ProHoster > Blog > internetové zprávy > Vydání OpenBSD 6.5

Vydání OpenBSD 6.5

viděl světlo vydání bezplatného operačního systému podobného UNIXu pro více platforem OpenBSD 6.5. Projekt OpenBSD založil Theo de Raadt v roce 1995 konflikt s vývojáři NetBSD, v důsledku čehož byl Teovi odepřen přístup k úložišti NetBSD CVS. Poté Theo de Raadt a skupina stejně smýšlejících lidí vytvořili nový otevřený operační systém založený na zdrojovém stromu NetBSD, jehož hlavním cílem byla přenositelnost (podporováno 13 hardwarových platforem), standardizace, správné fungování, aktivní zabezpečení a integrované kryptografické nástroje. Plná velikost instalace ISO obraz Základní systém OpenBSD 6.5 má 407 MB.

Kromě samotného operačního systému je projekt OpenBSD známý svými komponentami, které se rozšířily i v jiných systémech a osvědčily se jako jedno z nejbezpečnějších a nejkvalitnějších řešení. Mezi nimi: LibreSSL (Vidlička OpenSSL), OpenSSH, paketový filtr PF, směrovací démony OpenBGPD a OpenOSPFD, NTP server OpenNTPD, poštovní server OpenSMTPD, multiplexer textového terminálu (podobný obrazovce GNU) tmux, démon identd s implementací protokolu IDENT, alternativy BSDL k balíčku GNU groff - mandoc, protokol pro organizaci systémů odolných proti chybám CARP (Common Address Redundancy Protocol), lehký http server, nástroj pro synchronizaci souborů OpenRSYNC.

Mezi nejpozoruhodnější změny: byla představena přenosná verze bgpd, přizpůsobená pro práci v jiných operačních systémech, bylo odstraněno používání kořenových práv Xenocara a tcpdump, linker LDD je ve výchozím nastavení povolen pro amd64 a i386, byla podpora MPLS výrazně vylepšena a byla posílena ochrana proti exploitům s technikami zpětného sledování. orientované programování (ROP), byl přidán nejjednodušší rekurzivní DNS server unwind, do jádra byl integrován detektor nedefinovaného chování a naše vlastní implementace nástroje rsync byl představen.

hlavní vylepšení:

  • Při sestavování pro architektury amd64 a i386 se standardně používá LDD linker vyvinutý projektem LLVM. Pro architekturu mips64 byla přidána podpora pro vytváření pomocí Clang;
  • Nové ovladače pvclock pro paravirtualizovaný časovač KVM a ixl pro Intel Ethernet 700. Ovladač uaudio byl nahrazen novou implementací s podporou USB Audio 2.0.
  • Vylepšený výkon ovladačů bezdrátových zařízení bwfm, iwn, iwm a athn. Do bezdrátového zásobníku byla přidána podpora zpráv RTM_80211INFO pro přenos podrobných informací o stavu rozhraní do příkazů dhclient a route. Bylo změněno tiché chování při připojování k bezdrátovým sítím – pokud máte nakonfigurovaný seznam automatického připojení, OpenBSD se již nepřipojuje k neznámým otevřeným sítím (pro návrat k předchozímu chování můžete do seznamu přidat prázdnou síť);
  • Síťový zásobník zavádí nové ovladače pseudozařízení bpe (Backbone Provider Edge) a mpip (MPLS IP vrstva 2). Přidána podpora pro konfiguraci alternativních domén směrování pro rozhraní MPLS. Ovladač vlan byl povolen, aby obcházel zpracování fronty a výstup přímo do nadřazeného síťového rozhraní. Do ifconfig přidán režim txprio pro řízení prioritního kódování v hlavičkách tunelovaných paketů (podporováno pro ovladače vlan, gre, gif a etherip);
  • Při implementaci filtru bpf bylo možné použít mechanismus drop bez zachycování paketů. Tato funkce se používá v tcpdump k filtrování v počáteční fázi paketu přijatého zařízením;
  • Instalační program poskytuje podporu rdsetroot pro přidání obrazu disku do jádra RAMDISK. Zajištěno odstranění některých součástí starých verzí během procesu aktualizace systému;
  • Vylepšené systémové volání odhalit, který poskytuje izolaci přístupu k systému souborů. Nová verze přidává detekci shod vzhledem k pracovnímu adresáři aktuálního procesu při analýze relativních cest. Použití statu a přístupu pro omezené komponenty cesty k souboru je zakázáno. Pro aplikace ospfd, ospf6d, rebound, getconf, kvm_mkdb, bdftopcf, Xserver, passwd, spamlogd, spamd, sensorsd, snmpd, htpasswd a ifstated je implementována ochrana pomocí unveil;
  • Clang vylepšil nástroje pro blokování použití technik návratově orientovaného programování (ROP), což výrazně snížilo počet polymorfních gadgetů nalezených ve výsledných spustitelných souborech pro architektury i386 a amd64;
  • Clang zlepšil výkon a zabezpečení při používání
    ochranný mechanismus RETGUARD, jehož cílem je zkomplikovat provádění exploitů vytvořených pomocí vypůjčených částí kódu a návratově orientovaných programovacích technik. Pro urychlení provozu jsou data pokud možno umísťována do registrů místo do zásobníku a při návratu se efektivněji využívá mezipaměť procesoru. RETGUARD se nyní také používá místo tradiční ochrany zásobníku na systémech amd64 a arm64;

  • Byly vylepšeny nástroje související se síťovým zásobníkem: Do pcap-filter byla přidána podpora pro filtrování paketů MPLS. Možnost konfigurovat priority směrování byla přidána do ospfd, ospf6d a ripd. V
    ochrana založená na mechanismu ripd zástava. Do ifconfig byly přidány režimy sff a sffdump pro získávání diagnostických informací z optických vysílačů;

  • Představeno první vydání nového resolveru odpočinout si, který zpracovává rekurzivní DNS dotazy a přijímá připojení pouze na rozhraní 127.0.0.1.
    Unwind je navržen pro použití na klientských systémech, jako jsou notebooky, pohybující se mezi různými bezdrátovými sítěmi. Pokud detekuje blokování provozu DNS v místní síti, přepne se na použití adresy rekurzivního serveru DNS přeneseného přes DHCP, ale nadále se pravidelně pokouší vyřešit nezávisle, a jakmile začnou procházet přímé požadavky, vrátí se k nezávislému přístupu. DNS servery;

  • V bgpd se pracovalo na snížení spotřeby paměti, byl přidán jednoduchý optimalizátor pravidel (slučuje pravidla filtrování, která se liší pouze sadami filtrů), byl změněn proces konfigurace BGP MPLS VPN, byla přidána podpora pro IPv6 BGP MPLS VPN a byla implementována funkce „as-override“, aby nahradila sousední AS místním AS v cestách, byla přidána možnost spárování s několika komunitami v jednom pravidle, přidány nové odpovídající atributy „*“, „local-as“ a „neighbor -as“, vylepšená práce s velkými sadami pravidel, přidány nové příkazy pro práci se skupinami sousedících s autonomními systémy („bgpctl sousední skupina“, „bgpctl zobrazit skupinu sousedů“, „bgpctl zobrazit skupinu sousedů žeber“), možnost přidávat sítě do tabulek BGP VPN byl přidán do bgpctl. Poprvé byla připravena přenosná verze OpenBGPD-portable, připravená pro práci na jiných systémech než OpenBSD;
  • Přidána možnost kubsan pro detekci případů nedefinovaného chování v jádře OpenBSD.
  • Obslužný program tcpdump zcela eliminuje použití práv root;
  • Vylepšený výkon malloc ve vícevláknových aplikacích;
  • Původní verze programu byla přidána do kompozice OpenRSYNC s vlastní implementací nástroje pro synchronizaci souborů rsync;
  • Byla aktualizována verze poštovního serveru OpenSMTPD, ve které bylo do smtpd.conf přidáno nové srovnávací kritérium „from rdns“, které umožňuje vybrat relace na základě reverzního překladu DNS (určení názvu hostitele podle IP). Při vyhledávání v tabulkách přibyla možnost používat regulární výrazy;
  • Balíček OpenSSH 8.0 byl aktualizován, podrobný přehled vylepšení naleznete zde;
  • Balíček LibreSSL byl aktualizován, podrobný přehled vylepšení najdete v oznámeních o vydání 2.9.0 и 2.9.1;
  • Mandoc výrazně zlepšil výstup HTML, zlepšil vykreslování tabulek a přidal příznak „-O“ pro otevření stránky s definicí zadaného termínu;
  • Schopnosti grafického zásobníku Xenocara byly rozšířeny: X server již ke spuštění nevyžaduje instalaci s příznakem setuid. Ovladač radeonsi Mesa obsahuje podporu pro hardwarovou akceleraci pro GPU Jižní ostrovy (Radeon HD 7000) a Sea Islands (Radeon HD 8000);
  • C++ porty pro architektury, které Clang nepodporuje, jsou nyní kompilovány pomocí GCC z portů. Počet portů pro architekturu AMD64 byl 10602, pro aarch64 - 9654, pro i386 - 10535. Z aplikací umístěných na portech jsou uvedeny následující:
    • Asterisk 16.2.1
    • Audacity 2.3.1
    • CMake 3.10.2
    • Chromium 73.0.3683.86
    • FFmpeg 4.1.3
    • GCC 4.9.4 a 8.3.0
    • GNOME 3.30.2.1
    • Přejděte na 1.12.1
    • JDK 8u202 a 11.0.2+9-3
    • LLVM/Clang 7.0.1
    • LibreOffice 6.2.2.2
    • Lua 5.1.5, 5.2.4 a 5.3.5
    • MariaDB 10.0.38
    • Opice 5.18.1.0
    • Mozilla Firefox 66.0.2 a ESR 60.6.1
    • Mozilla Thunderbird 60.6.1
    • Node.js 10.15.0
    • OpenLDAP 2.3.43 a 2.4.47
    • PHP 7.1.28, 7.2.17 a 7.3.4
    • Postfix 3.3.3 a 3.4.20190106
    • PostgreSQL 11.2
    • Python 2.7.16 a 3.6.8
    • R 3.5.3
    • Ruby 2.4.6, 2.5.5 a 2.6.2
    • Rez 1.33.0
    • Sendmail 8.16.0.41
    • SQLite3 3.27.2
    • Surikata 4.1.3
    • Tcl/Tk 8.5.19 a 8.6.8
    • TeX Live 2018
    • Vim 8.1.1048 a Neovim 0.3.4
    • Xfce 4.12
  • Komponenty třetích stran zahrnuté v OpenBSD 6.5:
    • Grafický zásobník Xenocara založený na serveru X.Org 1.19.7 s opravami, freetype 2.9.1, fontconfig 2.12.4, Mesa 18.3.5, xterm 344, xkeyboard-config 2.20;
    • LLVM/Clang 7.0.1 (s opravami)
    • GCC 4.2.1 (s opravami) a 3.3.6 (s opravami)
    • Perl 5.28.1 (s opravami)
    • NSD 4.1.27
    • Bez závazků 1.9.1
    • Zdravotní sestry 5.7
    • Binutils 2.17 (s opravami)
    • Gdb 6.3 (s opravami)
    • Awk 10. srpna 2011
    • Expat 2.2.6

Zdroj: opennet.ru

Přidat komentář