vydání bezplatného multiplatformního operačního systému podobného UNIXu . Projekt OpenBSD založil Theo de Raadt v roce 1995 poté s vývojáři NetBSD, v důsledku čehož byl Teovi odepřen přístup k úložišti NetBSD CVS. Poté Theo de Raadt a skupina stejně smýšlejících lidí vytvořili nový otevřený operační systém založený na zdrojovém stromu NetBSD, jehož hlavním cílem byla přenositelnost ( 12 hardwarových platforem), standardizace, správné fungování, aktivní zabezpečení a integrované kryptografické nástroje. Plná velikost instalace Základní systém OpenBSD 6.7 má 470 MB.
Kromě samotného operačního systému je projekt OpenBSD známý svými komponentami, které se rozšířily i v jiných systémech a osvědčily se jako jedno z nejbezpečnějších a nejkvalitnějších řešení. Mezi nimi: ( OpenSSL), , paketový filtr , směrovací démony , NTP server , poštovní server , multiplexer textového terminálu (podobný obrazovce GNU) , démon s implementací protokolu IDENT, alternativy BSDL k balíčku GNU groff - , protokol pro organizaci systémů odolných proti chybám CARP (Common Address Redundancy Protocol), lehký , nástroj pro synchronizaci souborů .
hlavní :
- Souborový systém FFS2, který používá 64bitové časové a blokové hodnoty, je v nových instalacích standardně povolen pro téměř všechny podporované architektury namísto FFS (kromě landisk, luna88k a sgi).
- Byla přidána nová metoda pro kontrolu platnosti systémových volání, která dále komplikuje zneužití zranitelnosti. Metoda umožňuje provádět systémová volání pouze v případě, že jsou přístupná z dříve registrovaných paměťových oblastí. Bylo navrženo nové systémové volání msyscall() pro označení oblastí paměti a aktivaci ochrany.
- Počet oddílů, které lze vytvořit na jednom disku, byl zvýšen ze 7 na 15.
- Kód pro analýzu volby cron byl přepsán tak, aby podporoval funkce podobné getopt, jako je "-ns" a znovu specifikoval stejné příznaky. Pole „options“ v crontab bylo přejmenováno na „flags“. Do crontab byl přidán příznak "-s", takže lze současně spustit pouze jednu instanci úlohy. Přidán operátor "~" pro určení náhodné časové hodnoty.
- Správce oken cwm implementuje schopnost určit velikost okna jako procento velikosti primárního okna v dlaždicovém rozložení.
- Architektura powerpc ve výchozím nastavení přešla na používání Clang a umožnila implementaci mplock nezávislou na architektuře.
- apmd má vylepšenou podporu pro automatický pohotovostní režim a hibernaci (-z/-Z) – démon nyní reaguje na zprávy o změně nabití baterie zaslané ovladačem monitorování napájení. Přechod do režimu spánku nastává se zpožděním 60 sekund, což dává uživateli čas na převzetí kontroly.
- Do vestavěného HTTP serveru byla přidána konfigurační proměnná $REQUEST_SCHEME pro zachování původního protokolu (http nebo https) při přesměrování a také možnost „strip“, která umožňuje více chrootů ve /var/www pro servery FastCGI.
- Vrcholový nástroj nyní podporuje rolování pomocí kláves 9 a 0.
- Je zaveden mechanismus pro uvolňování paměťových stránek v obráceném pořadí, což výrazně zvyšuje efektivitu aktivního uvolňování velkého počtu stránek.
- Nevázaný server DNS má ve výchozím nastavení povolenou kontrolu DNSSEC.
- Systémová volání jsou osvobozena od globálního blokování
__thrsleep(2), __thrwakeup(2), close(2), closefrom(2), dup(2), dup2(2), dup3(2), flock(2), fcntl(2), kqueue(2), pipe(2), pipe2(2) a nanosleep(2), stejně jako základní část ioctl(2). - Rozšířená podpora hardwaru. Byl přidán nový ovladač iwx pro bezdrátové čipy Intel AX200 a ovladač iwm přidal podporu pro zařízení Intel 9260 a 9560. Pro Realtek 8125 PCI Express 2.5Gb byl přidán ovladač rge. Bylo navrženo mnoho nových ovladačů pro zlepšení výkonu na deskách arm64 a armv7, včetně přidané podpory pro desku Raspberry Pi 4 a vylepšené podpory pro Raspberry Pi 2 a 3.
- Byl rozšířen zvukový subsystém sndio. Přidáno sioctl_open API a sndioctl nástroj pro ovládání zvuku přes sndiod. /dev/mixer byl odstraněn a všechny porty byly přepnuty na sndio místo rozhraní kernel mixer. Sndiod poskytuje použití hardwarových mechanismů ovládání hlasitosti. Pro zvýšení bezpečnosti je zakázán přístup běžného uživatele k /dev/audio* a /dev/rmidi*.
- Bezdrátový zásobník se přestane připojovat k jakékoli dostupné síti Wi-Fi, která nepodporuje šifrování, kromě výslovného volání příkazu „ifconfig join“. Zajišťuje spuštění kontroly dostupných sítí na pozadí, když uživatel root provede příkaz „ifconfig scan“. Mezipaměť výsledků skenování byla zvýšena. Přidán příznak „nwflag nomimo“, nastavený pomocí ifconfig, který pomáhá zbavit se ztráty paketů v režimu 11n, pokud má zařízení nepřipojené anténní konektory. Přidána podpora pro aktivní režim skenování pro ovladač bwfm. Vylepšené automatické přepínání mezi bezdrátovými sítěmi snížením priority sítí, ke kterým se nelze připojit.
- V síťovém zásobníku se objevil nový ovladač pppac, který zahrnuje implementaci rozhraní PPP Access Concentrator. Nastavení npppd.conf bylo změněno tak, aby místo tun používalo pppac. Když je přesměrování paketů zakázáno, byla přidána kontrola, která kontroluje, zda cílová adresa v paketu odpovídá adrese síťového rozhraní. Podpora Mobileip odstraněna.
- Uživatelé bez oprávnění root mají zakázáno používat ioctl ke změně adresy síťového rozhraní a změně parametrů rozhraní pppoe.
- sysupgrade zajišťuje, že aktualizace firmwaru (fw_update) jsou spuštěny před restartem před aktualizací.
- Systémové volání odhalení bylo vylepšeno, aby poskytovalo izolaci přístupu k systému souborů. Počet aplikací ze základního systému, pro které je implementována ochrana pomocí unveil, byl zvýšen na 82. Včetně vmstat, iostat a systat převedených do unveil.
- Do krypto(3) byla přidána podpora RSA-PSS.
- Do překladače DNS byla přidána podpora DoT (DNS over TLS). Přidán příkaz "unwindctl status memory".
- Implementace ipsec byla výrazně modernizována. Přidána podpora automatického přesouvání provozu mezi doménami rdomains během šifrování a dešifrování pro ochranu před útoky z postranního kanálu. Přidána podpora pro změnu rdomény na iked a přidána možnost „rdoména“ do iked.conf
Výchozí úroveň pro iked a isakmpd je IPSEC_LEVEL_REQUIRE, která zabraňuje zpracování nešifrovaných paketů odpovídajících toku. Algoritmy curve25519, ecp256, ecp384, ecp521, modp3072 a modp4096 byly přidány do nastavení skupiny Diffie-Hellman pro IKE SA. V iked byla výchozí metoda ověřování změněna na ověřování digitálním podpisem (RFC 7427). Přidáno nastavení ESN do iked.conf. Přidána možnost "-p" pro výběr nestandardního čísla portu UDP. - Možnosti terminálového multiplexeru tmux byly rozšířeny a bylo přidáno mnoho nových možností.
- Verze poštovního serveru OpenSMTPD byla aktualizována. Vestavěné filtry implementují klíčové slovo „bypass“ pro přeskočení zpracování za určitých podmínek. Umožňuje použití uživatelského jména aktuální relace smtpd ve filtrech. V smtpd.conf parametry umožňují použití mail-from a rctp-to.
- Balíček OpenSSH 8.2 byl aktualizován, aby zahrnoval podporu pro dvoufaktorové autentizační tokeny FIDO/U2F. Můžete si prohlédnout podrobný přehled vylepšení .
- balík LibreSSL, ve kterém byla dokončena implementace TLS 1.3 na bázi nového konečného automatu a subsystému pro práci se záznamy. Ve výchozím nastavení je prozatím povolena pouze klientská část TLS 1.3, serverová část je plánována jako výchozí v budoucí verzi. Seznam dalších změn lze vidět v oznámení o vydání и .
- Počet portů pro architekturu AMD64 byl 11268, pro aarch64 - 10848, pro i386 - 10715. Komponenty od vývojářů třetích stran zahrnuté v OpenBSD 6.7 byly aktualizovány:
- Grafický zásobník Xenocara založený na X.Org 7.7 s xserverem 1.20.8 + záplaty, freetype 2.10.1, fontconfig 2.12.4, Mesa 19.2.8, xterm 351, xkeyboard-config 2.20;
- LLVM/Clang 8.0.1 (s opravami)
- GCC 4.2.1 (s opravami) a 3.3.6 (s opravami)
- Perl 5.30.2 (s opravami)
- NSD 4.2.4
- Bez závazků 1.10.0
- Zdravotní sestry 5.7
- Binutils 2.17 (s opravami)
- Gdb 6.3 (s opravami)
- Awk 20. prosince 2012
- Expat 2.2.8
Zdroj: opennet.ru