ProHoster > Blog > internetové zprávy > Vydání OpenBSD 7.7

Vydání OpenBSD 7.7

Je představeno vydání bezplatného operačního systému podobného UNIXu OpenBSD 7.7. Projekt OpenBSD založil Theo de Raadt v roce 1995 po konfliktu s vývojáři NetBSD, v důsledku čehož byl Theovi odepřen přístup k repozitáři NetBSD CVS. Poté Theo de Raadt a skupina stejně smýšlejících lidí vytvořili nový otevřený operační systém založený na zdrojovém stromu NetBSD, jehož hlavními vývojovými cíli byla přenositelnost (podporováno 13 hardwarových platforem), standardizace, správné fungování, proaktivní bezpečnost a integrované kryptografické nástroje. Úplný instalační ISO obraz základního systému OpenBSD 7.7 je 746 MB.

Kromě samotného operačního systému je projekt OpenBSD známý svými komponentami, které se rozšířily i v jiných systémech a osvědčily se jako jedno z nejbezpečnějších a nejkvalitnějších řešení. Mezi nimi: LibreSSL (fork OpenSSL), OpenSSH, PF paketový filtr, OpenBGPD a OpenOSPFD směrovací démony, OpenNTPD NTP server, OpenSMTPD poštovní server, textový terminálový multiplexer (analogický k obrazovce GNU) tmux, identd démon s implementací protokolu IDENT, alternativa BSDL Balíček GNU groff - mandoc, protokol pro organizaci systémů odolných proti chybám CARP (Common Address Redundancy Protocol), odlehčený http server, utilita pro synchronizaci souborů OpenRSYNC.

Hlavní změny:

  • Implementace rámce drm (Direct Rendering Manager) je synchronizována s jádrem Linuxu 6.12.21 (v předchozí verzi - 6.6.52). Ovladač inteldrm implementuje podporu pro GPU používané v procesorech Intel na základě mikroarchitektury Arrow Lake. Ovladač amdgpu byl aktualizován, aby podporoval GPU Ryzen AI 300 (Strix Point, Strix Halo, Krackan Point) a Radeon RX 9070 (Navi 48).
  • Port pro architekturu ARM64 implementuje podporu vektorové instrukční sady SVE (Scalable Vector Extension). Na systémech s čipy Apple M1 ARM se nastavují stavy spotřeby energie. V mechanismu mapování stránek fyzické paměti (pmap) byly optimalizovány operace vyprázdnění překladové vyrovnávací paměti (TLB), což zrychlilo provádění testu sestavení jádra přibližně o 5 %. Na hardwaru, který podporuje šifru QARMA3, je k ochraně uživatelského prostoru povolen kód PAC (Pointer Authentication Code).
  • Na systémech x86_64 byla pro hostované systémy spuštěné pomocí QEMU implementována podpora mechanismu AMD SEV (Secure Encrypted Virtualization), který se ve virtualizačních systémech používá k ochraně. virtuální stroje Před rušením hypervisorem nebo správcem hostitelského systému. Do ovladače PSP používaného ke konfiguraci a spouštění hostovaných systémů s povoleným AMD SEV byl přidán příkaz pro načtení firmwaru do čipu.
  • Na systémech x86_64 byla přidána možnost alokovat oblasti paměti větší než 4 GB pro DMA.
  • Vylepšená podpora pro architektury RISC-V, Sparc64, HPPA, i386 a Powerpc64.
  • Vylepšené řešení situací nedostatku paměti (OOM).
  • Mechanismus trasování ptrace byl vylepšen, aby umožňoval nastavení bodů přerušení ve vícevláknových procesech v ladicím programu gdb. Přidány příkazy pro čtení a zápis oblasti, kam sledovaný proces ukládá stav procesoru při použití instrukce XSAVE.
  • Do skriptů BT (BPFtrace nebo Bug Tracing) používaných v systému sledování btrace byla přidána podpora víceřádkových konstrukcí. Do utility btrace byly přidány další profily a pojmenování časových intervalů (hz, us, ms, s).
  • Přidán parametr sysctl kern.audio.kbdcontrol, při nastavení na 0 budou klávesy ovládání hlasitosti multimédií na klávesnici považovány za běžné klávesy.
  • Vylepšené zpracování pádů a rozšířené kontroly při přepnutí do režimu spánku a pohotovostního režimu.
  • Přepracován kód pro zastavování procesů při příjmu signálu, což vyřešilo problémy se zastavováním vícevláknových procesů, které se objevovaly v balíčcích jako golang a mpv.
  • Vylepšená podpora pro víceprocesorové systémy (SMP). Vstupní a výstupní časovače TCP nyní mohou fungovat paralelně a systémová volání send() a recv() jsou nyní nakonfigurována pro použití sdíleného zámku. Více uživatelských vláken nyní může pracovat na různých soketech paralelně a výstup TCP již neblokuje zpracování IP paketů.

    Systémová volání open, openat, ptsignal, psignal a prsignal, stejně jako kern.timeout_stats, kern.allowkmem, kern.video.record, net.inet.gre.allow, net.inet.gre.wccp, kern.global_ptrace, kern.wxabort, kern.wxabort, kern.malloc.kmemsys byly vydány Ovladače psp, wsmouse a wstpad a také struktura video_filtops byly převedeny do kategorie mp-safe.

  • Hypervizor VMM implementoval možnost používat acpipci k připojení sběrnic PCI.
  • Poskytuje možnost definovat alternativní politiku výkonu (perfpolicy), která se použije, když je systém napájen z baterie.
  • Příkaz sysctl má nyní možnost "-f soubor" pro načtení všech nastavení ze souboru najednou. Ve skriptech rc se používá nová možnost pro načtení sysctl.conf jako celku, namísto jeho analýzy řádek po řádku.
  • Příkaz pkg_add implementuje volání ldconfig, pokud se seznam sdílených knihoven změnil v důsledku instalace nových balíčků.
  • Přidána podpora pro nový hardware. Vylepšená podpora pro MediaTek a Qualcomm Snapdragon SoC (včetně X Elite). Vylepšená podpora pro Samsung Galaxy Book4 Edge, ThinkPad T14 Gen 5, Vivobook, ThinkPad X1 Nano Gen 2, ThinkPad X13 a různé Chromebooky. Přidán ovladač ice pro Intel E810 Ethernet 1Gb/10Gb/25Gb/50Gb/100Gb a ixv ovladač pro virtuální funkce Intel Ethernet 82598EB, 82559 a X540. Pokračovaly práce na přesunu síťových operací na stranu síťové karty.
  • Sysupgrade má režim pro offline aktualizaci systémů pomocí balíčků uložených v místním souborovém systému.
  • Obslužný program fw_update byl aktualizován, aby umožňoval stahování (nikoli instalaci) firmwaru jako běžný uživatel bez práv root. Přidán příznak "-l" do seznamu ovladačů a souborů.
  • Proces sshd-auth má povolenou ochranu proti zneužití zranitelností založenou na náhodném opětovném propojení spustitelného souboru při každém spuštění systému (relink). Rekombinantní kód činí offsety funkcí méně předvídatelnými, což ztěžuje vytváření exploitů, které využívají programovací techniky orientované na návrat.
  • Připojený proces je izolován pomocí systémového volání unveil.
  • Síťový zásobník implementuje podporu pro sokety AF_FRAME a rodinu protokolů IFT_ETHER, což umožňuje aplikacím odesílat a přijímat ethernetové rámce. Pro odchozí UDP a TCP pakety byla implementována nová metoda hash, která optimalizovala rozložení provozu napříč frontami a výrazně (~20 %) zrychlila odesílání UDP pro IPv4/IPv6 a TCP pro IPv6. Zařízení tun má implementovaný TUNSCAP ioctl a byla optimalizována interakce mezi jádrem a uživatelským prostorem. Pro každý tok byla implementována samostatná mezipaměť směrování. Ovladač vio má povolený režim více front.
  • Nástroj pfctl umožňuje konfigurovat síťová rozhraní a fronty s propustností větší než 4 Gbit.
  • V iked, implementaci protokolu IKEv2 pro IPsec, byla přidána možnost „natt“, která vynutí použití nat-t.
  • Relayd, proces na pozadí pro přesměrování a vyvažování požadavků, nyní podporuje klientskou stranu. Certifikáty TLS.
  • Nástroj pro měření výkonu sítě tcpbench přidal podporu TLS.
  • bgpd implementuje podporu pro RFC 8654 (BGP Extended Message), RFC 8538 (BGP Notification Message), ve výchozím nastavení je povolena možnost „reject as-set“ a je poskytováno ukládání do mezipaměti Adj-RIB-Out.
  • LibreSSL 4.1.0 přidává experimentální podporu pro architekturu loongarch64, nabízí nové implementace assembleru pro algoritmy SHA-1, SHA-256 a SHA-512 pro architekturu amd64 (s použitím instrukce SHA-NI), nové implementace assembleru SHA-256 a SHA-512 pro implementaci simarching CE64. amd5, poskytuje mezipaměť seznamu odvolaných certifikátů (CRL) a přenesl implementaci ML-KEM 64 a 768 z BoringSSL.
  • OpenSSH byl aktualizován. Seznam změn lze nalézt v oznámení OpenSSH 10 (podpora digitálního podpisu DSA byla odstraněna, autentizační operace byly rozděleny do samostatného procesu sshd-auth a ve výchozím nastavení se používá hybridní algoritmus výměny klíčů „mlkem768x25519-sha256“).
  • Počet portů pro architekturu AMD64 byl 12593 (byl 12312), pro aarch64 - 12446 (byl 12148), pro i386 - 10429 (byl 10534). Mezi verzemi aplikací v portech:
    • Hvězdička 16.30.1, 18.26.1, 20.13.0 a 22.3.0
    • Audacity 3.7.3
    • CMake 3.31.6
    • Chromium 135.0.7049.52
    • Emacs 30.1
    • FFmpeg 6.1.2
    • GCC 8.4.0 a 11.2.0
    • GNOME 47
    • Přejděte na 1.24.1
    • JDK 8u442, 11.0.26, 17.0.14 a 21.0.6
    • KDE Gears 24.12.3
    • KDE Framework 6.12.0
    • KDE Plazma 6.3.3
    • Krita 5.2.9
    • LLVM/Clang 13.0.0, 16.0.6, 18.1.8, 19.1.7
    • LibreOffice 25.2.1.2
    • Lua 5.1.5, 5.2.4, 5.3.6, 5.4.7
    • MariaDB 11.4.5
    • Opice 6.12.0.199
    • Mozilla Firefox 137.0 a ESR 128.9.0
    • Mozilla Thunderbird 128.9.0
    • Mutt 2.2.14 a NeoMutt 20250113
    • Node.js 22.14.0
    • OpenLDAP 2.6.9
    • PHP 8.2.28, 8.3.19 a 8.4.5
    • Postfix 3.10.1
    • PostgreSQL 17.4
    • Python 2.7.18 a 3.12.9
    • Qt 5.15.16 (+ záplaty z projektu KDE) a 6.8.2
    • Ruby 3.2.8, 3.3.7, 3.4.2
    • Rez 1.86.0
    • SQLite 3.49.1
    • Shotcut 25.01.25
    • Sudo 1.9.16p1
    • Surikata 7.0.7
    • Tcl/Tk 8.5.19 a 8.6.16
    • Vim 9.1.1265 a Neovim 0.10.4
    • Xfce 4.20.0
  • Aktualizované komponenty třetích stran zahrnuté v OpenBSD 7.7:
    • Grafický zásobník Xenocara založený na X.Org 7.7 s xserverem 21.1.16 + záplaty, freetype 2.13.3, fontconfig 2.15.0, Mesa 23.3.6, xterm 395, xkeyboard-config 2.20, fonttosfnt 1.2.4.
    • LLVM/Clang 16.0.6 (+ záplaty)
    • GCC 4.2.1 (+ záplaty) a 3.3.6 (+ záplaty)
    • Perl 5.40.1 (+ záplaty)
    • NSD 4.9.1
    • Bez závazků 1.22.0
    • Zdravotní sestry 6.4
    • Binutils 2.17 (+ opravy)
    • Gdb 6.3 (+ opravy)
    • Awk 20250116
    • Expat 2.7.1
    • zlib 1.3.1 (+ opravy)

Zdroj: opennet.ru

Přidat komentář