ProHoster > Blog > internet nuus > Vrystelling van OpenBSD 6.5

Vrystelling van OpenBSD 6.5

het die lig gesien vrystelling van 'n gratis, kruisplatform UNIX-agtige bedryfstelsel OpenBSD 6.5. Die OpenBSD-projek is gestig deur Theo de Raadt in 1995, daarna konflik met die NetBSD-ontwikkelaars, as gevolg waarvan Teo toegang tot die NetBSD CVS-bewaarplek geweier is. Hierna het Theo de Raadt en 'n groep eendersdenkende mense 'n nuwe oop bedryfstelsel geskep gebaseer op die NetBSD-bronboom, waarvan die hoofdoelwitte oordraagbaarheid (ondersteun deur 13 hardeware platforms), standaardisering, korrekte werking, aktiewe sekuriteit en geïntegreerde kriptografiese gereedskap. Volle installasie grootte ISO beeld OpenBSD 6.5 basisstelsel is 407 MB.

Benewens die bedryfstelsel self, is die OpenBSD-projek bekend vir sy komponente, wat wydverspreid in ander stelsels geword het en hulself as een van die veiligste en hoëgehalte-oplossings bewys het. Tussen hulle: LibreSSL (vurk OpenSSL), OpenSSH, pakkie filter PF, routering van daemone OpenBGPD en OpenOSPFD, NTP-bediener OpenNTPD, posbediener Maak SMTPD oop, teksterminale multiplekser (soortgelyk aan GNU-skerm) tmux, daemoon identd met 'n implementering van die IDENT-protokol, 'n BSDL-alternatief vir die GNU groff-pakket - mandoc, protokol vir die organisering van foutverdraagsame stelsels CARP (Common Address Redundancy Protocol), liggewig http bediener, lêer sinchronisasie nut OpenRSYNC.

Van die mees noemenswaardige veranderinge: 'n draagbare weergawe van bgpd is ingestel, aangepas om in ander bedryfstelsels te werk, die gebruik van Xenocara- en tcpdump-wortelvoorregte is uitgeskakel, die LDD-skakelaar is by verstek geaktiveer vir amd64 en i386, MPLS-ondersteuning is aansienlik verbeter, en beskerming teen uitbuitings met terugspoortegnieke is versterk. georiënteerde programmering (ROP), die eenvoudigste rekursiewe DNS-bediener-ontspanning is bygevoeg, 'n ongedefinieerde gedragsdetektor is in die kern geïntegreer, en ons eie implementering van die rsync-nutsding het bekendgestel is.

Die belangrikste verbeterings:

  • Wanneer daar vir amd64- en i386-argitekture gebou word, word die LDD-skakelaar wat deur die LLVM-projek ontwikkel is, by verstek gebruik. Vir die mips64-argitektuur is ondersteuning vir die bou van Clang bygevoeg;
  • Nuwe pvclock drywers vir die geparavirtualiseerde KVM timer en ixl vir Intel Ethernet 700. Die uaudio drywer is vervang met 'n nuwe implementering met ondersteuning vir USB Audio 2.0.
  • Verbeterde werkverrigting van draadlose toestelbestuurders bwfm, iwn, iwm en athn. Ondersteuning vir RTM_80211INFO-boodskappe is by die draadlose stapel gevoeg om gedetailleerde koppelvlakstatusinligting na die dhclient en roete-opdragte oor te dra. Die stil gedrag wanneer u aan draadlose netwerke koppel, is verander - as u 'n gekonfigureerde outoverbindingslys het, koppel OpenBSD nie meer aan onbekende oop netwerke nie (om die vorige gedrag terug te gee, kan u 'n leë netwerk by die lys voeg);
  • Die netwerkstapel stel nuwe bpe (Backbone Provider Edge) en mpip (MPLS IP-laag 2) pseudo-toestelbestuurders bekend. Bygevoeg ondersteuning vir die opstel van alternatiewe roeteerdomeine vir MPLS-koppelvlakke. Die vlan-bestuurder is in staat gestel om touverwerking te omseil en direk na die ouernetwerkkoppelvlak uit te voer. Bygevoeg txprio-modus by ifconfig om prioriteitskodering in die koptekste van tonnelpakkette te beheer (ondersteun vir vlan-, gre-, gif- en etherip-bestuurders);
  • In die implementering van die bpf-filter het dit moontlik geword om die drop-meganisme te gebruik sonder om pakkies vas te vang. Hierdie kenmerk word in tcpdump gebruik om te filter in die aanvanklike stadium van 'n pakkie wat deur 'n toestel ontvang word;
  • Die installeerder bied ondersteuning rdsetroot om 'n skyfbeeld by die kern RAMDISK te voeg. Verseker die verwydering van sommige komponente van ou vrystellings tydens die stelselopdateringsproses;
  • Verbeterde stelseloproep onthul, wat lêerstelsel toegang isolasie bied. Die nuwe weergawe voeg opsporing van passings relatief tot die werkgids van die huidige proses by wanneer relatiewe paaie ontleed word. Die gebruik van stat en toegang vir beperkte lêerpadkomponente is verbode. Vir toepassings ospfd, ospf6d, rebound, getconf, kvm_mkdb, bdftopcf, Xserver, passwd, spamlogd, spamd, sensorsd, snmpd, htpasswd en ifstated, word beskerming deur onthulling geïmplementeer;
  • Clang het verbeterde gereedskap om die gebruik van terugkeer-georiënteerde programmering (ROP) tegnieke te blokkeer, wat die aantal polimorfiese toestelle wat in die gevolglike uitvoerbare lêers vir die i386- en amd64-argitekture gevind word, aansienlik verminder het;
  • Clang het verbeterde werkverrigting en sekuriteit tydens gebruik
    beskermingsmeganisme TERWAG, wat daarop gemik is om die uitvoering van uitbuitings te bemoeilik wat gebou is deur gebruik te maak van die leen van stukke kode en terugkeer-georiënteerde programmeringstegnieke. Om die werking te bespoedig, word data in registers geplaas in plaas van die stapel waar moontlik, en die verwerkerkas word meer doeltreffend gebruik wanneer teruggekeer word. RETGUARD word ook nou gebruik in die plek van tradisionele stapelbeskerming op amd64- en arm64-stelsels;

  • Hulpprogramme wat met die netwerkstapel verband hou, is verbeter: Ondersteuning vir die filter van MPLS-pakkies is by pcap-filter gevoeg. Die vermoë om roeteprioriteite te konfigureer is by ospfd, ospf6d en ripd gevoeg. IN
    ripd bygevoeg meganisme gebaseer beskerming belofte. Het sff- en sffdump-modusse by ifconfig gevoeg om diagnostiese inligting van optiese senders te verkry;

  • Eerste vrystelling van nuwe resolver aangebied ontspan, wat rekursiewe DNS-navrae verwerk en verbindings slegs op koppelvlak 127.0.0.1 aanvaar.
    Unwind is ontwerp vir gebruik op kliëntstelsels, soos skootrekenaars, wat tussen verskillende draadlose netwerke beweeg. As dit blokkering van DNS-verkeer op die plaaslike netwerk bespeur, ontspan skakel oor na die gebruik van die adres van die rekursiewe DNS-bediener wat via DHCP oorgedra is, maar gaan voort om periodiek onafhanklik te probeer oplos en sodra direkte versoeke begin slaag, keer dit terug na onafhanklike toegang DNS-bedieners;

  • In bgpd is daar gewerk om geheueverbruik te verminder, 'n eenvoudige reëloptimeerder is bygevoeg (samevoeg filterreëls wat slegs in filterstelle verskil), die BGP MPLS VPN-konfigurasieproses is verander, ondersteuning vir IPv6 BGP MPLS VPN is bygevoeg , en "as-override"-funksionaliteit is geïmplementeer om die buur-AS na plaaslike AS in paaie te vervang, die vermoë bygevoeg om met verskeie gemeenskappe in een reël te pas, nuwe bypassende kenmerke "*", "plaaslik-as" en "buurman" bygevoeg -as", verbeterde werk met groot stelle reëls, nuwe opdragte bygevoeg om met groepe naburige outonome stelsels te werk ("bgpctl buurgroep", "bgpctl wys buurgroep", "bgpctl wys ribbuurgroep"), die vermoë om netwerke by te voeg by die BGP VPN-tabelle is by bgpctl gevoeg. Vir die eerste keer is 'n draagbare weergawe van OpenBGPD-portable voorberei, gereed om op ander stelsels as OpenBSD te werk;
  • Bygevoeg opsie kubsan om gevalle van ongedefinieerde gedrag in die OpenBSD-kern op te spoor.
  • Die tcpdump-nutsding skakel die gebruik van wortelvoorregte heeltemal uit;
  • Verbeterde malloc werkverrigting in multi-threaded toepassings;
  • Die aanvanklike weergawe van die program is by die samestelling gevoeg OpenRSYNC met sy eie implementering van die rsync lêer sinchronisasie nut;
  • Die weergawe van die OpenSMTPD-posbediener is opgedateer, waarin 'n nuwe vergelykingskriterium "van rdns" by smtpd.conf gevoeg is, wat jou toelaat om sessies te kies gebaseer op omgekeerde DNS-resolusie (wat die gasheernaam volgens IP bepaal). Wanneer in tabelle gesoek word, is die vermoë om gereelde uitdrukkings te gebruik bygevoeg;
  • Die OpenSSH 8.0-pakket is opgedateer, 'n gedetailleerde oorsig van die verbeterings kan gevind word hier;
  • Die LibreSSL-pakket is opgedateer, 'n gedetailleerde oorsig van die verbeterings kan gevind word in die vrystelling-aankondigings 2.9.0 и 2.9.1;
  • Mandoc het HTML-uitset aansienlik verbeter, tabelweergawe verbeter en 'n "-O" vlag bygevoeg om 'n bladsy met die definisie van die gespesifiseerde term oop te maak;
  • Die vermoëns van die Xenocara-grafiese stapel is uitgebrei: die X-bediener vereis nie meer installasie met die setuid-vlag om te loop nie. Die radeonsi Mesa-bestuurder sluit ondersteuning in vir hardewareversnelling vir die Suidelike Eilande (Radeon HD 7000) en See-eilande (Radeon HD 8000) GPU's;
  • C++-poorte vir argitekture wat nie deur Clang ondersteun word nie, word nou saamgestel met GCC vanaf poorte. Die aantal poorte vir die AMD64-argitektuur was 10602, vir aarch64 - 9654, vir i386 - 10535. Van die toepassings wat in die poorte geleë is, word die volgende opgemerk:
    • Sterretjie 16.2.1
    • Audacity 2.3.1
    • CMaak 3.10.2
    • Chromium 73.0.3683.86
    • ffmpeg 4.1.3
    • GCC 4.9.4 en 8.3.0
    • GNOME 3.30.2.1
    • Gaan 1.12.1
    • JDK 8u202 en 11.0.2+9-3
    • LLVM/Clang 7.0.1
    • LibreOffice 6.2.2.2
    • Lua 5.1.5, 5.2.4 en 5.3.5
    • MariaDB 10.0.38
    • Aap 5.18.1.0
    • Mozilla Firefox 66.0.2 en ESR 60.6.1
    • Mozilla Thunderbird 60.6.1
    • Node.js 10.15.0
    • OpenLDAP 2.3.43 en 2.4.47
    • PHP 7.1.28, 7.2.17 en 7.3.4
    • Postfix 3.3.3 en 3.4.20190106
    • 11.2 PostgreSQL
    • Python 2.7.16 en 3.6.8
    • R 3.5.3
    • Ruby 2.4.6, 2.5.5 en 2.6.2
    • Roes 1.33.0
    • Stuur e-pos 8.16.0.41
    • SQLite3 3.27.2
    • Meerkat 4.1.3
    • Tcl/Tk 8.5.19 en 8.6.8
    • TeX Live 2018
    • Vim 8.1.1048 en Neovim 0.3.4
    • Xfce 4.12
  • Derdeparty-komponente ingesluit by OpenBSD 6.5:
    • Xenocara grafiese stapel gebaseer op X.Org bediener 1.19.7 met patches, freetype 2.9.1, fontconfig 2.12.4, Mesa 18.3.5, xterm 344, xkeyboard-config 2.20;
    • LLVM/Clang 7.0.1 (met kolle)
    • GCC 4.2.1 (met kolle) en 3.3.6 (met kolle)
    • Perl 5.28.1 (met kolle)
    • NSD 4.1.27
    • Ongebonde 1.9.1
    • Ncurses 5.7
    • Binutils 2.17 (met pleisters)
    • Gdb 6.3 (met pleisters)
    • Awk 10 Aug 2011
    • Expat 2.2.6

Bron: opennet.ru

Voeg 'n opmerking