Joab Jackson 发布的文章

Ubuntu Core为运行容器提供了最小的轻量级Linux环境

Google为自己的云服务采用了一个简化版的Canonical Ubuntu Linux发行版,以优化运行Docker和其他容器。

Ubuntu Core被设计成仅提供在云上运行Linux所必需的组件。它发布了一个早期预览版,Canonical命名其为“Snappy”。这个新版本裁减了大量在普通Linux发行版中常见而在云应用中不实用的库和应用程序。

Google计算引擎(GCE)和Microsoft Azure加入了支持这个新的发行版的行列。

从Canonical了解到,Ubuntu Core将为用户提供一个部署Docker的简单方式,一个日益精简的虚拟容器允许用户快速启动工作负载并轻松地转移,甚至可以跨越不同的云服务提供商。

Google是Docker和基于容器的虚拟化的热心支持者。在去年六月份,这家公司用开源的方式发布了一个容器管理软件:Kubernetes。

Ubuntu Core在设计上类似于另一个发布于一年前的 Linux发行版 CoreOS。CoreOS 主要由两名前Rackspace工程师开发,CoreOS是一个轻量级Linux发行版,设计运行在集群中,被那些在网页上完成他们大部分或所有业务的公司所喜好的大规模环境。CoreOS很快被许多云服务提供商采用,包括Microsoft Azure,Amazon网站服务,DigitalOcean以及Google计算引擎。

如同CoreOS一样,Ubuntu Core提供了一个快速引擎来更新组件,减少系统管理员去手动处理的时间。


via: http://www.infoworld.com/article/2860401/cloud-computing/google-cloud-offers-streamlined-ubuntu-for-docker-use.html

作者:Joab Jackson 译者:zpl1025 校对:wxy

本文由 LCTT 原创翻译,Linux中国 荣誉推出

图片来源:Natalia Wilson,受Creative Commons许可

安全专家表示,Linux处理权限的方式仍有可能导致潜在的误操作。

但红帽对此不以为然,称 Alert Logic 于本周二(译者注:12月16日)公布的 grinch (“鬼精灵”) Linux漏洞根本算不上是安全漏洞。

红帽于周三发表简报 回应Alert Logic 说法,表示:“(Alert Logic的)这份报告错误地将正常预期动作归为安全问题。”

安全公司Alert Logic于本周二声称“鬼精灵”漏洞其严重性堪比 Heartbleed 臭虫,并称其是 Linux 系统处理用户权限时的重大设计缺陷,恶意攻击者可借此获取机器的root权限。

Alert Logic 称攻击者可以使用第三方Linux 软件框架Policy Kit (Polkit)达到利用“鬼精灵”漏洞的目的。Polkit旨在帮助用户安装与运行软件包,此开源程序由红帽维护。Alert Logic 声称,允许用户安装软件程序的过程中往往需要超级用户权限,如此一来,Polkit也在不经意间或通过其它形式为恶意程序的运行洞开方便之门。

红帽对此不以为意,表示系统就是这么设计的,换句话说,“鬼精灵”不是臭虫而是一项特性。

安全监控公司Threat Stack联合创造人 Jen Andre 就此在一篇博客中写道:“如果你任由用户通过使用那些利用了Policykit的软件,无需密码就可以在系统上安装任何软件,实际上也就绕过了Linux内在授权与访问控制。”

Alert Logic 高级安全研究员 James Staten 在发给国际数据集团新闻社(IDG News Service)的电子邮件中写道,虽然这种行为是设计使然,有意为之,但“鬼精灵”仍然可能被加以利用或修改来攻陷系统。

“现在的问题是表面存在一个薄弱环节,可以被用来攻击系统,如果安装软件包象其它操作一样,比如删除软件包或添加软件源,没有密码不行,那么就不会存在被恶意利用的可能性了。”

不过 Andre 在一次采访中也表示,对那些跃跃欲试的攻击者来说,想利用Polkit还是有一些苛刻限制的。

攻击者需要能够物理访问机器,并且还须通过外设键鼠与机器互动。如果攻击者能够物理访问机器,可以象重启机器进入恢复模式访问数据与程序一样地轻而易举的得手。

Andre表示,不是所有Linux机器都默认安装Polkit -- 事实上,其主要用于拥有桌面图形界面的工作站,在当今运行的Linux机器中占有很小的份额。

换句话说,“鬼精灵”并不具有象Shellshock那样广泛的攻击面, 后者存在于Bash shell中,几乎所有发行版无一幸免。

其他安全专家对“鬼精灵”漏洞也不以为然。

系统网络安全协会(SANS Institute)互联网风暴中心(Internet Storm Center)咨询网站的 Johanners Ullrich 在一篇博文中写道:“某种程度上,与很多Linux系统过分随意的设置相比,这个并算不上多大的漏洞。”

Ullrich 同时还指出,“鬼精灵”漏洞也并非完全“良性”,“可以很容易地加以利用,获得超出Polkit设置预期的权限。”

Andre指出,负责管理运行Polkit桌面Linux机器的管理员要做到心中有数,了解潜在的危险,检查那些程序是靠Polkit来管理的,确保系统无虞。

他还表示,应用开发者与Linux 发行者也应确保正确使用Polkit框架。

原始报告的另一位作者Even Tyler似乎也承认“鬼精灵”并非十分严重。

在开源安全邮件列表的一封邮件中,Bourland 提到攻击者需要借助其它漏洞,连同“鬼精灵”才能发起攻击时,他写道,“鬼精灵”就象个“开启界面的熟练工,但是本身并不能翻多高的浪。”

(Lucian Constantin 对本文也有贡献。)


via:http://www.computerworld.com/article/2861392/security0/the-grinch-isnt-a-linux-vulnerability-red-hat-says.html

作者:Joab Jackson 译者:yupmoon 校对:wxy

本文由 LCTT 原创翻译,Linux中国 荣誉推出

红帽希望通过 Linux for ARM 服务器来避免困扰在Unix身上的几十年的分裂的发生 。

IDG通讯社 - 红帽公司已经开发出一个服务器版本的Linux操作系统,可以用来测试基于ARMv8-A 64-bit架构的芯片及其周边硬件,志在统一服务器市场。

该发行版基于该公司的红帽企业Linux(RHEL),是红帽在周三为潜在的ARM硬件厂商推出的的合作伙伴计划的一部分。

“我们并不称其为RHEL,但它作为一种功能性,不提供技术支持,可以用在合作伙伴的开发中使用的操作系统”,红帽平台产品营销高级主管Mark Coggin说。

红帽的设计方案符合硬件厂商的ARMv8-A规格实施标准。 ARM本身并不生产自己的处理器,而是将其设计产权授权于芯片制造商。

标准的解决方案将意味着用户可以从任何制造商购买ARMv8-A的服务器,他们知道自己的ARM 64位操作系统和软件将能完美地工作在不管是谁生产的芯片上,Coggin说。红帽希望Linux的ARM能避免像AT&T的Unix操作系统,分裂成许多不同不兼容的版本的命运。

“我们看到了早期进入市场的重要性,并且确信我们不会陷入到这样的碎片化:如果你想运行一个AMD的ARM解决方案;你需要一个相应的Linux版本,如果你想运行博通的ARM解决方案,你就需要另外一个版本”Coggin说。

今年早些时候开始,一些ARM的服务器的标准化工作已经制定完成,这是由一个被称为服务器系统基础架构(SBSA)规范的行业协会以及Linaro企业集团完成的。 Red Hat尚未命名的ARM Linux发行版使用着来自这两个组织的规范。

红帽不仅希望能影响到芯片生产商同时也包括硬件供应商、OEM 和 ODM。

迄今为止,像Advanced Micro Devices公司,American Megatrends,AppliedMicro,博通,Cavium公司,戴尔和惠普这样的制造商都承诺将支持Red Hat的标准化工作。

“如果ARM在服务器领域终将成为一个有力的的竞争者的话,[硬件提供商]将达成一种共识,即这种架构的服务器也是可行的。当前,客户及其需求都处于x86世界, “Yan Fisher,红帽技术产品营销经理说。

通过这种方式,红帽将了解到更多有关制造商对企业版 64位 ARM Linux 发行版的需求,Coggin说。可能有一天基础操作系统会成为RHEL的ARM版本。

“我们正在试图从技术层面了解其平台的需求,”Coggin说。 “我们不知道它是否或何时会成为一个产品,但是我们有自我定位的方式,在某些时候,我们相信可以我们进入市场。”

尽管Red Hat的Fedora项目过去和现在一直在提供ARM架构的发行版,但是基于Fedora的工作,可以支持更多的 ARM 服务器使用。

尽管ARM处理器在大多数移动设备使用广泛,但是直到最近才出现了在同行业中使用它们作为数据中心的迹象,它们的低功耗设计可以大大降低能源消耗。

目前只有极少数的ARMv8-A处理器和相关的硬件是可用的,大部分是一些早期的开发者预览版的或预装的专有系统。

AMD皓龙A1100系列ARM处理器,专为服务器设计,周三将会释放给开发者。 AMD还提供了专为SOC(注:system-on-a-chip 片上系统)架构设计的Cortex-A57 ARMv8。

AppliedMicro提供已经产品级的ARM服务器,在X-Gene的品牌之下,惠普正在准备推出其准备试水的ARM服务器产品线。主板制造商美国Megatrends提供了一个BIOS芯片用来启动ARM处理器。


via: http://www.computerworld.com/s/article/9250061/Red_Hat_aims_to_standardize_Linux_for_64_bit_ARM_servers?taxonomyId=122

作者:Joab Jackson 译者:owen-carter 校对:wxy

本文由 LCTT 原创翻译,Linux中国 荣誉推出

CoreOS发布了他的Linux发行版的商用支持版,并且宣称将废除手动更新。

国际数据集团新闻社消息——CoreOS发布了商用Linux发行版,以期能简化系统管理员的生活。这个Linux发行版可持续进行自动更新,不需要进行重大升级。

CoreOS提供其同名的Linux发行版做为商业服务,开始为一个月100美元。

“商家现在可以开始考虑将CoreOS作为他们系统团队的延伸,对于企业Linux客户,这将是他们会需要的最后一次迁移。”CoreOS的创始人和CEO在一份声明中这样说。

商业Linux订阅并不是什么新鲜事:Red HatSuse都在为他们各自的发行版提供商业订阅。

因为这些以Linux为基础的公司使用的应用程序和库都是开源和免费提供的,所以订阅的费用不包括软件本身,而收费来自更新、漏洞修复、集成以及发生问题时的技术支持。

CoreOS公司声称,CoreOS将会和这些发行版不同,它将不会有重大更新,而在那些发行版中这些更新通常需要一次更新所有的包。在CoreOS中,它的更新和新特征将会在就绪后自动安装入操作系统中。

服务中提供了一个叫做CoreUpdate的仪表盘,如果管理员不想自动更新所有包,它可用于标明选取哪些软件包获取更新。

CoreUpdate可以同时管理多个机器,而且提供了回滚功能——在更新引起问题可使用。

CoreOS于去年十二月发布,它的设计旨在关注开源操作系统内核的新兴使用——用于大量基于云计算的虚拟服务器。

CoreOS的设计使其平均消耗要少于其他Linux发行版通常消耗的一半。系统中所有的程序运行在Docker虚拟化容器中,所以它们几乎可以在瞬间就开始运行。

由于CoreOS分为两部分的新用法使其更新更为容易。一部分放置当前版本的系统,而另一部分系统来进行升级,平滑地进行升级包或者整个系统。

CoreOS服务可以运行在本地,或者在Amazon,Google和Rackspace云服务上。

CoreOS周一还宣布他们收到了来自Kleiner Perkins Caulfield and Byers风险投资公司的800万美元的支持。他们此前还收到了红杉资本和斐然资本的投资。


作者Joab Jackson负责IDG新闻服务机构中企业软件和通用技术的新闻。Twitter上关注Joab@Joab\_Jackson。Joab的电子邮箱地址是mailto:[email protected]


via: http://www.computerworld.com/s/article/9249460/CoreOS_Linux_ending_the_upgrade_cycle?taxonomyId=122

译者:linuhap 校对:wxy

本文由 LCTT 原创翻译,Linux中国 荣誉推出