ProHoster > блог > Навіны інтэрнэту > Выпуск OpenBSD 6.5

Выпуск OpenBSD 6.5

Убачыў святло рэліз свабоднай, крос-платформавай UNIX-падобнай аперацыйнай сістэмы OpenBSD 6.5. Праект OpenBSD быў заснаваны Тэа дэ Раадтам (Theo de Raadt) у 1995 годзе, пасля канфлікту з распрацоўшчыкамі NetBSD, у выніку якога для Тэа быў зачынены доступ да CVS рэпазітара NetBSD. Пасля гэтага Тэа дэ Раадт з групай аднадумцаў стварыў на базе дрэва зыходных тэкстаў NetBSD новую адкрытую аперацыйную сістэму, галоўнымі мэтамі развіцця якой сталі пераноснасць (падтрымліваецца 13 апаратных платформ), стандартызацыя, карэктная праца, актыўная бяспека і інтэграваныя крыптаграфічныя сродкі. Памер поўнага ўсталявальнага ISO-выявы базавай сістэмы OpenBSD 6.5/407 складае XNUMX Мб.

Акрамя непасрэдна аперацыйнай сістэмы, праект OpenBSD вядомы сваімі кампанентамі, якія атрымалі распаўсюджванне ў іншых сістэмах і зарэкамендавалі сябе як адны з найболей бяспечных і якасных рашэнняў. Сярод іх: LibreSSL (відэлец OpenSSL), OpenSSH, пакетны фільтр PF, дэманы маршрутызацыі OpenBGPD і OpenOSPFD, NTP-сервер OpenNTPD, паштовы сервер OpenSMTPD, мультыплексар тэкставага тэрмінала (аналаг GNU screen) tmux, дэман identd з рэалізацыяй пратаколу IDENT, BSDL-альтэрнатыва пакету GNU groff — mandoc, пратакол для арганізацыі адмоваўстойлівых сістэм CARP (Common Address Redundancy Protocol), легкаважны http-сервер, утыліта сінхранізацыі файлаў OpenRSYNC.

Сярод найболей прыкметных змен: прадстаўлена пераносная версія bgpd, адаптаваная для працы ў іншых АС, пазбаўленыя ад выкарыстання root-прывілеяў Xenocara і tcpdump, для amd64 і i386 задзейнічаны па змаўчанні кампаноўнік LDD, значна палепшаная падтрымка MPLS, узмоцненая абарона ад эксплоітаў з прыёмамі арыентаванага праграмавання (ROP), дададзены найпросты рэкурсіўны DNS-сервер unwind, у ядро ​​інтэграваны дэтэктар нявызначаных паводзін, прадстаўлена ўласная рэалізацыя ўтыліты rsync.

Асноўныя паляпшэння:

  • Пры зборцы для архітэктур amd64 і i386 па змаўчанні задзейнічаны кампаноўнік LDD, які развіваецца праектам LLVM. Для архітэктуры mips64 дададзена падтрымка зборкі з выкарыстаннем Clang;
  • Новыя драйверы pvclock для паравіртуалізаванай таймера KVM і ixl для Intel Ethernet 700. Драйвер uaudio заменены на новую рэалізацыю з падтрымкай USB Audio 2.0.
  • Палепшана праца драйвераў бесправадных прылад bwfm, iwn, iwm і athn. У бесправадной стэк дададзена падтрымка паведамленняў RTM_80211INFO для перадачы дэталёвых звестак аб стане інтэрфейсу ў каманды dhclient і route. Змененыя паводзіны па маўчанні пры падлучэнні да бесправадных сетак - пры наяўнасці настроенага спісу аўтападлучэння, OpenBSD зараз не злучаецца з невядомымі адкрытымі сеткамі (для вяртання мінулага паводзін можна дадаць пустую сетку ў спіс);
  • У сеткавым стэку прадстаўлены новыя драйверы псеўдапрылад bpe (Backbone Provider Edge) і mpip (MPLS IP layer 2). Для MPLS-інтэрфейсаў дададзена падтрымка налады альтэрнатыўных даменаў маршрутызацыі. Забяспечана праца драйвера vlan у абыход апрацоўкі чэргаў з высновай напроста ў бацькоўскі сеткавы інтэрфейс. У ifconfig дададзены рэжым txprio для кіраваннем кадаваннем прыярытэту ў загалоўках тунэляваных пакетаў (падтрымліваецца для драйвераў vlan, gre, gif і etherip);
  • У рэалізацыі фільтра bpf з'явілася магчымасць ужывання механізму адкідвання (drop) без захопу пакетаў. Дадзеная магчымасць задзейнічана ў tcpdump для фільтравання на пачатковым этапе паступлення пакета прыладай;
  • Ва ўсталёўніку забяспечана падтрымка rdsetroot для дадання дыскавай выявы ў RAMDISK ядра. Забяспечана выдаленне некаторых кампанентаў старых рэлізаў у працэсе абнаўлення сістэмы;
  • Удасканалены сістэмны выклік адкрываць, які забяспечвае ізаляцыю доступу да файлавай сістэмы. У новай версіі дададзена вызначэнне супадзенняў адносна працоўнага каталога бягучага працэсу пры разборы адносных шляхоў. Забаронена выкарыстанне stat і access для абмежаваных кампанентаў файлавых шляхоў. Для прыкладанняў ospfd, ospf6d, rebound, getconf, kvm_mkdb, bdftopcf, Xserver, passwd, spamlogd, spamd, sensorsd, snmpd, htpasswd і ifstated рэалізавана абарона з выкарыстаннем unveil;
  • У Clang палепшаны сродкі для блакавання ўжывання прыёмаў зваротна-арыентаванага праграмавання (ROP), якія дазволілі значна скараціць лік паліморфных гаджэтаў, якія сустракаюцца ў выніковых выкананых файлах для архітэктур i386 і amd64;
  • У Clang падвышаная прадукцыйнасць і бяспека пры ўжыванні
    механізма абароны RETGUARD, накіраванага на ўскладненне выканання эксплоітаў, пабудаваных з выкарыстаннем запазычання кавалкаў кода і прыёмаў зваротна-арыентаванага праграмавання. Для паскарэння працы замест стэка дадзеныя па магчымасці размяшчаюцца ў рэгістрах, а пры звароце больш эфектыўна выкарыстоўваецца працэсарны кэш. RETGUARD таксама зараз выкарыстоўваецца замест традыцыйнай абароны стэка на сістэмах amd64 і arm64;

  • Палепшаны ўтыліты, звязаныя з сеткавым стэкам: У pcap-filter дададзена падтрымка фільтрацыі пакетаў MPLS. У ospfd, ospf6d і ripd дададзена магчымасць налады прыярытэтаў маршрутызацыі. У
    ripd дададзена абарона на аснове механізму заклад. У ifconfig дададзены рэжымы sff і sffdump для атрымання дыягнастычнай інфармацыі з аптычных перадатчыкаў;

  • Прадстаўлены першы выпуск новага рэзалвера раскручвацца, які апрацоўвае рэкурсіўныя DNS-запыты і прымаючага злучэння толькі на інтэрфейсе 127.0.0.1.
    Unwind разлічаны для выкарыстання на кліенцкіх сістэмах, такіх як наўтбукі, якія перамяшчаюцца паміж рознымі бесправаднымі сеткамі. У выпадку вызначэння блакавання DNS-трафіка ў лакальнай сетцы, unwind перамыкаецца на выкарыстанне перададзенага па DHCP адрасы рэкурсіўнага DNS-сервера, але працягвае перыядычна спрабаваць выканаць рэзалінг самастойна і як толькі прамыя запыты пачынаюць праходзіць вяртаецца да самастойнага звароту да DNS-сервераў;

  • У bgpd праведзена праца па зніжэнні спажывання памяці, дададзены просты аптымізатар правіл (выконвае зліццё правіл фільтрацыі, якія адрозніваюцца толькі наборамі фільтраў), зменены працэс налады BGP MPLS VPN, дададзеная падтрымка IPv6 BGP MPLS VPN, рэалізавана функцыянальнасць "as-override" для замены AS суседа на лакальны AS у шляхах, дабаўлена магчымасць супастаўлення з некалькімі communitie у адным правіле, дабаўлены новыя прыкметы супастаўленняў "*", "local-as" і "neighbor-as", палепшана работа з вялікімі наборамі правілаў, дабаўлены новыя каманды для работы з групамі. суседніх аўтаномных сістэм (bgpctl neighbor group, bgpctl show neighbor group, bgpctl show rib neighbor group), у bgpctl дададзена магчымасць дадання сетак у табліцы BGP VPN. Упершыню падрыхтаваны пераносны варыянт OpenBGPD-portable, гатовы да працы ў сістэмах, адрозных ад OpenBSD;
  • Дададзена опцыя kubsan для выяўлення выпадкаў нявызначаных паводзін у ядры OpenBSD.
  • Утыліта tcpdump цалкам пазбаўлена ад выкарыстання root-прывілеяў;
  • Палепшана прадукцыйнасць malloc у шматструменных дадатках;
  • У склад дабаўлена пачатковая версія праграмы OpenRSYNC з уласнай рэалізацыяй утыліты сінхранізацыі файлаў rsync;
  • Абноўлена версія паштовага сервера OpenSMTPD, у якой у smtpd.conf дададзены новы крытэр супастаўленняў «from rdns», які дазваляе выбіраць сэўнсы на аснове рэзалвінгу зваротнага DNS (вызначэнне імя хаста па IP). Пры пошуку ў табліцах дададзена магчымасць прымянення рэгулярных выразаў;
  • Абноўлены пакет OpenSSH 8.0, падрабязны агляд паляпшэнняў можна паглядзець тут;
  • Абноўлены пакет LibreSSL, падрабязны агляд паляпшэнняў можна паглядзець у анонсах выпускаў 2.9.0 и 2.9.1;
  • У Mandoc значна палепшаная выснова ў HTML, палепшаная адмалёўка табліц і дададзены сцяг «-O» для адкрыцця старонкі з вызначэннем пазначанага тэрміна;
  • Пашыраныя магчымасці графічнага стэка Xenocara: X-сервер зараз не патрабуе для запуску ўсталёўкі са сцягам setuid. У Mesa-драйверы radeonsi уключаная падтрымка апаратнага паскарэння для GPU Southern Islands (Radeon HD 7000) і Sea Islands (Radeon HD 8000);
  • Парты на мове C++ для архітэктур не падтрымоўваных у Clang зараз сабраны з выкарыстаннем GCC з портаў. Колькасць партоў для архітэктуры AMD64 склала 10602, для aarch64 – 9654, для i386 – 10535.
    • зорачка 16.2.1
    • Audacity 2.3.1
    • CMake 3.10.2
    • хром 73.0.3683.86
    • FFmpeg 4.1.3
    • GCC 4.9.4 і 8.3.0
    • GNOME 3.30.2.1
    • перайсці 1.12.1
    • JDK 8u202 і 11.0.2+9-3
    • LLVM/Clang 7.0.1
    • LibreOffice 6.2.2.2
    • Lua 5.1.5, 5.2.4 and 5.3.5
    • MariaDB 10.0.38
    • Мона 5.18.1.0
    • Mozilla Firefox 66.0.2 і ESR 60.6.1
    • Mozilla Thunderbird 60.6.1
    • Node.js 10.15.0
    • OpenLDAP 2.3.43 і 2.4.47
    • PHP 7.1.28, 7.2.17 і 7.3.4
    • Postfix 3.3.3 і 3.4.20190106
    • PostgreSQL 11.2
    • Python 2.7.16 і 3.6.8
    • R 3.5.3
    • Ruby 2.4.6, 2.5.5 і 2.6.2
    • Іржа 1.33.0
    • Sendmail 8.16.0.41
    • SQLite3 3.27.2
    • Сурыкат 4.1.3
    • Tcl/Tk 8.5.19 і 8.6.8
    • TeX Live 2018
    • Vim 8.1.1048 і Neovim 0.3.4
    • Xfce 4.12
  • Кампаненты ад іншых распрацоўнікаў, якія ўваходзяць у склад OpenBSD 6.5:
    • Графічны стэк Xenocara на базе X.Org server 1.19.7 з патчамі, freetype 2.9.1, fontconfig 2.12.4, Mesa 18.3.5, xterm 344, xkeyboard-config 2.20;
    • LLVM/Clang 7.0.1 (з патчамі)
    • GCC 4.2.1 (з патчамі) і 3.3.6 (з патчамі)
    • Perl 5.28.1 (з патчамі)
    • NSD 4.1.27
    • Unbound 1.9.1
    • Ncurses 5.7
    • Binutils 2.17 (з патчамі)
    • Gdb 6.3 (з патчамі)
    • Awk Aug 10, 2011
    • Expat 2.2.6

Крыніца: opennet.ru

Дадаць каментар