Planète Warez

Les systèmes d’exploitation immuables : sécurité et fiabilité au cœur de l’OS

Les systèmes d’exploitation immuables représentent une avancée significative dans le domaine de la sécurité et de la stabilité de nos systèmes informatique.

Contrairement aux OS traditionnels, ils sont conçus pour être inaltérables dans leur fonctionnement, offrant ainsi une base solide pour des environnements fiables et sécurisés.

Qu’est-ce qu’un système d’exploitation immuable ?

Un système d’exploitation immuable est structuré de manière à ce que ses fichiers système soient montés en lecture seule.

Cela signifie qu’une fois le système déployé, aucune modification directe n’est possible sans passer par un processus de mise à jour contrôlé.

Les mises à jour sont généralement dites atomiques, c’est-à-dire qu’elles sont appliquées en une seule opération complète, réduisant ainsi les risques d’erreurs ou de configurations incohérentes.

Avantages des systèmes immuables 🔐 Sécurité renforcée L’immutabilité empêche les modifications non autorisées du système. Réduction de la surface d’attaque pour les logiciels malveillants. Possibilité de restaurer rapidement une version stable en cas de compromission. ⚙️ Stabilité accrue Élimination des variations entre les configurations des systèmes. Meilleure cohérence dans les déploiements à grande échelle. Moins de dérives de configuration. 🛠️ Gestion simplifiée Mises à jour atomiques et possibilité de rollback facile via GRUB ou autres gestionnaires de boot. Réduction des interventions manuelles. Moins de temps d’arrêt lors des mises à jour critiques. Intégration dans les environnements DevOps

Les systèmes immuables s’intègrent naturellement dans les pratiques DevOps, favorisant l’automatisation et la reproductibilité des environnements.

Ils permettent une gestion efficace des configurations et facilitent les tests en assurant que chaque instance du système est identique à une autre.

Quelques systèmes d’exploitation immuables existants 🧊 Fedora Silverblue

Distribution basée sur Fedora avec GNOME. Utilise un système de fichiers en lecture seule et des mises à jour atomiques.
Idéale pour les développeurs en quête de stabilité et de prévisibilité.

🧊 Fedora Kinoite

Version de Silverblue avec KDE Plasma comme environnement de bureau.

🧊 openSUSE Aeon & Kalpa

Basées sur openSUSE MicroOS, Aeon (GNOME) et Kalpa (KDE) offrent des environnements de bureau immuables avec Flatpak et conteneurs pour les applications.

🧊 CarbonOS

Distribution orientée vers une expérience utilisateur fluide, tout en adoptant une architecture immuable pour maximiser sécurité et stabilité.

🧊 BlendOS

Pensée pour les créateurs de contenu (ex. utilisateurs de Blender). Offre une plateforme stable et sécurisée pour la création numérique.

🧊 VanillaOS

Propose un système en lecture seule et l’installation d’applications via un système de paquets séparé, renforçant la sécurité de l’environnement de bureau.

Cas d’utilisation

Les systèmes immuables sont particulièrement adaptés aux environnements nécessitant une haute sécurité et une grande stabilité, tels que :

Infrastructures cloud et clusters Kubernetes. Postes de travail pour développeurs et administrateurs. Systèmes en production exigeant fiabilité et cohérence. N’importe quel poste pour particuliers cherchant la stabilité et la sécurité. Conclusion

Adopter un système d’exploitation immuable, c’est faire le choix de la sécurité, de la stabilité, de la cohérence et de la simplicité.

Que ce soit pour une entreprise, un administrateur système, un développeur ou même un utilisateur particulier soucieux de préserver l’intégrité de son poste, l’approche immuable apporte des bénéfices concrets : moins de pannes, moins de configurations à gérer, et une protection accrue contre les menaces.

Dans un monde où les systèmes deviennent de plus en plus complexes, choisir un OS immuable, c’est aussi choisir une expérience plus sereine, prévisible et adaptée à une informatique moderne, automatisée et résiliente.

lol vive Windaube 😉

Si votre site web est devenu le buffet à volonté préféré des bots de sociétés IA, débarquant par milliers, se servant dans votre bande passante et repartant sans même dire vous laisser un mot sur l’oreiller, alors j’ai une solution pour vous ! Ça s’appelle Anubis et c’est un outil qui vérifie si vos visiteurs sont de vrais humains ou des aspirateurs à données déguisés.

Car oui, personne n’est épargné ! Par exemple, le bon vieux site kernel.org a dû mettre en place une protection contre ces scrapers qui menaçaient sa disponibilité et ce n’est pas un cas isolé. Codeberg, ScummVM, FreeCAD et même certains sites de l’ONU ont adopté la même solution pour rester en ligne face à cette nouvelle forme de DDoS “légitime”.

Bref, pendant que vous lisez ces lignes, une bataille fait rage avec d’un côté, les développeurs qui maintiennent des sites utiles à la communauté et de l’autre, des armées de robots envoyés par les géants de l’IA pour aspirer tout le contenu possible afin d’entraîner leurs modèles.

Bien sûr, Cloudflare et autres services similaires peuvent vous aider, mais ils créent une dépendance à des intermédiaires centralisés, contraires à l’esprit même du web. Et franchement, si vous hébergez un petit projet open-source, vous n’avez probablement pas envie de payer pour une protection contre un problème que vous avez pas créé.

Heureusement, Anubis est là et s’inspire d’une idée plutôt ancienne : Hashcash
Il s’agit d’une idée remontant aux années 2000 pour lutter contre le spam email. Le principe est simple et génial à la fois : imposer un petit coût “computationnel” à chaque requête. Grosso merdo, comme mettre un péage sur une route qui serait insignifiant pour un conducteur occasionnel, mais super ruineux pour une entreprise qui fait passer des milliers de camions par jour.

Voici comment ça marche concrètement :

Un visiteur arrive sur votre site protégé par Anubis Le serveur lui présente un challenge mathématique à savoir trouver un nombre qui, ajouté à une chaîne de caractères spécifique et passé dans une fonction SHA-256, donne un hash avec un certain nombre de zéros au début Le navigateur du visiteur calcule alors ce hash en parallèle grâce aux Web Workers (du JavaScript qui travaille en arrière-plan sans bloquer l’interface) Une fois trouvé, le résultat est envoyé au serveur qui vérifie sa validité Si c’est bon, un cookie spécial est généré pour autoriser les visites futures sans avoir à repasser le test

Pour un navigateur moderne sur un PC normal, ce calcul prend quelques secondes, ce qui en fait une petite friction acceptable. Mais pour un scraper industriel qui doit traiter des millions de pages… c’est une autre histoire. Et ce système est totalement configurable puisqu’il permet d’ajuster la difficulté (nombre de zéros requis, par défaut 4-5), d’utiliser un algorithme intentionnellement lent pour punir les bots identifiés, et de créer des règles personnalisées via des expressions régulières et un langage d’expression appelé CEL.

Voici par exemple une règle permettant d’autoriser les requêtes API tout en bloquant le reste :

- name: allow-api-requests action: ALLOW expression: all: - '"Accept" in headers' - 'headers["Accept"] == "application/json"' - 'path.startsWith("/api/")'

Ou encore, bloquer spécifiquement les bots d’Amazon :

- name: amazonbot user_agent_regex: Amazonbot action: DENY

La bonne nouvelle, c’est qu’Anubis est ridiculement simple à mettre en place. Un VPS basique avec Docker suffit amplement et l’outil consommera moins de 32 Mo de RAM en moyenne, autant dire rien du tout à l’échelle d’un serveur récent.

La méthode la plus simple pour mettre Anubis en place, c’est comme d’hab : Docker Compose. 5 lignes de config et vous êtes protégé :

services: anubis-nginx: image: ghcr.io/techarohq/anubis:latest environment: BIND: ":8080" DIFFICULTY: "4" TARGET: "http://nginx" SERVE_ROBOTS_TXT: "true" ports: - 8080:8080 nginx: image: nginx volumes: - "./www:/usr/share/nginx/html"

Et si vous préférez les packages natifs, sachez qu’Anubis est disponible pour Debian, Ubuntu, RHEL et autres distributions populaires. Les plus bidouilleurs peuvent même l’installer depuis les sources.

La configuration avec les serveurs web les plus courants est bien documentée :

Nginx : ajoutez Anubis comme un upstream et redirigez tout le trafic à travers lui Apache : similaire à Nginx, avec quelques spécificités liées à Apache Et même Traefik ou Caddy pour les plus modernes d’entre vous

Une fois tout configuré, vérifiez quand même que tout fonctionne correctement en visitant votre site. Et si vous voyez la jolie page de challenge la première fois, puis accédez normalement au site après, c’est que tout est bon !

Si vous hésitez, sachez que avantages d’Anubis sont nombreux :

C’est gratuit et open-source, contrairement aux solutions payantes qui vous factureront à la requête Ultra-léger, avec une consommation minimale de ressources Vous gardez le contrôle total : pas d’intermédiaire entre vous et vos visiteurs Personnalisable à l’extrême : ajustez précisément les règles selon vos besoins Respectueux de la vie privée : aucun partage de données avec des tiers

Mais il y a aussi des arguments plus émotionnels, et tout aussi valables :

L’indépendance : vous restez maître de votre infrastructure La résistance : vous participez à un mouvement de défense du web ouvert La communauté : vous soutenez un projet porté par des valeurs éthiques La satisfaction intellectuelle : c’est quand même une solution élégante à un problème complexe, avouez-le

Par contre, sachez que :

Anubis nécessite JavaScript côté client Et qu’il peut potentiellement bloquer certains bots ou utilisateurs légitimes si mal configuré

Mais comparé aux alternatives commerciales, le rapport bénéfice/contrainte penche largement en faveur d’Anubis.

Bref, si vous en avez marre de voir votre bande passante dévorée par des bots trop gourmands, c’est le moment d’agir. Quelques minutes de configuration aujourd’hui pourraient vous épargner des heures de maintenance demain.

Et si vous avez des questions sur l’installation ou la configuration, n’hésitez pas à consulter la documentation officielle. Et un grand merci à Lorenper pour le partage !

– Source :

https://korben.info/anubis-protection-site-web-bots-ia.html

C’est juste pour appuyer le fait que cela arrive partout et qu’il faut arrêter de croire que ça n’arrive qu’à Microsoft…

Ça arrive partout, sur tout les OS. C’est juste qu’on en parle ++ quand c’est Microsoft et que c’est plus facile de taper sur eux.

Concernant le pare-feu, j’en utilise depuis Windows XP et aussi sous linux. Il serait en effet temps de s’y mettre, rien de plus important de surveiller les accès internes et externes de ses bécanes :

Qui fait quoi? Et qui accède à quoi ? Quand ce n’est pas un logiciel malveillant qui se fait passer pour un autre.

Ba on va dire que le serveur le supporte largement, mais largement. C’est sur qu’il faut doser, si t’es limite tu évites sinon lâche les chevaux.

L’intérêt d’un WAF n’est plus à faire non plus… N’importe quel adminsys compétent te le dira.
Puis bon, on est plus sur du pentium 4. On peut faire relativement pas mal de choses.

Si ta machine le supporte, il n’y a aucune raison valable de se priver de sécurité, bien au contraire. Ce serait suicidaire de ne pas le faire.

Voici une énorme liste de ressources d’administration système gratuites et open source.

Le gros plus est que la plupart des apps et services de cette liste peuvent être dockerisés.

Enjoy 🙂

https://github.com/awesome-selfhosted/awesome-selfhosted?tab=readme-ov-file

Voici une liste énorme de services réseau et d’applications web libres pouvant être hébergés sur votre(vos) serveur(s). Les logiciels non libres sont répertoriés sur la page « Non libres ».

Le gros plus est que la plupart des apps et services de cette liste peuvent être dockerisés

Enjoy 🙂

https://github.com/awesome-selfhosted/awesome-selfhosted?tab=readme-ov-file

@Violence a dit dans Installer WSL pour utiliser Linux dans Windows :

ceux qui n’auraient jamais osé franchir le pas vers Linux

Ça m’a toujours étonné, j’ai franchis le pas sur Linux alors que j’étais une brelle sur Windows et j’ai pas trouvé ça plus compliqué, même voir moins! j’ai tout de suite apprécié la logithèque où je n’avais pas à décoché mille trucs (tout pourris :ahah: ) pour installer un logiciel.

Puis les années passant, j’y suis resté.

@Raccoon a dit dans [Linux/Web Apps] Maybe Finance : une solution open source pour gérer son argent :

Le projet à l’air sympa, il me manque du pognon pour avoir l’utilité de l’installer. :mrpurple:

Ouai je sens que je vais me le dockerisé sur mon NAS comme VaultWarden…

ça changera de l’Excel un peu austère.
Moi qui suis dépensier, ça peux grandement m’aider à y voir plus…clair…

Maybe yes, maybe not 😉

Vous en avez marre des attaques incessantes qui ciblent votre infrastructure, de toutes ces tentatives de connexion suspectes qui vous donnent des sueurs froides ?

Alors voici FireHOL, une solution de sécurité redoutable qui va transformer votre pare-feu basic en Fort Knox.

FireHOL repose sur un principe simple mais très efficace : la mise en commun des connaissances de la communauté cybersécurité. Des équipes du monde entier surveillent et identifient les adresses IP malveillantes, créant ainsi des listes de blocage (blocklists) régulièrement mises à jour.

Ces listes couvrent un large éventail de menaces telles que les réseaux de botnets actifs, les sources de spam, les attaques par force brute, les scanners de vulnérabilités et bien sûr tout ce qui est proxys malveillants

La mise en place de FireHOL se fait simplement, vous allez voir. Commençons par l’installation de base :

sudo apt-get install firehol wget https://raw.githubusercontent.com/firehol/firehol/refs/heads/master/sbin/update-ipsets chmod +x update-ipsets

Ensuite, activons les listes qui nous intéressent :

./update-ipsets enable dshield spamhaus_drop spamhaus_edrop ./update-ipsets

Vous y trouverez DShield maintenue par le SANS Institute, permettant d’dentifier les 20 sous-réseaux les plus agressifs mais aussi Spamhaus DROP qui est une référence absolue pour bloquer les réseaux détournés par des cybercriminels et bien sûr Abuse[.]ch qui reste encore et toujours une excellente source pour les botnets et malwares connus.

Il y a aussi :

OpenBL : Traque les attaques par force brute Blocklist.de : Agrège les rapports d’abus de milliers de serveurs Emerging Threats : Identifie les menaces émergentes

Voici un exemple de configuration FireHOL qui utilise ces listes :

cat << EOF > /etc/firehol/firehol.confwan="eth0" ipset4 create whitelist hash:net ipset4 add whitelist 192.168.0.0/16 for x in dshield spamhaus_drop spamhaus_edropdo ipset4 create \${x} hash:net ipset4 addfile \${x} ipsets/\${x}.netset blacklist4 full inface "\${wan}" log "BLACKLIST \${x^^}" ipset:\${x} \ except src ipset:whitelistdoneEOF

Pour maintenir votre protection à jour, ajoutez le script à votre crontab :

crontab -e */12 * * * * /chemin/vers/update-ipsets >/dev/null 2>&1

Commençons par un point crucial : la whitelist stratégique. C’est la base d’une bonne configuration. Vous devez absolument créer une liste blanche de vos IP de confiance. Je parle de vos propres IP, mais aussi celles de vos partenaires commerciaux et de vos services cloud.

La surveillance des logs est absolument cruciale et vous devez analyser régulièrement vos journaux de blocage pour repérer les anomalies et identifier les potentiels faux positifs. Concernant l’optimisation des performances, j’ai un tips pour vous : limitez le nombre de listes actives et utilisez des ipsets de type hash:net. C’est beaucoup plus efficace et ça consomme moins de ressources. D’ailleurs, en parlant de ressources système, attention à ne pas vous laisser emporter : plus vous activez de listes, plus votre serveur va suer. C’est mathématique !

Les ipsets, c’est vraiment la rolls des solutions de filtrage. Pourquoi ? Et bien parce que ça offre une recherche ultra-rapide grâce au hachage (on parle de O(1) pour les nerds), une flexibilité de ouf avec la mise à jour dynamique sans avoir à tout recharger, et une scalabilité qui déchire puisque vous pouvez gérer des millions d’entrées sans sourciller.

Pour les plus motivés d’entre vous, vous pouvez aussi pousser le vice encore plus loin avec des fonctionnalités avancées comme le GeoIP blocking pour bloquer certains pays (désolé les copains), le rate limiting pour éviter de se faire spammer, et le filtrage au niveau applicatif pour être encore plus précis dans votre protection. N’oubliez pas non plus de faire le ménage régulièrement dans vos listes car certaines deviennent obsolètes plus vite qu’un gouvernement français, donc vérifiez régulièrement leur pertinence.

Voilà les amis ! Avec tout ça, vous avez de quoi mettre en place une protection béton ! Pour explorer toutes les possibilités et consulter les statistiques détaillées des listes de blocage, visitez https://iplists.firehol.org/

Merci à Lorenper pour cette superbe découverte !

Source

https://iplists.firehol.org

https://korben.info/firehol-protection-ip-pare-feu.html

@Aerya a dit dans Tails 6.11 corrige plusieurs failles critiques :

Mieux on connaît se distri plus on est sûr de sa sécurité

Oh put1 je suis à poil moi! :ahah:

La plupart des jeux sont pré-crackés de nos jours via les repacks de MEPHISTO, FIRTGIRL, DODI etc. Y’a qu’à installer et jouer, si le jeu est supporté.

Pumakit, un rootkit récemment découvert, représente une menace sérieuse pour les serveurs Linux. Il agit discrètement pour compromettre les systèmes en manipulant leurs processus internes, rendant sa détection particulièrement difficile. En interceptant et en modifiant les appels système, il dissimule ses activités malveillantes, notamment l’exfiltration de données sensibles.

Comme sur ce schéma, le rootkit déploie Kitsune SO (lib64/libs.so). Il va agir en tant que rootkit utilisateur et s’injecte dans les processus à l’aide de LD_PRELOAD pour intercepter les appels système au niveau de l’utilisateur.

Plus d’information :

https://www.it-connect.fr/pumakit-un-nouveau-rootkit-qui-menace-les-serveurs-linux-en-toute-discretion/

Affaire à suivre … Merci du partage @Violence !

Merci pour le partage de cette info @Violence !

Très très sympa même si je penses que pas grand monde n’est prêt, que ce soit côté admin que côté client 😞

la faille de sécurité dans CUPS peut être utilisée pour amplifier des attaques DDoS

https://www.it-connect.fr/linux-la-faille-de-securite-dans-cups-peut-etre-utilisee-pour-amplifier-des-attaques-ddos/

Six après sa sortie, le système d’exploitation Zorin OS s’offre une solide mise à jour. La version 17.2 est arrivée, avec de belles améliorations de l’expérience de bureau et en termes de compatibilité.

Le système d’exploitation, qui se présente comme une alternative crédible à Windows et macOS et plus respectueuse de la vie privée, s’offre une importante mise à jour 17.2, publiée le 19 septembre 2024. 78 % des téléchargements viennent de plateformes propriétaires comme Windows et macOS. C’est dire l’engouement qui entoure ce système d’exploitation Linux grand public.

ZORIN OS : c’est quoi ?

Zorin OS est un système d’exploitation GNU/Linux basé sur la distribution Ubuntu fourni avec Wine et PlayOnLinux pour offrir une alternative à Windows et macOS. Son développeur est l’entreprise Zorin OS Technologies Limited, une entreprise basée en Irlande.

Zorin OS 17.2 : les nouveautés

Zorin OS 17.2 est basé sur même version du noyau Linux que celle utilisée dans la dernière version d’Ubuntu 24.04 LTS.  La nouvelle version comprend des pilotes mis à jour, ce qui offre un meilleur support du matériel récent, notamment :

Processeurs Intel Core Ultra Processeurs AMD Zen 5 (y compris les dernières puces Ryzen, Ryzen AI et EPYC) Cartes graphiques NVIDIA GeForce séries RTX 20, 30 et 40 Périphériques Logitech Plusieurs gamepads, y compris les manettes Nintendo Switch Online et Google Stadia, ainsi que la Lenovo Legion Go Claviers d’ordinateurs portables Lenovo, comme sur les modèles Lenovo V14, V15 et G14 AMN

Les derniers correctifs de sécurité sont également préinstallés sur l’ensemble du système. Cela signifie que vous pouvez avoir l’esprit tranquille en sachant que vous utilisez la version la plus sécurisée de Zorin OS jamais sortie.

Apparence et interface

Les développeurs ont apporté des ajouts et des améliorations à Zorin Appearance pour rendre votre un bureau encore plus personnalisé. Exemple : la possibilité de changer le thème du curseur. Zorin a également simplifié l’installation de thèmes supplémentaires en ajoutant un lien vers le nouveau guide d’installation de thèmes tiers directement dans Zorin Appearance. Ce guide inclut également des instructions pour appliquer des styles personnalisés aux applications natives libadwaita, rendu possible grâce à un patch de la bibliothèque d’interface dans Zorin OS 17.

Vous avez désormais un accès facile à une multitude de paramètres pour personnaliser le comportement des fenêtres d’applications sur le bureau Zorin. La nouvelle section « Windows » de Zorin Appearance a été soigneusement organisée et conçue pour simplifier la modification du comportement de placement des fenêtres, des actions de la barre de titre et du déplacement de l’attention entre les fenêtres ouvertes.

LibreOffice

LibreOffice est l’une des applications les plus essentielles de Zorin OS. La mise à jour inclut LibreOffice 24.8, la version la plus récente de la suite bureautique libre, avec meilleure compatibilité avec les documents Microsoft Office/365, un nouveau volet de notes de présentation sous les diapositives, des fonctions supplémentaires pour les feuilles de calcul (XLOOKUP, XMATCH, FILTER, RANDARRAY, SEQUENCE, SORT, SORTBY, UNIQUE et LET) et nombreuses autres améliorations.

Applications plus récentes

De nombreuses autres applications préinstallées sont également mises à jour dans Zorin OS 17.2 : vous aurez (donc) moins de mises à jour à télécharger après avoir installé Zorin OS sur votre ordinateur. Ajoutons le support intégré pour les paquets Flatpak, AppImage, et Snap.

Télécharger Zorin OS 17.1

Vous pouvez télécharger Zorin OS 17.2 gratuitement depuis la page de téléchargement du site officiel (Core, Pro, Education).

L’installation est possible sur la plupart des configurations Intel/AMD x86, mais pas encore sur les ordinateurs Apple dotés d’une puce Apple Silicon (M1, M2, M3, M4).

Vous pouvez effectuer une mise à jour simplement :

Si vous utilisez Zorin OS 17, vous pouvez passer à Zorin OS 17.2 en installant les dernières mises à jour via le Mise à jour de logiciels.

Si vous utilisez Zorin OS 16, vous pouvez effectuer une mise à niveau sur place vers Zorin OS 17.2 sans effacer vos fichiers et données. Pour cela, consultez notre guide de mise à niveau ›

Support étendu

Zorin OS 17.2 sera pris en charge par des mises à jour logicielles, des correctifs de sécurité et des mises à jour de pilotes jusqu’en juin 2027 au moins.

Passer à la version Pro

La version Pro coûte 47,99 € et permet d’obtenir des apparences de bureau premium (proches de macOS, Windows 11 ou ChromeOS), et par ailleurs des applications créatives ou de productivité.

La mise à jour vers Zorin OS 17.2 est également gratuite.

Source : goodtech.info

La semaine dernière, Wedson Almeida Filho, l’un des principaux collaborateurs du projet Rust for Linux, a décidé d’arrêter de travailler sur l’intégration de ce langage dans le noyau libre. En cause, son « manque d’énergie et d’enthousiasme » face à des problèmes qui, selon lui, relèvent d’ « absurdités non techniques », confirmant les difficultés de relations humaines qui entourent la gestion du noyau Linux.

Wedson Almeida Filho, l’un des responsables de l’équipe chargée d’encadrer l’utilisation du langage Rust dans le noyau Linux, a annoncé son départ la semaine dernière sur la liste de discussion du projet. Cet ingénieur de Microsoft explique qu’ « après presque 4 ans, [il n’a] plus l’énergie et l’enthousiasme qu’[il avait] autrefois pour répondre à certaines des absurdités non techniques ».

Ce langage est de plus en plus utilisé dans des projets critiques pour assurer une gestion de la mémoire plus robuste. La DARPA l’utilise par exemple, ayant pour ambition d’éliminer « une fois pour toutes les vulnérabilités liées à la sécurité de la mémoire » et a même lancé un projet pour traduire automatiquement le code C en Rust. La Maison-Blanche exhorte même les développeurs à se mettre au Rust.

Une intégration qui prend du retard

Débuté en 2020, le projet Rust for Linux a pour ambition d’aider à augmenter encore la sécurité du noyau le plus connu du logiciel libre. En avril 2021, travaillant alors dans l’équipe Android de Google, Wedson Almeida Filho affirmait dans un billet de blog : « nous pensons que Rust est maintenant prêt à rejoindre le langage C en tant que langage pratique pour l’implémentation du noyau. Il peut nous aider à réduire le nombre de bugs potentiels et de vulnérabilités de sécurité dans le code privilégié, tout en s’intégrant proprement avec le noyau central et en préservant ses caractéristiques de performances ».

Mais il a fallu attendre fin 2023 pour que le langage s’insère pour la première fois dans la version 6.8 du noyau via un driver réseau, comme l’expliquent le chercheur Hongyu Li et ses collègues, dans une étude de l’intégration du langage dans le noyau publiée début juillet. Linus Torvalds, le créateur de Linux et toujours responsable de son développement, avait pourtant annoncé cette intégration pour la version 6.1.

Altercation virulente entre développeurs C et Rust

Mais ce retard ne mine pas la confiance de Wedson Almeida Filho dans l’utilité de Rust pour écrire des noyaux robustes. Au contraire, il affirme dans son message : « je crois vraiment que l’avenir des noyaux passe par des langages à mémoire sécurisée ». Il ajoute même que Linux pourrait se faire dépasser par d’autres noyaux : « je ne suis pas un visionnaire, mais si Linux n’intériorise pas cela, je crains qu’un autre noyau ne lui fasse ce qu’il a fait à Unix ».

Wedson Almeida Filho intègre aussi dans son message un lien vers une

filmée en mai lors de la conférence Linux Storage, Filesystem, Memory-Management, and BPF Summit. Le passage qu’il pointe montre une discussion difficile entre l’ingénieur et un de ses collègues, Ted Ts’o, qui l’accuse de vouloir « convaincre tous les autres de s’orienter vers une religion promue par Rust ».

« Et la réalité, c’est que ça ne va pas arriver, car nous avons plus de 50 systèmes de fichiers dans Linux qui ne vont pas être convertis immédiatement en Rust. Avant ça, nous allons continuer à réécrire du code C, car nous voulons que le code en C soit meilleur », argumentait le second. Il avait ajouté : « vous n’allez pas tous nous forcer à apprendre Rust ».

Des développeurs Rust solidaires

Comme l’a repéré ArsTechnica, la développeuse Asahi Lina (responsable du projet Asahi Linux) a partagé un avis similaire à celui de Filho en le soutenant : « je comprends malheureusement tout à fait les frustrations de Wedson ».

Elle évoque son expérience lorsqu’elle a voulu proposer des modifications au Direct Rendering Manager(DRM) de Linux : « lorsque j’ai essayé d’apporter en amont des corrections mineures au code C pour rendre le comportement plus robuste et les exigences de durée de vie plus raisonnables, le mainteneur l’a bloqué et a dit que je devais simplement faire “ce que font les autres pilotes” ». Elle ajoute qu’ « un sous-ensemble de développeurs du noyau C semble déterminé à rendre la vie des mainteneurs de Rust aussi difficile que possible ».

« À ce jour, des bugs dans l’ordonnanceur du DRM ont été les seules causes de kernel panics déclenchées par le pilote de mon GPU Apple en production […] », explique Asahi Lina, « parce que je code en Rust ».

Dans un billet de blog, Drew DeVault, le fondateur de la plateforme d’outils open source Source Hut, suggère aux développeurs Rust de développer un noyau compatible Linux à partir de zéro. Ceci devrait, selon lui, les libérer des batailles politiques des mailing lists du noyau Linux. Celles-ci seraient plus un « far west » qu’un milieu « enthousiaste et prêt à accueillir en son sein des innovateurs motivés pour faciliter cet impact ».

Constat désemparé de Linus Torvalds

Ce n’est pas le premier conflit interpersonnel à surgir dans le projet du noyau Linux. Linus Torvalds a lui-même installé pendant longtemps un climat brutal dans ses conversations, qu’elles soient internes ou externes. En 2018, il avait envoyé un message d’excuses.« Je vais prendre du temps pour moi et demander de l’aide pour comprendre les émotions des autres et comment y répondre de manière appropriée », annonçait-il.

Torvalds expliquait à Zdnet au mois d’aout : « je m’attendais à ce que les mises à jour soient plus rapides, mais le problème réside en partie dans le fait que les développeurs de noyau de longue date sont habitués au C et ne connaissent pas Rust. Ils ne sont pas vraiment enthousiastes à l’idée de devoir apprendre un nouveau langage qui est, à certains égards, très différent. Il y a donc eu des réactions négatives à l’égard de Rust ». Il ajoutait cependant qu’ « une autre raison est que l’infrastructure Rust elle-même n’a pas été très stable ».

L’un des membres de la Rust core team, Steve Klabnik, a commenté sur Bluesky : « des responsables du noyau Linux se comportent si mal que d’autres abandonnent. Windows se contente de livrer discrètement du code Rust. Nous verrons comment tout cela va se dérouler… »

Source : next.ink

La dernière mouture LTS (Long Term Support) d’Ubuntu a reçu il y a quelques jours son noyau « temps réel », qui « réduit la latence par rapport à Linux principal et améliore la capacité du système à gérer efficacement les opérations urgentes ».

Comme Ubuntu 22.04 avant elle, ce nouveau noyau Linux est réservé aux personnes inscrites à Ubuntu Pro, gratuit pour une utilisation personnelle ou commerciale si limitée à cinq appareils.

Ce noyau particulier est basé sur la version 6.8 et y ajoute notamment les modifications PREEMPT_RT pour les architectures AMD64 et ARM64. Il contient également des optimisations pour le matériel Raspberry Pi.

« Avec des réponses limitées dans le temps pour les exigences de latence critiques, Real-time Ubuntu 24.04 LTS fournit un traitement déterministe aux charges de travail les plus exigeantes dans tous les secteurs, de la fabrication à l’automobile en passant par l’infrastructure critique des opérateurs télécoms », indique Canonical.

Si vous bénéficiez de l’abonnement Ubuntu Pro, il suffit d’exécuter une commande pour activer le nouveau noyau :

pro attach pro enable realtime-kernel

Si vous souhaitez l’activer sur un Raspberry Pi, il faudra ajouter « --variant=raspi » à cette même commande.

Notez que ce noyau est conçu pour des besoins spécifiques. Il n’est pas utile pour un usage standard.

Source : next.ink

=> Tour des nouveautés d’Ubuntu 24.04 LTS