2016年4月

首先是三则 GNOME 的消息:

  • 虽然 GNOME 3.20.1 已经发布了一段时间,但是有一些组件还没有发布相应的更新版本。在两周后,文件管理器 Nautilus 才发布了一个小的更新版本 3.20.1,这个版本里,用户可以将一些项目拖拽到“网络位置”。
  • GNOME Builder IDE 发布了 3.20.2,支持 LLVM 3.8,而下一个版本的维护版本 3.21.1 已经准备好公测了。
  • 虽然几天前才发布了 GNOME 3.21.1,不过 GNOME 3.22 已经从 3.21 中分支出来了,进入了其开发周期,预计 9/21 发布。

Fedora 的发布计划延迟已经成了传统,所以我们对 Fedora 24 的发布要延迟一周毫不惊讶,目前预计要到 6/14 才能发布——如果不出现意外的话。

流行的跨平台开源多媒体框架 FFmpeg 发布了 3.0.2,更新了包括 libavutil、libavcodec 、 libavformat 在内的多数组件。

Oracle 发布了 VirtualBox 5.0.20,多处改进了对 Linux 内核 4.5 的支持,并初步支持了即将发布的 4.6 内核。对 Windows 宿主机的支持做了改进,并重新支持了 Windows XP。

Linux 内核发布 3.18.32 LTS、4.1.23 LTS。

Google 和 Mozilla 分别发布了 Chrome 50 和 Mozilla 46 的更新版本,解决了若干安全漏洞。

Daily Dot 报道, 马修·艾德曼 Matthew Edman 以前是一位 Tor 项目的核心开发人员,但是在他离开了这个非盈利组织之后,帮助 FBI 开发了一个软件来跟踪 Tor 网络上的用户。

艾德曼于 2008 年加入了 Tor 项目,那时他还是 贝勒大学 Baylor University 的一名大学生。他被分配到一个现已解散的项目 Vidalia 上,该项目用于开发一个简易的用户界面,可以让用户在计算机上设置和管理 Tor 连接。

Tor 的领导层于 2013 年终止了 Vidalia 项目,不过在那时,艾德曼已经在 米特雷 Mitre 公司担任高级网络安全工程师了。也许很多人都没听说过米特雷公司,不过大家所熟知的 常见漏洞与缺陷 Common Vulnerabilities and Exposures CVE 数据库就是由该公司维护管理的。该公司也是一家成熟的网络安全和国防方面的承包商,年收入近15亿美金,主要的合同来自政府部门。

艾德曼开发了 Torsploit 软件

在米特雷公司期间, 艾德曼和几个 FBI 特工一起开发了 Torsploit 软件(也叫做 玉米剥皮者 Cornhusker )。FBI 将这个软件用在了其 Operation Torpedo 钓鱼行动中,也将其部署到了暗网的儿童色情门户网站上。FBI 特工将艾德曼的软件打包到一个 Flash 文件中,并将其放到网站上,如果用户使用 Tor 浏览器访问带有该 Flash 的站点时,这个恶意软件就会将访问者的真实 IP 地址和时间戳发送到 FBI 服务器。FBI 使用这些信息定位了25个嫌疑人,并已经起诉了其中19人。此外,FBI 还在使用其他的恶意软件,很多人怀疑 FBI 偷偷利用了 Tor 浏览器的漏洞,甚至还会利用 Firefox 浏览器的零日漏洞

FBI “弄丢”了 Torsploit 的源代码

一位暗网的嫌疑人想要他的律师和技术专家们调查一下 Torsploit ,以便了解它是如何工作的,以及精度如何。而 FBI 的回答就像是四年级学生说‘他的家庭作业被狗吃了’一样可笑,FBI 官员说他们丢失了该软件的源代码。

艾德曼和 FBI 的合作仍在继续,有消息称他协助 Bureau 关闭了丝路地下市场,据闻他在其中扮演了关键角色,特别是在跟踪罗斯布利的暗网和比特币交易方面。

在前几年,艾德曼先后加入了彭博社、FTI 咨询,现在是伯克利研究小组的关键执行人员,在那里他同三位前 FBI 特工和一位前联邦检察官共同负责丝路这件案件。

US-CERT 披露,在 ntpd 中最近发现了大量安全缺陷。ntpd 是 网络时间协议 NTP 的服务进程,绝大多数的服务器和各种设备都采用它来处理时间相关的任务。

虽然有多种 NTP 的服务进程,但是我们一般说的都是指 NTP.org 的 ntpd 服务进程,它也是大部分服务器和设备所用的版本。在今年的一月四月它分别修复了两大批安全漏洞。

据 Cisco 说,一些漏洞会导致 DoS 攻击或者甚至跳过认证过程。Cisco 是负责推动对 NTP 进行安全评估的 Linux 基金会核心基础架构计划 Linux Foundation Core Infrastructure Initiative 的成员。

由于各种智能设备都需要时间相关的功能,所以很多的设备都采用了 NTP 协议及 NTP.org 的服务进程,以确保系统时钟同步一致。

在这个协议中发现的安全问题是非常严重的,因为这会让攻击者非常容易地造成破坏。

NTP ——通向各个网络

在两周前,两位安全研究人员发现了 NTP 服务进程中的安全缺陷,他们已经开发了一个通过网络进行攻击的漏洞验证程序,并使用它来模仿 NTP 通讯,从而可以利用臭名昭著的 1970 漏洞让 iOS 设备变砖

除了这个漏洞缺陷之外,Web 安全厂商也都知道, NTP 协议也是最常见的发起 DDoS 攻击的方式之一。

US-CERT 提请网站管理员和系统管理员们对此引起重视,并打上最新的补丁。该组织已经列出了受到 NTP.org 的 ntpd 服务进程中安全漏洞影响的厂商名称,多达 75 家,这里包括苹果、思科、谷歌和 VMWare 等等著名厂商。

管理员们应该尽快升级其设备固件和服务器软件到最新的版本(4.2.8p7)。

经典的《古墓丽影》2013 重启版正式移植到了 Linux 平台,现在可以在 Linux 平台上的 Steam 或 SteamOS 中下载并享受这个经典游戏了。

近两个月来,被众多服务器和网络设备中使用的网络时间协议 NTP 守护进程 ntpd 中发现了一大批的安全漏洞,这些安全漏洞可以用来发起 DoS 攻击和跳过安全验证。ntpd 已经发布了修复更新,请系统管理员们尽快升级(4.2.8p7)。

据称,一位前 Tor 项目的核心开发人员 Matthew Edman 在离开了这个开源项目之后,为 FBI 开发了一个 Torsploit 软件,用于在 Tor 网络中发现用户匿名的身份。

前两天我们报道过,Mozilla Firefox 发布了 46.0,现在 Mozilla 已经正式发布了下载链接:Linux 32 位Linux 64 位。其它语言和操作系统的请在这里选择。在 46.0 发布之后,Mozilla 就开始了 47.0 的开发,在此版本中会支持 ChaCha20/Poly1305 加密套件、在较高性能的计算机上支持 VP9 视频编码等。

GNOME 的 Software 软件中的一个 bug 导致它在 Ubuntu 16.04 LTS 中不能安装第三方 .deb 软件包。上游已经发布了修正,Ubuntu 16.04 LTS 估计过几天就会发布更新。

Linux 内核发布 3.12.59,这是一个 LTS 版本,会支持到 2017 年。

Proxmox VE(虚拟环境)服务器操作系统发布了 4.2 版本,带有 Let's Encrypt 支持及对 ZFS 进行了大量改进。Proxmox VE 是基于 Debian GNU/Linux 8.4 "Jessie" 的衍生版,被用在 140 个国家、超过12万台主机之中。

Node.js 经过了半年的开发之后,今天发布了 6.0 LTS 版本。这是一个长期支持版本,它会支持到2018年4月,并在其后的一年内提供维护更新。随着今天的发布,Node.js 基金会将停止支持老的 0.12 分支,官方将只支持 4.x 和 6.x 分支,而 5.x 是一个实验性分支。基金会的专家说依旧建议在产品环境中使用 4.x,直到人们认为 6.x 已经稳定了。

Node.js 6.0 支持了 93% 的 ECMAScript 6 (JavaScript 2015) 标准,而 5.0 仅支持了 56%。Node.js 6.0 中新的模块载入系统据说比 4.x 要快4倍。另外,新的 Node.js 6.0 使用了 Google 的 V8 引擎的 5.0 版本。

Tails 2.3 发布了,这是一个专门用于“悄悄地进村”的发行版,本次发布更新了大部分的核心组件,修复了不少错误,也有一些新的功能,比如支持从 KeePassX 复制黏贴你的 GnuPG 口令等。下一个版本 2.4 预计在6月份发布。建议所有的用户尽快升级。

然后是两个分区软件发布了新的版本。GParted 发布了 0.26.0,带来了一些新功能,包括 LUKS 加密文件系统的只读支持、支持 NTFS、XFS、EXT2、EXT3、EXT4 等文件系统拷贝时的进度条、同时也会在内部拷贝时显示一个整体进度条、支持最大2 TiB 的 FAT32 分区。

另外一个刚刚发布了 2016\_04\_26 版本 Parted Magic 却是一个商业付费的发行版,它是基于前面提到 GParted 分区软件、 TestDisk 分区恢复和反删除软件等开源软件的一个发行版。本次更新由于 Chrome 放弃了32位 Linux 版本的支持,所以该发行版也移除了其中的 Chrome 浏览器。

最近发展很快的 ubuntuBSD 项目在有了自己的官方主页之后,又有了自己的论坛:https://forums.ubuntubsd.org,关心它的朋友可以去看看。ubuntuBSD 项目是一个将 ubuntu 的桌面嫁接于 FreeBSD 内核上的项目,目前正在寻求成为 Ubuntu 的官方分支

Vivaldi 浏览器发布了 1.1 版本,这次是重新基于 Chromium 50 进行开发的。新的功能包括更多的选项卡控制、支持模仿 Opera 的 Speed Dials 等。

基于 Ubuntu 16.04 LTS 的 RaspEX 是一个面向树莓派2和3的发行版,在一周前发布时,还不能支持 Kodi 媒体中心,不过现在发布的 160426 更新中,他们解决了这个问题。

为何要学习 Linux?

这个问题可能困扰着很多 Linux 初学者和爱好者,其实我也说不上来为何要学习 Linux,可能最实在的理由就是----Linux 相关工作岗位很多。在“见到” Linux 的第一面并不会感觉到此物有多么惊艳和神奇,但经历了漫长的学习和接触之后,你会发现它是如此的让人神往和愉悦。

那么,如何才能学好Linux呢?

第一、抱着良好的心态去学习

学习 Linux 一定要保持一个良好的心态,切忌怀疑自己的学习方向和成果。

拿我自己的经验来说,我学 Linux 是因为要比赛,学习 Linux 成了我每天的任务,就像“出租车司机每天一起床就欠200百元钱”一样。苦于学校没有专业的老师,只好一心扑在“圣贤书”之上,在经历了半年的强制学习和强制灌输,我产生了严重的自我怀疑:“学习 Linux 有什么用?那么多命令记到死啊?还比什么赛,干脆退赛完事”。这些不良的情绪直接阻碍了我学习的动力和效率,但试问这世间有什么是容易的呢?还记得你敲出的第一条命令在一个“黑漆漆”的窗口中显示了什么样的神迹吗?学习 Linux 绝非是件易事,但请不要怀疑你自己的方向和成果,你所付出的终将会给丰厚的回报。

“善终若始,则无败势”这句话就总结了我上面说的一些乱七八糟的话,如果一件事情结束的时候你还能保持像你开始那样心态的话,那么你将立于不败之地。

这一段最后补充一个小的问题吧,不要纠结去学习哪个 Linux 发行版,其实从任何一个发行版开始你的学习之旅都是一样的。

第二、合适的学习方式和教材

上面也说了,笔者最开始学习 Linux 的时候纯自学,经历了“鸟哥”的厚重,以及 Linux 从入门到“进坑”,各种各样的书籍和视频充斥着我本来就不太大的脑容量。说实话《鸟哥的 Linux 私房菜》是一本特别好的书,清晰明了、幽默风趣,但因为此书“厚如砖头”以及目前 Linux 的版本情况,所以不太推荐初学者拿此书系统的学习 Linux。当然如果第四版出了还是赶紧拜读一下的好(听说第四版今年就会引入到大陆了)。

又扯了一堆废话,那么来个明确的问题,选择视频还是书籍?

很多初学者比较倾向于找一些视频教程来看,其实这真是极好的,但是你得找一些质量高、口碑好,最好是一些大型培训机构内部的视频。但是请不要一直依赖视频,毕竟视频除了没有互动之外,跟上课一样的,所以看视频的唯一缺点就是学习成本的增加,这个成本包括了取得费用和时间成本,所以在你什么都不懂而且看书看“懵逼”的时候先看看视频吧。当你把 Linux 基础命令用熟练了,理解简单的服务原理并可以独立配置简单的服务的时候,那么就去看书吧!看书可以大大的节省你的时间、金钱成本。

看什么书?我个人比较推荐初学者去系统学习刘遄老师的《Linux就该这么学》这本书。作为一名从业7年的运维高手,刘遄老师的书籍里每一章的主题非常明确,章节内容也很精练简洁,每个章节最后都会有一些小的练习题和思考题,可以让新手更快、更好的理解和掌握每一章的知识。我自己用了3个月通读了一番,受益匪浅(而且免费)。

当然萝卜白菜各有所爱,选择什么样的学习方式和学习教材对每个人来说都是不一样的,就跟谈恋爱一样,没有最好只有最合适。

第三、不要抵触“无聊”的英语

英语无聊吗?楼主目前还在学校学习,经常可以听到一些放弃英语的朋友们说“我们是中国人,干嘛要学英语”,我就提提不吐槽了。

基本上你学习 Linux 或者使用 Linux 一段时间以后,你会发现与其说是学习 Linux 操作系统,还不如说是学习如何阅读英文呢。比如初期我们使用英文基本是在“找男人”的时候用的,当然这个 man 是个金发碧眼的“猛男”,你跟他说中文?我敢保证他能打死你。:D

随着知识的深入,你可能会需要经常去搜索一些资料,当度娘不能满足你的时候,你还得去找另一个男人---谷哥。你跟谷哥讲中文当然是可以的,但是有时候谷哥会用中文含蓄的跟你表达“我这里资料还是太少了,你去我哥哥(英文谷哥)那问问?” 试问此时如果你不会用英文描述你的问题,或者看不懂外国牛人的回答,那时候真的有种想拿豆腐撞死自己的冲动。

拿一朋友的例子来说,他就属于那种宁可背命令、背参数、背配置格式,也不愿意多记点单词的家伙。但我们仔细分析一下,假如我背了200个在 man 文档中经常出现的单词,通过这200个单词我可以猜测大多数的英文段落的意思,我还用背那些“毫无生机”的命令和参数吗?而且说实话,语言的学习是非常有意思的一件事情。

第四、找到乐趣以及伙伴

能从枯燥的学习中找到属于自己的乐趣,这是一件很幸福的事情。楼主在学习的过程中经常会产生一些天马行空的想法,类似于“这样行不行?那样做好不好?如果我这样做会产生什么样的效果?”这种想法总会让我非常急切的去试一试,虽然结果可能跟你的想象相差甚远。甚至这些问题度娘都能告诉你,但我就是喜欢自己动手尝试所带来的“快感”。当然所谓的乐趣也是相对于个人而言的,有些人把尝试新东西当做乐趣,每一次成功输出所产生的小小的成就感也可以是乐趣,当然还有一些恶趣味不是吗?

找到小伙伴也是一件很重要的事情,楼主在刚学习 Linux 的时候有好多同学、学弟学妹在同一屋檐下学习,彼此竞争、彼此帮助,每个人都能得到长足的进步。当然其实这里我想说的是找个已经学会或者从事 Linux 的朋友,当你不会的时候有个人可以帮你,这样会省掉很多查资料、翻文档的时间。

什么?“那些高手都不理我”。

亲,我推荐你先检查自己问问题的态度。楼主在长期混迹的 QQ 群中经常见到一些初学者会提问一些问题,在得到回答后连句感谢的话都没有就默默的潜水了,甚至经常看到那种得不到响应就破口大骂的。天哪,谁欠你的吗?OK,自己的态度没问题之后,那么你可以怀疑那些高手是否名副其实,真正的高手永远乐于分享并且伴着强烈的“开源精神”。当然有时候那些大神仅仅会抛出一句“方向”性的回答,但有时候这种答案才是真正优秀的答案,会帮你理清前进道路上的很多岔口。

第五、多动手实践

这一段其实真的没必要多说,上面介绍了我自己的 Linux 学习经历和学习方法,这些都是有差异性的,但永恒的不变的是“熟能生巧”这四个字,学好 Linux 绝非一朝一夕之事,时间、知识的积累一定可以将你推上顶峰。