ProHoster > Блог > интернет новини > Пускане на OpenBSD 6.7

Пускане на OpenBSD 6.7

Изпратено от освобождаване на безплатна крос-платформена UNIX-подобна операционна система OpenBSD 6.7. Проектът OpenBSD е основан от Theo de Raadt през 1995 г., след като конфликт с разработчиците на NetBSD, в резултат на което на Тео беше отказан достъп до CVS хранилището на NetBSD. След това Theo de Raadt и група съмишленици създадоха нова отворена операционна система, базирана на дървото на изходния код на NetBSD, чиито основни цели бяха преносимостта (с подкрепата на 12 хардуерни платформи), стандартизация, правилна работа, активна сигурност и интегрирани криптографски инструменти. Пълен инсталационен размер ISO изображение Базовата система OpenBSD 6.7 е 470 MB.

Освен със самата операционна система, проектът OpenBSD е известен със своите компоненти, които са широко разпространени в други системи и са се доказали като едни от най-сигурните и качествени решения. Между тях: LibreSSL (вилица OpenSSL), OpenSSH, пакетен филтър PF, демони за маршрутизиране OpenBGPD и OpenOSPFD, NTP сървър OpenNTPD, пощенски сървър OpenSMTPD, текстов терминален мултиплексор (подобен на GNU екран) tmux, демон identd с внедряване на протокола IDENT, BSDL алтернатива на пакета GNU groff - мандок, протокол за организиране на отказоустойчиви системи CARP (Common Address Redundancy Protocol), лек http сървър, помощна програма за синхронизиране на файлове OpenRSYNC.

Основната подобрения:

  • Файловата система FFS2, която използва 64-битови времеви и блокови стойности, е активирана по подразбиране в новите инсталации за почти всички поддържани архитектури вместо FFS (с изключение на landisk, luna88k и sgi).
  • Добавен е нов метод за проверка на валидността на системните извиквания, което допълнително усложнява експлоатацията на уязвимостите. Методът позволява системните повиквания да се изпълняват само ако се осъществява достъп от предварително регистрирани области на паметта. Предложено е ново системно извикване msyscall() за маркиране на области на паметта и активиране на защитата.
  • Броят на дяловете, които могат да бъдат създадени на един диск, е увеличен от 7 на 15.
  • Кодът за разбор на опцията cron е пренаписан, за да поддържа функции, подобни на getopt, като "-ns" и повторно указване на същите флагове. Полето „опции“ в crontab е преименувано на „флагове“. Добавен е флаг "-s" към crontab, така че само едно копие на задача да може да се изпълнява в даден момент. Добавен е оператор "~" за указване на случайна времева стойност.
  • Мениджърът на прозорци cwm реализира възможността за определяне на размера на прозореца като процент от размера на основния прозорец в оформление с плочки.
  • Архитектурата на powerpc премина към използване на Clang по подразбиране и активира независима от архитектурата реализация на mplock.
  • apmd има подобрена поддръжка за автоматичен режим на готовност и хибернация (-z/-Z) - демонът вече отговаря на съобщения за промяна на заряда на батерията, изпратени от драйвера за наблюдение на мощността. Преминаването към заспиване става със закъснение от 60 секунди, което дава време на потребителя да поеме контрола.
  • Добавена е конфигурационна променлива $REQUEST_SCHEME към вградения HTTP сървър, за да се запази оригиналният протокол (http или https) при пренасочване, както и опция "strip", за да се позволи множество chroot в /var/www за FastCGI сървъри.
  • Горната помощна програма вече поддържа превъртане с помощта на клавишите 9 и 0.
  • Въведен е механизъм за освобождаване на страници от паметта в обратен ред, което значително повишава ефективността при активно освобождаване на голям брой страници.
  • Необвързаният DNS сървър има DNSSEC проверка, активирана по подразбиране.
  • Системните повиквания са освободени от глобално блокиране
    __thrsleep(2), __thrwakeup(2), close(2), closefrom(2), dup(2), dup2(2), dup3(2), flock(2), fcntl(2), kqueue(2), pipe(2), pipe2(2) и nanosleep(2), както и основната част на ioctl(2).

  • Разширена хардуерна поддръжка. Нов драйвер iwx е добавен за безжичните чипове Intel AX200, а драйверът iwm е добавил поддръжка за устройства Intel 9260 и 9560. Драйверът rge е добавен за Realtek 8125 PCI Express 2.5Gb. Предложени са много нови драйвери за подобряване на производителността на платките arm64 и armv7, включително добавена поддръжка за платката Raspberry Pi 4 и подобрена поддръжка за Raspberry Pi 2 и 3.
  • Звуковата подсистема sndio е разширена. Добавен API за sioctl_open и помощна програма sndioctl за контролиране на звук чрез sndiod. /dev/mixer е премахнат и всички портове са превключени на sndio вместо интерфейса на миксера на ядрото. Sndiod осигурява използването на хардуерни механизми за контрол на звука. За да се подобри сигурността, обикновеният потребителски достъп до /dev/audio* и /dev/rmidi* е забранен.
  • Безжичният стек спира да се свързва с всяка налична Wi-Fi мрежа, която не поддържа криптиране, освен чрез изрично извикване на командата "ifconfig join". Гарантира, че фоновото сканиране на наличните мрежи се стартира, когато командата „ifconfig scan“ се изпълни от потребителя root. Кешът на резултатите от сканирането е увеличен. Добавен е флагът „nwflag nomimo“, зададен чрез ifconfig, който помага да се отървете от загубата на пакети в режим 11n, ако устройството има несвързани конектори за антена. Добавена е поддръжка за режим на активно сканиране за bwfm драйвера. Подобрено автоматично превключване между безжични мрежи чрез понижаване на приоритета за мрежи, към които не може да се свърже.
  • В мрежовия стек се появи нов драйвер за pppac, който включва внедряването на интерфейса PPP Access Concentrator. Променени са настройките на npppd.conf, за да се използва pppac вместо tun. Когато пренасочването на пакети е деактивирано, е добавена проверка дали адресът на местоназначение в пакета съвпада с адреса на мрежовия интерфейс. Поддръжката на Mobileip е премахната.
  • На потребителите, които не са root, е забранено да използват ioctl за промяна на адреса на мрежовия интерфейс и за промяна на параметрите на pppoe интерфейсите.
  • sysupgrade гарантира, че актуализациите на фърмуера (fw_update) се стартират преди рестартиране преди надграждане.
  • Системното повикване за разкриване е подобрено, за да осигури изолиране на достъпа до файловата система. Броят на приложенията от базовата система, за които е внедрена защита с помощта на unveil, е увеличен до 82. Включително vmstat, iostat и systat, прехвърлени към unveil.
  • Поддръжката на RSA-PSS е добавена към crypto(3).
  • Поддръжката на DoT (DNS през TLS) е добавена към размотаващия DNS резолвер. Добавена е команда "unwindctl status memory".
  • Внедряването на ipsec е значително модернизирано. Добавена е поддръжка за автоматично преместване на трафик между rdomains по време на криптиране и декриптиране за защита срещу атаки от странични канали. Добавена е поддръжка за промяна на rdomain на iked и добавена опция „rdomain“ към iked.conf
    Нивото по подразбиране за iked и isakmpd е IPSEC_LEVEL_REQUIRE, което предотвратява обработката на некриптирани пакети, съответстващи на потока. Алгоритмите curve25519, ecp256, ecp384, ecp521, modp3072 и modp4096 са добавени към груповите настройки на Diffie-Hellman за IKE SA. В iked методът за удостоверяване по подразбиране е променен на удостоверяване с цифров подпис (RFC 7427). Добавени са ESN настройки към iked.conf. Добавена е опция "-p" за избор на нестандартен номер на UDP порт.

  • Възможностите на терминалния мултиплексор tmux са разширени и са добавени много нови опции.
  • Версията на мейл сървъра OpenSMTPD е актуализирана. Вградените филтри изпълняват ключовата дума „байпас“, за да пропуснат обработката при определени условия. Позволява потребителското име на текущата smtpd сесия да се използва във филтри. В smtpd.conf параметрите позволяват използването на mail-from и rctp-to.
  • Пакетът OpenSSH 8.2 е актуализиран, за да включва поддръжка за FIDO/U2F двуфакторни токени за удостоверяване. Можете да видите подробен преглед на подобренията тук.
  • Актуализиран пакетът LibreSSL, в който е завършено внедряването на TLS 1.3 на базата на нов краен автомат и подсистема за работа със записи. По подразбиране засега е активирана само клиентската част на TLS 1.3; планира се сървърната част да бъде активирана по подразбиране в бъдеща версия. Списък с други промени може да се види в съобщенията за изданието 3.1.0 и 3.1.1.
  • Броят на портовете за архитектурата AMD64 беше 11268, за aarch64 - 10848, за i386 - 10715. Компонентите от разработчици на трети страни, включени в OpenBSD 6.7, бяха актуализирани:
    • Графичен стек на Xenocara, базиран на X.Org 7.7 с xserver 1.20.8 + пачове, freetype 2.10.1, fontconfig 2.12.4, Mesa 19.2.8, xterm 351, xkeyboard-config 2.20;
    • LLVM/Clang 8.0.1 (с пачове)
    • GCC 4.2.1 (с пачове) и 3.3.6 (с пачове)
    • Perl 5.30.2 (с кръпки)
    • NSD 4.2.4
    • Без ограничения 1.10.0
    • Ncurses 5.7
    • Binutils 2.17 (с кръпки)
    • Gdb 6.3 (с кръпки)
    • Awk 20 декември 2012 г
    • Expat 2.2.8

    Източник: opennet.ru

Добавяне на нов коментар