All perguntas(unix)

Isso está relacionado, mas acredito que não seja uma duplicata, de " Por que não consigo definir a data das minhas máquinas GNU/Linux para a Época? ".

Descobri que um dos meus kernels Linux rejeita tentativas de acertar o relógio para um horário durante os primeiros seis minutos após a época:

root@beaglebone:/# date 010100061970
date: cannot set date: Invalid argument
Thu 01 Jan 1970 12:06:00 AM UTC
root@beaglebone:/# date 010100071970
Thu 01 Jan 1970 12:07:00 AM UTC

Mas sete minutos depois da época funciona bem.

Alguém tem alguma ideia de por que isso pode acontecer? Quando tiver oportunidade, verificarei as fontes do kernel em busca de pistas.

(Não, não é uma questão prática, apenas curiosidade e, portanto, talvez mais adequada para retrocomputing.se ou algo assim. Minha tentativa de acertar o relógio dessa maneira foi um erro, e o kernel me fez um favor ao rejeitá-la. Mas, ainda assim, é estranho.)

Sei por outras evidências que a rejeição não está acontecendo no datecomando, mas no próprio kernel. O settimeofdaysyscall está retornando -1, com errno definido como EINVAL.

Isso ocorreu em um sistema Debian 10 executando o kernel 4.19.94-ti-r42.

Eu também tentei em uma máquina Debian 11, kernel 5.10.179-1, e ele se comportou de forma semelhante, embora a "região proibida" fosse de dois meses inteiros no início de 1970 - não consegui definir uma data antes de março 1.

Atualização: Não apenas a pergunta foi respondida, mas o pequeno mistério estranho também foi resolvido, ou seja, por que diferentes máquinas nas quais testei tinham comportamentos diferentes. A primeira máquina em que testei havia sido reinicializada recentemente e não me permitia definir o tempo para um valor inferior a sete minutos após a época. Mas a segunda máquina estava em funcionamento há alguns meses e não me permitia definir a hora para uma data anterior a março - isto é, não dentro dos primeiros dois meses após a época. Mas isso faz sentido, porque uma maneira de declarar a restrição é que você não pode ter (tempo desde 1970) menor que (tempo desde a inicialização).

Eu verifiquei essas duas perguntas ( pergunta um , pergunta dois ), mas elas não foram úteis para eu entender. Eu tenho um arquivo file.txtcom 40 linhas de Hello World!string. ls -lmostra que seu tamanho é de 520 bytes. Agora eu arquivo este arquivo com tar -cvf file.tar file.txte quando faço ls -lnovamente vejo que file.tarsão 10240 bytes. Por quê?

Li alguns manuais e entendi que arquivar e compactar são coisas diferentes. Mas alguém pode explicar como funciona?

A página man para cp(1)diz

--no-clobbernão sobrescreva um arquivo existente

No entanto, o cenário a seguir não seria possível?

1. cpverifica a existência do arquivo, vamos supor que o arquivo não exista (ainda)
2. Algum outro processo grava no mesmo caminho, então agora há dados gravados no arquivo anteriormente não existente
3. Como cpnão está ciente do arquivo agora existente, ele substitui os dados

É cp --no-clobbervulnerável a esta condição de corrida? E se não, como cpevitar a situação acima?

Eu tenho alguns milhares de arquivos que são compactados individualmente com GZip (passando, é claro, o -nsinalizador para que a saída seja determinística). Eles então vão para um repositório Git. Acabei de descobrir que para 3 desses arquivos, o Gzip não produz a mesma saída no macOS vs Linux. Aqui está um exemplo:

Mac OS

$ cat Engine/Extras/ThirdPartyNotUE/NoRedist/EnsureIT/9.7.0/bin/finalizer | shasum -a 256
0ac378465b576991e1c7323008efcade253ce1ab08145899139f11733187e455  -

$ cat Engine/Extras/ThirdPartyNotUE/NoRedist/EnsureIT/9.7.0/bin/finalizer | gzip --fast -n | shasum -a 256
6e145c6239e64b7e28f61cbab49caacbe0dae846ce33d539bf5c7f2761053712  -

$ cat Engine/Extras/ThirdPartyNotUE/NoRedist/EnsureIT/9.7.0/bin/finalizer | gzip -n | shasum -a 256
3562fd9f1d18d52e500619b4a5d5dfa709f5da8601b9dd64088fb5da8de7b281  -

$ gzip --version
Apple gzip 272.250.1

Linux

$ cat Engine/Extras/ThirdPartyNotUE/NoRedist/EnsureIT/9.7.0/bin/finalizer | shasum -a 256
0ac378465b576991e1c7323008efcade253ce1ab08145899139f11733187e455  -

$ cat Engine/Extras/ThirdPartyNotUE/NoRedist/EnsureIT/9.7.0/bin/finalizer | gzip --fast -n | shasum -a 256
10ac8b80af8d734ad3688aa6c7d9b582ab62cf7eda6bc1a0f08d6159cad96ddc  -

$ cat Engine/Extras/ThirdPartyNotUE/NoRedist/EnsureIT/9.7.0/bin/finalizer | gzip -n | shasum -a 256
cbf249e3a35f62a4f3b13e2c91fe0161af5d96a58727d17cf7a62e0ac3806393  -

$ gzip --version
gzip 1.6
Copyright (C) 2007, 2010, 2011 Free Software Foundation, Inc.
Copyright (C) 1993 Jean-loup Gailly.
This is free software.  You may redistribute copies of it under the terms of
the GNU General Public License <http://www.gnu.org/licenses/gpl.html>.
There is NO WARRANTY, to the extent permitted by law.

Written by Jean-loup Gailly.

Como isso é possível? Achei que a implementação do GZip era completamente padrão?

ATUALIZAÇÃO: Apenas para confirmar que as versões macOS e Linux produzem a mesma saída na maioria das vezes, ambos os sistemas operacionais produzem o mesmo hash para:

$ echo "Vive la France" | gzip --fast -n | shasum -a 256
af842c0cb2dbf94ae19f31c55e05fa0e403b249c8faead413ac2fa5e9b854768  -

Renovei meu par de chaves gpg, mas ainda estou recebendo o seguinte erro do gpg.

gpg: WARNING: Your encryption subkey expires soon.
gpg: You may want to change its expiration date too.

Como posso renovar a subchave?

Como posso alcançar

cmd >> file1 2>&1 1>>file2

Ou seja, o stdout e o stderr devem redirecionar para um arquivo (arquivo1) e apenas o stdout (arquivo2) deve redirecionar para outro (ambos em modo append)?

Um cliente X precisa necessariamente de um gerenciador de janelas para funcionar? Um cliente X pode trabalhar apenas com o servidor X?

Se um cliente X não tiver uma janela , se ele pode funcionar precisa de um gerenciador de janelas?

Se um cliente X pode funcionar sem um gerenciador de janelas, o cliente X necessariamente não tem janela?

Obrigado.

Estou executando este loop para verificar e imprimir algumas coisas a cada segundo. No entanto, como os cálculos levam talvez algumas centenas de milissegundos, o tempo impresso às vezes salta um segundo.

Existe alguma maneira de escrever um loop que tenha a garantia de obter uma impressão a cada segundo? (Desde que, é claro, os cálculos no loop levem menos de um segundo :))

while true; do
  TIME=$(date +%H:%M:%S)
  # some calculations which take a few hundred milliseconds
  FOO=...
  BAR=...
  printf '%s  %s  %s\n' $TIME $FOO $BAR
  sleep 1
done

Existe uma ferramenta existente, que pode ser usada para baixar arquivos grandes em uma conexão ruim?

Eu tenho que baixar regularmente um arquivo relativamente pequeno: 300 MB, mas a conexão TCP lenta (80-120 KBytes/seg) quebra aleatoriamente após 10-120 segundos. (É a rede de uma grande empresa. Entramos em contato com seus administradores (trabalhando da Índia) várias vezes, mas eles não podem ou não querem fazer nada.) O problema pode estar em seus proxies reversos / balanceadores de carga.

Até agora usei uma versão modificada do pcurl: https://github.com/brunoborges/pcurl

Eu mudei esta linha:

curl -s --range ${START_SEG}-${END_SEG} -o ${FILENAME}.part${i} ${URL} &

para isso:

curl -s --retry 9999 --retry-delay 3 --speed-limit 2048 --speed-time 10 \
    --retry-max-time 0 -C - --range ${START_SEG}-${END_SEG} -o ${FILENAME}.part${i} ${URL} &

Eu tive que adicionar --speed-limit 2048 --speed-time 10porque a conexão geralmente trava por minutos quando falha.

Mas, recentemente, nem mesmo esse script pode ser concluído.

Um problema é que ele parece ignorar a -C -parte, então não "continua" o segmento após uma nova tentativa. Parece truncar o arquivo temporário relacionado e começar do início após cada falha. (Acho que --rangeas -Copções e não podem ser usadas juntas.)

O outro problema é que esse script baixa todos os segmentos ao mesmo tempo. Não pode ter 300 segmentos, dos quais apenas 10 estão sendo baixados por vez.

Eu estava pensando em escrever uma ferramenta de download em C# para essa finalidade específica, mas se houver uma ferramenta existente ou se o comando curl funcionar corretamente com parâmetros diferentes, posso poupar algum tempo.

ATUALIZAÇÃO 1: Informações adicionais: A funcionalidade de download paralelo não deve ser removida, porque eles têm um limite de largura de banda (80-120 Kbytes / seg, principalmente 80) por conexão, portanto, 10 conexões podem causar um aumento de velocidade de 10 vezes. Tenho que terminar o download do arquivo em 1 hora, pois o arquivo é gerado de hora em hora.

Pesquisadores de segurança publicaram no Project Zero uma nova vulnerabilidade chamada Specter and Meltdown permitindo que um programa roube informações da memória de outros programas. Afeta as arquiteturas Intel, AMD e ARM.

Essa falha pode ser explorada remotamente visitando um site JavaScript. Detalhes técnicos podem ser encontrados no site da redhat , equipe de segurança do Ubuntu .

Vazamento de informações por meio de ataques de canal lateral de execução especulativa (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754, também conhecido como Spectre e Meltdown)

Foi descoberto que uma nova classe de ataques de canal lateral afeta a maioria dos processadores, incluindo processadores da Intel, AMD e ARM. O ataque permite que processos maliciosos do espaço do usuário leiam a memória do kernel e códigos maliciosos nos convidados leiam a memória do hipervisor. Para resolver o problema, serão necessárias atualizações no kernel do Ubuntu e no microcódigo do processador. Essas atualizações serão anunciadas em futuros Avisos de Segurança do Ubuntu assim que estiverem disponíveis.

Implementação de exemplo em JavaScript

Como prova de conceito, foi escrito um código JavaScript que, ao ser executado no navegador Google Chrome, permite que o JavaScript leia a memória privada do processo em que é executado.

Meu sistema parece ser afetado pela vulnerabilidade do espectro. Eu compilei e executei esta prova de conceito ( spectre.c).

Informação do sistema:

$ uname -a
4.13.0-0.bpo.1-amd64 #1 SMP Debian 4.13.13-1~bpo9+1 (2017-11-22) x86_64 GNU/Linux

$ cat /proc/cpuinfo
model name  : Intel(R) Core(TM) i3-3217U CPU @ 1.80GHz

$gcc --version
gcc (Debian 6.3.0-18) 6.3.0 20170516

Como mitigar as vulnerabilidades Spectre e Meldown em sistemas Linux?

Leitura adicional: Usando o Meltdown para roubar senhas em tempo real .

Atualizar

Usando o Spectre & Meltdown Checkerdepois de mudar para a 4.9.0-5versão do kernel seguindo a resposta de @Carlos Pasqualini porque uma atualização de segurança está disponível para mitigar o cve-2017-5754 no debian Stretch:

CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Checking count of LFENCE opcodes in kernel:  NO  (only 31 opcodes found, should be >= 70)
> STATUS:  VULNERABLE  (heuristic to be improved when official patches become available)

CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigation 1
*   Hardware (CPU microcode) support for mitigation:  NO 
*   Kernel support for IBRS:  NO 
*   IBRS enabled for Kernel space:  NO 
*   IBRS enabled for User space:  NO 
* Mitigation 2
*   Kernel compiled with retpoline option:  NO 
*   Kernel compiled with a retpoline-aware compiler:  NO 
> STATUS:  VULNERABLE  (IBRS hardware + kernel support OR kernel with retpoline are needed to mitigate the vulnerability)

CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Kernel supports Page Table Isolation (PTI):  YES 
* PTI enabled and active:  YES 
> STATUS:  NOT VULNERABLE  (PTI mitigates the vulnerability)

Atualização 25 de janeiro de 2018

O spectre-meltdown-checkerscript é empacotado oficialmente pelo debian , está disponível para Debian Stretch através do repositório de backports , Buster e Sid.

Atualização 22/05/2018

Speculative Store Bypass (SSB) – também conhecido como Variante 4

Sistemas com microprocessadores que utilizam execução especulativa e execução especulativa de leituras de memória antes que os endereços de todas as gravações de memória anteriores sejam conhecidos podem permitir a divulgação não autorizada de informações a um invasor com acesso de usuário local por meio de uma análise de canal lateral.

Rogue System Register Read (RSRE) – também conhecido como Variante 3a

Sistemas com microprocessadores que utilizam execução especulativa e que realizam leituras especulativas de registros do sistema podem permitir a divulgação não autorizada de parâmetros do sistema a um invasor com acesso de usuário local por meio de uma análise de canal lateral.

Editar 27 de julho de 2018

NetSpectre: Ler memória arbitrária pela rede

Neste artigo, apresentamos o NetSpectre, um novo ataque baseado na variante Spectre 1, que não requer código controlado pelo invasor no dispositivo alvo, afetando assim bilhões de dispositivos. Semelhante a um ataque Spectre local, nosso ataque remoto requer a presença de um gadget Spectre no código do alvo. Mostramos que os sistemas que contêm os dispositivos Spectre necessários em uma interface de rede ou API exposta podem ser atacados com nosso ataque Spectre remoto genérico, permitindo a leitura de memória arbitrária na rede. O invasor apenas envia uma série de solicitações elaboradas para a vítima e mede o tempo de resposta para vazar um valor secreto da memória da vítima.