Category: Интересно

Первый выпуск открытого SSH-сервера Teleport

Июн 24, 2016 - Интересно - 0 Comments - Стандартный

24.06.2016 09:03 Первый выпуск открытого SSH-сервера Teleport

Компания Gravitational объявила о доступности нового свободного SSH-пакета Gravitational Teleport (Teleport), предлагающего клиент и сервер SSH, оптимизированные для упрощения работы персонала, обслуживающего кластеры с большим числом узлов. Код проекта написан на языке Go и распространяется под лицензией Apache 2.0. Реализация SSH обратно совместима с OpenSSH и построена с использованием библиотеки Golang SSH.

Teleport пытается автоматизировать работу и повысить безопасность инфраструктур, в которых группам людей требуется доступ к различным серверам в кластере. Вместо применяемой в OpenSSH аутентификации по ключам, чтобы избежать необходимости копирования ключа каждого пользователя на узлы, в Teleport используются централизованные серверы аутентификации, выполняющие функции локального удостоверяющего центра (CA). При успешной аутентификации, для обеспечения входа сервер аутентификации генерирует временный сертификат, заверенный цифровой подписью CA. Достоверность узлов также подтверждается при помощи сертификата, подписанного CA.

Помимо проверки сертификата при каждом входе обязательно применяется двухфакторная аутентификация, требующая подтвердить намерение входа альтернативным путём (поддерживается Google Apps и клиенты OAuth2). Не допускается прямое обращение к конечным узлам, для доступа требуется подключение только через специальный прокси.

Другие особенности Teleport:

  • Помимо традиционного интерфейса командной строки имеется возможность входа через HTTPS с эмуляцией терминала в web-браузере;
  • Поддержка функций аудита и повторения типовых операций — содержимое SSH-сеансов может записываться и при необходимости воспроизводиться на других хостах;
  • Режим совместного решения проблем, при котором несколько человек могут совместно использовать один сеанс SSH;
  • Автоматическое определение доступных рабочих серверов и контейнеров Docker в кластерах с динамическим присвоением имён хостам;
  • Поддержка обратного туннелирования для подключения к кластерам, ограждённым межсетевым экраном;
  • Возможность определения меток для наглядного разделения узлов кластера;
  • Поддержка блокировки доступа после нескольких неудачных попыток входа;
  • Сопоставление пользователей с логинами на конечных узлах осуществляется через специальные списки маппинга;
  • Для подсоединения к хосту требуется указать два имени — имя кластера и имя узла в кластере. Teleport ориентирован на управление кластерами, а не отдельными серверами: для каждого пользователя и хоста определяется принадлежность к кластеру;
  • Узлы подключаются к кластеру через определение статичестких или генерацию динамических токенов, которые при желании можно отозвать для запрета входа на данный узел;
  • Для подсоединения к серверам Teleport внутри кластера можно использовать обычный клиент OpenSSH (требуется копирование ключей);
  • Успешно пройден аудит безопасности кода, заказанный в независимой проверяющей компании.

[embedded content]

  1. Главная ссылка к новости (http://blog.gravitational.com/…)
Тип: Программы
Ключевые слова: ssh, teleport
При перепечатке указание ссылки на opennet.ru обязательно
 
+/
Так во во что собрались вложить кучу бюджетных денег — в open source! А я то, дурак, подумал что, как обычно, просто разворуют.
 
 
+/
Так они в правительстве знали, что уже всё сделано за бесплатно  и завтра релиз будет, поэтому и объявили такой проект. Так что все выделенные деньги теперь уже в кармане у них 🙂
 
+6 +/
> чтобы избежать необходимости копирования ключа каждого пользователя на узлы

… можно использовать Kerberos, но это же так сложно.

А ещё есть sssd с его sss_ssh_authorizedkeys…

 
 
+1 +/
+1
Первая же мысль при прочтении — «мы почти уже изобрели собственный kerberos, только через задницу, на значительно более сложной и менее надежной openssl’ской базе и отдельный — со всеми вытекающими в виде необходимости поддерживать и обслуживать еще один аутентификационный сервис исключительно для ssh-доступа»
(плюс еще и прокси. Очередной то ли spof, то ли не s, но требующий от пользователя вовремя понять что не так и сделать нетривиальные ручные движения, не как полезная дополнительная возможность, а как идиотское требование)
 

 Добавить комментарий

Навигация

Let’s block ads! (Why?)

Red Hat поменял лицензию на библиотеку Cygwin

Июн 23, 2016 - Интересно - 0 Comments - Стандартный

23.06.2016 22:24 Red Hat поменял лицензию на библиотеку Cygwin

Компания Red Hat объявила об изменении лицензии на DLL-библиотеку Cygwin, эмулирующую базовый Linux API в Windows и позволяющую с минимальными изменениями собирать созданные для Linux программы. Вместо лицензии GPLv3+ библиотека отныне распространяется под лицензией LGPLv3+, которая позволяет связывать код с приложениями под любыми лицензиями, в том числе с проприетарным ПО.

Кроме того, у разработчиков, присылающих изменения в Cygwin, больше не будут требовать подписания соглашения о передаче имущественных прав на код. Соответственно процедура участия в разработке существенно упрощается и лишается бумажной волокиты, отпугивающей многих разработчиков.

Red Hat также отказывается от поставки коммерческой лицензии на Cygwin, так как LGPL позволяет обойтись без лицензионных исключений. Причины изменения не сообщаются, но вероятно смысл в коммерческой лицензии пропал после создания компанией Microsoft штатной прослойки WSL («Windows Subsystem for Linux») для трансляции системных вызовов Linux в системные вызовы Windows.

Одновременно доступен выпуск Cygwin 2.5.2, это последний выпуск с поддержкой Windows XP и Windows Server 2003. Изменение лицензии в Cygwin 2.5.2 произведено только для библиотеки, утилиты и другие компоненты пакета Cygwin (cygserver, cygpath, regtool и т.п.) остались под лицензией GPLv3+.

  1. Главная ссылка к новости (https://cygwin.com/ml/cygwin-a…)
  2. OpenNews: Совместная инициатива Debian и Software Freedom Conservancy по защите соблюдения GPL
  3. OpenNews: Автор Upstart выступил с критикой CLA-соглашений
  4. OpenNews: Сравнительный анализ соглашений о передаче прав (CLA) различных проектов
  5. OpenNews: Попытка унификации соглашений с разработчиками открытого ПО вскрыла много проблем
  6. OpenNews: В Windows обеспечена поддержка запуска исполняемых файлов Linux
Тип: К сведению
Ключевые слова: cygwin, gpl
При перепечатке указание ссылки на opennet.ru обязательно
 
 
+/
>> больше не будут требовать подписания соглашения о передаче имущественных прав на код
> А как федорофанаты всё время указывают на CLA у Каноникал и забывают,
> что у Шапки тоже самое.

На это CLA — и его фундаментальные отличия от FSF-ного, например — указывают далеко не только федорофанаты.  А в данном разе речь вообще про cygwin и перед обсуждением стоило бы копнуть историю вопроса применительно к _этому_ проекту (мне лень, мы его только зеркалили когда-то).

 
–1 +/
Забавно, стоит Canonical предпринять хоть что-нибудь, так сразу появляется аналог от RedHat (отряхивается от нафталина альтернатива и усиленно пилится/перелицензируется). Впрочем от этого только плюсы.
 
–1 +/
А об этом уже неделю назад наменул: https://www.linux.org.ru/news/opensource/12670981#comment-12671314
> Да и винда уже начала тянуть вообще весь консольный GNU/Linux-стек, так что GPL Cygwin’у придётся нелегко теперь.

Очень рад, что RedHat не заставила себя долго ждать и приняла единственно правильную меру. Надо было бы давно так: ведь теперь уже может оказаться поздно.

 

 Добавить комментарий

Навигация

Let’s block ads! (Why?)

Выпуск звукового сервера PulseAudio 9.0

Июн 22, 2016 - Интересно - 0 Comments - Стандартный

22.06.2016 23:23 Выпуск звукового сервера PulseAudio 9.0

Представлен релиз звукового сервера PulseAudio 9.0, который выступает в роли посредника между приложениями и различными низкоуровневыми звуковыми подсистемами, абстрагируя работу с оборудованием. PulseAudio позволяет управлять громкостью и смешиванием звука на уровне отдельных приложений, организовывать поступление, смешивание и вывод звука при наличии нескольких входных и выходных каналов или звуковых карт, позволяет на лету менять формат звукового потока и использовать плагины, дает возможность прозрачно перенаправлять звуковой поток на другую машину. Код PulseAudio распространяется в рамках лицензии LGPL 2.1+. Поддерживается работа в Linux, Solaris, FreeBSD, OpenBSD, DragonFlyBSD, NetBSD, macOS и Windows.

Ключевые улучшения PulseAudio 9.0:

  • Улучшение автоматической маршрутизации звука. В новой версии устранены побочные эффекты, всплывшие после включения в PulseAudio 8 новой системы автоматического переключения на другой профиль при отключении звукового устройства. Например, при отключении наушников PulseAudio может переключиться на S/PDIF и не вернуть звук обратно на наушники после их повторного подключения. Ещё одной проблемой является временное отключения HDMI при переходе монитора в спящий режим — в ответ на такое отключение PulseAudio может переключить вывод звука на другой порт HDMI и не вернуть его обратно после возобновления активности первого монитора. Подобные проблемы теперь устранены;
  • Серия изменений в системе подавления эха WebRTC:
    • Добавлен новый фильтр «beamforming«, учитывающий пространственное размещение микрофонов. Фильтр активируется через задание параметра «beamforming=true» при загрузке компонента module-echo-cancel и требует задания данных о геометрии микрофонов и направлении источника звука, которые передаются через параметры «mic_geometry» и «target_direction».
    • Реализован режим расширенного фильтра («extended filter»), при котором система подавления эха менее чувствительна к поступающим от оборудования некорректным данным о задержках. По умолчанию режим отключен и включается после передачи опции «extended_filter=true».
    • Обеспечена возможность отключения механизма определения голосовой активности (параметр «voice_detection=false»);
    • Добавлена возможность настройки начальной громкости при использовании AGC (automatic gain control) через указание опции «agc_start_volume=[0-255]».
  • Серия улучшения в работе модулей module-role-cork и module-role-ducking: добавлена поддержка потоков с установленным свойством «media.role», добавлена специальная роль «any_role» (позволяет выбрать все потоки, за исключением текущего), обеспечена возможность выбора разных уровней приглушения громкости для разных потоков;
  • Отключён по умолчанию активированный в PulseAudio 7 новый метод синтеза LFE-канала (низкочастотные эффекты для сабвуфера) из обычного звукового контента, не имеющего отдельного LFE-канала. В PulseAudio 7.x и 8.x LFE-канал формировался на основе фильтрации низкочастотных гармоник в оригинальном контенте. В PulseAudio 9 возвращен старый метод усреднения имеющихся каналов c приглушением LFE, так как новый метод пока не работает корректно и LFE получался слишком тихим;
  • Представлена начальная реализация нового транспорта memfd-backed, использующего разделяемую память для эффективной передачи данных между сервером и клиентом без промежуточной буферизации. Бэкенд базируется на использовании механизма Memfd (позволяет выделить память как через malloc, но обращаться к ней как с файлом, по файловому дескриптору), предложенного разработчиками systemd/kdbus и включённого в состав ядра Linux 3.17;
  • Допустимая частота дискретизации повышена со 192 kHz до 384 kHz;
  • Система сборки переведена с использования по умолчанию стандарта C99 на C11. При сборке компилятор теперь вызывается с флагом «-std=gnu11», что позволяет использовать в коде новые возможности стандарата C11.
  1. Главная ссылка к новости (https://lists.freedesktop.org/…)
  2. OpenNews: Выпуск звукового сервера PulseAudio 8.0
  3. OpenNews: Выпуск звукового сервера PulseAudio 7.0
  4. OpenNews: Разработчики Fedora представили Pinos, аналог PulseAudio для видео
  5. OpenNews: apulse — эмулятор API звукового сервера PulseAudio через ALSA
  6. OpenNews: Интервью с автором systemd и PulseAudio
Тип: Программы
Ключевые слова: pulseaudio
При перепечатке указание ссылки на opennet.ru обязательно
 
 
 
+/
Когда год назад на кедах пробовал, до того, как появился apulse, она ещё пукала при изменении глобальной громкости, это же, блин, так круто, наверно, пукать при изменении громкости!
А с mpd, при условии запуска сервера от mpd, а не от текущего пользователя, так и не хотела дружить.
Да и при запуске от пользователя тоже не сильно спасало.
 
 
 
+/
> А в линуксе ничего нормально не работает.

Не путайте линукс с виндовсом.
У людей с прямыми руками и с правильной софтной базой многое что работает, а если что-то не получается, то это решаемо и есть минимум 2 способа сделать это по-другому.

 
 
+/
>Не путайте линукс с виндовсом.
>У людей с прямыми руками и с правильной софтной базой многое что работает, а если что-то не получается, то это решаемо и есть минимум 2 способа сделать это по-другому.

И кстати, если руки прямые, то не только всё работает на Линукс, но и многое (не всё) начинает работать на Виндовс.

 
+1 +/
IMHO, больше всего по репутации PulseAudio бъёт кривоватый плагин для ALSA, которым все ALSA-приложения заворачиваются в PulseAudio. У него какая-то странная буферизация, которой у простой ALSA не наблюдается.
 
 
 
+/
При настройках по умолчению демон PulseAudio открывает hw устройство (например, hw:0,0) После этого действительно другое приложение открыть его не сможет, ни напрямую, ни через автоматически вставленную цепочку с dmix/plug плагинами. Но обычно вместе с PulseAudio по зависимостям тянутся плагины к ALSA и конфиг, который заворачивает default устройство в плагин pulse.

В результате, если приложение просто открывает ALSA устройство по умолчанию, без явного запроса hw:0,0, его данные отсылаются в сервер PulseAudio, который микширует потоки и через ту же libasound2 уже шлёт данные в hw устройство. Для приложения всё прозрачно.

Вот этот вот pulse плагин — кривоват. В одной программе я выводил звук через ALSA. У многих нормально работало с PulseAudio, но у некоторых глючило. Какие-то правки помогли в одних случаях, но никак не сработали в других. Решилось только отдельным кодом для вывода напрямую в PulseAudio.

 

 Добавить комментарий

Навигация

Let’s block ads! (Why?)

Проект Mozilla распределил 385 тысяч долларов между значимыми открытыми проектами

Июн 22, 2016 - Интересно - 0 Comments - Стандартный

22.06.2016 21:54 Проект Mozilla распределил 385 тысяч долларов между значимыми открытыми проектами

Компания Mozilla представила обладателей второго набора грантов, вручаемых в рамках инициативы Mozilla Open Source Support (MOSS), нацеленной на оказание финансовой поддержки разработчикам полезных открытых проектов. Второй набор грантов присуждён проектам, входящих в категорию Mission Partners, охватывающую проекты, способные значительно способствовать продвижению миссии Mozilla, т.е. помогают существованию интернет как глобального публичного ресурса, открытого и доступного для всех. Размер вознаграждений, распределённых на текущем этапе, составил 385 тысяч долларов. Общий бюджет на выплату грантов в 2016 году составляет 1.25 млн долларов.

Победители:

  • 152.5 тысячи долларов: анонимная сеть Tor. Деньги планируется потратить на значительное улучшение инфраструктуры для оценки работы и мониторинга сети Tor, позволяющей контролировать поддержание стабильности и производительности на должном уровне. В частности, разработчики Tor намерены модернизировать сайт Tor Metrics и избавиться от единой точки отказа в работе сервиса CollecTor через создание кластера из независимо работающих и автоматически взаимодействующих сервисов сбора данных. Также планируется подготовить инструментарий для разбора статистики и создания собственных приложений для аналитики.
  • 77 тысяч долларов: Live-дистрибутив Tails, основанный на пакетной базе Debian и предназначенный для обеспечения анонимного выхода в сеть. Средства будут потрачены на обеспечение повторяемых сборок, позволяющих любому желающему убедиться в том, что сборка ISO-образа произведена из заявленных исходных текстов;
  • 50 тысяч долларов: http-сервер Caddy с поддержкой HTTP/2, поставкой в форме обособленного исполняемого файла без зависимостей и автоматической настройкой HTTPS (получение сертификатов автоматизировано через сервис Let’s Encrypt). Код проекта написан на языке Go. Грант будет потрачен на добавление REST API, создание web-интерфейса и написание новой документации;
  • 30 тысяч долларов: библиотека Mio, предоставляющая функции асинхронного ввода/вывода для программ на языке Rust. Деньги будут потрачены на улучшение API и упрощение средств для разработки высокопроизводительных приложений на языке Rust;
  • 25 тысяч долларов: асинхронный DNS API GetDNS, развивающий новое расширение TLS для передачи сереализированного набора записей DNSSEC, позволяющего уменьшить задержки при проверке через DANE и DNSSEC. Награда будет потрачена на завершение стандартизации расширения в IETF и создание клиентской и серверной реализаций;
  • 20 тысяч долларов: игровой движок Godot, кроме традиционных платформ поддерживающий создание игр для Web с использованием asm.js и NativeClient. Деньги будут направлены на реализацию поддержки Web Sockets, WebAssembly и WebGL 2.0;
  • 15.5 тысяч долларов: поисковый движок PeARS (Peer-to-peer Agent for Reciprocated Search), позволяющий построить распределённую поисковую систему, роль узлов в которой выполняют браузеры посетителей, а в поисковый индекс попадают открываемые ими сайты. Премия будет потрачена на доведение проекта до состояния бета-выпуска;
  • 15.5 тысяч долларов: система экранного чтения NVDA (NonVisual Desktop Access). Программа работает только в Windows. Награда вручена за попытку создания свободного и бесплатного решения для работы в Web людей с ограниченными возможностями, выступающего альтернативой для дорогих проприетарных программных продуктов. Деньги будут направлены на адаптацию NVDA для работы с новой многопроцессной архитектурой Firefox.
  1. Главная ссылка к новости (https://blog.mozilla.org/blog/…)
  2. OpenNews: Mozilla выделяет 500 тысяч долларов на аудит безопасности открытых проектов
  3. OpenNews: Mozilla расширила область действия системы грантов открытым проектам
  4. OpenNews: Представлены проекты, получившие первые гранты от Mozilla
  5. OpenNews: Mozilla выделяет миллион долларов на гранты открытым проектам
Тип: К сведению
Ключевые слова: mozilla
При перепечатке указание ссылки на opennet.ru обязательно
 
+7 +/
Нет чтобы NoScript наградить, который для приватности сделал больше, чем все нынешние лауреаты. Но они Godot награждают, который вообще непонятно каким здесь боком и разрабатывается вполне себе коммерческой компанией  OKAM  в коммерческих целях.
 
 
+/
> и web-интерфейс, ага, очень нужные для http-сервера вещи).

— Для того чтобы начать использовать наш вэб сервер установите его и настройте перейдя на http://host/odminko
— Я не могу попасть на http://host/odminko
— Это патамушта вы ещё не настроили наш вэбсервер

И в судоргах бесконечной рекурсии вселенная сжимается в состояние в котором она находилась за миг до большого взрыва …

 
+1 +/
а суперкуки из файла SiteSecurityServiceState.txt не хотят в мозила фундешен стирать после закрытия браузера? Или хотя бы перестать информацию из браузера в гугл остылать? Ну или хотя бы объяснить где столько денег заполучили?
 
 
 
+/
Я тестировал набор суперкук для приватного режима. Единственный сценарий, когда не оставляется следов — открыл приват, поработал, закрыл. Если открыты два привата уже из одного привата можно узнать про другой приват.
 

 Добавить комментарий

Навигация

Let’s block ads! (Why?)

Релиз системы управления доступом к сети PacketFence 6.1

Июн 22, 2016 - Интересно - 0 Comments - Стандартный

Представлен релиз PacketFence 6.1, свободной системы для управления доступом к сети (NAC), которая может использоваться для организации централизованного доступа и эффективной защиты сетей любого размера. Код системы распространяется под лицензией GPLv2. Установочные пакеты подготовлены для RHEL и CentOS.

PacketFence поддерживает обеспечение централизованного входа пользователей в сеть по проводным и беспроводным каналам с возможностью активации через web-интерфейс (captive portal). Поддерживается интеграция с внешними базами пользователей через LDAP и ActiveDirectory, возможна блокировка нежелательных устройств (например, запрет на подключение мобильных устройств или точек доступа), проверка трафика на вирусы, выявление вторжений (интеграция со Snort), аудит конфигурации и программной начинки компьютеров в сети. Имеются средства для интеграции с оборудованием популярных производителей, таких как Cisco, Nortel, Hewlett-Packard, 3Com, D-Link, Intel и Dell.

Основные новшества:

  • Добавлена поддержка оборудования на базе CoovaChilli;
  • Добавлен раздел для визуализации статистики сервисов на всех узлах кластера;
  • Для оборудования Meraki реализована поддержка RADIUS CoA (Change of Authorization);
  • Добавлена возможность привязки обработчиков, исполняемых при завершении работы модуля portal;
  • Возможность определения профилей для автоматической регистрации устройств;
  • Функции аудита логов RADIUS-сервера вынесены в отдельный модуль, в котором также реализована поддержка сохранения выполняемых поисковых запросов;
  • В модуле portal добавлена поддержка RADIUS CRAM (Challenge Response authentication);
  • Добавлен модуль для перенаправления запросов на внутренние и внешние web-страницы;
  • Возможность лимитирования числа логинов для аккаунта;
  • Интерфейс администратора теперь доступен на каждом узле кластера, без необходимости создания master-узла;
  • Увеличена производительность операций поиска.

Let’s block ads! (Why?)

Первый выпуск Flatpak, самодостаточных пакетов для распространения графических приложений

Июн 21, 2016 - Интересно - 0 Comments - Стандартный

Объявлено о доступности первого выпуска инструментария Flatpak (бывший xdg-app), который признан пригодным для широкого внедрения. Flatpak предлагает систему для сборки самодостаточных пакетов для графических приложений, которые не привязаны к конкретным дистрибутивам Linux и выполняются в специальном контейнере, изолирующем приложение от остальной системы. Для уменьшения размера пакета, он включает лишь специфичные для приложения зависимости, а базовые системные и графические библиотеки (Gtk+, Qt, библиотеки GNOME и KDE и т.п.) оформлены в виде подключаемых типовых runtime-окружений. В настоящее время поддержка выполнения Flatpak-пакетов обеспечена для Arch Linux, Fedora, Debian, Mageia и Ubuntu. Пакеты с Flatpak включены в штатный репозиторий Fedora 23 и 24.

Разработчикам приложений Flatpak даёт возможность упростить распространение своих программ, не входящих в штатные репозитории дистрибутивов, за счет подготовки одного универсального контейнера без формирования отдельных сборок для каждого дистрибутива. Для пользователей, заботящихся о безопасности, Flatpak позволяет выполнить вызывающее сомнение приложение в контейнере, предоставив доступ только к сетевым функциям и файлам пользователя, связанным с приложением. Для пользователей, интересующихся новинками, Flatpak позволяет установить самые свежие тестовые и стабильные выпуски приложений, без необходимости внесения изменений в систему. Например, в настоящее время Flatpak-пакеты уже собираются для LibreOffice, ночных сборок Darktable, MyPaint, Inkscape, GIMP и различные приложений GNOME.

Изолированное окружение формируется из типового системного окружения (runtime), устанавливаемого через специальный репозиторий, и дополнительных зависимостей (bundle), связанных с приложением. В сумме runtime и bundle образуют начинку контейнера, при том, что runtime устанавливается отдельно и привязывается сразу к нескольким контейнерам, что позволяет обойтись без дублирования общих для контейнеров системных файлов. В одной системе может быть установлено несколько разных runtime (GNOME, KDE) или несколько версий одного runtime (GNOME 3.18, GNOME 3.20), в зависимости от требований используемых программ. Контейнер с приложением в качестве зависимости использует привязку только к определённому runtime, без учета отдельных пакетов, из которых состоит runtime. Все недостающие элементы упаковываются непосредственно вместе с приложением. При формировании контейнера содержимое runtime монтируется как раздел /usr, а bundle монтируется в директорию /self.

Начинка runtime и контейнеров приложений формируется с использованием технологии OSTree, при которой образ атомарно обновляется из Git-подобного хранилища, позволяющего применять методы версионного контроля к компонентам дистрибутива (например, можно быстро откатить систему к прошлому состоянию). RPM-пакеты транслируются в репозиторий OSTree при помощи специальной прослойки rpm-ostree. Отдельная установка и обновление пакетов внутри рабочего окружения не поддерживается, система обновляется не на уровне отдельных компонентов, а целиком, атомарно меняя своё состояние. Предоставляются средства для инкрементального применения обновлений, избавляющие от необходимости полной замены образа при каждом обновлении.

Формируемое изолированное окружение полностью независимо от используемого дистрибутива, не имеет доступа к файлам и процессам пользователя или основной системы, не может напрямую обращаться к оборудованию, за исключением вывода через DRI, и сетевой подсистеме. Вывод графики и организация ввода реализована при помощи протокола Wayland (X11 не поддерживается). Взаимодействия со внешней средой построено на основе системы обмена сообщениями kdbus. Для изоляции используются традиционные для Linux технологии контейнерной виртуализации, основанные на использовании cgroups, пространств имён (namespaces) и SELinux. Для вывода звука применяется PulseAudio.

Let’s block ads! (Why?)