Hacker News Digest

Недавняя обнаружение бэкдора в XZ Utils в 2024 году поставило под вопрос безопасность цепочек поставок ПО. Статья исследует, могли ли лучшие практики упаковки в Debian предотвратить эту угрозу, предлагая руководство по аудиту пакетов и рекомендации по улучшению. Бэкдор в версиях 5.6.0/5.6.1 кратко попал в основные дистрибутивы Linux, включая Debian и Fedora, но благодаря бдительности Андреса Фрейнда был быстро обнаружен и удален. Он заметил регрессию производительности SSH в полсекунды, что привело к обнаружению вредоносного кода.

Автор, разработчик Debian, задает ключевые вопросы: почему упаковщики дистрибутивов не заметили ничего подозрительного при импорте новой версии XZ, насколько легко аудировать текущую цепочку поставок ПО, и нет ли еще скрытых бэкдоров. Статья фокусируется на аудите импорта ПО в Debian и его распространении среди пользователей, подчеркивая необходимость проверки исходных кодов пакетов, а не только бинарных файлов. Автор представляет пошаговое руководство по загрузке и анализу исходных пакетов Debian и upstream, предлагая методы для выявления потенциальных угроз.

• Сообщество обсуждает, что виноват не только сам факт внедрения кода, но и то, что сборочные системы дистрибутивов не герметичны и не воспроизводимы, что позволило атаке ускользнуть.
• Участники подчеркивают, что важно не только открытый исходный код, но и возможность (и практика) независимо собрать любой пакет из исходников; это единственный путь к доверию.
• Некоторые замечают, что даже в открытом исходном коде могут скрываться уязвимости, если нет культуры безопасной разработки и аудита кода.
• Участники подчеркивают, что важно не только открытый исходный код, но и возможность (и практика) независимо собрать любой пакет из исходников.

Неофициальный инструмент обхода требований Windows 11 теперь умеет отключать все AI-функции

Утилита Rufus, известная возможностью устанавливать Windows 11 на «несовместимое» железо, получила обновление. Теперь она может полностью вырезать из системы компоненты ИИ: Recall, Copilot, Click-to-Do и другие. Достаточно поставить галочку «Disable AI features» при создании загрузочной флешки — и после установки они будут заблокированы на уровне реестра и служб.

• Пользователи жалуются на встроенную рекламу, телеметрию и невозможность полностью отключить «блоат» в Windows; даже сторонние «деблоатеры» регулярно ломаются после обновлений.
• Многие предлагают «чистую» редакцию Windows (LTSC/IoT), но она дороже, лицензируется пачками и всё равно не лишена шпионских модулей.
• Часть разработчиков и геймеров переходит на Linux (Fedora KDE, Mint, Ubuntu) + Proton/Wine; железные проблемы остаются, но «парадоксально, работает лучше, чем Windows».
• Сообщество сомневается, что Microsoft выпустит публичную «Optimal»-версию без телеметрии: слишком выгодны данные пользователей и рекламные вставки.
• Пока нет закона, обязывающего поддерживать старые CPU; официальные требования Win-11 можно обойти Rufus, но это временное решение, и пользователи всё чаще рассматривают полный уход в Linux/BSD.

Коротко: домашний DNS на BIND

• Цель: локальный DNS для сети homelab.jhw, работающий без интернета.
• Сервер: Raspberry Pi 4 (inf01.homelab.jhw, 192.168.1.10) под Fedora 42.
• Сети: 192.168.1.0/24, 172.16.0.0/16, 10.88.0.0/16 (Podman).
• Форвардер: Fritz!Box 7490 (192.168.1.254) — чтобы резолвить DHCP-имена.

Установка

dnf install bind bind-utils
firewall-cmd --add-service=dns --permanent

Конфиги

• /etc/named.conf — слушаем 127.0.0.1, 192.168.1.10, 172.16.1.10, 10.88.0.1; форвард на Fritz!Box; отключён DNSSEC.
• Зоны:
  – forward.homelab.jhw → A-записи хостов.
  – reverse.homelab.jhw → 1.168.192.in-addr.arpa.
  – reverse2.homelab.jhw → 16.172.in-addr.arpa.

Пример forward.homelab.jhw

$TTL 86400
@   IN SOA  inf01.homelab.jhw. root.homelab.jhw. (
        2025082901 ; serial
        3600       ; refresh
        1800       ; retry
        604800     ; expire
        86400 )    ; minimum
        IN NS   inf01.homelab.jhw.
inf01   IN A    192.168.1.10
ca      IN A    192.168.1.10
hl01    IN A    192.168.1.11
hl02    IN A    192.168.1.12
hl03    IN A    192.168.1.13

Проверка

named-checkconf
named-checkzone homelab.jhw /var/named/forward.homelab.jhw
systemctl enable --now named
dig @192.168.1.10 ca.homelab.jhw

Готово: локальные имена резолвятся даже без интернета.

• Кто-то дома поднимает Technitium DNS в контейнере: DoH/DoT, блокировка рекламы, API — проще, чем Pi-hole.
• Другие предпочитают unbound (кэш/рекурсия) + nsd (авторитетный), dnsmasq (DHCP+DNS без перезапуска) или CoreDNS «всё-в-одном».
• BIND считают мощным, но громоздким: «много конфигов, как Gentoo»; PowerDNS и NSD выглядят проще.
• Внутренние зоны: .lan, .internal, .home.arpa или «публичный домен, но только в LAN» — спор о риске коллизий и TLS-сертификатах.
• Apple-устройства могут игнорировать «левые» TLD, если не добавить сервер в профиль или не внедрить собственный CA.
• Кто-то кодит DNS на коленке (dns4j), кто-то мечтает купить публичный TLD за 50 млн долларов, лишь бы не зависеть от регистратора.

Omarchy — мой новый проект: готовая, «моя» версия Arch + Hyprland. Устанавливаешь — получаешь то, что я использую каждый день.

Hyprland красив, но «из коробки» пуст: нет даже экрана блокировки. Omarchy решает это: красивые конфиги и нужный софт уже на месте.

Это не замена Omakub (Ubuntu), а продвинутый путь для тех, кому Arch ближе.

Linux на десктопе? Valve, Steam Deck, креаторы вроде PewDiePie и проекты вроде Hyprland делают его всё более заманчивым.

• Вышел Omarchy 2.0 — готовый Arch-ISO с Hyprland, ставится за ~5 минут.
• Большинство обсуждают Hyprland: кто-то в восторге от тайлинга и «веселья» Linux, кто-то считает слишком «голым» и сложным.
• Часть пользователей предпочитает плавующие окна или другие WM; другие перешли с macOS на Fedora/Gnome.
• Упоминаются альтернативы: NixOS, Bluefin, Omakub, Zorin, Rectangle/AeroSpace на macOS.
• Некоторые критикуют Hyprland за конфликты в сообществе и «токсичность», но число пользователей растёт.

• Pine64 Star64 — плата на RISC-V за €39,99

  • 4-ядерный JH7110 (1,5 ГГц), 2 ГБ LPDDR4, Wi-Fi 5/BT 5.2, HDMI 4K, PCIe, GPIO 40-pin.
  • Поддерживает Linux (Ubuntu, Fedora) и RTOS (Zephyr).
  • Питание через USB-C 5 В/3 А; корпус и eMMC опционально.

• Доступность

  • Продажи стартуют 12 августа в магазине Pine64 и у партнёров.

• VisionFive 2 Lite — дешёвая RISC-V плата, но JH7110 не соответствует RVA23, что может вызвать проблемы с Ubuntu.
• Производительность ближе к Pi 4 при CLI-задачах, но без SIMD; для GUI и современных ПО памяти может не хватить.
• Поддержка Linux/Fedora/Debian хорошая, но многое из «обычного» ПО не тестируется на riscv64.
• Нет полноценного PCIe-слота и открытого GPU-драйвера; нужна M.2-SSD и максимум ОЗУ.
• Питание можно через PoE-сплиттер, встроенной flash нет, что полезно для офлайн-криптографии.
• Cookie-баннер статьи вызвал бурю негодования: отсутствует кнопка «отклонить всё», приходится пользоваться блокировщиками или зеркалами.