Cockpit en openSUSE es el sustituto ya «de facto» de YaST a la hora de configurar diversos aspectos de nuestro sistema openSUSE

Desde hace tiempo lo vengo escribiendo en el blog, YaST la gran herramienta de openSUSE para instalar la distribución y configurar diversas partes del sistema, está siendo reemplazada cockpit. Una interfaz gráfica basada en tecnología web para la gestión de nuestro openSUSE.

Agama toma el relevo en cuestiones relacionadas con la instalación de openSUSE, Myrlyn como gestor de paquetes y cockpit como reemplazo a la gestión de configuraciones del sistema.

Me resistía a dar el paso, pero como ya parece inevitable, quise vencer mi reticencia y probar cockpit en mi openSUSE Tumbleweed y me ha gustado lo que he visto.

El detonante fue leer sobre el desarrollo de una nueva herramienta para facilitar la instalación y el uso de cockpit. Podéis leer el artículo en este enlace:

• https://news.opensuse.org/2026/03/18/new-launcher-aims-to-simplify-cockpit-installations/

En él, nos habla básicamente sobre el desarrollo de un lanzador de cockpit que facilita muchas cosas, instala y configura varias opciones necesarias y nos ofrece un icono lanzador para desde nuestro menú de aplicaciones poder lanzar cockpit facilmente.

Esto es interesante, porque al ser una aplicación basada en web podríamos acceder a ella desde un navegador web, pero de esta manera es más sencillo (creo yo, aunque la alternativa tampoco es que fuera complicada).

En fin que siguiendo ese anuncio instalamos el lanzador propiamente dicho mediante:

sudo zypper install cockpit-client-launcher

Y también el patrón de diversos paquetes necesarios para que tengamos bastantes módulo con los que trabajar:

sudo zypper install -t pattern cockpit

Al igual que YaST, cockpit también es modular y quizás no necesitamos todos los módulos de configuración. Por ejemplo yo no utilizo Brtfs, por tanto no necesito el módulo de gestión de snapshots que este sistema de archivos ofrece. O tampoco las actualizaciones transaccionales, etc.

Finalizada la instalación lancé la aplicación desde el lanzador recién instalado y pide un par de veces la contraseña de root para configurar ciertos aspectos de la herramienta. El lanzador activa automáticamente los servicios de sistemas y la configuración del firewall necesarios.

Terminado todo, no me abria cockpit. Cabe mencionar que sí podía acceder a la herramienta mediante un navegador web y en una pestaña accediento a localhost:9090. Pero no se abría desde el lanzador reción instalado

Lanzando la utilidad desde una terminal me daba el siguiente error:

$ cockpit-client-launcher                                                                                                                                                           

Traceback (most recent call last):
  File "/usr/libexec/cockpit-client", line 20, in <module>
    gi.require_version("Gtk", "4.0")
    ~~~~~~~~~~~~~~~~~~^^^^^^^^^^^^^^
  File "/usr/lib64/python3.13/site-packages/gi/__init__.py", line 153, in require_version
    raise ValueError(f"Namespace {namespace} not available for version {version}")
ValueError: Namespace Gtk not available for version 4.0

Después de unas cuantas vueltas, parece ser que faltaban ciertos paquetes por instalar. Después de instalar uno, me daba error el siguiente, etc. Finalmente tuve que instalar diferentes paquetes relacionados con GTK para que la aplicación funcionara.

Debí instalar lo siguiente (con sus correspondientes dependencias):

• gtk4
• typelib-1_0-Gtk-4_0
• typelib-1_0-WebKit-6_0
• typelib-1_0-Adw-1

Después de todo eso, ya pude lanzar la aplicación desde el lanzador. Supongo que en el futuro solucionen eso y pongan como dependencias todos los paquetes necesarios para que el lanzador funcione sin problemas a la primera.

Ahora ya sí, tocaba echar un vistazo a toda la interfaz e ir familiarizándose con todas sus opciones, menús, etc.

Nos ofrece una visión global con diferente información rápida sobre el sistema y en la parte izquierda tenemos un par de secciones: Sistema y Herramientas con diferentes subsecciones en las que podremos entrar a configurar lo que sea necesario: Almacenamiento, redes, repositorios, paquetes de software y más cosas.

La interfaz permite utilizar un tema claro u oscuro y es limpia y bien organizada lo poco que he visto. Hay cosas que nos son más o menos familiares por su semejanza con su equivalente en YaST, pero otras son totalmente nuevas y con un aspecto más actual. Renovarse o morir…

On April’s fool’s day, I shared that syslog-ng can reach 7 million EPS. This test lab result was in part possible thanks to a few performance enhancements coming to syslog-ng version 4.12.

How 7 million EPS is possible? Before diving deeper, let me repeat it: 7 million EPS is just a lab testing result, not (yet) possible in the real world. However, the technologies enabling this are already available on the development branch of syslog-ng, or have been available for ages, just not tested or promoted enough.

Read more at https://www.syslog-ng.com/community/b/blog/posts/new-performance-tuning-possibilities-in-syslog-ng

Como muchos de vosotros sabréis KDE Blog es un blog personal. No es una decisión que yo haya tomado y que sea inamovible, sino que por circunstancias no he conseguido tener colaboradores que se sumen al proyecto de forma constante. En cierto modo lo comprendo: llevar un blog no está de moda y requiere cierta disciplina. No obstante, siempre encuentro algunos colaboradores, como en esta ocasión donde os presento “Mejores convertidores de JPG a PDF por rapidez y facilidad” que nos ofrecen una opciones para realizar una conversión rápida y eficaz.

Mejores convertidores de JPG a PDF por rapidez y facilidad

Convertir una imagen a PDF es una de esas tareas que parece sencilla hasta que el resultado no es el esperado. El archivo queda mal encuadrado, la calidad se pierde o el proceso exige instalar un programa que nadie pidió. Para algo tan habitual en el trabajo diario, merece la pena conocer qué herramientas lo hacen bien y cuáles simplemente lo hacen rápido.

La conversión de JPG a PDF se ha convertido en una necesidad frecuente para profesionales, estudiantes y equipos de trabajo que manejan documentos digitales a diario. Desde escanear facturas hasta preparar presentaciones o archivar contratos firmados a mano, los casos de uso son variados y las exigencias también. No todas las herramientas responden igual ante archivos de gran tamaño, conversiones por lotes o la necesidad de mantener el texto legible mediante OCR.

Esta guía recorre los mejores conversores de JPG a PDF disponibles hoy, valorando tanto la rapidez del proceso como la facilidad de uso. Se tienen en cuenta opciones de escritorio, online y móviles, para que cada lector encuentre la que mejor encaja con su flujo de trabajo habitual.

Los service menu de KDE Plasma

Si no nos movemos de nuestro escritorio, la mejor opción son los Service Menu como KIM 6 (KDE Image Menu for Plasma 6) o ReImage, con los que simplemente debemos pinchar con el botón izquierdo sobre la imagen y seleccionar «Convertir a pdf», y en unos segundos lo tendremos. Hemos hablado de esto en el blog (Cómo instalar Reimage o Kim).

Pero, bueno, en ocasiones no tenemos a mano nuestro entorno de trabajo favorito o nuestra distribución Linux y nos tenemos que ir a otras opciones.

Adobe Acrobat Online

Adobe Acrobat Online es una de las opciones más fiables para convertir JPG a PDF sin instalar nada y está considerado por muchos como el Mejor conversor JPG a PDF gracias a su facilidad de uso y resultados consistentes. Funciona directamente desde el navegador y acepta JPG, PNG, BMP, GIF y TIFF. Esto lo convierte en una solución práctica para quienes trabajan desde distintos dispositivos.

Permite cargar varias imágenes a la vez y combinarlas en un solo PDF. El orden se ajusta arrastrando las miniaturas antes de generar el archivo. El proceso es directo y no aparecen pasos innecesarios. La calidad visual se mantiene sin distorsiones ni recortes inesperados.

No hace falta crear una cuenta para conversiones básicas, aunque tener una amplía las opciones disponibles. Es una alternativa fiable dentro del conjunto de herramientas PDF.

iLovePDF

iLovePDF tiene una interfaz muy sencilla. Los archivos se suben, se ajusta el orden si es necesario y la conversión se completa en pocos segundos. Admite varios JPG a la vez, lo que lo hace útil para conversiones en grupo. Si buscas rapidez sin complicaciones, puedes probar este conversor JPG a PDF como alternativa práctica.

La versión gratuita tiene límites de tamaño de archivo, pero cubre bien el uso ocasional. Existe una opción de pago para quienes necesiten más capacidad o funciones adicionales.

Smallpdf

Smallpdf ofrece una interfaz fácil de usar centrada en la conversión sin pasos innecesarios. El usuario selecciona el archivo y en pocos segundos obtiene el PDF sin distracciones ni configuraciones adicionales. Este flujo resulta práctico cuando se buscan resultados inmediatos.

La integración con Google Drive y Dropbox permite cargar imágenes directamente desde la nube. Esto agiliza la gestión de archivos sin descargas intermedias. La versión gratuita permite un número limitado de conversiones al día, suficiente para uso puntual.

PDF24

PDF24 es una opción gratuita sin restricciones de uso diario. No añade marcas de agua en el PDF final, algo que no todas las herramientas gratuitas pueden ofrecer. Está disponible tanto como herramienta online como en versión de escritorio para Windows.

Esto lo hace una opción flexible para quienes trabajan a veces sin conexión o prefieren no subir archivos a servidores externos.

CamScanner (móvil)

CamScanner está diseñado para cuando la imagen de origen es una fotografía tomada con el móvil. Disponible para iOS y Android, la aplicación detecta automáticamente los bordes del documento y corrige la perspectiva. También ajusta el contraste para que el texto sea más legible en el PDF final.

La app reconoce automáticamente los márgenes y ajusta los niveles de blanco y negro. Su sistema de filtros ayuda a que documentos difíciles de leer o con sombra en la foto transmitan mayor claridad. La función OCR extrae texto editable si se necesita buscar información dentro del PDF.

Canva

Canva no es un conversor puro, pero tiene su espacio en esta lista. Si se necesita ajustar el diseño de la imagen antes de exportarla como PDF, Canva lo permite dentro del mismo flujo de trabajo.

Es posible añadir texto, cambiar el fondo o reencuadrar la imagen antes de descargar el archivo. Es una opción útil cuando el PDF final debe tener un aspecto cuidado, no solo funcional.

Drawboard PDF

Drawboard PDF combina la conversión de JPG a PDF con funciones básicas de anotación. La imagen se convierte y, en el mismo entorno, se pueden añadir comentarios, subrayados o marcas.

Está orientado a usuarios que necesitan revisar el documento justo después de crearlo. La interfaz es algo más técnica que las otras opciones de esta lista, pero resulta útil si el siguiente paso tras la conversión es una revisión detallada.

Cuándo usar una herramienta de escritorio en lugar de una online

Las herramientas online resultan cómodas para convertir imágenes en pocos pasos, pero la seguridad y privacidad de los archivos varía según el uso. Algunas recomendaciones oficiales de privacidad sugieren comprobar si la plataforma emplea cifrado TLS/SSL y revisar sus políticas antes de compartir información sensible.

En procesos de conversión con grandes volúmenes de archivos o con una conexión a internet poco fiable, el error de carga puede provocar pérdidas de tiempo o archivos incompletos. Usar una herramienta de escritorio como PDF24 Desktop puede ayudar a mantener los archivos en el equipo y dar más control.

Conclusión

Seleccionar el conversor adecuado depende de cómo y dónde se manejan las imágenes, así como de los requisitos de privacidad, facilidad y rapidez que requiere la tarea. Para quienes buscan conversión directa desde el escritorio, los Service Menu de Plasma son casi insuperables, pero si no se tienen a manos desde el navegador con orden de páginas y formatos variados, Adobe Acrobat Online sigue siendo una referencia gracias a su accesibilidad sin instalación.

Herramientas como iLovePDF o Smallpdf ofrecen soluciones prácticas en conversiones puntuales o integración cloud, mientras que PDF24 Desktop cubre la necesidad de privacidad o trabajo sin conexión. En contextos móviles, CamScanner resulta útil para digitalizar documentos rápidamente con OCR para extraer texto editable.

Antes de subir documentos importantes a servicios web, es recomendable revisar las políticas de seguridad y privacidad. Elegir soluciones adecuadas al volumen de archivos y la protección ante riesgos legales ayuda a evitar problemas como la pérdida de calidad o la exposición de información.

Preguntas Frecuentes

¿Se puede juntar varios JPG en un solo PDF gratis?

Sí. Herramientas como Adobe Acrobat Online e iLovePDF permiten unir varias imágenes sin coste, aunque podrían aplicar límites de tamaño.

¿La calidad de la imagen se mantiene tras convertir a PDF?

La mayoría de herramientas busca conservar la claridad de la imagen, pero el nivel de calidad final puede variar según la compresión aplicada. Conviene revisar el PDF generado antes de archivarlo o enviarlo.

¿Subir documentos a conversores online es seguro?

Siempre que no se trate de archivos confidenciales, la práctica implica poco riesgo. Para información sensible, es mejor usar conversores locales.

¿Qué conversor funciona mejor desde el móvil?

CamScanner está diseñado específicamente para móviles. Detecta bordes automáticamente y ajusta la perspectiva, lo que facilita digitalizar documentos rápidamente.

¿Necesito crear una cuenta para usar estas herramientas?

La mayoría de conversores online ofrecen uso básico sin cuenta. Crear una suele ampliar las opciones disponibles, como conversiones por lotes o funciones premium.

La entrada Mejores convertidores de JPG a PDF por rapidez y facilidad se publicó primero en KDE Blog.

Vuelven los chicos y chicas de Barcelona Free Software. Concretamente será el próximo martes 28 de abril con una charla titulada «De desplegar escritorios virtuales a ejecutar IA locales«en la que Alberto Larraz, cofundador d’IsardVDI nos hablará cómo sacar provecho a tu infraestructura para generar imágenes, ejecutar chats LLM y utilizar asistentes de código sobre modelos de IA

De desplegar escritorios virtuales a ejecutar IA locales – nueva charla de Barcelona Free Software

Primera charla de este año que promociono de esta rama de KDE España con una ponencia de Alberto Larraz, cofundador d’IsardVDI.

En palabras de los organizadores.

La información básica de la charla es:

• Día: Martes 28 de abril de 2026
• Hora: 19:00
• Lugar: Akasha Hub Carrer de la Verneda, 19, Nau 1 · Barcelona

No te lo pienses. ¡Te esperamos el martes 28 de abril!

Más información: Barcelona Free Software

¿Qué es Meetup?

Las charlas de Barcelona Free Software se organizan mediante Meetup, una red social que tiene una diferencia básica respecto a otras redes sociales, ya que promueve la formación de grupos en torno a intereses con el fin de que sus miembros se conozcan cara a cara.

Es decir, los usuarios establecen contacto a través de grupos digitales nuevos o ya creados, partiendo de intereses comunes como política, libros, juegos, películas, salud, mascotas,

La entrada De desplegar escritorios virtuales a ejecutar IA locales – nueva charla de Barcelona Free Software se publicó primero en KDE Blog.

Vuelven las charlas y talleres a Linux Center València, el espacio creado por Slimbook para la divulgación del Software Libre . De esta forma me complace compartir una sesión matinal espectacular, una Jornada de IA en Linux Center València en su sede de Paterna. ¡No te lo pierdas!

Jornada de IA en Linux Center València

Ya es un clásico del blog hablar de la compañía valenciana de ensamblaje de dispositivos compatibles 100% con el Software Libre conocida como Slimbook. Tras su primera charla en octubre que inició esta nueva temporada de eventos vuelven a promocionar el Software Libre mediante actividades comunitarias que realizan en su Linux Center.

De esta forma el próximo sábado 25 de abril vamos a poder disfrutar de una sesión triple de talleres en la sede de Slimbook en Ronda de la Química s/n, Edificio ABM L’Andana, 7ª planta, Frente a Parque Técnológico 46980 Paterna, Valencia.

El programa es el siguiente:

9:45 – Apertura de puertas
Recepción de asistentes y bienvenida.

10:00 – Charla: La liminalidad de la IA y herramientas clave ofrecida por Alejandro López.

En esta charla exploraremos el momento de transición en el que se encuentra actualmente la inteligencia artificial. Se abordará el estado actual de la IA, su evolución reciente y las herramientas más relevantes que están definiendo esta nueva etapa tecnológica. Una sesión ideal para comprender el contexto y las oportunidades que abre la IA en los próximos años.

10:45 – Café y networking
Pausa para café y espacio para conocer a otros asistentes, compartir ideas y comentar los temas de la sesión anterior.

11:00 – Taller práctico: Todo lo que necesitas saber para ejecutar IA Local ofrecido por Manuel S. Lemos.

En este taller aprenderás los fundamentos para ejecutar modelos de inteligencia artificial directamente en tu propio ordenador con Linux, con las herramientas de Ollama y Fox. Una introducción muy práctica para empezar a tener tu propia IA funcionando en local.

12:30 – Taller práctico: Crea tu propio JARVIS: IA Autónoma que controla tu PC 24/7 ofrecido por Lorenzo Carbonell.

En esta sesión descubrirás cómo utilizar el conocido OpenClaw junto con FastFlowLM y Ollama, para crear tu IA capaz de interactuar con tu sistema y automatizar tareas. Una aproximación práctica a la creación de asistentes autónomos personalizados.

JORNADA PRESENCIAL: Pero se está valorando si se transmitirá en nuestro canal de Youtube, según las plazas cubiertas.

La información adicional que necesitas es esta:

Plazas Total: Muy limitadas

¿Curso Gratuito o de Pago?: GRATUITO gracias a SLIMBOOK

Localización: Linux Center (Grupo Odín). Ronda de la Química s/n Edificio ABM L’Andana, 7ª planta Frente a Parque Técnológico 46980 Paterna, Valencia

Más información: Linux Center

La entrada Jornada de IA en Linux Center València se publicó primero en KDE Blog.

Table of Contents

• 1) Introduction
• 2) systemd v258 - v260 Continued Reviews of D-Bus and Varlink Changes
• 3) snapd: Follow-up Audit for Transparent Inclusion of Snap Systemd Services
• 4) bootkitd: D-Bus Service for Manipulating Bootloader Configuration
• 5) libpgpr: RPM PGP Signature Parsing Library
• 6) GDM: Changes and Additions in Release 50
• 7) rtkit: D-Bus Service to Support Unprivileged Realtime Scheduling
• 8) SteamOS Package Additions
  • jupiter-fan-control
  • gamescope-session-steam-factory-reset
  • jupiter-hw-support
• 9) Revisit of Deepin Desktop D-Bus Services after Removal from openSUSE
  • Backlight Helper
  • Accounts Service
  • Summary
• 10) Conclusion

1) Introduction

The winter months have passed for us and as usual we want to give you an overview of what topics our team covered in the area of code reviews during this time. We did not publish any dedicated security reports for a while, after we had to deal with a little burst of publications at the beginning of the year. Still we haven’t been idle during this time and looked into various packages and components, which we will cover in this post.

The next section discusses continued review efforts surrounding new systemd releases. Section 3 covers a follow-up audit of changes in the Snap package manager. Section 4 looks at bootkitd, a D-Bus service for managing bootloader configuration. Section 5 deals with libpgpr, a signature parsing library which was pulled out of the RPM package manager codebase. Section 6 is about changes we reviewed in a new release of GNOME display manager (GDM). Section 7 contains a review report about the rtkit real-time scheduling D-Bus service. Section 8 provides an insight into efforts to package SteamOS components for openSUSE Tumbleweed. Section 9 looks into an attempt to get Deepin desktop components back into openSUSE.

2) systemd v258 - v260 Continued Reviews of D-Bus and Varlink Changes

We already gave an insight into our efforts of reviewing changes in systemd v258 in our previous spotlight post. Meanwhile systemd upstream has established a new release model leading to more frequent releases and backports of new features into existing stable branches. This has caused an increase of review requests in our team, as can be seen by the following list of review bugs we received since the v258 version release:

• bsc#1257388: follow-up review of backported code in systemd 258.3
• bsc#1257943: follow-up review of backported code in systemd 258.4
• bsc#1255368: review of changes introduced in systemd 259
• bsc#1259318: review of changes introduced in systemd 260

The review of changes in systemd 260 has just been finished and the new version is about to become available in openSUSE Tumbleweed soon. The backports into stable 258 branches have been easy to review so far, since they are mostly clean cherry-pick merges of changes reviewed by us earlier already.

So far we did not find any issues in the continued changes in systemd, but it remains a challenging review target especially in the area of virtual machine and container APIs, as we have explained in earlier posts on the topic.

3) snapd: Follow-up Audit for Transparent Inclusion of Snap Systemd Services

After we accepted snap into openSUSE Tumbleweed a while ago we received a follow-up review request, which revolves around a feature to transparently make systemd services available which have been installed via Snaps.

We have accepted the change, but asked the packagers to include a notice in the package informing openSUSE users that systemd services installed via Snaps are not covered by the security review processes of SUSE product security.

4) bootkitd: D-Bus Service for Manipulating Bootloader Configuration

Bootkitd is a D-Bus service for programmatically managing bootloader configuration. We received a review request for its inclusion into openSUSE Tumbleweed. The service is implemented in the Rust programming language and is a simple case regarding security, since it is only accessible by root. Thus no privilege boundaries are crossed and privilege escalation is not a concern.

5) libpgpr: RPM PGP Signature Parsing Library

libpgpr is a library which has been recently separated from the main RPM package manager codebase. Its purpose is the parsing and verification of PGP signatures as they are found embedded in RPM files. Given the sensitive nature of PGP cryptography and potentially crafted input data, we have been asked to check the security of this library.

The library consists of a legacy C codebase living up to the C90 standard. The library API is not well documented and not very consistent at the moment. At the same time the code is concerned with memory management and binary data structure parsing of high complexity. These shortcomings notwithstanding, the implementation seems to have matured over time and we believe there are currently no major errors to be found when processing untrusted data.

In our opinion, the biggest danger regarding security in this codebase will likely be future changes which might introduce regressions. Also users of the library won’t easily know what to expect of the API, since requirements are not clearly marked (e.g. which parameters are optional, when memory ownership transfers happen and so on).

We provided comprehensive comments on the codebase to upstream, suggesting various refactoring, improvements and test coverage to bring the project up to a more modern standard.

6) GDM: Changes and Additions in Release 50

In February our openSUSE Gnome Display Manager (GDM) maintainers started preparing the upgrade for release 50, which was in Beta testing at the time, but should be fully released by now. The new version triggered a follow-up review of D-Bus and Polkit related features in GDM.

GDM is tightly integrated with GNOME remote desktop (GRD) these days and the changes we’ve seen here are related to this integration. The differences compared to the previous version of GDM have been small in the area of D-Bus and Polkit, though, and no problematic additional attack surface has been added in this version.

7) rtkit: D-Bus Service to Support Unprivileged Realtime Scheduling

The rtkit daemon has been around on Linux distributions for a long time. Its purpose it to allow unprivileged programs in the system to make use of real-time scheduling features in a controlled fashion. Linux offers two real-time scheduling policies SCHED_RR and SCHED_FIFO, which perform Round-robin or First-in First-out scheduling respectively. Rogue processes running under one of these policies can easily lock up the complete system due to no other userspace threads being scheduled by the kernel anymore. For this reason, only tasks holding the CAP_SYS_NICE capability (usually only root) are allowed to assign these scheduling settings.

This is where rtkit comes in: it offers a D-Bus interface to allow unprivileged processes to enjoy real-time scheduling features while being under supervision of the rtkit daemon to prevent any negative side effects.

In a recent update of rtkit to version 0.14, changes in its D-Bus configuration triggered a follow-up review after over a decade since our team last looked at it. rtkit is installed and running (or activatable) by default on a number of Linux distributions like openSUSE, Debian or Fedora. Due to this prevalence of rtkit in Linux systems, the inherent danger of a local Denial-of-Service and in light of the amount of time passed since the last full review, we thought it wise to have a fresh look at the service’s implementation.

The rtkit D-Bus configuration follows a bit of an unusual approach by maintaining a deny list of methods which may not be invoked by non-root users. This is not ideal, since additional methods will automatically be accessible to all users in the system, should a developer forget to update the deny list. At the moment no problems exist in this area, however.

The blacklisted D-Bus methods which are only accessible to root affect the global state of the daemon. The remaining D-Bus methods are used to request real-time scheduling for caller-owned processes. These methods are additionally protected by Polkit authentication; the related Polkit actions are set to yes for local users in an active session, meaning that local interactive users can invoke them without authentication.

The implementation of Polkit authentication relies on rather complex custom code based on the “unix-process” Polkit authentication subject. This subject is often affected by race conditions and the D-Bus “system-bus-name” subject should rather be used. In this case the use of “unix-process” is acceptable, since the request includes not only the client’s PID but also its process start time and UID, which is retrieved from the UNIX domain socket D-Bus connection. Thus there should be no way that race conditions can be exploited in a way that the client is mistaken for root, for example.

The actual application of real-time scheduling to a client’s target process is highly affected by race conditions, due to the retrieval of data from /proc/<pid> and the fact that processes can disappear and/or be repurposed at any time. The developers are obviously aware of the potential issues, since they verify the target process’s properties before and after changing its scheduling properties. Such detection of a race condition after the fact is problematic when the risk is a lockup of the whole system.

Due to this, the daemon also maintains a watchdog and a canary thread to counteract any unexpected effects of unprivileged real-time scheduling. The watchdog runs at the highest real-time scheduling priority and periodically monitors whether the canary thread, which is running with low scheduling priority, is still being scheduled. If a stall is detected, then the watchdog thread removes the real-time scheduling settings from all registered client tasks to recover the system. Additionally the daemon monitors the amount of requests individual users are sending, and blocks them if a threshold is exceeded.

It is clear that the implementation of this service is confronted with various uncertainties and it tries to make up for them. The overall result is not ideal but should be good enough to prevent major security issues. An improvement to the design could be to obtain a directory file descriptor for /proc/<pid> of the target process, verify the process’s credentials and further on only use the directory file descriptor anymore for accessing process data. Explicit PID file descriptors might also help in some other spots these days (they can also be used for authentication with Polkit now, for example).

8) SteamOS Package Additions

There is continued effort by community packagers to bring SteamOS-related components to openSUSE. We already covered one of these components in one of last year’s spotlight posts. This winter we received three additional review requests in this area. Packaging these components is often difficult, because the programs use fixed non-standard paths and approaches that don’t fit well into a general-purpose Linux distribution. We will look into the individual packages in the following sub-sections.

jupiter-fan-control

This review is about a fan control daemon which regulates the speed of the Steam Deck fan. The daemon itself is acceptable, it mostly deals with hardware information and controls found in /sys and therefore it crosses no security boundaries. It also creates a world-readable logfile in /var/log, which only contains fan data, however, thus not resulting in a relevant information leak towards unprivileged users.

A Polkit action allows to start and stop the daemon by providing the administrator password, which is also fine. A wrapper script which performs these start/stop actions is placed into /usr/bin/steamos-polkit-helpers/jupiter-fan-control, which is a non-standard location, but according to the packager is hard-coded into SteamOS components and cannot be changed.

gamescope-session-steam-factory-reset

This review is concerned with a set of scripts which allow to perform a factory reset operation on SteamOS. On openSUSE there is nothing sensible that can be done in terms of a factory reset, thus the packager added scripts that are in effect no-ops. Still these scripts were supposed to be invoked with root privileges via Polkit authentication. After a longer discussion with the maintainer we decided to take a different approach that does not require to run dummy scripts with root privileges, but still allows system integrators to hook into the process and change the behaviour.

jupiter-hw-support

The third review is concerned with a bunch of SteamOS scripts that automatically perform actions like mounting removable devices without requiring authentication, expecting a single “deck” interactive user in the system. The community packager discussed some aspects of these privileged operations with us and how to best integrate them into openSUSE. The effort is still ongoing.

9) Revisit of Deepin Desktop D-Bus Services after Removal from openSUSE

A year ago we announced the removal of Deepin desktop components from openSUSE because of policy violations and bad security. Deepin upstream promised to improve the problematic components and we offered to have a fresh look at things when they would have something new to show. As a result a follow-up review bug was created in which the Deepin package maintainer claimed that all reported security issues were fixed by upstream. The following sections discuss two of the D-Bus components we revisited in this context.

Backlight Helper

A small D-Bus helper for controlling laptop backlight seemed like a promising start; the code is clean and conservative. It is lacking Polkit authentication, however, which means that any user in the system can meddle with the backlight. Such settings are usually restricted to local interactive users in an active session. We informed upstream about this shortcoming and there is supposed to be a fix available by now, but we didn’t look into it yet.

Accounts Service

The Deepin accounts service offers a larger D-Bus interface for managing user accounts in the system. We looked into version 6.1.66 of the project. Unfortunately we quickly discovered new security issues in this component:

• the CreateGuestUser() D-Bus method, which requires admin authentication, creates a user account with an empty password and a home directory in a random location in /tmp. The creation of this directory is affected by a race condition, which could allow other users in the system to pre-create the directory. A home directory in /tmp is highly unusual and empty passwords, even for guest accounts, are bad practice.
• the SetHomeDir() D-Bus method, which requires only user-level self-authentication, allows to move the user’s home directory into arbitrary new locations, even /root. This operation is performed via the command line usermod -m -d <new-home-path> <username>. The only aspect that prevents a simple local root exploit is that usermod refuses to perform the operation if the calling user still has processes running in the system. How this API function could ever be used meaningfully for self-administration, then, is puzzling. It might be possible for an attacker to overcome this check, however, by quickly killing all of its processes just in time for the usermod invocation to succeed.
• the SetPassword() D-Bus method, again accessible by providing the user password, is affected by multiple issues:
  • the new user password is leaked in the process command line constructed in ModifyPasswd().
  • the function removeLoginKeyring() which is invoked in this context operates as root in the user’s home directory, offering local Denial-of-Service attack surface.
  • an insufficient check is made by the D-Bus service, which tries to verify whether the client is running a trusted password change application. The check is affected by a race condition and can be circumvented by malicious clients.
  • the function newPwdChangerX() performs a chown() on the client’s .XAuthority file placed into /run/user/<uid>/.XAuthority, which is a local root exploit attack vector.

The openSUSE Deepin packager informed us that there are also fixes for these issues available by now, but we did not get around to verify them yet.

Summary

Due to the recurring number of security issues, the amount of time required by upstream to address them and a lack of a formal security fix workflow in the Deepin project we stopped assigning CVEs for the issues we find in Deepin. We don’t see much value in further CVEs since the security issues are often quickly replaced by other security issues, thus resulting mostly in noise. Overall we don’t recommend to use Deepin components until the security culture of Deepin upstream improves.

By now we are also treating Deepin review requests with lower priority, since the efforts which went on for years still haven’t yielded acceptable results and we would rather invest our resources into other, more promising packages.

10) Conclusion

One of the fundamental goals of the SUSE Security Team is to keep a high standard regarding software available in SUSE distributions. Not blindly accepting new software releases is necessary to uphold this commitment, which also means often revisiting software we already looked into before.

Keeping up with the fast pace of projects like systemd can be challenging in this regard, but the security issues we continue to find e.g. in Deepin software show that this work is still useful. The Spotlight series is one way to highlight this continuous and not always necessarily glamorous work.

Con este creo que ya me pongo al día con los últimos episodios del podcast más regular e informativo de la Comunidad KDE. Me congratula presentaros el episodio 72 de KDE Express, titulado «ePlasma 6.6.4, Gear 26.04 y muchas noticias» donde David Marzal no obsequia con el repaso de las últimas noticias del mundo KDE y del Software Libre en general.

Episodio 72 de KDE Express: Plasma 6.6.4, Gear 26.04 y muchas noticias

Comenté hace ya bastante tiempo que había nacido KDE Express, un audio con noticias y la actualidad de la Comunidad KDE y del Software Libre con un formato breve (menos de 30 minutos) que complementan los que ya generaba la Comunidad de KDE España, aunque ahora estamos tomándonos un tiempo de respiro por diversos motivos, con sus ya veteranos Vídeo-Podcast que todavía podéis encontrar en Archive.org, Youtube, Ivoox, Spotify y Apple Podcast.

De esta forma, a lo largo de estos 72 episodios, promovidos principalmente por David Marzal, nos han contado un poco de todo: noticias, proyectos, eventos, etc., convirtiéndose (al menos para mi) uno de los podcast favoritos que me suelo encontrar en mi reproductor audio.

En palabras de David:

Temas tratados en el episodio 72: Plasma 6.6.4, KDE Gear 26.04, Kdenlive, Digikam, Falkon, XMPP, SteamOS, Calamares, Rocky Linux, Framework, Plasma Big Screen, ArchLinux, KDE Linux, KDE Connect.

KDE Gear 26.04 edición "KDE a los 30"
    Más atajos de teclado en Dolphin (ordenar por...) y posibilidad de conectar sistemas de archivos remotos o repositorios de código.
    Nuevo administrador de calendario en Merkuro.
    Animaciones para los hilos en NeoChat.
    KDE Itinerary ahora usa la librería MapLibre con renderizado vectorial.
    Okular ahora soporta los gestos de pinza o más acciones en marcadores.
    Kdenlive, vista previa animadas de Composiciones para saber que hacen antes de aplicarlas. Duplicar el "monitor" en pantalla externa.
        Y de paso un par de tutoriales sobre Kdenline.

Digikam 9.0:
    Mejorado el porte RAW para cámaras fotográficas,
    Formato de fecha personalizable,
    Página de bienvenida rediseñada,
    Los colores de las etiquetas se pueden personalizar con un doble click,
    Ya se pueden usar comodines a la hora de ignorar directorios.

Falkon intentará integrar sincronización de marcadores gracias a XMPP y convertirse en un cliente XMPP

Distros
    SteamOS 3.8.0 beta: actualizó KDE Plasma de la versión 6.2.5 a la versión 6.4.3 y ahora utiliza wayland por defecto.
        Se corrigieron varios casos de rendimiento reducido en el modo Escritorio en comparación con el modo "Juego".
        Se mejoró la compatibilidad con las pantallas rotadas y el factor de escala predeterminado en los televisores.
        Se añadió compatibilidad con pantallas HDR externas, VRR y con el factores de escala específicos.
        Ahora mismo estamos en estable en la 3.7.21.
    Calamares ya soporta KDE Plasma Login Manager
    En XDA les encanta Plasma y hablan como varias distros se han pasado o están pensado hacerlo.
    Rocky Linux y Framework se convierten en patrocinadores de KDE.
    Prueban Plasma Big Screen en LinuxAdictos. Raramente útil.
    Parche para mejorar el rendimiento de juegos en Plasma si tienes 8GB de vRAm o menos .
    Arch-install ahora ofrece más opciones de instalación (Meta/Plasma/Desktop) para Plasma.
    Continua el fructifero trabajo en KDE Linux
        Protegiendo las actualizaciones de roturas.
        Mejor administración de la memoria.
        Un manejor de paquetería incompatible.
        Mejor soporte de SW y HW de serie.
        Configuraciones más inteligentes.
        Correcicón ortografica arreglada, seguro para English.
    Analizando la salud de KDE gracias a git.
        ShellCorona es de lo que más se modifica y se rompe.
        No hay muchos fuegos que apagar.
        El momentum se mantiene estable con un desarrollo constante.
        Tenemos una saludable diverisad de contribuidores. Siendo el Top de este año Vlad Zahorodnii.

Plasma 6.7
    Los antiguos temas Oxigeno y Aire vuelven a la vida gracias a contribuidores
    Se está mejorando la integración de KDE Connect con Plasma
        Opciones como mostrar la batería de tu movil, integración con el almacenamiento flash...
    Podremos tener diferentes escritorios virtuales para cada monitor independientemente despues de 20 años pidiendolo, gracias a Wayland. Esto gracias a un programador que quería pasar a Plasma pero le faltaba esta funcionalidad.

---

Por cierto, también podéis encontrarlos en Telegram: https://t.me/KDEexpress

La entrada Episodio 72 de KDE Express: Plasma 6.6.4, Gear 26.04 y muchas noticias se publicó primero en KDE Blog.

Es increíble el trabajo de promoción que está realizando Nate (ahora con ayuda de otros desarrolladores) en su blog, desde hace más del tiempo que puedo recordar. Cada semana hace un resumen de las novedades más destacadas, pero no en forma de telegrama, sino de artículo completo. Su cita semanal no falla y voy a intentar hacer algo que es simple pero requiere constancia. Traducir sus artículos al castellano utilizando los magníficos traductores lo cual hará que la gente que no domine el inglés esté al día y que yo me entere bien de todo. Bienvenidos pues a «Escritorios virtuales por pantalla y restauración de sesión en Wayland» de Esta semana en Plasma. Espero que os guste.

Escritorios virtuales por pantalla y restauración de sesión en Wayland – Esta semana en Plasma

Nota: Artículo original en Blogs KDE. Traducción realizada utilizando Perplexity. Esta entrada está llena de novedades de la Comunidad KDE. Mis escasos comentarios sobre las mejoras entre corchetes.

Mejoras notables

Plasma 6.7

Cada pantalla puede ahora cambiar entre cualquiera de los escritorios virtuales del sistema de forma independiente. (Hynek Schlindenbuch, KDE Bugzilla #107302) [Eso está muy bien. Más flexibilidad].

Ahora puedes elegir tu aplicación de calendario predeterminada en la página Aplicaciones predeterminadas de Ajustes del sistema. (Denys Madureira, plasma-workspace MR #6468)

Y ahora puedes hacer clic con el botón central en el widget Reloj digital para abrir la aplicación de calendario que hayas configurado allí. (Denys Madureira, plasma-workspace MR #6462)

Ahora puedes configurar el selector de ventanas Alt+Tab para que aparezca siempre en la pantalla principal, en lugar de en la pantalla que tenga el foco del teclado o el puntero. (Yuki Tsujii, KDE Bugzilla #329696)

Ahora puedes marcar como favoritos las acciones específicas de aplicaciones que encuentres en una búsqueda. (Kai Uwe Broulik, plasma-workspace MR #6224)

El widget Menú de aplicaciones Kicker ahora resalta las aplicaciones recién instaladas, igual que hace el widget Lanzador de aplicaciones Kickoff. (Christoph Wolk, plasma-desktop MR #3649)

Ahora puedes arrastrar y soltar aplicaciones a las secciones “Favoritos” de los widgets Kickoff, Kicker y Dashboard. (Christoph Wolk, KDE Bugzilla #383302 y plasma-desktop MR #3652)

Si alguna vez te gusta una imagen de fondo del día, ahora puedes hacer clic derecho sobre ella y acceder a información externa sobre la misma. (Kai Uwe Broulik, kdeplasma-addons MR #1035)

Ahora puedes, de forma opcional, configurar Discover para que se cierre después de instalar las actualizaciones. (Taras Oleksyn, KDE Bugzilla #508743)

Mejoras en la interfaz de usuario

Plasma 6.6.5

Al introducir la contraseña de una red Wi‑Fi usando el widget Redes, el campo de contraseña ya no pierde el foco del teclado si mueves el puntero lejos de él. (Tobias Fella, plasma-nm MR #556)

Plasma 6.7

Ahora existe un nuevo componente estándar “Badge” en Kirigami, y muchas partes de Plasma se han adaptado para usarlo. (Nate Graham, kirigami MR #1847, plasma-desktop MR #3089, plasma-workspace MR #6488, systemsettings MR #399, discover MR #1290 y kinfocenter MR #262)

El widget de la Bandeja del sistema del Método de entrada ya no desactiva el método de entrada activo si haces clic en él mientras el método de entrada no está visible en ese momento. Ahora simplemente lo muestra y lo oculta. (Aleix Pol Gonzalez, plasma-workspace MR #6485)

Se ha mejorado el diseño de los elementos en cuadrícula y en lista de Discover, lo que también aumenta ligeramente la densidad de información de las páginas que los muestran. (Nate Graham, discover MR #1292)

El widget Menú de aplicaciones Kicker ahora muestra tooltips para los elementos cuyos títulos han sido truncados. (Christoph Wolk, KDE Bugzilla #515608)

Monitor del sistema ahora diferencia varias GPUs por sus nombres, en lugar de hacerlo por números arbitrarios. (Bernhard Friedreich, libksysguard MR #464 y ksystemstats MR #129)

Monitor del sistema ahora expone acciones de nivel superior que puedes usar para lanzarlo e ir directamente a una página concreta. Estas pueden invocarse desde el menú contextual de la aplicación o mediante un atajo global que configures tú mismo. (Bernhard Friedreich, plasma-systemmonitor MR #427)

El widget Separador de márgenes ahora se añade desde el menú “Añadir nuevo” del diálogo de configuración de paneles, en lugar de desde la barra lateral del explorador de widgets. Esto coincide con la forma en que se añade el widget separador similar. (Antti Savolainen, plasma-workspace MR #6494 y plasma-desktop MR #3663)

El popup del portapapeles invocado con Meta+V ahora se cierra si está abierto cuando vuelves a pulsar ese atajo de teclado. (Kristem McWilliam, plasma-workspace MR #6450)

Se ha mejorado la forma en que la página de Atajos de Ajustes del sistema gestiona que se le pida asignar un atajo que ya está asignado a otra cosa. (David Bacskay-Nagy, KDE Bugzilla #484526 y KDE Bugzilla #489544)

KRunner ahora te permite evaluar expresiones matemáticas complejas de forma más flexible; antes podías pedir sqrt(2) + 2 pero no 2 + sqrt(2); ahora se aceptan ambas. (Alex Cizinsky, KDE Bugzilla #496343)

Frameworks 6.26

El diálogo que te pregunta si quieres lanzar o editar un archivo de texto ejecutable (como un archivo .desktop) ya no te da la oportunidad de decirle que haga siempre eso. Este comportamiento estaba haciendo que los archivos .desktop no se pudieran lanzar para las personas que eligieron la opción de abrir siempre esos tipos de archivo en un editor de texto. Quien quiera usar esta función todavía puede configurarla en los ajustes de Dolphin. (Nate Graham, kio MR #2171)

Se ha eliminado el franco CFP de la lista de monedas comunes, por lo que ya no aparece automáticamente en cada conversión de moneda realizada mediante búsquedas impulsadas por KRunner. (Pellaeon Lin, kunitconversion MR #84)

Corrección de errores importantes

[No comento las correcciones de errores ya que son bastante evidentes].

Plasma 6.6.4

Se corrigió un caso en el que el teclado de Plasma podía bloquearse después de cambiar de ventana con Alt+Tab desde una ventana marcada como “mantener por encima de las demás”. (Devin Lin, KDE Bugzilla #517087)

Se aplicó una solución temporal a un error introducido en Qt 6.11 que hacía que algunas herramientas de anotación de Spectacle no se pudieran pulsar. (Oliver Beard, KDE Bugzilla #515304)

Se solucionó un problema de diseño en el widget del paginador de actividades que hacía que se viera extraño con ciertos tamaños de panel no predeterminados. (Marco Martin, KDE Bugzilla #518451)

Plasma 6.6.5

Se corrigió un caso en el que KWin podía bloquearse al cerrar sesión cuando la sesión que se cerraba había enviado eventos emulados de teclado o ratón. (Vlad Zahorodnii, kwin MR #9092)

Se solucionó un problema con el bloqueador de pantalla que podía provocar que los botones dejaran de funcionar y no permitieran desbloquear el sistema tras pulsar la tecla Esc en combinación con otras acciones con determinados tiempos. (Akseli Lahtinen, KDE Bugzilla #515299)

Se corrigió un error que hacía que la funcionalidad del selector de color en todo el sistema devolviera colores aleatorios en equipos con cierto hardware gráfico. (Xaver Hugl, KDE Bugzilla #518770)

Se solucionó un problema que hacía que las horas mostradas en la pantalla de bloqueo difirieran entre pantallas en configuraciones con múltiples monitores. (DeepChirp, KDE Bugzilla #516479)

Se corrigieron dos problemas que hacían que las conexiones de red añadidas desde el asistente de configuración de Plasma no funcionaran correctamente en algunos casos. (Adam Williamson, KDE Bugzilla #514841 y plasma-setup MR #100)

Se solucionaron algunos casos en los que los paneles con ocultación automática no se ocultaban correctamente cuando había notificaciones sin leer. (Patrick Cleary, KDE Bugzilla #519046)

Al cambiar desde el widget de redes en la bandeja del sistema, ya no aparece brevemente un mensaje de marcador de posición. (Tobias Fella, KDE Bugzilla #511367)

Se mejoró la fiabilidad del comportamiento de iconos alternativos del widget del tiempo, reduciendo la probabilidad de que se muestren iconos meteorológicos incorrectos. (Ismael Asensio, kdeplasma-addons MR #1032)

Plasma 6.7

Se corrigió un problema que podía hacer que el widget de volumen de audio no detectara que un nuevo dispositivo de audio se había conectado y había pasado a ser el predeterminado. (Oliver Beard, plasma-pa MR #393)

Usar la opción no predeterminada del portapapeles “No guardar nunca [elementos no textuales] en el historial” ya no rompe la capacidad de pegar elementos que han sido movidos a la parte superior del historial. (Christoph Wolk, KDE Bugzilla #514095)

Las aplicaciones en el widget de lanzamiento rápido pueden volver a reorganizarse. (Alex Folland, KDE Bugzilla #481922)

Se corrigieron dos problemas peculiares con la lupa de Spectacle en el modo de región rectangular. (Noah Davis, KDE Bugzilla #509776 y KDE Bugzilla #509777)

Mejoras de rendimiento y aspectos técnicos

Plasma 6.7

KWin ahora es compatible con el protocolo de gestión de sesiones de Wayland. Este es un paso importante para que las aplicaciones puedan recordar su tamaño y posición tras reiniciar el sistema. El siguiente paso es que los toolkits, bibliotecas y aplicaciones implementen esta compatibilidad. ¡Vamos por buen camino! (Vlad Zahorodnii, KDE Bugzilla #436318)

Se redujo el tamaño de las imágenes GIF animadas generadas por aplicaciones como Spectacle que utilizan la biblioteca KPipeWire de KDE. (Bernhard Friedrich, kpipewire MR #247)

Cómo puedes ayudar

KDE se ha vuelto importante en el mundo, y tu tiempo y contribuciones han ayudado a llegar hasta aquí. A medida que crecemos, necesitamos tu apoyo para mantener KDE sostenible.

¿Te gustaría ayudar a preparar este informe semanal? Preséntate en la sala de Matrix y únete al equipo.

Más allá de eso, puedes ayudar a KDE involucrándote directamente en cualquier otro proyecto. Donar tiempo es realmente más impactante que donar dinero. Cada colaborador marca una gran diferencia en KDE — ¡no eres un número ni un engranaje en una máquina! No tienes que ser programador, existen muchas otras oportunidades.

También puedes ayudar haciendo una donación. Esto ayuda a cubrir costes operativos, salarios, gastos de viaje para colaboradores y, en general, a mantener KDE llevando Software Libre al mundo.

La entrada Escritorios virtuales por pantalla y restauración de sesión en Wayland – Esta semana en Plasma se publicó primero en KDE Blog.

If you have recently installed a very up-to-date Linux distribution with a desktop environment, or upgraded your system on a rolling-release distribution, you might have noticed that your home directory has a new folder: “Projects”

Why?

With the recent 0.20 release of xdg-user-dirs we enabled the “Projects” directory by default. Support for this has already existed since 2007, but was never formally enabled. This closes a more than 11 year old bug report that asked for this feature.

The purpose of the Projects directory is to give applications a default location to place project files that do not cleanly belong into one of the existing categories (Documents, Music, Pictures, Videos). Examples of this are software engineering projects, scientific projects, 3D printing projects, CAD design or even things like video editing projects, where project files would end up in the “Projects” directory, with output video being more at home in “Videos”.

By enabling this by default, and subsequently in the coming months adding support to GLib, Flatpak, desktops and applications that want to make use of it, we hope to give applications that do operate in a “project-centric” manner with mixed media a better default storage location. As of now, those tools either default to the home directory, or will clutter the “Documents” folder, both of which is not ideal. It also gives users a default organization structure, hopefully leading to less clutter overall and better storage layouts.

This sucks, I don’t like it!

As usual, you are in control and can modify your system’s behavior. If you do not like the “Projects” folder, simply delete it! The xdg-user-dirs utility will not try to create it again, and instead adjust the default location for this directory to your home directory. If you want more control, you can influence exactly what goes where by editing your ~/.config/user-dirs.dirs configuration file.

If you are a system administrator or distribution vendor and want to set default locations for the default XDG directories, you can edit the /etc/xdg/user-dirs.defaults file to set global defaults that affect all users on the system (users can still adjust the settings however they like though).

What else is new?

Besides this change, the 0.20 release of xdg-user-dirs brings full support for the Meson build system (dropping Automake), translation updates, and some robustness improvements to its code. We also fixed the “arbitrary code execution from unsanitized input” bug that the Arch Linux Wiki mentions here for the xdg-user-dirs utility, by replacing the shell script with a C binary.

Thanks to everyone who contributed to this release!