MP3 的编码和解码不久将被 Fedora 官方支持。

去年十一月，随着覆盖了 MP3 解码的专利失效后，Fedora Workstation 通过 mpg123 库和 GStreamer 启用了 MP3 解码支持。该更新允许用户通过安装在他们的计算机中的 gstreamer1-plugin-mpg123 软件包来播放 MP3 编码的音乐。

MP3 编码方案在过去十年间和开源界闹得颇不愉快，尤其是在美国。在历史上，由于许可证问题，Fedora 不能在其基础发行版上包括 MP3 解码或编码功能，所以，很多用户只能通过第三方软件库来提供 MP3 支持。

两周前，由于专利到期，IIS Fraunhofer and Technicolor 终止了他们的授权流程，并在几天前， Red Hat 法律部门批准了在 Fedora 中提供 MP3 编码支持。不过还需要一点时间进行软件包审查，该工具是确定会被加入的。同时要说明的是只包括 MP3 而非其它的 MPEG 技术。相信很快我们就可以在 Fedora 中不用第三方库即可转换各种格式的音乐为 MP3 了。

附录：

MP3 的开发始于上世纪八十年代的 Fraunhofer IIS，其基于之前的埃尔兰根-纽伦堡大学的研究成功而开发。2017 年 4 月 23， Technicolor 结束了 MP3 的相关专利授权流程。虽然今天 MP3 已经不是最有效、最先进的音频编码方案了，但是在过去的二十年间，MP3 一直是最流行的音频编码方案，在之后若干年，MP3 想必也会流行依旧。

以下是来自 mp3-history.com 上的两张开发团队合影，有关 MP3 的历史信息也请查阅此网站：

Linux 中国一直以来都在运营着一些微信群，帮助大家找到组织，和有共同爱好的朋友一起讨论关于 Linux 、运维 、开发等等。但是长期以来，受限制于微信群二维码仅能在群成员少于 100 人时使用，超过 100 人就需要微信群管理员手动拉人，对管理员们造成了很大的困扰。同时，由于群里有很多人，平时管理员们也有自己的工作，导致无法让用户获得更好的体验。

出于解决上述两个问题的初衷，我们基于 @youfou 开源的 wxpy 库开发了微信机器人，来协助我们的管理员处理微信群的管理问题。

现在，我们的微信机器人已经正式接管了 Linux 中国的所有微信群管理，所以，在这里，我隆重为大家介绍这款机器人 —— LCBot。

LCBot 是由 Linux 中国旗下翻译组 LCTT 的开发团队开发的一个为 Linux 中国服务的微信机器人，主要为 Linux 中国下的微信群做管理、维护等工作。

可以说，有了微信机器人，微信群的运营和管理会更加方便，目前我们已经支持的功能有：

• 根据关键字自动发送加群邀请
• 接受若干指定的管理员的指令踢出某些群成员

已经排期计划的功能：

• 根据设定的规则，自动踢人功能（如刷图、长期潜水、红包小偷等）
• 微信群将满时自动创建分群，自动分流新入群成员
• 自动创建主题群
• 自动创建临时群，如果不能达成长久存在条件，自动解散
• 自动分享公众号推送内容
• 被踢用户加入黑名单，视情况分别处于不同处罚：一次性踢出、永久踢出、全部群永久踢出
• ……

开源

技术的红利不止我们需要享受，在这里我们也将这款产品介绍给您，希望 LCBot 可以帮助您更好的运营您的微信群！LCBot 的开源代码在： https://github.com/LCTT/LCBot ，欢迎大家拿去使用和提交 issue。

在此，我们要感谢 @youfou 开源了好用的 wxpy 库！感谢 @youfou 在项目开发中对我们的支持！

如果您在使用后，觉得非常好用，不妨来给我们点个 Star ，支持我们的项目更好的发展。

体验

请扫描如下微信二维码，将我们的微信机器人“小二 » Linux中国”（微信号“linux\_cn”）添加为好友：

验证信息输入下述关键字，或给机器人发送如下关键字，即可获得加群邀请。

已支持关键词

效果

参与项目开发

目前我们的项目正在不断的迭代中，欢迎参与项目开发，提交 issue、 pull request 。

欢迎大家在 issue 中提交合理的需求，我们将排期开发！

如果您在使用中有问题，也欢迎你加入“Linux 中国 ◆ 微信机器人群”，参与到我们的讨论中来。

该木马尝试使用出厂默认凭证对不同协议进行身份验证，如果成功则会部署 Mirai 僵尸程序。

攻击者已经开始使用 Windows 和 Android 恶意软件入侵嵌入式设备，这消除了人们广泛持有的想法，认为如果设备不直接暴露在互联网上，那么它们就不那么脆弱。

来自俄罗斯防病毒供应商 Doctor Web 的研究人员最近遇到了一个 Windows 木马程序，它使用暴力方法访问嵌入式设备，并在其上安装 Mirai 恶意软件。

Mirai 是一种用在基于 Linux 的物联网设备的恶意程序，例如路由器、IP 摄像机、数字录像机等。它主要通过使用出厂设备凭据来发动分布式拒绝服务 （DDoS） 攻击并通过 Telnet 传播。

Mirai 的僵尸网络在过去六个月里一直被用来发起最大型的 DDoS 攻击。它的源代码泄漏之后，恶意软件被用来感染超过 50 万台设备。

Doctor Web 发现，一旦在一台 Windows 上安装之后，该新木马会从命令控制服务器下载配置文件。该文件包含一系列 IP 地址，通过多个端口，包括 22（SSH）和 23（Telnet），尝试进行身份验证。

如果身份验证成功，恶意软件将会根据受害系统的类型。执行配置文件中指定的某些命令。在通过 Telnet 访问的 Linux 系统中，木马会下载并执行一个二进制包，然后安装 Mirai 僵尸程序。

如果按照设计或配置，受影响的设备不会从 Internet 直接访问，那么许多物联网供应商会降低漏洞的严重性。这种思维方式假定局域网是信任和安全的环境。

然而事实并非如此，其他威胁如跨站点请求伪造已经出现了多年。但 Doctor Web 发现的新木马似乎是第一个专门设计用于劫持嵌入式或物联网设备的 Windows 恶意软件。

Doctor Web 发现的新木马被称为 Trojan.Mirai.1，从它可以看到，攻击者还可以使用受害的计算机来攻击不能从互联网直接访问的物联网设备。

受感染的智能手机可以以类似的方式使用。卡巴斯基实验室的研究人员已经发现了一个 Android 程序，通过本地网络对路由器执行暴力密码猜测攻击。

（题图: Gerd Altmann / Pixabay）

via: http://www.csoonline.com/article/3168357/security/windows-trojan-hacks-into-embedded-devices-to-install-mirai.html

作者：Lucian Constantin 译者：geekpi 校对：jasminepeng

本文由 LCTT 原创编译，Linux中国 荣誉推出

继前一段时间 Linux 中国推出了“运维密码”微信小程序之后，经过开发团队的努力，重构了代码和使用了全新的现代 UI 后，同时在 GitHub 上开源了！

“运维密码”小程序是一款工作在微信环境中的小程序，主要的功能是提供一款方便、可靠、美观的 TOTP 密钥管理工具。TOTP 是基于时间的一次性密钥方案，可以为用户认证提供双因子认证（2FA）的支持，即在通常的密码之外，还额外通过另外一种方式来交叉认证以提升安全。

TOTP 认证，或者说双因子认证，在得到 Google 的大力推进之后，得到了广泛的互联网业界的支持，包括 Google、GitHub 等重视互联网安全的大型网站，也包括各类比特币网站，均支持 TOTP RFC 草案所规定的 TOTP 算法，并且 Google 还开源了其服务器端实现和客户端代码。除此之外，TOTP 还广泛应用于 Apple 、QQ、微博等各种需要双因子认证的场景中。除了网站之外，对于我们运维人员来说，TOTP 还可以应用与服务器的远程管理上，为 SSH、SFTP、FTP 等提供安全、简单、可靠的保障！

新版本介绍

好了，言归正传，我们来介绍一下本次新版本发布的情况。

本次版本迭代，我们毫不谦虚的将版本定位到 1.0.x，我们认为“运维密码”的第一阶段功能目标已经达成，目前主要有：

• 添加 TOTP 场景
• 查看 TOTP 密钥
• 修改和删除 TOTP 场景
• 生成场景二维码
• 分享（克隆） TOTP 场景给朋友
• 本地备份 TOTP 场景信息
• 本地恢复 TOTP 场景信息

新的版本，采用了现代化的 UI 设计，看起来会更专业一点。

场景列表

场景列表会列出你已经添加的所有场景，最上方是时间进度条会显示场景密钥要更新的时间。在列表最下方，可以点击“添加场景”，调出摄像头来扫描密钥二维码来添加场景。

点击场景列表中的场景密钥，会复制该密钥，以备手机上使用。

场景详情

点击场景列表中的场景（非密钥区域），可以查看场景具体详情，在此可以“分享”、“生成二维码”、“编辑”乃至于“删除”场景。

• 分享：请点击页面右上角的菜单，可以将该场景分享给你的朋友，这样你的朋友就会得到一份该场景的完全复制品。切记！分享该场景会导致别人一直拥有该场景信息，并随时生成密钥（和你的场景生成相同的密钥）。如果这不是你希望的结果，切勿分享。
• 生成二维码：可以生成一份该场景特定的二维码，将其打印出来贴于服务器等物理环境处，使用时直接用微信扫描即可调出“运维密码”小程序添加该场景。（注：该场景二维码不同于用于添加场景的种子二维码）
• 编辑和删除：也可以对此场景进行编辑，尤其是你在添加场景时输入的信息不够明确时。也可以在此修改该场景的地点（我们后继的版本会推出地点感知功能）。

生成的场景二维码

场景备份与恢复

场景备份信息，请截屏安全保存

最重要的，“运维密码”小程序提供了备份和恢复功能，这是 Google 所开源的 Google 身份验证器所缺乏的最重要功能。有了备份功能，你就不用担心手机丢失或更换手机的麻烦了。

目前我们提供了本地备份功能。限于微信小程序的限制，我们不能保存文件，只能将备份信息以二维码的方式备份出来。您可以将该二维码截屏，保存到安全可靠的地方，以备以后需要时恢复。

现阶段没有提供远程云端备份功能的主要原因是用户可能忧虑云端备份的隐私保障，因此，我们在没有办法提供一个可靠备份，连服务提供方也不能破解的方法之前，不会提供云端备份功能。

开源啦！

作为一家倡导开源的社区，我们一定要亲自践行开源才算得上名至实归。因此，我们在代码重构稳定之后，第一时间就将“运维密码”开源了出来。开源地址在：

https://github.com/LCTT/WeApp-Password

本项目采用 AGPL 3.0 协议开源。

欢迎大家复刻和提交拉取请求，有什么错误和功能建议，也非常欢迎大家给我们提出 issue。

欢迎体验

我们还开设了“运维密码”小程序体验群，欢迎大家到群内发表意见，以及寻求帮助。加入本群也可以及时体验我们发布前的体验版本，第一时刻尝鲜。

运维密码体验群

扫描识别添加上面的好友，验证信息：“运维密码”，可获得入群邀请。

使用参考

要在 OpenSSH 上使用 TOTP，请参考 netb2c 写的《SSH 安全加固篇：通过“运维密码”小程序实现 SSH 双因子认证》。

我们还会陆续推出更多使用 “运维密码”的文章，也欢迎大家给我们投稿。

哦，好像我没有说到如何找到“运维密码”——我想这一定难不倒你，不过假如你不知道的话，你可以如此这般：

• 在微信中“发现”->“小程序”中搜索“运维密码”即可。
• 什么，你的“发现”中没有“小程序”，那你可以扫描下面这个二维码，来尝鲜你的第一个小程序：

运维密码

致谢

感谢开发团队的 @Bestony、betty、wxy；

感谢撰写使用“运维密码”的文章的同学：netb2c；

感谢“运维密码”体验群的诸位同学；

感谢 Google 开源的程序；

感谢微信提供的环境。

今天，2017 年 4 月 13 日，Canonical 官方发布了 Ubuntu 17.04（Zesty Zapus）的最终版。自从去年十月发布 Ubuntu 16.10（Yakkety Yak）起，它已经开发了将近 6 个月。

如果直到今天，你一直在你的电脑上使用 Ubuntu 16.10，那么是时候升级到 Ubuntu 17.04 了，它是一个强大的发行版，“内外兼修”。它由最新的稳定的 Linux 4.10 内核驱动，并使用最新的基于 X.org 服务器 1.19.3 和 Mesa 17.0.3 的图形 Stack 进行配备。

上面提到的三个新技术，是那些使用 AMD 的 Radeon 显卡来玩游戏的人们需要立刻升级到 Ubuntu 17.04（Zesty Zapus）的唯一原因。但是 Ubuntu 17.04（Zesty Zapus）仅配备有最新的组件和应用程序。

Ubuntu 17.04（Zesty Zapus）的默认桌面环境仍然是 Unity 7，所以你钟爱的 Ubuntu 桌面环境此刻还没有消失。在未来的 Ubuntu 17.10 中，Unity 依然可用，Ubuntu 17.10 将在下个月开始开发。之后，从 Ubuntu 18.04 LTS 开始，将默认使用 GNOME 桌面。

默认使用 Unity 7 桌面

Ubuntu 17.04 有一些新的特性：

• 免驱动打印
• 交换文件
• 不再支持 32 位 PPC 架构

伴随其他有趣的技术一起装载在 Ubuntu 17.04 的最终发行版上，最值得一提的是交换文件，对于新安装的系统来说可以用它来替代交换分区。所以如果你从之前的 Ubuntu 发行版升级过来，这是唯一一个不适用的地方。

此外，默认的 DNS 解析器转换为了 systemd-resolved。IPP Everywhere 和苹果 AirPrint 打印机支持免驱动的开箱即用。绝大多数来自 GNOME 家族的包都升级到了 GNOME 3.24，只有 Nautilus 仍然保持在 GNOME 3.20.4 版本。

gconf 工具不再默认安装，因为它现在已经被 gsettings 所代替。而安装的应用大多数都是最新的，比如 LibreOffice 5.3 办公套件，Mozilla Firefox 52.0.1 Web 浏览器，以及 Mozilla Thunderbird 45.8.0 邮箱和新闻客户端。

Nautilus 文件管理器

从本次发行版本开始，不再支持 32 位 PowerPC（PPC）架构，以后的发行版也不再会支持。但是 PPC64el（PowerPC 64 位 Little Endian）会持续支持。现在，已经可以从我们网站上下载 Ubuntu 17.04的 64 位（amd64）和 32 位 ISO（i386）镜像。

其他的 Ubuntu 风味版本也在今天开始发行，包括 Ubuntu GNOME 17.04、Ubuntu MATE 17.04、Kubuntu 17.04、Xubuntu 17.04、Lubuntu 17.04、Ubuntu Kylin 17.04、Ubuntu Studio 17.04 以及 Ubuntu Budgie 17.04，这也是 Budgie 桌面作为官方的 Ubuntu 风味版本的首次亮相。

请注意，Ubuntu 17.04（Zesty Zapus）是一个短暂的分支，仅支持 9 个月的安全更新，即从今天到 2018 年 1 月中旬 。

via: http://news.softpedia.com/news/ubuntu-17-04-zesty-zapus-officially-released-available-to-download-now-514853.shtml

作者：Marius Nestor 译者：ucasFL 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

免费和开放的证书颁发机构 Let's Encrypt，给钓鱼网站颁发了将近 15000 份包含了 “PayPal” 关键字的证书。

这是由加密专家 Vincent Lynch 发现的。他说，Let's Encrypt 去年签发的包含 “PayPal” 关键字的 15,270 份安全证书中，有 96.7% 发给了钓鱼网站。数据显示，证书签发高峰是从 2016 年 11 月开始的。

Let's Encrypt 出现的时间并不长。事实上，它是 2015 年 12 月进入公测，2016 年 4 月推出 beta 版。它提供服务的目的是通过加密网站用 TLS 保护用户数据不被窃听。这些证书是为使访客确信站点的网页是安全的。为钓鱼网站发放证书，意味着 Let's Encrypt 证实这些站点的合法性。

Vincent Lynch 认为，提供免费证书的政策确实为钓鱼网站创造了非常诱人的环境。

此报告发布的几周前，Lynch 请求 Let's Encrypt 停止签发 PayPal 证书，因为这些证书被用于钓鱼目的。那时，他估计包含 PayPal 的证书数量在 1000 以下。 显然，现在根据他的完整调查，情况在迅速恶化。

“鼓励 HTTPS 使用的各种动机对钓鱼网站同样有吸引力，有一些性能的好处 (例如 HTTP/2) 只对使用 HTTPS 的站点有效。此外，对使用有效 SSL 证书的站点，浏览器也会给出信任的 UI 提示（如 Chrome 中的安全标签，浏览器的小锁图标等），这些都使钓鱼网站看起来更合法”，Lynch 在报告中写道。

Ilia Kolochenko，一家 Web 安全公司 High-Tech Bridge 的 CEO 认为，Let's Encrypt 本应该预见到对其服务的滥用，并采取一些至少很基本的验证，例如拒绝包含流行品牌名的域名申请 SSL 证书。

“加密所有 web 流量的想法仍有争议，因为它允许恶意软件轻松绕过各种安全机制，从而给最终用户和公司带来巨大损失。我很确信，如果我们可以看到有多少 Let’s Encrypt 的 SSL 证书被恶意软件利用来泄露盗窃的数据，结果肯定会是惊人的。因此，很难预期 Let’s Encrypt 未来将怎样调整其发展战略，避免它想使 web 更安全的愿望被网络罪犯滥用，”Kolochenko 说道。

Fedora 26 再次延期发布，延至 2017 年 6 月 27 日

（出于传统，）上周，Fedora 团队宣布由于发现最新的障碍 ，原定 3 月 21 日发布的 Alpha 版本，重新安排到 3 月 28日。

现在，根据最新的发布时间表，可以发现所有发布日期再次延迟，Alpha 版本推迟至 4 月 4 日，Beta Freeze 从 5 月 16 日开始，Beta 版本推迟至 5 月 30 日，最终版 Freeze 定于 6 月 13 日，最终版本推迟至 6 月 27 日发布。

微软称 Linux 上 OneDrive 运行缓慢问题已解决

上周就有报导，Linux 系统通过浏览器连接到 Microsoft OneDrive 时，很多人报告遭遇性能问题。用户抱怨浏览文件夹，编辑文档都非常缓慢，而同样的网络连接在 Windows 上却正常。

Microsoft 一位发言人 确认这只是一个 bug，性能问题决不是像一些用户猜测的那样故意为之，目的是为了支持自己的 OS Windows，而仅仅是“忽略了”。微软承诺将对 Linux 系统做更多测试工作。目前，微软已对此问题进行了修复，预期在 Windows 和 Linux 上将有相似的性能体验。

Ubuntu 16.04 LTS 和 Ubuntu 16.10 Linux 游戏玩家现已可用 Mesa 17.0.2

Canonical 的 Timo Aaltonen 早些时间宣布最新的 Mesa 17.0.2 3D 图形库包已可用，Ubuntu 16.04 LTS 和 Ubuntu 16.10 用户可从他们的 PPA 中获得。

Mesa 17.0.2 可以从 "Ubuntu-X" 团队 PPA中安装，用户可在终端 app 中运行下述命令来安装它：

sudo add-apt-repository ppa:ubuntu-x-swat/updates -y
sudo apt update && sudo apt dist-upgrade

MKVToolnix 10.0.0 发布， 改进了 H.264 and H.265 解析器

MKVToolnix 开发人员 Moritz Bunkus 宣布他的开源跨平台 MKV 操纵软件升级到一个新的主版本， 10.0.0。

根据发布信息，MKVToolnix 10.0.0 改进了 AVC/h.264 和 HEVC/h.265 解析器。

你可以点击链接，下载其在 GNU/Linux, macOS, 和 Microsoft Windows 操作系统的版本。