ProHoster > Blog > internet nuus > Vrystelling van OpenBSD 6.7

Vrystelling van OpenBSD 6.7

Bekendgestel vrystelling van 'n gratis kruis-platform UNIX-agtige bedryfstelsel OpenBSD 6.7. Die OpenBSD-projek is gestig deur Theo de Raadt in 1995 daarna konflik met die NetBSD-ontwikkelaars, as gevolg waarvan Teo toegang tot die NetBSD CVS-bewaarplek geweier is. Hierna het Theo de Raadt en 'n groep eendersdenkende mense 'n nuwe oop bedryfstelsel geskep gebaseer op die NetBSD-bronboom, waarvan die hoofdoelwitte oordraagbaarheid (ondersteun deur 12 hardeware platforms), standaardisering, korrekte werking, aktiewe sekuriteit en geïntegreerde kriptografiese gereedskap. Volle installasie grootte ISO beeld OpenBSD 6.7 basisstelsel is 470 MB.

Benewens die bedryfstelsel self, is die OpenBSD-projek bekend vir sy komponente, wat wydverspreid in ander stelsels geword het en hulself as een van die veiligste en hoëgehalte-oplossings bewys het. Tussen hulle: LibreSSL (vurk OpenSSL), OpenSSH, pakkie filter PF, routering van daemone OpenBGPD en OpenOSPFD, NTP-bediener OpenNTPD, posbediener Maak SMTPD oop, teksterminale multiplekser (soortgelyk aan GNU-skerm) tmux, daemoon identd met 'n implementering van die IDENT-protokol, 'n BSDL-alternatief vir die GNU groff-pakket - mandoc, protokol vir die organisering van foutverdraagsame stelsels CARP (Common Address Redundancy Protocol), liggewig http bediener, lêer sinchronisasie nut OpenRSYNC.

Die belangrikste verbeterings:

  • Die FFS2-lêerstelsel, wat 64-bis tyd en blokwaardes gebruik, is by verstek in nuwe installasies geaktiveer vir byna alle ondersteunde argitekture in plaas van FFS (behalwe landisk, luna88k en sgi).
  • 'n Nuwe metode is bygevoeg om die geldigheid van stelseloproepe na te gaan, wat die uitbuiting van kwesbaarhede verder bemoeilik. Die metode laat toe dat stelseloproepe slegs uitgevoer word as toegang tot hulle verkry word vanaf voorheen geregistreerde geheueareas. 'n Nuwe msyscall()-stelseloproep is voorgestel om geheue-areas te merk en beskerming te aktiveer.
  • Die aantal partisies wat op een skyf geskep kan word, is van 7 na 15 verhoog.
  • Die cron-opsie-ontledingskode is herskryf om getopt-agtige kenmerke soos "-ns" te ondersteun en dieselfde vlae te herspesifiseer. Die "opsies"-veld in crontab is hernoem na "vlae". Het 'n "-s" vlag by crontab gevoeg sodat slegs een instansie van 'n taak op 'n slag uitgevoer kan word. Bygevoeg "~" operateur om 'n ewekansige tydwaarde te spesifiseer.
  • Die cwm-vensterbestuurder implementeer die vermoë om die venstergrootte as 'n persentasie van die grootte van die primêre venster in 'n geteëlde uitleg te bepaal.
  • Die powerpc-argitektuur het by verstek oorgeskakel na die gebruik van Clang en het 'n argitektuur-onafhanklike implementering van mplock geaktiveer.
  • apmd het verbeterde ondersteuning vir outomatiese bystand en hibernasie (-z/-Z) - die daemon reageer nou op batteryladingveranderingsboodskappe wat deur die kragmoniteringsbestuurder gestuur word. Die oorgang na slaap vind plaas met 'n vertraging van 60 sekondes, wat die gebruiker tyd gee om beheer te neem.
  • Het $REQUEST_SCHEME-konfigurasieveranderlike by die ingeboude HTTP-bediener gevoeg om die oorspronklike protokol (http of https) te bewaar tydens herleiding, sowel as 'n "strip"-opsie om veelvuldige chroots in /var/www vir FastCGI-bedieners toe te laat.
  • Die tophulpprogram ondersteun nou blaai met die 9- en 0-sleutels.
  • 'n Meganisme vir die vrystelling van geheuebladsye in omgekeerde volgorde word ingestel, wat die doeltreffendheid van aktief vrystelling van 'n groot aantal bladsye aansienlik verhoog.
  • Die ongebonde DNS-bediener het DNSSEC-kontrolering by verstek geaktiveer.
  • Stelseloproepe word van globale blokkering bevry
    __thrsleep(2), __thrwakeup(2), close(2), closefrom(2), dup(2), dup2(2), dup3(2), flock(2), fcntl(2), kqueue(2), pyp(2), pyp2(2) en nanoslaap(2), asook die basiese deel van ioctl(2).

  • Uitgebreide hardeware-ondersteuning. 'n Nuwe iwx-drywer is bygevoeg vir Intel AX200 draadlose skyfies, en die iwm-bestuurder het ondersteuning bygevoeg vir Intel 9260- en 9560-toestelle. Die rge-bestuurder is bygevoeg vir Realtek 8125 PCI Express 2.5Gb. Baie nuwe drywers is voorgestel om werkverrigting op arm64- en armv7-borde te verbeter, insluitend bykomende ondersteuning vir die Raspberry Pi 4-bord en verbeterde ondersteuning vir Raspberry Pi 2 en 3.
  • Die sndio-klanksubstelsel is uitgebrei. Bygevoeg sioctl_open API en sndioctl nut vir die beheer van klank via sndiod. /dev/mixer is verwyder en alle poorte is oorgeskakel na sndio in plaas van die kernmenger-koppelvlak. Sndiod verskaf die gebruik van hardeware-volumebeheermeganismes. Om sekuriteit te verbeter, word gereelde gebruikertoegang tot /dev/audio* en /dev/rmidi* verbied.
  • Die draadlose stapel hou op om aan enige beskikbare Wi-Fi-netwerk te koppel wat nie enkripsie ondersteun nie, behalwe deur die "ifconfig join"-opdrag uitdruklik te roep. Verseker dat 'n agtergrondskandering van beskikbare netwerke begin word wanneer die "ifconfig scan"-opdrag deur die wortelgebruiker uitgevoer word. Die kas van skanderingsresultate is vergroot. Het die "nwflag nomimo"-vlag bygevoeg, gestel via ifconfig, wat help om ontslae te raak van pakkieverlies in 11n-modus as die toestel nie-gekoppelde antenna-verbindings het. Bygevoeg ondersteuning vir aktiewe skandering af vir die bwfm bestuurder. Verbeterde outomatiese oorskakeling tussen draadlose netwerke deur die prioriteit te verlaag vir netwerke waaraan nie gekoppel kon word nie.
  • 'n Nuwe pppac-bestuurder het in die netwerkstapel verskyn, wat die implementering van die PPP Access Concentrator-koppelvlak insluit. Het npppd.conf instellings verander om pppac in plaas van tun te gebruik. Wanneer pakkieherleiding gedeaktiveer is, is 'n kontrole bygevoeg om te kyk of die bestemmingsadres in die pakkie ooreenstem met die adres van die netwerkkoppelvlak. Mobileip ondersteuning verwyder.
  • Nie-wortelgebruikers word verbied om ioctl te gebruik om die netwerkkoppelvlakadres te verander en die parameters van pppoe-koppelvlakke te verander.
  • sysupgrade verseker dat firmware-opdaterings (fw_update) begin word voor herselflaai voor opgradering.
  • Die onthullingstelseloproep is verbeter om lêerstelseltoegangisolasie te verskaf. Die aantal toepassings vanaf die basisstelsel waarvoor beskerming deur onthulling geïmplementeer word, is tot 82 verhoog. Insluitend vmstat, iostat en systat wat na onthulling oorgedra is.
  • RSA-PSS-ondersteuning is by crypto(3) gevoeg.
  • DoT (DNS oor TLS)-ondersteuning is by die ontspan-DNS-oplosser gevoeg. Bygevoeg "unwindctl status geheue" opdrag.
  • Die implementering van ipsec is aansienlik gemoderniseer. Bygevoeg ondersteuning vir outomatiese verskuiwing van verkeer tussen rdomains tydens enkripsie en dekripsie om te beskerm teen sykanaalaanvalle. Bygevoeg ondersteuning vir die verandering van rdomain na iked, en bygevoeg 'rdomain' opsie by iked.conf
    Die verstekvlak vir iked en isakmpd is IPSEC_LEVEL_REQUIRE, wat die verwerking van ongeënkripteerde pakkies wat met die vloei ooreenstem, verhoed. Die curve25519, ecp256, ecp384, ecp521, modp3072 en modp4096-algoritmes is by die Diffie-Hellman-groepinstellings vir IKE SA gevoeg. In iked is die verstek verifikasie metode verander na digitale handtekening verifikasie (RFC 7427). Het ESN-instellings by iked.conf gevoeg. Bygevoeg "-p" opsie om 'n nie-standaard UDP-poortnommer te kies.

  • Die vermoëns van die tmux terminale multiplexer is uitgebrei en baie nuwe opsies is bygevoeg.
  • Die weergawe van die OpenSMTPD-posbediener is opgedateer. Die ingeboude filters implementeer die "omseil"-sleutelwoord om verwerking onder gespesifiseerde toestande oor te slaan. Laat toe dat die gebruikernaam van die huidige smtpd-sessie in filters gebruik word. In smtpd.conf laat die parameters die gebruik van pos-van en rctp-na toe.
  • Die OpenSSH 8.2-pakket is opgedateer om ondersteuning vir FIDO/U2F-tweefaktor-verifikasietokens in te sluit. U kan 'n gedetailleerde oorsig van die verbeterings sien hier.
  • Opgedateer die LibreSSL-pakket, waarin die implementering van TLS 1.3 gebaseer op 'n nuwe eindige toestand masjien en 'n substelsel vir die werk met rekords voltooi is. By verstek is slegs die kliëntdeel van TLS 1.3 vir nou geaktiveer; die bedienerdeel word beplan om by verstek in 'n toekomstige vrystelling geaktiveer te word. 'n Lys van ander veranderinge kan in die vrystelling-aankondigings gesien word 3.1.0 и 3.1.1.
  • Die aantal poorte vir die AMD64-argitektuur was 11268, vir aarch64 - 10848, vir i386 - 10715. Komponente van derdeparty-ontwikkelaars wat in OpenBSD 6.7 ingesluit is, is opgedateer:
    • Xenocara grafiese stapel gebaseer op X.Org 7.7 met xserver 1.20.8 + patches, freetype 2.10.1, fontconfig 2.12.4, Mesa 19.2.8, xterm 351, xkeyboard-config 2.20;
    • LLVM/Clang 8.0.1 (met kolle)
    • GCC 4.2.1 (met kolle) en 3.3.6 (met kolle)
    • Perl 5.30.2 (met kolle)
    • NSD 4.2.4
    • Ongebonde 1.10.0
    • Ncurses 5.7
    • Binutils 2.17 (met pleisters)
    • Gdb 6.3 (met pleisters)
    • Awk 20 Desember 2012
    • Expat 2.2.8

    Bron: opennet.ru

Voeg 'n opmerking