ProHoster > Блог > интернет новини > Пускане на OpenBSD 6.5

Пускане на OpenBSD 6.5

видях светлината освобождаване на безплатна, крос-платформена UNIX-подобна операционна система OpenBSD 6.5. Проектът OpenBSD е основан от Theo de Raadt през 1995 г., след като конфликт с разработчиците на NetBSD, в резултат на което на Тео беше отказан достъп до CVS хранилището на NetBSD. След това Theo de Raadt и група съмишленици създадоха нова отворена операционна система, базирана на дървото на изходния код на NetBSD, чиито основни цели бяха преносимостта (с подкрепата на 13 хардуерни платформи), стандартизация, правилна работа, активна сигурност и интегрирани криптографски инструменти. Пълен инсталационен размер ISO изображение Базовата система OpenBSD 6.5 е 407 MB.

Освен със самата операционна система, проектът OpenBSD е известен със своите компоненти, които са широко разпространени в други системи и са се доказали като едни от най-сигурните и качествени решения. Между тях: LibreSSL (вилица OpenSSL), OpenSSH, пакетен филтър PF, демони за маршрутизиране OpenBGPD и OpenOSPFD, NTP сървър OpenNTPD, пощенски сървър OpenSMTPD, текстов терминален мултиплексор (подобен на GNU екран) tmux, демон identd с внедряване на протокола IDENT, BSDL алтернатива на пакета GNU groff - мандок, протокол за организиране на отказоустойчиви системи CARP (Common Address Redundancy Protocol), лек http сървър, помощна програма за синхронизиране на файлове OpenRSYNC.

Сред най-забележителните промени: въведена е преносима версия на bgpd, адаптирана за работа в други операционни системи, използването на root привилегии на Xenocara и tcpdump е елиминирано, LDD линкерът е активиран по подразбиране за amd64 и i386, поддръжката на MPLS е значително подобрена и защитата срещу експлойти с техники за обратно проследяване е подсилена ориентирано програмиране (ROP), добавено е най-простото рекурсивно развъртане на DNS сървъра, детектор на недефинирано поведение е интегриран в ядрото и нашата собствена реализация на помощната програма rsync е въведена.

Основната подобрения:

  • При изграждане за архитектури amd64 и i386 LDD линкерът, разработен от проекта LLVM, се използва по подразбиране. За архитектурата mips64 е добавена поддръжка за изграждане с помощта на Clang;
  • Нови pvclock драйвери за паравиртуализирания KVM таймер и ixl за Intel Ethernet 700. Драйверът uaudio е заменен с нова реализация с поддръжка за USB Audio 2.0.
  • Подобрена производителност на драйверите за безжични устройства bwfm, iwn, iwm и athn. Към безжичния стек е добавена поддръжка за RTM_80211INFO съобщения за предаване на подробна информация за състоянието на интерфейса към командите dhclient и route. Безшумното поведение при свързване към безжични мрежи е променено - ако имате конфигуриран списък за автоматично свързване, OpenBSD вече не се свързва с неизвестни отворени мрежи (за да върнете предишното поведение, можете да добавите празна мрежа към списъка);
  • Мрежовият стек въвежда нови драйвери за псевдо устройства bpe (Backbone Provider Edge) и mpip (MPLS IP слой 2). Добавена е поддръжка за конфигуриране на алтернативни домейни за маршрутизиране за MPLS интерфейси. Vlan драйверът е активиран да заобикаля обработката на опашката и да извежда директно към родителския мрежов интерфейс. Добавен режим txprio към ifconfig за контрол на приоритетното кодиране в заглавките на тунелирани пакети (поддържа се за драйвери vlan, gre, gif и etherip);
  • В реализации фильтра bpf появилась возможность применения механизма отбрасывания (drop) без захвата пакетов. Данная возможность задействована в tcpdump для фильтрации на начальном этапе поступления пакета устройством;
  • Инсталаторът осигурява поддръжка rdsetroot за добавяне на дисково изображение към ядрото RAMDISK. Осигурено премахване на някои компоненти от стари версии по време на процеса на актуализация на системата;
  • Подобрено системно повикване откривам, който осигурява изолиране на достъпа до файловата система. Новата версия добавя откриване на съвпадения спрямо работната директория на текущия процес при анализиране на относителни пътища. Използването на stat и достъп за компоненти с ограничен файлов път е забранено. За приложения ospfd, ospf6d, rebound, getconf, kvm_mkdb, bdftopcf, Xserver, passwd, spamlogd, spamd, sensorsd, snmpd, htpasswd и ifstated е внедрена защита чрез unveil;
  • В Clang улучшены средства для блокирования применения приёмов возвратно-ориентированного программирования (ROP), позволившие значительно сократить число полиморфных гаджетов, встречающихся в результирующих исполняемых файлах для архитектур i386 и amd64;
  • Clang има подобрена производителност и сигурност при използване
    защитен механизъм RETGUARD, насочени към усложняване на изпълнението на експлойти, изградени чрез заемане на части от код и техники за програмиране, ориентирани към връщане. За да се ускори работата, данните се поставят в регистрите вместо в стека, когато е възможно, а кешът на процесора се използва по-ефективно при връщане. RETGUARD вече се използва и вместо традиционната защита на стека в системите amd64 и arm64;

  • Помощните програми, свързани с мрежовия стек, са подобрени: Поддръжка за филтриране на MPLS пакети е добавена към pcap-filter. Възможността за конфигуриране на приоритетите за маршрутизиране е добавена към ospfd, ospf6d и ripd. IN
    ripd добавлена защита на основе механизма залог. Добавени са режими sff и sffdump към ifconfig за получаване на диагностична информация от оптични предаватели;

  • Представлен первый выпуск нового резолвера развивам, който обработва рекурсивни DNS заявки и приема връзки само на интерфейс 127.0.0.1.
    Unwind е предназначен за използване на клиентски системи, като лаптопи, които се движат между различни безжични мрежи. Ако открие блокиране на DNS трафик в локалната мрежа, unwind превключва към използване на адреса на рекурсивния DNS сървър, прехвърлен чрез DHCP, но продължава периодично да се опитва да разреши независимо и веднага щом директните заявки започнат да преминават, се връща към независим достъп DNS сървъри;

  • В bgpd е направена работа за намаляване на потреблението на памет, добавен е прост оптимизатор на правила (обединява правила за филтриране, които се различават само в набори от филтри), процесът на конфигуриране на BGP MPLS VPN е променен, добавена е поддръжка за IPv6 BGP MPLS VPN , и функционалността „as-override“ е внедрена за замяна на съседната AS с локална AS в пътеки, добавена е възможност за съвпадение с няколко общности в едно правило, добавени са нови функции за съвпадение „*“, „local-as“ и „neighbor -as”, подобрена работа с големи набори от правила, добавени нови команди за работа с групи съседни автономни системи (“bgpctl съседна група”, “bgpctl шоу съседна група”, “bgpctl шоу rib съседна група”), възможност за добавяне на мрежи към BGP VPN таблиците е добавен към bgpctl. За първи път е подготвена преносима версия на OpenBGPD-portable, готова за работа на системи, различни от OpenBSD;
  • Добавена опция кубсан для выявления случаев неопределённого поведения в ядре OpenBSD.
  • Помощната програма tcpdump напълно елиминира използването на root привилегии;
  • Подобрена производителност на malloc в многонишкови приложения;
  • В состав добавлена начальная версия программы OpenRSYNC със собствена реализация на помощната програма за синхронизиране на файлове rsync;
  • Актуализирана е версията на пощенския сървър OpenSMTPD, в която към smtpd.conf е добавен нов критерий за сравнение „от rdns“, който ви позволява да избирате сесии въз основа на обратна DNS резолюция (определяне на името на хоста по IP). При търсене в таблици е добавена възможност за използване на регулярни изрази;
  • Пакетът OpenSSH 8.0 е актуализиран, можете да намерите подробен преглед на подобренията тук;
  • Пакетът LibreSSL е актуализиран, подробен преглед на подобренията можете да намерите в съобщенията за изданието 2.9.0 и 2.9.1;
  • В Mandoc значительно улучшен вывод в HTML, улучшена отрисовка таблиц и добавлен флаг «-O» для открытия страницы с определением указанного термина;
  • Расширены возможности графического стека Xenocara: X-сервер теперь не требует для запуска установки с флагом setuid. В Mesa-драйвере radeonsi включена поддержка аппаратного ускорения для GPU Southern Islands (Radeon HD 7000) и Sea Islands (Radeon HD 8000);
  • C++ портовете за архитектури, които не се поддържат от Clang, сега се компилират с помощта на GCC от портове. Броят на портовете за архитектурата AMD64 беше 10602, за aarch64 - 9654, за i386 - 10535. От приложенията, разположени в портовете, се отбелязват следните:
    • Asterisk 16.2.1
    • Audacity 2.3.1
    • CMake 3.10.2
    • Chromium 73.0.3683.86
    • FFmpeg 4.1.3
    • GCC 4.9.4 и 8.3.0
    • GNOME 3.30.2.1
    • Идете на 1.12.1
    • JDK 8u202 и 11.0.2+9-3
    • LLVM/Clang 7.0.1
    • LibreOffice 6.2.2.2
    • Lua 5.1.5, 5.2.4 и 5.3.5
    • MariaDB 10.0.38
    • Моно 5.18.1.0
    • Mozilla Firefox 66.0.2 и ESR 60.6.1
    • Mozilla Thunderbird 60.6.1
    • Node.js 10.15.0
    • OpenLDAP 2.3.43 и 2.4.47
    • PHP 7.1.28, 7.2.17 и 7.3.4
    • Postfix 3.3.3 и 3.4.20190106
    • PostgreSQL 11.2
    • Python 2.7.16 и 3.6.8
    • R 3.5.3
    • Ruby 2.4.6, 2.5.5 и 2.6.2
    • Ръжда 1.33.0
    • Sendmail 8.16.0.41
    • SQLite3 3.27.2
    • Meerkat 4.1.3
    • Tcl/Tk 8.5.19 и 8.6.8
    • TeX Live 2018
    • Vim 8.1.1048 и Neovim 0.3.4
    • Xfce 4.12
  • Компоненти на трети страни, включени в OpenBSD 6.5:
    • Графичен стек на Xenocara, базиран на X.Org сървър 1.19.7 с пачове, freetype 2.9.1, fontconfig 2.12.4, Mesa 18.3.5, xterm 344, xkeyboard-config 2.20;
    • LLVM/Clang 7.0.1 (с пачове)
    • GCC 4.2.1 (с пачове) и 3.3.6 (с пачове)
    • Perl 5.28.1 (с кръпки)
    • NSD 4.1.27
    • Без ограничения 1.9.1
    • Ncurses 5.7
    • Binutils 2.17 (с кръпки)
    • Gdb 6.3 (с кръпки)
    • Awk 10 август 2011 г
    • Expat 2.2.6

Източник: opennet.ru

Добавяне на нов коментар