ProHoster > Блог > интернет новини > Пускане на OpenBSD 6.5

Пускане на OpenBSD 6.5

видях светлината освобождаване на безплатна, крос-платформена UNIX-подобна операционна система OpenBSD 6.5. Проектът OpenBSD е основан от Theo de Raadt през 1995 г., след като конфликт с разработчиците на NetBSD, в резултат на което на Тео беше отказан достъп до CVS хранилището на NetBSD. След това Theo de Raadt и група съмишленици създадоха нова отворена операционна система, базирана на дървото на изходния код на NetBSD, чиито основни цели бяха преносимостта (с подкрепата на 13 хардуерни платформи), стандартизация, правилна работа, активна сигурност и интегрирани криптографски инструменти. Пълен инсталационен размер ISO изображение Базовата система OpenBSD 6.5 е 407 MB.

Освен със самата операционна система, проектът OpenBSD е известен със своите компоненти, които са широко разпространени в други системи и са се доказали като едни от най-сигурните и качествени решения. Между тях: LibreSSL (вилица OpenSSL), OpenSSH, пакетен филтър PF, демони за маршрутизиране OpenBGPD и OpenOSPFD, NTP сървър OpenNTPD, пощенски сървър OpenSMTPD, текстов терминален мултиплексор (подобен на GNU екран) tmux, демон identd с внедряване на протокола IDENT, BSDL алтернатива на пакета GNU groff - мандок, протокол за организиране на отказоустойчиви системи CARP (Common Address Redundancy Protocol), лек http сървър, помощна програма за синхронизиране на файлове OpenRSYNC.

Сред най-забележителните промени: въведена е преносима версия на bgpd, адаптирана за работа в други операционни системи, използването на root привилегии на Xenocara и tcpdump е елиминирано, LDD линкерът е активиран по подразбиране за amd64 и i386, поддръжката на MPLS е значително подобрена и защитата срещу експлойти с техники за обратно проследяване е подсилена ориентирано програмиране (ROP), добавено е най-простото рекурсивно развъртане на DNS сървъра, детектор на недефинирано поведение е интегриран в ядрото и нашата собствена реализация на помощната програма rsync е въведена.

Основната подобрения:

  • При изграждане за архитектури amd64 и i386 LDD линкерът, разработен от проекта LLVM, се използва по подразбиране. За архитектурата mips64 е добавена поддръжка за изграждане с помощта на Clang;
  • Нови pvclock драйвери за паравиртуализирания KVM таймер и ixl за Intel Ethernet 700. Драйверът uaudio е заменен с нова реализация с поддръжка за USB Audio 2.0.
  • Подобрена производителност на драйверите за безжични устройства bwfm, iwn, iwm и athn. Към безжичния стек е добавена поддръжка за RTM_80211INFO съобщения за предаване на подробна информация за състоянието на интерфейса към командите dhclient и route. Безшумното поведение при свързване към безжични мрежи е променено - ако имате конфигуриран списък за автоматично свързване, OpenBSD вече не се свързва с неизвестни отворени мрежи (за да върнете предишното поведение, можете да добавите празна мрежа към списъка);
  • Мрежовият стек въвежда нови драйвери за псевдо устройства bpe (Backbone Provider Edge) и mpip (MPLS IP слой 2). Добавена е поддръжка за конфигуриране на алтернативни домейни за маршрутизиране за MPLS интерфейси. Vlan драйверът е активиран да заобикаля обработката на опашката и да извежда директно към родителския мрежов интерфейс. Добавен режим txprio към ifconfig за контрол на приоритетното кодиране в заглавките на тунелирани пакети (поддържа се за драйвери vlan, gre, gif и etherip);
  • При внедряването на bpf филтъра стана възможно използването на механизма за изпускане без прихващане на пакети. Тази функция се използва в tcpdump за филтриране в началния етап на получаване на пакет от устройство;
  • Инсталаторът осигурява поддръжка rdsetroot за добавяне на дисково изображение към ядрото RAMDISK. Осигурено премахване на някои компоненти от стари версии по време на процеса на актуализация на системата;
  • Подобрено системно повикване откривам, който осигурява изолиране на достъпа до файловата система. Новата версия добавя откриване на съвпадения спрямо работната директория на текущия процес при анализиране на относителни пътища. Използването на stat и достъп за компоненти с ограничен файлов път е забранено. За приложения ospfd, ospf6d, rebound, getconf, kvm_mkdb, bdftopcf, Xserver, passwd, spamlogd, spamd, sensorsd, snmpd, htpasswd и ifstated е внедрена защита чрез unveil;
  • Clang е подобрил инструменти за блокиране на използването на техники за ориентирано към връщане програмиране (ROP), което значително е намалило броя на полиморфните джаджи, намерени в получените изпълними файлове за i386 и amd64 архитектурите;
  • Clang има подобрена производителност и сигурност при използване
    защитен механизъм РЕТГАРД, насочени към усложняване на изпълнението на експлойти, изградени чрез заемане на части от код и техники за програмиране, ориентирани към връщане. За да се ускори работата, данните се поставят в регистрите вместо в стека, когато е възможно, а кешът на процесора се използва по-ефективно при връщане. RETGUARD вече се използва и вместо традиционната защита на стека в системите amd64 и arm64;

  • Помощните програми, свързани с мрежовия стек, са подобрени: Поддръжка за филтриране на MPLS пакети е добавена към pcap-filter. Възможността за конфигуриране на приоритетите за маршрутизиране е добавена към ospfd, ospf6d и ripd. IN
    ripd добави защита, базирана на механизъм залог. Добавени са режими sff и sffdump към ifconfig за получаване на диагностична информация от оптични предаватели;

  • Представено е първото издание на нов резолвер развивам, който обработва рекурсивни DNS заявки и приема връзки само на интерфейс 127.0.0.1.
    Unwind е предназначен за използване на клиентски системи, като лаптопи, които се движат между различни безжични мрежи. Ако открие блокиране на DNS трафик в локалната мрежа, unwind превключва към използване на адреса на рекурсивния DNS сървър, прехвърлен чрез DHCP, но продължава периодично да се опитва да разреши независимо и веднага щом директните заявки започнат да преминават, се връща към независим достъп DNS сървъри;

  • В bgpd е направена работа за намаляване на потреблението на памет, добавен е прост оптимизатор на правила (обединява правила за филтриране, които се различават само в набори от филтри), процесът на конфигуриране на BGP MPLS VPN е променен, добавена е поддръжка за IPv6 BGP MPLS VPN , и функционалността „as-override“ е внедрена за замяна на съседната AS с локална AS в пътеки, добавена е възможност за съвпадение с няколко общности в едно правило, добавени са нови функции за съвпадение „*“, „local-as“ и „neighbor -as”, подобрена работа с големи набори от правила, добавени нови команди за работа с групи съседни автономни системи (“bgpctl съседна група”, “bgpctl шоу съседна група”, “bgpctl шоу rib съседна група”), възможност за добавяне на мрежи към BGP VPN таблиците е добавен към bgpctl. За първи път е подготвена преносима версия на OpenBGPD-portable, готова за работа на системи, различни от OpenBSD;
  • Добавена опция кубсан за откриване на случаи на недефинирано поведение в ядрото на OpenBSD.
  • Помощната програма tcpdump напълно елиминира използването на root привилегии;
  • Подобрена производителност на malloc в многонишкови приложения;
  • Към композицията е добавена първоначалната версия на програмата OpenRSYNC със собствена реализация на помощната програма за синхронизиране на файлове rsync;
  • Актуализирана е версията на пощенския сървър OpenSMTPD, в която към smtpd.conf е добавен нов критерий за сравнение „от rdns“, който ви позволява да избирате сесии въз основа на обратна DNS резолюция (определяне на името на хоста по IP). При търсене в таблици е добавена възможност за използване на регулярни изрази;
  • Пакетът OpenSSH 8.0 е актуализиран, можете да намерите подробен преглед на подобренията тук;
  • Пакетът LibreSSL е актуализиран, подробен преглед на подобренията можете да намерите в съобщенията за изданието 2.9.0 и 2.9.1;
  • Mandoc значително подобри HTML изхода, подобри изобразяването на таблици и добави флаг „-O“ за отваряне на страница с дефиницията на посочения термин;
  • Възможностите на графичния стек Xenocara са разширени: X сървърът вече не изисква инсталация с флага setuid, за да работи. Драйверът radeonsi Mesa включва поддръжка за хардуерно ускорение за GPU на Южните острови (Radeon HD 7000) и Sea Islands (Radeon HD 8000);
  • C++ портовете за архитектури, които не се поддържат от Clang, сега се компилират с помощта на GCC от портове. Броят на портовете за архитектурата AMD64 беше 10602, за aarch64 - 9654, за i386 - 10535. От приложенията, разположени в портовете, се отбелязват следните:
    • Asterisk 16.2.1
    • Audacity 2.3.1
    • CMake 3.10.2
    • Chromium 73.0.3683.86
    • FFmpeg 4.1.3
    • GCC 4.9.4 и 8.3.0
    • GNOME 3.30.2.1
    • Идете на 1.12.1
    • JDK 8u202 и 11.0.2+9-3
    • LLVM/Clang 7.0.1
    • LibreOffice 6.2.2.2
    • Lua 5.1.5, 5.2.4 и 5.3.5
    • MariaDB 10.0.38
    • Моно 5.18.1.0
    • Mozilla Firefox 66.0.2 и ESR 60.6.1
    • Mozilla Thunderbird 60.6.1
    • Node.js 10.15.0
    • OpenLDAP 2.3.43 и 2.4.47
    • PHP 7.1.28, 7.2.17 и 7.3.4
    • Postfix 3.3.3 и 3.4.20190106
    • PostgreSQL 11.2
    • Python 2.7.16 и 3.6.8
    • R 3.5.3
    • Ruby 2.4.6, 2.5.5 и 2.6.2
    • Ръжда 1.33.0
    • Sendmail 8.16.0.41
    • SQLite3 3.27.2
    • Meerkat 4.1.3
    • Tcl/Tk 8.5.19 и 8.6.8
    • TeX Live 2018
    • Vim 8.1.1048 и Neovim 0.3.4
    • Xfce 4.12
  • Компоненти на трети страни, включени в OpenBSD 6.5:
    • Графичен стек на Xenocara, базиран на X.Org сървър 1.19.7 с пачове, freetype 2.9.1, fontconfig 2.12.4, Mesa 18.3.5, xterm 344, xkeyboard-config 2.20;
    • LLVM/Clang 7.0.1 (с пачове)
    • GCC 4.2.1 (с пачове) и 3.3.6 (с пачове)
    • Perl 5.28.1 (с кръпки)
    • NSD 4.1.27
    • Без ограничения 1.9.1
    • Ncurses 5.7
    • Binutils 2.17 (с кръпки)
    • Gdb 6.3 (с кръпки)
    • Awk 10 август 2011 г
    • Expat 2.2.6

Източник: opennet.ru

Добавяне на нов коментар