提到的树莓派电池连接板,相关地址:

把供电模块、摄像头、树莓派都接好后的状态,差不多是这样。

装好系统,通电联网,登录系统执行如下命令进行测试:

raspistill -v -o test.jpg

如果一切顺利,你会看到一个图像在屏幕上闪了一两秒钟,然后颜色会变暗。那是因为夜视摄像头模块使用红外线(大多数摄像头模块会过滤掉这层光谱)。

作者在这里使用的软件包为 Pi-Timolo(Raspberry Pi Time、Motion 和 Low light),由 Claude Pageau 开发。 

可以执行如下命令安装(最好是update系统以后):

curl -L https://raw.github.com/pageauc/pi-timolo/master/source/pi-timolo-install.sh | bash

然后到一个设置界面,自行操作即可。

不过与 Raspberry Pi Camera Module 3 的 12MP 相比,夜视摄像头上的 5MP 传感器还是有些很小,因此作者很想找到一些红外 LED 并制作自己的摄像头模块。

来自:HackSpace 第 66 期

Canonical正式发布专为物联网和嵌入式设备优化的Ubuntu Core 22操作系统

2022年6月16日,Canonical 宣布推出专为物联网和边缘设备优化的 Ubuntu 22.04 LTS 完全容器化的版本 Ubuntu Core 22,该操作系统现在可通过https://cn.ubuntu.com/download/iot下载。

结合 Canonical 提供的技术,该版本将 Ubuntu 全面且行业领先的操作系统和服务带到各种嵌入式和物联网设备中。

物联网制造商面临着复杂的挑战,他们需要控制在预算范围内并准时地部署设备。随着设备组的扩大,确保大规模安全性和远端管理也并非易事。Ubuntu Core 22通过提供具备超高安全性、自我修复且低接触的操作系统,帮助制造商应对这些挑战。该操作系统对不断扩大的芯片和物联网设备制造商合作伙伴生态系统提供支持。

Canonical 首席执行官 Mark Shuttleworth 表示:“Canonical 的目标是从开发环境到云端,再到边缘和设备的任何位置,提供安全、可靠的开源操作系统。通过发布新版操作系统,以及 Ubuntu 的实时内核(Real-Time Kernel),我们已经准备好为整个嵌入式世界提供 Ubuntu Core 的优势。”

支持实时内核

Ubuntu 22.04 LTS 的实时内核现已推出 beta 版,可提供高性能、超低延迟和工作负载可预测性,适用于对设备反应时间敏感的工业、电信、汽车和机器人等使用场景。

新版本包含一个完全先占式(Preemptible)内核,用以确保有时限的反应时间。Canonical 与芯片商和硬件制造商合作,在 Ubuntu 认证硬件上实现开箱即用的实时计算功能。

以物联网应用为中心

Ubuntu Core 提供功能强大、完全容器化的 Ubuntu,将 Ubuntu 拆分成被称为 snap 的软件包,包括内核、操作系统和应用程序。每个 snap 都是一个独立的沙箱,其中包含应用软件的依赖包,完全实现可移植性和可靠性。Canonical 的 Snapcraft 框架支持多通道的 snap 开发,进而实现快速迭代、自动化测试和可靠部署。

每台运行 Ubuntu Core 的设备都有一个专属的物联网应用商店平台(IoT App Store),不仅可以完全控制相应设备上的应用,还可在同一个物联网应用商店平台上创建、发布和分发软件。物联网应用商店平台还为企业提供高级的软件管理解决方案,从而实现一系列新的本地部署功能。

该系统可确保内核、操作系统和应用程序的事务化、任务关键型在线更新(OTA),更新始终会成功完成,否则会自动回滚到以前运行的版本,因此设备不会因更新未完成而“变砖”。Snap 还提供增量更新来尽量减少网络流量,并提供数位签名以确保软件的完整性和来源。

安全和低接触

Ubuntu Core 提供开箱即用的高级安全功能,包括安全启动(Secure Boot)、全储存加密(Full Disk Encryption)、安全的系统恢复以及对操作系统和应用程序的权限限制。

KMC Controls 的首席运营官 Brad Kehler 表示:“KMC Controls 的一系列物联网设备专门为关键任务型工业环境而设计。对我们的客户来说,安全最为重要。我们之所以选择 Ubuntu Core 是因为它具有内置的高级安全功能和功能强大的在线更新框架。Ubuntu Core 提供10年安全更新承诺,让我们能够在长期使用设备的过程中确保其安全性。借助已验证的应用支持框架,我们的开发团队可以专注于创建用于解决业务问题的应用。”

客户受益于 Canonical 提供为内核、操作系统和应用程序代码级别的10年长期安全维护服务,使设备及其应用能够满足企业和公共领域的数位安全要求。

不断发展壮大的合作伙伴生态圈

如今 Canonical 已与研华科技和联想等多家领先的芯片和硬件厂商建立合作伙伴生态圈,由此确立了 Ubuntu Core 的市场地位。

Ubuntu 认证计划更定义了一系列现有的物联网和边缘设备,这些受信任的设备可与 Ubuntu 配合使用。该计划的独特之处在于,在设备的整个生命周期内,Canonical 实验室会在认证硬件每次安全更新时对其进行持续测试。

研华 WISE-Edge+ 总监 Eric Kao 表示:“研华提供嵌入式、工业、物联网和自动化解决方案。我们将继续深入参与 Ubuntu 硬件认证计划。Canonical 认证的硬件会通过广泛的测试,提供稳定、安全和优化的 Ubuntu Core,帮助我们的客户加快产品上市和缩减开发成本。”

更多Ubuntu Core 22的详细资讯

如需了解 Ubuntu Core 22 的更多资讯,请访问 http://cn.ubuntu.com/internet-of-things/core 。Canonical 将发布一系列技术文章,对 Core 22 的功能进行更深入的探讨。

如需立即开始使用 Ubuntu Core 22,请通过此链接下载已支持的平台的镜像。


关于Canonical

Canonical 是 Ubuntu 发行商,Ubuntu 是用于容器、云、超大规模计算的领先的操作系统。大部分公有云工作负载都用Ubuntu,大部分的新智能网关、交换机、自动驾驶汽车和先进的机器人也如此。Canonical 为 Ubuntu 商业用户提供企业级支持和服务,公司创立于2004年,是一家私人控股公司。

CentOS继承者 —— Rocky Linux 8.3镜像可以下载了

由于CentOS 项目的战略转变,以前作为上游供应商的下游构建版本存在的CentOS(即它会在上游供应商之后收到补丁和更新),现在将转变为一个上游构建版本(即它会在上游供应商纳入之前测试补丁和更新)。

另外,对 CentOS Linux 8 的支持也已从 2029年 5 月 31 日缩短至 2021 年 12 月 31 日。

Rocky Linux 是一个社区化的企业级操作系统。其设计为的是与红帽企业Linux 发行版实现 100% Bug 级兼容,而原因是后者的下游合作伙伴转移了发展方向。目前社区正在集中力量发展有关设施。Rocky Linux 由 CentOS 项目的创始人 Gregory Kurtzer 领导。

目标是像 CentOS 以前那样作为一个下游构建版本,在被上游供应商纳入包更新之后(而不是之前)构建发行。

这是该项目作为红帽企业Linux(RHEL)的一个新的二进制兼容替代品的首次发布。

目前已经提供的x86_64和ARM版本下载链接:

https://rockylinux.org/zh-cn/download/

微软安全软件Defender ATP 正式支持Linux

在推出预览版几个月后,微软正式发布了适用于Linux的Microsoft Defender ATP安全软件。同时还发布了适用于Android的Microsoft Defender ATP预览版。

当前,Microsoft Defender ATP for Linux 总共支持六种不同的服务器发行版,具体如下:

RHEL 7.2+

CentOS Linux 7.2+

Ubuntu 16 LTS 或更高版本

SLES 12+

Debian 9+

Oracle Linux 7.2

用户可以使用 Puppet、Ansible 或现有的 Linux 配置管理工具来进行部署和配置。

微软称,新的防病毒软件可以在客户端上提供完整的命令行体验,但是管理员需要知道的是,为 Linux 安装 Microsoft Defender ATP 需要服务器的 Microsoft Defender ATP 许可证。

微软计划为Linux上的Microsoft Defender ATP带来多项新功能。且在不久以后发布更多有关Linux的安全公告。

附注:微软 Defender ATP 是什么?

如果你过去几年使用过 Windows,那么你一定遇到过 Windows Defender。它是微软的防病毒产品,通过检测病毒和恶意软件来提供一定程度的安全性。

微软通过引入 Windows Defender ATP(高级威胁防护)为企业用户改进了此功能。

Defender ATP 致力于异常行为分析的告警和拦截。它会注意用户的使用习惯,当发现与平时不一致的行为时,它将把可疑信息发送到自己的 Azure(微软的云服务)做进一步分析。

例如,如果你收到一封包含 PDF 附件的电子邮件,且在打开时触发了命令提示符,Defender ATP 就会注意到此异常行为。

现在这已经完全是一个企业级产品。在具有成千上万个端点(计算机)的大型企业中,Defender ATP 提供了很好的保护。IT 管理员可以在其 Azure 实例上集中查看端点的视图,可以分析威胁并采取相应措施。

20块钱做张可运行Linux的名片

对于一个工程师来说,如何在一张名片上宣告自己的实力?在上面制造一台完整的计算机说不定是个好主意。

  最近,美国一名嵌入式系统工程师 George Hilliard 的名片引发了众人的关注。他以自己的名片为「主板」,在小小的空间里打印了计算机系统所需的所有元器件,使其可以成为了一台可以运行 Linux 的电脑。上面还有一个简化版的 Python 解释器。

  这一颇具极客风的创意引来了社交网络上人们的广泛推崇,他的文章在 HackerNews 上出现还不到一天,点赞量就超过了 2000。

  制作这样一张名片,除了需要有足够的理论知识以外,所需的零件可以在淘宝上买到(是的,这位美国小哥就是这么做的),一张名片的成本大约 20 元人民币

  让我们看看他是如何做到的。

  作为一名嵌入式系统工程师,George Hilliard 一直在追寻完美的设计,其中之一就是最简洁的 Linux 系统计算机。他一直在海量处理器型号中寻找最优解,最终发现了新的大陆。他对自己说:「这些处理器便宜得就像白送。」很快产生了用它们来制作可以运行 Linux 的名片的想法。

  此前,不少极客先驱曾经在名片上发挥了自己的创意,其中包括 U 盘名片、带闪光灯的名片,甚至带无线电首发功能的名片。不过还从来没有可以运行 Linux 系统的名片。所以 George 自己动手做了一个:  

成品看起来是这个样子的,它是一台完整的 ARM 架构计算机,运行由 Buildroot 构建的定制 Linux 固件。

所以如何让它跑起来呢?名片的左下角是一个 USB 接口,如果你把它插入一台计算机,它将在 6 秒钟启动,显示为 USB 闪存,以及虚拟串行端口,你可以使用卡片的 shell 登陆。闪存驱动器里有一个 README 文件、个人简历的副本以及一些照片。而 shell 上有很多游戏,比如 Unix 上经典的 fortune and rogue、2048 以及一个小型的 MicroPython 解释器。

  所有这些都是在一个容量仅有 8MB 的闪存卡上实现的。Bootloader 的大小为 256KB,内核为 1.6MB,整个根文件系统用掉了 2.4MB。所以装一个系统绰绰有余。它还包含了一个可写入的主目录,以备有人想在上面存入什么东西。

  最后,一张名片的成本被控制在人民币 20 元左右,对于一台电脑来说,这显得足够便宜。

  一、名片设计是件「技术活」

  George Hilliard 自己设计并制作了整张名片,这虽然是作者的本职工作,但要找到足够便宜的元件还是非常麻烦的。

  处理器的选择是最重要的部分,它会控制成本并确定整个项目是可行的。在一系列调研后,George 选择了 F1C100s,它是 Allwinner 出品的一块贼便宜的芯片,它在成本优化上下足了功夫。这块芯片集成了 RAM 与 CPU,在功能上至少已经满足要求了。

  没想到的是,George 小哥哥竟然是在淘宝上买的 F1C100s,其它元器件都是在 LCSC 上买的。

  George 使用 JLC 制作了 PCB 板子,大概只需要 56 块钱就能做 10 份。George 表示他对 JCL 制作的板材印象深刻,它们虽然不像 OSHPark 制作的那么好,但是质量也还不错,重点是价格实惠。第一次做出来的电路板是哑光的黑色,它带有一点指纹的磁感。

  在第一次制作电路板时还遇到了一点麻烦:首先,USB 端口不够长,因此很难与更多的 USB 接口连接;其次,flash footprint 是错误的,George 通过手动把针脚压到元件后面。  

  在我们验证了各个部分后,再制作一次板材就能得到文章上面的实力。因为线路板尺寸很小,George 决定立即使用一个便宜的回流焊回流所有的部件。因为他能使用激光切割机,所以可以用激光切割压模机压制的焊锡模板。模板的效果非常好,芯片的 0.2 毫米针脚需要特别注意才能保持光洁:激光功率与焦距是非常重要的。

  其它空白的 PCB 板是非常好的夹具,用来固定板材以处理针脚,固定可以通过透明胶完成。George使用焊锡手动焊接元器件,他确保板材和元器件的处理都是无铅、无害的,因此用来作为名片也是没什么问题的。

上面这张图展示的处理结果有点偏离,但焊锡其实还是挺容易使用的,而且组装起来也非常容易。每一个元器件大概需要 10 秒钟装配,所以作者尽量减少元器件的数量。

  二、这样的名片多少钱?

  前面 George 已经尽可能降低成本了,他认为现在已经足够便宜,即使将名片发给别人也不会心疼。当然,也只有重要的结识对象才会收到这样的名片,毕竟所有元件都要你一个个装配。下面所有的成本都没有考虑装配时间,动手能力强的读者们可以考虑自己做一个。

当然,作者也表明还有很多成本并不能量化,例如运费和试错等等。但 20 块 RMB 已经非常低了,尤其是对于一块能运行 Linux 系统的板子。这其实也体现了企业制作端设备的成本,元器件成本要比我们想象中的低很多。

  三、名片的性能怎么样

  嗯,它在 6 秒内就启动了一个超级简化的 Linux 系统。因为格式和成本等因素,该名片是没有 I/O、联网模块,以及其它占资源比较大的程序。不过不管怎么样,George 还是将一些有趣的应用拷进了固件镜像文件。

  USB

  我们能通过 USB 做很多有意思的事,但作者特意令名片保持非常精简的状态,我们可以在电脑上做一些尝试。Linux 可以让我们像设备一样使用一些小工具,作者将该芯片之前的一些开发工作也传到了名片内,所以能有 USB 小工具框架的完整功能。George 决定模拟一个预生成的闪存驱动器,并通过虚拟串行端口提供 shell 服务。

  Shell

  在登录为 root 用户后,我们可以运行所有模拟串行控制台:

  • rogue:经典的 Unix 游戏《地牢爬虫》;
  • 2048:控制台版的 2048 游戏;
  • fortune:各种名人名言,为了给其它应用节约空间,其并不包含完整的数据库;
  • micropython:一个非常轻量的 Python 解释器。

  模拟闪存驱动

  在编译的过程中,构建工具可以生成一个很小的 FAT32 镜像,并将其加到 UBI 分区中。正如之前描述的,Linux 小工具子系统会将其作为一个储存设备提供给 PC。如果你希望看看闪存驱动到底发生了什么,那么最简单的就是看看源代码,它里面有作者的一些简历与介绍。

  闪驱源码地址:https://github.com/thirtythreeforty/businesscard-linux/tree/master/package/businesscard-flashdrive/files

  制作这种名片需要哪些资源?

  在制作电路板名片的过程中,George 使用了 F1C100s 芯片,并在上面运行主流的 Linux 5.2 版本。此外,他还提供了一些有关 F1C100s 芯片的文档,供读者借鉴。

  源代码

  George 已经在 GitHub 上开源了 Buildroot tree,读者可以自行查看。Buildroot tree 包含生成 NOR flash 镜像的代码,然后通过处理器的 USB 下载模式进行安装。此外,Buildroot tree 还包含游戏和其他好用的软件包,比如为 Buildroot 添加 fortune 软件。

  如果你想在项目中使用 F1C100s 芯片,则是一个很好的开始(如有问题,请随时联系)。

  Buildroot tree 项目地址:https://github.com/thirtythreeforty/businesscard-linux

  此外,George 重定了 Icenowy 发布的 F1C100s 开发工作,其可以运行 Linux 4.9 版本。George 的名片在接近主流的 5.2 版本上运行,其中对补丁进行了修补和调试。

  对于 F1C100s 芯片,George 相信自己拥有目前最好的 U-Boot 配置编译端口,这些再次基于 Icenowy 的部分工作。

  U-Boo 项目地址:https://github.com/thirtythreeforty/u-boot/tree/f1c100s-v2019.04

  F1C100s 文档

  George 找到了以下一些关于 F1C100s 的文档:

  • Allwinner F1C100s Datasheet (提供插脚引线和一般信息):https://www.thirtythreeforty.net/media/F1C100s_Datasheet_V1.0.pdf;
  • Allwinner F1C600 Reference Manual(提供 F1C600 的寄存器定义,它是 F1C100s 重贴商标后的改进版,支持 Linux):https://www.thirtythreeforty.net/media/Allwinner_F1C600_User_Manual_V1.0.pdf;
  • schematic for Sipeed’s Lichee Nano(这是 George 使其软件顺利运行所使用的开发板):http://dl.sipeed.com/LICHEE/Nano/。

  最后,如下图所示,George 上传了制作电路板名片的原理图。

电路板名片原理图。

有网友评论道:「对我来说令人难以置信的是,这样一块成本 1.42 美元(约合人民币 10 元)的芯片几乎包含了带动 Linux 的所有必要硬件:500MHz 的 CPU、32MB SDRAM、2D GPU、SD/MMC 支持以及 USB 控制器。他们都封装在一块 10mm×10mm 的微小芯片里。这让我不由得想入坑嵌入式开发。」

  项目感悟

  George 表示自己从这个名片项目中学到了很多,这是他首次使用回流焊来回流元器件的项目。此外,对于一些缺少文档的元器件,George 还必须学习找到必需的资源。

  在项目开展过程中,George 借鉴了其有关嵌入式 Linux 和设计 PCB 的经验。项目并非完全没有瑕疵,但体现了他的能力。此外,George 表示他正致力于如何从零开始为电路板名片等小型、廉价的 Linux 系统构建硬件和软件。

轻装上阵,奋起直追 —— Fedora 30 物联网版亮相

红帽是全球知名的开源大厂,云计算浪潮到来时,他们果断出击,攻城略地。不管是OpenStack还是容器、存储、中间件,都有着极佳的战绩。旗下RHEL、CentOS、Fedora三个发行版,也有着数量可观的用户。

可在物联网领域,他们却有些尴尬。

绝大部分用户都在用Android、Ubuntu和Raspbian(Debian)相关的平台,很难找到红帽系统的物联网设备。

在2017年Eclipse基金会发布的一份物联网开发趋势报告中大家可以看到。

Raspbian(45.5%)和 Ubuntu(44.%)使用率位居一二,红帽系列甚至都没在其中亮相。

一些红帽开发者开始转向其他阵营。

而红帽旗下的Fedora 和 CentOS发布的几款新系统虽然加入对ARM的支持,但对“IoT”的支持还是一般。

以树莓派3x为例,跑Fedora 29之前的版本都有不同程度的卡顿。CentOS倒是可以正常运行,但除了基础软件包以外,很多x86环境下已经支持的第三方应用并没有ARM版,只能自己编译源代码。

目前Linux的各大发行版情况是怎样?

Linux官网上有篇“2018 最佳 Linux 发行版排行”的文章可见一斑。

地址:

https://www.linux.com/blog/learn/intro-to-linux/2018/1/best-linux-distributions-2018

痛定思痛,红帽先锋Fedora终于在近期祭出了大招。

与以往支持Pidora等“野生“版本,或者把ARM归入次级架构不同。

这款系统上来就力推aarch64和x86_64,没有传统的32位ARM,也没有传统的32位x86或其他。

他们专门发布了“Fedora IoT”,并启用二级域名“https://iot.fedoraproject.org/”。

2019年5月,正式推出内核为5.0.9的Fedora 30 For IoT。把一众4.x内核的竞争对手甩在了身后。

包管理工具没有使用经典的yum,也没用dnf。而是采用了 rpm-ostree 这一新式武器。支持原子升级和回滚,干净利落。

在预装程序方面,默认就是Python3.7.3,没有Python2.x等老的组件。

其他开发组件调用的也是最新源,比如刚发布的Perl和Golang等。

传统的 GPIO sysfis 接口也没有了,在系统中不会找到 /sys/class/gpio。

要与GPIO交互,可安装 libgpiod-utils 包来启用相关工具。

经过测试,市面上的几款主流开发板都可以顺畅运行该系统。没有出现烦人的驱动问题,也没有莫名的卡顿。

当然,作为一个刚出道的选手,Fedora IoT还有很多不足之处。

1、缺乏 Ubuntu Core 或 Raspbian 那种强大的生态支持。

2、其原子化操作对新用户来说也会有点门槛,用惯了 Raspbian 的人可能不太适应。

3、诡异的预配置流程(不太方便理解)。

但让人欣慰的是,这是笔者见过红帽系列对树莓派和DragonBoard 410C支持最好的一个版本,是一款可以在中低配ARM板上良好运行的IoT系统。

无论是智能家居,还是物联网网关、边缘计算……精悍的Fedora IoT给我们多了一个选择。

作者:王文文

Linux 基金会宣布红队项目,致力于孵化开源安全工具

谁都想软件有着很高的安全性吧。毕竟,每一天都会有不一样的安全漏洞,从糟糕软件的沼泽中冒出来。

在近期举办的开源领导力峰会上,Linux 基金会宣布了新的红队项目(Red Team Project)。新项目将孵化出开源网络安全工具,帮助开源软件安全性的提高。

对于不在安全领域的人来说,红队可以模仿现实中攻击者追踪系统的方法,是一个公司测试安全软件的有效选择。而红队项目正是开源安全工具的孵化器,这些工具包括了网络攻防(cyber range)自动化、容器化渗透测试工具、二进制风险量化和标准验证程序。

这个项目并非凭空产生,而是基于 Fedora 红队特别兴趣小组。Jason Callaway,现在是谷歌客户工程师,在当时开启了 “Fedora 红队 SIG。红队项目有一些想要构建的漏洞映射工具,同时也想做出 Cyber-ITL 项目的开源实现。

这里提到的网络攻防(Cyber-range),是指模拟黑客攻击的虚拟空间,理论上是在云上进行的。一次网络攻防包括了易受攻击的机器镜像、易受攻击的应用配置,攻击平台,漏洞利用和操作者。用户可以部署黑客脚本,用代表着现实情况的红蓝队进行安全训练。通俗点说,就是用你的安全基础设施进行“战争游戏”。

开源 CTL (Cyber Test Lab)提供给了开源软件一个代码分析的方法。除了可以帮到开发者,终端用户也可以使用 CTL 帮助预防糟糕的二进制文件。

目前可以在 GitHub 上看到红队项目的一些开源信息

来自:开源中国

新款Linux病毒心机重 入侵后先袭中国安全软件

俄罗斯杀毒软件公司 Dr.Web 在近期发现了被称为 Linux.BtcMine.174 的木马,比传统的恶意程序更复杂,包含了大量恶意功能。

它本身是一个巨大的 shell 脚本,有超过 1000 行代码,感染之后的第一件事是寻找具有写入权限的目录,将自己拷贝进去,然后下载更多恶意模块。

如果发现系统缺乏相关组件,还会自行安装。

之后它会利用 CVE-2016-5195(又称 Dirty COW)和 CVE-2013-2094 两个漏洞之一进行提权。

在获取 root 权限之后,木马会将自己设为本地守护进程。

在这个过程中,病毒将查找 Linux 系统上的杀毒软件进程名称,并将其关闭,查找对象包括:safedog、aegis、yunsuo、clamd、avast、avgd、cmdavd、cmdmgd、drweb-configd、drweb-spider-kmod、esets 与 xmirrord。

一切准备就绪之后,木马将执行其最主要的功能——对加密货币进行挖矿。

此外,木马还会下载并运行其它恶意软件,比如Linux.BackDoor.Gates.9木马。这类后门允许执行网络罪犯发出的命令,执行DDoS攻击。

最后,该木马会收集受感染主机信息,并通过 SSH 连接将自身传播到更多的系统。

如果你需要Linux.BtcMine的SHA1文件散列,可以访问:

https://github.com/DoctorWebLtd/malware-iocs/tree/master/Linux.BtcMine.174

IoT前哨站:safedog(安全狗)、aegis(安骑士)、yunsuo(云锁),这三款都是中国的安全软件,而且国内用户很多,该病毒上来先关这三个软件,不知道是忌惮中国的安全技术,还是冲着中国用户来的。

如果是后者,那各位同胞要做好防黑准备了,肯定还会有下一波进攻。毕竟这个病毒作者信奉的可是:“Audentes fortuna iuvat”。

手机变PC —— Linux on DeX让开发者更自在

2017年底,三星 Samsung 宣布了一个在手机上跑 Linux 的项目 —— Linux on DeX。

2018年11月,他们把这个项目升级了。

和2017版相比,2018版不再需要昂贵的专用底座,只需要一条视频线。而在前些日子的 SDC 开发者大会上,三星宣布 DeX 已完整支持 Linux。

虽然还在 Beta 测试,但相关 APK 安装包已开放下载。官网对它的描述是,Linux on DeX 可让你随时随地写代码。

简单来说,通过该应用三星手机可以启动 Linux 容器。

然后再连接显示器,就会获得 Ubuntu 桌面环境,从而在手机上达到 PC 开发的体验。不过目前只支持 Galaxy Note 9 和 Galaxy Tab S4。

通过一根线与显示器进行连接就能把手机秒变 PC —— 是不是似曾相识的感觉?

不过 Linux on DeX 目前仅支持一个定制的 Ubuntu 镜像(Canonical 提供的 Ubuntu 16.04 LTS 版本)。此外,对设备的硬件要求也比较高,至少需要 8GB 存储空间和 4GB RAM,如需要安装其他软件包或应用程序,还需要额外的存储空间。

显然,Linux on DeX 是一个面向开发者和专业用户的项目,那么我们可以用它做什么呢?

1、安装和使用你需要的软件

2、使用 CLI 管理服务器

3、用你喜欢的 IDE 创建或维护开发项目

4、常规的学习或办公

详细的使用教程和说明,请访问项目官网以了解更多。

相关视频:http://v.qq.com/x/page/x079509hd7a.html

官网地址:

https://www.linuxondex.com/