Суть метода отслеживания в том, что код трекера перенаправляет пользователя вначале на свой сайт, а уже с него перебрасывает на целевую страницу, что позволяет трекеру сохранить Cookie и данные в локальном хранилище в привязке к своему сайту. Сохранение данных после перехода на другой сайт позволяет обойти реализованные в режиме Enhanced Tracking Protection (ETP) методы для блокировки кросс-сайтовых операций - так как промежуточная страница открывается вне контекста другого сайта, на такой странице можно беспрепятственно устанавливать отслеживающие Cookie.

Механизм Bounce Tracking Protection позволяет отлавливать активность, специфичную для отслеживания через редиректы, и периодически очищать Cookie и локально сохранённые данные, используемые для отслеживания. В отличие от ранее доступного режима "Cookie Purging" очистка производится не на основе списка известных трекеров, а на основе эвристики, позволяющей выявлять новые сайты трекеров, анализируя поведение после редиректа.

1. Главная ссылка к новости
2. OpenNews: В Firefox добавлена возможность вырезания параметров отслеживания из URL
3. OpenNews: В Firefox приступили к включению защиты от отслеживания перемещений через редиректы
4. OpenNews: LibreWolf 94 - вариант Firefox, сфокусированный на конфиденциальности и безопасности
5. OpenNews: В Firefox появится дополнительная защита от скрытой идентификации пользователей
6. OpenNews: В Firefox и Cloudflare включена поддержка ECH для скрытия домена в HTTPS-трафике

Основные возможности Pingora:

• Поддержка HTTP/1 и HTTP/2 (в планах HTTP/3), а также возможности для создания сервисов, использующих свои протоколы или UDP/TCP.
• Возможность многопоточной обработки запросов в асинхронном режиме.
• Поддержка прикрепления callback-обработчиков и фильтров, позволяющих управлять различными стадиями обработки запроса, а также изменять, перенаправлять, блокировать и журналировать запросы и ответы.
• Проксирование gRPC и WebSocket.
• Подключаемые балансировщики нагрузки.
• Возможность изменения конфигурации без перезапуска.
• Поддержка обновления кода приложения без разрыва соединений.
• Средства для переключения нагрузки в случае сбоя (failover).
• Интеграция с различными системами мониторинга и ведения логов (Syslog, Prometheus, Sentry, OpenTelemetry).
• Поддержка TLS-шифрования (применяется OpenSSL или BoringSSL).
• Готовые Rust-пакеты для создания HTTP-прокси, работы с сетевыми протоколами, разбора заголовков HTTP, учёта и ограничения трафика, балансировки нагрузки, работы с распределённой хэш-таблицей Ketama, поддержания кэша в оперативной памяти и асинхронной обработки таймаутов.

Среди изменений в новой версии:

• Добавлена поддержка установки фильтров для дополнительных заголовков HTTP/2.
• Добавлена возможность изменения размера буфера входящих пакетов для TCP.
• Добавлена функция body_bytes_read().
• Добавлен фильтр cache_not_modified_filter.
• Добавлена возможность ведения лога TLS-ключей.
• Добавлена callback-функция purge_response.

1. Главная ссылка к новости
2. OpenNews: Первый выпуск фреймворка для создания сетевых сервисов Pingora
3. OpenNews: Компания Cloudflare открыла код Pingora, инструментария для создания сетевых сервисов
4. OpenNews: Cloudflare перешёл с NGINX на собственный прокcи Pingora, написанный на языке Rust

Новая версия примечательна значительным улучшением поддержки многопользовательской игры в online и добавлением нового интерфейса для настройки многопользовательских игровых сеансов. Кроме того, обеспечена генерация более реалистично выглядящих случайных карт. Повышена производительность AI-движка. Добавлена начальная поддержка игровых контроллеров. Предоставлена возможность настройки клавиатурных комбинаций.

1. Главная ссылка к новости
2. OpenNews: Выпуск открытого движка Heroes of Might and Magic 2 - fheroes2 - 1.0.12
3. OpenNews: Выпуск открытого игрового движка VCMI 1.3.0, совместимого с Heroes of Might and Magic III
4. OpenNews: Проект OpenEnroth развивает открытый движок для игр Might and Magic VI-VIII

В Proton GE 9-5 перенесены изменения из свежих кодовых баз wine 9, proton 9, steamclient, vkd3d-proton, dxvk-nvapi и dxvk. Улучшено воспроизведение видео в формате WMP9. В состав включены патчи для поддержки TCP_KEEP. Решены проблемы в играх:

• Café Stella
• COJ Gunslinger
• Ducati World Championship
• Oddworld: Abe's Oddysee
• Oddworld: Munch's Oddysee
• Overlord II
• Reaper's Butterflies
• Riddle Joker
• Sabbat of the Witch
• Senren * Banka
• Star Citizen 2.0
• Stranger's Wrath HD
• Total War: Shogun 2
• Witcher 2: Assassins of Kings Enhanced Edition

1. Главная ссылка к новости
2. OpenNews: Компания Valve выпустила Proton 9.0, пакет для запуска Windows-игр в Linux
3. OpenNews: Доступны Wine 9.5, Wine staging 9.5, Proton 9.0beta16 и GE-Proton9-2
4. OpenNews: Новые версии DXVK 2.3.1 и vkd3d-proton 2.12 c реализацией Direct3D поверх API Vulkan

В новой версии реализована экспериментальная поддержка Python 3.12. Добавлена поддержка JIT модуля tensorflow. В конфигурацию добавлен обработчик change_class, который по аналогии с change_function позволяет целиком заменить определение класса или добавить отдельные заглушки. Ускорена генерация кода за счёт более эффективного кэширования. Расширены возможности плагина anti-bloat, который теперь может применяться для уменьшения числа пакетов при использовании библиотек antlr, celery, transformers, tensorflow, deepspeed, imgui_bundle, tf_keras, bokeh.

1. Главная ссылка к новости
2. OpenNews: Выпуск Nuitka 2.0, компилятора для языка Python
3. OpenNews: Выпуск Cython 3.0 и Nuitka 1.7, компиляторов для языка Python
4. OpenNews: Выпуск языка программирования Python 3.12
5. OpenNews: 7% разработчиков продолжают использовать Python 2
6. OpenNews: В Python добавлен JIT-компилятор

Открытые и проприетарные модули не могли использоваться одновременно и не могли быть вместе установлены в файловую систему. Открытые модули могут использоваться только с GPU, оснащёнными отдельным микроконтроллером GSP (GPU System Processor), применяемым в таких микроархитектурах, как Turing, Ampere и Ada. В проприетарных модулях, помимо новых GPU, продолжает сохраняться и поддержка старых GPU, не оснащённых GSP, например, GPU на базе микроархитектур Maxwell, Pascal и Volta.

Начиная с выпуска NVIDIA 560 ситуация изменится - для обычных GPU начиная с Turing, а при виртуализации GPU, начиная с Ada, по умолчанию начнут устанавливаться открытые варианты модулей ядра nvidia.ko, nvidia-modeset.ko, nvidia-uvm.ko, nvidia-drm.ko и nvidia-peermem.ko, в ситуациях когда их применение возможно. При желании установить в систему проприетарные модули ядра потребуется указание опции "--kernel-module-type=proprietary" при запуске run-архива с драйверами NVIDIA. В будущем компания NVIDIA планирует прекратить реализацию поддержки новых GPU в проприетарных модулях и сосредоточится только на развитии открытых.

1. Главная ссылка к новости
2. OpenNews: NVK и Zink существенно улучшили ситуацию с открытыми драйверами для GPU NVIDIA
3. OpenNews: В Mesa принят код NVK, открытого Vulkan-драйвера для видеокарт NVIDIA
4. OpenNews: Компания NVIDIA выпустила открытый движок симуляции физических процессов PhysX 5
5. OpenNews: Компания NVIDIA открыла код видеодрайверов для ядра Linux

Сборки EuroLinux распространяются как по платной подписке, так и бесплатно. Оба варианта идентичны, формируются одновременно, включают полный набор системных возможностей и позволяют получать обновления. Отличия платной подписки сводятся к предоставлению услуг технической поддержки, доступу к файлам errata и возможности использования дополнительных пакетов, включающих средства для балансировки нагрузки, обеспечения высокой доступности и создания надёжных хранилищ.

1. Главная ссылка к новости
2. OpenNews: Релиз дистрибутива Rocky Linux 9.4, развиваемого основателем CentOS
3. OpenNews: Опубликован дистрибутив AlmaLinux 9.4
4. OpenNews: Релиз дистрибутива Red Hat Enterprise Linux 9.4
5. OpenNews: Выпуск дистрибутива Oracle Linux 9.3
6. OpenNews: Выпуск дистрибутива EuroLinux 9.3, совместимого с RHEL

Информация и артефакты, обеспечивающие дополнительную верификацию вносимых изменений, хранятся в хранилище объектов Git в отдельном специфичном для gittuf пространстве имён, что позволяет сохранить обратную совместимость с имеющимися инструментами и сервисами, включая GitHub и GitLab. При использовании инструментов без поддержки gittuf, репозиторий остаётся полностью доступен, но ограничена возможность расширенной верификации его целостности. Архитектура gittuf базируется на проверенных элементах фреймворка TUF (The Update Framework), применяемого для защиты процессов формирования обновлений в таких проектах, как Docker, Fuchsia, AGL (Automotive Grade Linux) и PyPI.

Модель верификации в gittuf основана на применении иерархической системы распространения доверия. Корень доверия (root of trust) принадлежит владельцу репозитория, который может генерировать ключи для участников разработки и определять правила, в соответствии с которыми созданные ключи могут применяться. Gittuf позволяет создавать гибкие гранулированные правила, определяющие полномочия каждого разработчика и область репозитория, в которой он имеет возможность вносить изменения. Например, разработчик может быть авторизован для создания тегов, внесения изменений в определённые ветки или изменения только отдельных файлов в репозитории.

Разработчики и вносимые ими изменения идентифицируются по ключам и цифровым подписям. Gittuf позволяет генерировать новые ключи, безопасно распространять ключи, осуществлять периодическую ротацию ключей, отзывать скомпрометированные ключи, управлять списками доступа (ACL) и пространствами имён в Git-репозиториях. Gittuf также выполняет ведение эталонного лога всех изменений (RSL - Reference State Log), целостность и защита от искажения задним числом в котором обеспечивается при помощи древовидной структуры "дерево Меркла" (Merkle Tree) - каждая ветка верифицирует все нижележащие ветки и узлы благодаря древовидному хешированию (имея конечный хеш, пользователь может удостовериться в корректности всей истории операций, а также в корректности прошлых состояний).

Для верификации цифровых подписей коммитов и тегов владелец репозитория формирует и распространяет открытые ключи, которые напрямую ассоциированы с репозиторием. Для противодействия продвижению злоумышленниками изменений, созданных после получения доступа к ключам для формирования цифровых подписей отдельных разработчиков, применяются механизмы отзыва и замены ключей. Ключи имеют ограниченное время жизни и требуют постоянного обновления для защиты от формирования подписи старыми ключами.

1. Главная ссылка к новости
2. OpenNews: Доступен TUF 1.0, фреймворк для организации безопасной доставки обновлений
3. OpenNews: Анонсирован GitTorrent для доступа к Git-репозиториям при помощи BitTorrent
4. OpenNews: Представлен Seafile, Dropbox-подобный сервер хранения на основе технологий Git
5. OpenNews: Объявлено о готовности системы криптографической верификации кода Sigstore
6. OpenNews: Представлен OpenPubKey, протокол криптографической верификации объектов

Возможно как подключение к имеющимся сеансам рабочего стола, так и создание новых сеансов для организации работы с графическими Linux-программами в окружениях Windows и macOS. Более того, в Xpra имеется встроенный HTML5-клиент, позволяющий подключаться к сеансам через браузер. Кроме доступа к окнам в Xpra реализована поддержка многих сопутствующих возможностей рабочих столов, таких как трансляция звука на удалённую систему, проброс принтеров и web-камер, организация доступа к буферу обмена, поддержка синхронизации состояния системного лотка и уведомлений. Имеются встроенные функции для передачи и синхронизации файлов между системами.

Среди новых возможностей, появившихся в версии Xpra 6.0, можно отметить поддержку архитектуры riscv64, переход на использование базового профиля OpenGL, добавление отдельного клиента для GNOME, реализацию команды "xpra configure" для упрощения настройки параметров Gstreamer, ускорение операций mmap, упрощение быстрого отключения расширенных возможностей для трансляции звука и видео, добавление поддержки виртуальных рабочих столов Windows 10.

Дополнительно можно отметить проект wprs, который развивает аналог Xpra для систем на базе Wayland. Wprs позволяет запускать на локальной или внешней системе приложения, использующие Wayland, и возобновлять работу с ними на других системах. Через привлечение XWayland также обеспечивается возможность запуска приложений, собранных для X11. Для работы на удалённой системе необходимо запустить фоновый процесс wprsd, после чего на той системе можно запускать приложения с других компьютеров, используя команды "wprs run", "wprs detach" и "wprs attach". Код wprs написан на языке Rust и распространяется под лицензией Apache 2.0.

Процесс wprsd включает реализацию композитного сервера Wayland, основанного на библиотеке Smithay и вместо отрисовки на экран выполняющего сериализацию сеанса Wayland для его передачи на другую систему. Сеанс воссоздаётся при помощи утилиты wprsc c реализацией Wayland-клиента на базе Smithay Client Toolkit. Для авторизации доступа и организации канала связи используется SSH. Из ограничений wprs отмечается поддержка только базового протокола Wayland и расширений XDG shell, что, например, не позволяет задействовать аппаратное ускорение отрисовки и dmabuf. Также пока не поддерживается трансляция событий от сенсорных экранов/тачпадов и ограничены возможности интерфейса Drag&drop.

1. Главная ссылка к новости
2. OpenNews: Доступен Waypipe для удалённого запуска приложений на базе Wayland
3. OpenNews: Выпуск Xpra 0.10, аналога утилиты screen для графических программ
4. OpenNews: Доступна Louvre 1.0, библиотека для разработки композитных серверов на базе Wayland
5. OpenNews: Для Wayland представлен прототип расширения для рендеринга на удалённой системе
6. OpenNews: В GNOME для Wayland реализована поддержка удалённого рабочего стола

Как и в классическом CentOS внесённые в пакеты Rocky Linux изменения сводятся к избавлению от привязки к бренду Red Hat и удалению специфичных для RHEL пакетов, таких как redhat-*, insights-client и subscription-manager-migration*. С обзором списка изменений в Rocky Linux 9.4 можно познакомиться в анонсе RHEL 9.4. Среди специфичных для Rocky Linux изменений можно отметить поставку в отдельном репозитории plus пакетов openldap-servers-2.6.6, а в репозитории NFV пакетов для виртуализации компонентов сетей, развиваемый SIG-группой NFV (Network Functions Virtualization). В Rocky Linux также поддерживаются репозитрии CRB (Code Ready Builder с дополнительными пакетами для разработчиков, пришёл на смену PowerTools), RT (пакеты для работы в режиме реального времени), HighAvailability, ResilientStorage, SAP () и SAPHANA (пакеты для SAP HANA). Добавлен экспериментальный пакет с ядром Linux - kernel-uki, предоставляющий унифицированный образ UKI (Unified Kernel Image), заверенный отдельным ключом для SecureBoot.

В качестве источника исходных пакетов при формировании Rocky Linux 9.4 задействован репозиторий OpenELA, поддерживаемый совместно с Oracle и SUSE. Изменение процессов разработки обусловлено прекращением размещения компанией Red Hat исходных текстов rpm-пакетов RHEL в публичном репозитории git.centos.org. Исходные пакеты предоставляются клиентам компании только через закрытый раздел сайта, на котором действует пользовательское соглашение (EULA), запрещающее редистрибуцию данных, что не позволяет использовать эти пакеты для создания производных дистрибутивов. Исходные тексты остаются доступны в репозитории CentOS Stream, но он полностью не синхронизирован с RHEL и в нём не всегда самые свежие версии пакетов совпадают с пакетами из RHEL.

Дистрибутив Rocky Linux развивается под покровительством организации Rocky Enterprise Software Foundation (RESF), которая зарегистрирована как общественно-полезная корпорация (Public Benefits Corporation), не нацеленная на получение прибыли. Владельцем организации является Грегори Курцер (Gregory Kurtzer), основатель CentOS, но функции управления в соответствии с принятым уставом делегированы совету директоров, в который сообществом избираются участники, вовлечённые в работу над проектом. Параллельно для развития расширенных продуктов на базе Rocky Linux и поддержки сообщества разработчиков данного дистрибутива создана коммерческая компания Ctrl IQ, которая получила 26 млн долларов инвестиций. К разработке и финансированию проекта присоединились такие компании, как Google, Amazon Web Services, GitLab, MontaVista, 45Drives, OpenDrives и NAVER Cloud.

Кроме Rocky Linux, в качестве альтернатив классическому CentOS также позиционируются AlmaLinux (развивается компанией CloudLinux, совместно с сообществом), VzLinux (подготовлен компанией Virtuozzo), Oracle Linux, SUSE Liberty Linux и EuroLinux. Кроме того, компания Red Hat предоставила возможность бесплатного использования RHEL в организациях, развивающих открытое ПО, и в окружениях индивидуальных разработчиков, насчитывающих до 16 виртуальных или физических систем.

1. Главная ссылка к новости
2. OpenNews: Опубликован дистрибутив AlmaLinux 9.4
3. OpenNews: Релиз дистрибутива Red Hat Enterprise Linux 9.4
4. OpenNews: Rocky Linux, Oracle и SUSE создали совместный репозиторий для RHEL-совместимых дистрибутивов
5. OpenNews: Релиз дистрибутива Rocky Linux 9.3, развиваемого основателем CentOS
6. OpenNews: Rocky Linux, Oracle и SUSE обеспечат дальнейшее сопровождение ядра Linux 4.14

Алгоритм Нейгла позволяет агрегировать мелкие сообщения для снижения трафика - приостанавливает отправку новых сегментов TCP до получения подтверждения о приёме ранее отправленных данных. Например, без применения агрегирования при отправке 1 байта, дополнительно отправляется 40 байтов с TCP и IP заголовками пакета. В современных условиях использование алгоритма Нейгла приводит к заметному возрастанию задержек, неприемлемых для интерактивных и распределённых приложений.

Приводится три основных довода в пользу использования по умолчанию опции TCP_NODELAY, отключающей алгоритм Нейгла:

• Несовместимость алгоритма Нейгла с оптимизацией "delayed ACK", при которой ACK-ответ направляется не сразу, а после получения ответных данных. Проблема в том, что в алгоритме Нейгла поступление ACK-пакета является сигналом для отправки агрегированных данных, а если ACK-пакет не поступил, отправка выполняется при наступлении таймаута. Таким образом, возникает замкнутый круг и ACK-пакет как сигнал не работает, так как другая сторона не получает данные из-за их накопления на стороне отправителя, а отправитель не отправляет их до таймаута, так как не получает ACK-пакет.
• RFC для алгоритма Нейгла принят в 1984 году и он не рассчитан на параметры современных высокоскоростных сетей и серверов в датацентрах, что приводит к возникновению проблем с отзывчивостью. Задержка между отправкой запроса и получением ответа (RTT) в современных сетях составляет 0.5 мс + несколько миллисекунд при обмене данными между датацентрами в одном регионе + до сотни миллисекунд при отправке по всему миру. За эти миллисекунды современный сервер способен выполнить огромный объём работы.
• Современные распределённые приложения давно не отправляют единичные байты данных, а агрегирование мелких данных обычно реализуется на уровне приложения. Даже если размер полезных данных составляет считанные байты, то, как правило, фактически размер отправляемой информации существенно возрастает после применения сериализации, использования API-обвязок в JSON и отправки с использованием TLS-шифрования. Экономия 40 байтов становится не столь актуальной.

1. Главная ссылка к новости
2. OpenNews: Оптимизация Linux для обработки 1.2 млн JSON-запросов в секунду
3. OpenNews: Руководство по тюнингу файловых систем Linux для Flash-накопителей
4. Оценка способности сетевого стека Linux обрабатывать миллион пакетов в секунду
5. OpenNews: Эксперимент по настройке Linux для блокирования 10 млн пакетов в секунду
6. OpenNews: Сравнение производительности сетевого драйвера в вариантах на 10 языках программирования

Дистрибутив может работать в режиме звукового сервера, сетевого хранилища (NAS, Network-Attached Storage) и точки беспроводного доступа. Поддерживается воспроизведение со внутренних накопителей, c сетевых потоковых сервисов и c внешних USB-накопителей. Для обеспечения максимального качества звука и создания мультизональных аудиосистем поддерживается подключения компьютера с Daphile к аналоговым усилителям через цифро-аналоговые преобразователи с интерфейсом USB.

В новой версии:

• Обновлены LMS (Lyrion Music Server) 8.5.2, Perl 5.38, ядро Linux 6.6. Для сборки задействован GCC 13.2.
• Обновлены плагины для интеграции с сервисами Spotty 4.10.1, TIDAL 1.4.6, Qobuz 3.5.0, Deezer 2.81.4 и YouTube 0.212.
• Удалена поддержка Mysqueezebox.com.
• Добавлен модуль Crypt::Blowfish, позволивший повысить производительность плагинов.
• Добавлена возможность сохранения содержимого звуковых CD в формате WAV.
• Библиотека с информацией об исполнителях и музыкальных композициях CDDB заменена на Gnudb.
• Добавлена поддержка обращения к внешним сетевым накопителям через протоколы SMB3 и WebDAV.
• Реализована возможность автоматического выбора цветовой темы web-интерфейса на основе выбранной для устройства темы.
• Для сжатия модулей ядра и файлов прошивок задействован алгоритм LZMA, а для сжатия корневого образа SquashFS - Zstd.

1. Главная ссылка к новости
2. OpenNews: Опубликован AV Linux MX-23.2, дистрибутив для создания аудио- и видеоконтента
3. OpenNews: Выпуск мультимедийного сервера PipeWire 1.0.0
4. OpenNews: Разработчики кодека AV1 представили формат IAMF для объёмного звука
5. OpenNews: Доступен звуковой сервер PulseAudio 17.0
6. OpenNews: Звуковому кодеку FLAC присвоен статус предложенного стандарта

Узлы в сети Nebula взаимодействуют друг с другом напрямую в режиме P2P - по мере появления необходимости передачи данных между узлами динамически создаются прямые VPN-соединения. Идентичность каждого хоста в сети подтверждается цифровым сертификатом, а подключение к сети требует прохождения аутентификации - каждый пользователь получает сертификат, подтверждающий IP-адрес в сети Nebula, имя и членство в группах хостов. Сертификаты подписываются внутренним удостоверяющим центром, развёртываемым создателем каждой отдельной сети на своих мощностях и применяемым для заверения полномочий хостов, имеющих право подключения к конкретной оверлейной сети, привязанной к удостоверяющему центру.

Для создания аутентифицированного защищённого канала связи в Nebula применяется собственный туннельный протокол, основанный на протоколе обмена ключами Диффи—Хеллмана и шифре AES-256-GCM. Реализация протокола базируется на готовых и проверенных примитивах, предоставляемых фреймворком Noise, который также применяется в таких проектах, как WireGuard, Lightning и I2P. Утверждается, что проект прошёл независимый аудит безопасности.

Для обнаружения других узлов и координации подключении к сети создаются специальные узлы "lighthouse", глобальные IP-адреса которых фиксированы и известны участникам сети. У узлов-участников нет привязки к внешнему IP-адресу, они идентифицируются по сертификатам. Владельцы хостов самостоятельно не могут внести изменения в подписанные сертификаты и в отличие от традиционных IP-сетей не могут притвориться другим хостом простой сменой IP-адреса. При создании туннеля идентичность хоста подтверждается индивидуальным закрытым ключом.

Создаваемой сети выделяется определённый диапазон интранет адресов (например, 192.168.10.0/24) и осуществляется связывание внутренних адресов с сертификатами хостов. Предоставляются различные механизмы для обхода трансляторов адресов (NAT) и межсетевых экранов. Возможна организации маршрутизации через оверлейную сеть трафика сторонних хостов, не входящих в сеть Nebula (unsafe route). Из участников оверлейной сети могут формироваться группы, например, для разделения серверов и рабочих станций, к которым применяются отдельные правила фильтрации трафика.

Поддерживается создание межсетевых экранов для разделения доступа и фильтрации трафика между узлами в оверлейной сети Nebula. Для фильтрации применяются ACL с привязкой тегов. Каждый хост в сети может определять собственные правила фильтрации по хостам, группам, протоколам и сетевым портам. При этом хосты фильтруются не по IP-адресам, а по заверенным цифровой подписью идентификаторам хоста, которые невозможно подделать без компрометации удостоверяющего центра, координирующего работу сети.

В новом выпуске:

• Добавлена новая настройка default_local_cidr_any, которая меняет поведение при обработки подсетей "local_ip" в правилах межсетевого экрана для предотвращения необоснованного разрешения трафика к хостам, перечисленным в блоке unsafe_routes. В версии 1.9 настройка выставлена в значение "true", но в следующем выпуске 1.10 будет заменена на значение "fasle", что приведёт к учёту локальных подсетей при применении правил межсетевого экрана к хостам, доступным через небезопасные маршруты (для открытия доступа к таким хостам потребуется обязательное указание local_cidr).
• Предоставлен официальный образ для системы Docker, позволяющий быстро развернуть оверлейную сеть на базе Nebula или узел для неё.
• Добавлены экспериментальные сборки для архитектуры Loong64.
• Реализован сервисный скрипт для системы инициализации OpenRC.
• В фоновый процесс SSH добавлена поддержка аутентификации по сертификатам, заверенным удостоверяющим центром (sshd.trusted_cas). Реализована возможность встраивания хостовых ключей в блок настроек sshd.host_key.
• Обеспечена поддержка перезагрузки настроек "tun.unsafe_routes".
• Удалена поддержка устаревшей настройки local_range, вместо которой следует использовать preferred_ranges.
• Для сборки теперь требуется инструментарий go 1.22. Минимальные требования к версиям Windows повышены до Windows 10 и Windows Server 2016.

1. Главная ссылка к новости
2. OpenNews: Доступен OpenZiti 1.0, инструментарий для встраивания оверлейных сетей в приложения
3. OpenNews: Проект Headscale развивает открытый сервер для распределённой VPN-сети Tailscale
4. OpenNews: Facebook открыл реализацию платформы и протокола маршрутизации Open/R
5. OpenNews: Выпуск Commotion 1.0, свободной платформы для удобного развёртывания mesh-сетей
6. OpenNews: Выпуск Yggdrasil 0.5, реализации приватной сети, работающей поверх интернета

Присутствующей в прослойке функциональности достаточно чтобы обеспечить работу nginx на базе Rustls. Для перевода nginx на Rustls следует просто заменить библиотеки, без необходимости пересборки или изменения nginx. Из ближайших планов по развитию Rustls отмечается проведение оптимизации производительности в областях, в которых Rustls пока отстаёт от OpenSSL, и обеспечение поддержки RFC 8879 для сжатия сертификатов. Кроме того, в анонсе упомянут план перевода элементов инфраструктуры удостоверяющего центра Let's Encrypt с OpenSSL на Rustls.

Проект Rustls развивает клиентскую и серверную реализацию протоколов TLS1.2 и TLS1.3 для использования в приложениях на языке Rust. Rustls не предоставляет собственную реализацию криптографических примитивов, а использует подключаемые провайдеры криптографических функций (поддерживаются алгоритмы ECDSA, Ed25519, RSA, ChaCha20-Poly1305, AES128-GCM и AES256-GCM). По умолчанию в Rustls используется криптопровайдер на базе библиотеки aws-lc-rs, которая развивается компанией Amazon и базируется на С++ коде BoringSSL, сопровождаемого Google форка OpenSSL. В качестве криптопровайдера также может использоваться библиотека ring, частично основанная на BoringSSL и комбинирующая код на ассемблере, С++ и Rust.

Примечательно, что nginx имеет встроенную поддержку сборки с BoringSSL, что позволяет использовать данную библиотеку напрямую без лишних прослоек. При этом кроме встроенной в Rustls поддержки библиотек aws-lc-rs и ring, основанных на коде BoringSSL, для Rustls также развивается несколько сторонних криптопровайдеров, позволяющих использовать библиотеки mbedtls (код на Си), BoringSSL (C++) и RustCrypto (Rust).

1. Главная ссылка к новости
2. OpenNews: Amazon опубликовал открытую криптографическую библиотеку для языка Rust
3. OpenNews: Для http-сервера Apache будет подготовлен TLS-модуль, написанный на языке Rust
4. OpenNews: Компания Cloudflare открыла код реализации протокола QUIC на языке Rust
5. OpenNews: Релиз Sequoia 1.0, реализации OpenPGP на языке Rust
6. OpenNews: Выпуск rPGP 0.10, реализации OpenPGP на языке Rust

RHEL AI предназначен для разработки, тестирования и выполнения систем машинного обучения на базе большой языковой модели Granite, открытой компанией IBM под лицензией Apache 2.0, способной учитывать при генерации текста до 4 тысячи токенов и охватывающей 7 миллиардов параметров. Для взаимодействия с моделью Granite в дистрибутив интегрирован открытый инструментарий InstructLab, поддерживающий методологию LAB (Large-scale Alignment for chatBots) для подгонки под свои нужды и оптимизации моделей, а также для добавления дополнительных знаний и реализации новых навыков в предварительно натренированных моделях.

Платформа может применяться для разработки AI-приложения для корпоративных нужд и для внедрения сервисов для генерации контента, создания диалоговых систем и интеграции в приложения виртуальных ассистентов, поддерживающих такие навыки, как возможность отвечать на вопросы на естественном языке, решать математические задачи, генерировать осмысленный текст на заданную тему, составлять краткое изложение содержимого, исправлять ошибки в тексте, выполнять рерайтинг другими словами, помогать в написании кода на различных языках программирования, формировать письма и документы по шаблону.

Кроме того, компания Red Hat представила новый режим для создания и управления системными образами на базе Red Hat Enterprise Linux - "image mode", который позволяет использовать для развёртывания операционной системы инструменты и технологии, применяемые для создания и запуска контейнеров приложений. Новый режим манипулирует монолитными системными образами, формируемыми при помощи инструментария rpm-ostree и обновляемыми атомарно без разбивки на отдельные пакеты.

Сборки могут формироваться в виде образов в форматах OCI (как в Docker), ISO, QCOW2, AMI, VMI и VMDK. Содержимое образа выбирается через редактирование файла Containerfile. Для создания и управления образами могут использоваться стандартные инструменты управления контейнерами, такие как Podman и OpenShift Container Platform. Для установки образов может применяться как штатный инсталлятор Anaconda, так и инструментарий bootc-image-builder, позволяющий сконвертировать образ контейнера в загрузочный дисковый образ. Для обновления загрузочных образов контейнеров, которые поставляются с ядром Linux и способны загружаться по аналогии с обычными сборками системы, применяется инструментарий bootc.

1. Главная ссылка к новости
2. OpenNews: Релиз дистрибутива Red Hat Enterprise Linux 9.4
3. OpenNews: Первый стабильный релиз ФС Composefs
4. OpenNews: Представлено семейство атомарно обновляемых дистрибутивов Fedora Atomic Desktops
5. OpenNews: Проект Silverblue будет развивать атомарно обновляемый вариант Fedora Workstation