ProHoster > Blog > internet nyheder > Frigivelse af OpenBSD 6.5

Frigivelse af OpenBSD 6.5

Så lyset frigivelse af et gratis UNIX-lignende operativsystem på tværs af platforme OpenBSD 6.5. OpenBSD-projektet blev grundlagt af Theo de Raadt i 1995, efter konflikt med NetBSD-udviklerne, som et resultat af hvilket Teo blev nægtet adgang til NetBSD CVS-lageret. Efter dette skabte Theo de Raadt og en gruppe ligesindede et nyt åbent operativsystem baseret på NetBSD-kildetræet, hvis hovedmål var portabilitet (støttet af 13 hardwareplatforme), standardisering, korrekt drift, aktiv sikkerhed og integrerede kryptografiske værktøjer. Fuld installationsstørrelse ISO billede OpenBSD 6.5 basissystem er 407 MB.

Udover selve styresystemet er OpenBSD-projektet kendt for sine komponenter, som er blevet udbredt i andre systemer og har vist sig at være en af ​​de mest sikre og højkvalitetsløsninger. Blandt dem: LibreSSL (gaffel OpenSSL), OpenSSH, pakkefilter PF, dirigere dæmoner OpenBGPD og OpenOSPFD, NTP-server Åbn NTPD, mailserver Åbn SMTPD, tekstterminal multiplexer (svarende til GNU-skærm) tmux, dæmon identd med en implementering af IDENT-protokollen, et BSDL-alternativ til GNU groff-pakken - mandoc, protokol til organisering af fejltolerante systemer CARP (Common Address Redundancy Protocol), letvægts http server, filsynkroniseringsværktøj OpenRSYNC.

Blandt de mest bemærkelsesværdige ændringer: en bærbar version af bgpd er blevet introduceret, tilpasset til at fungere i andre OS'er, brugen af ​​Xenocara og tcpdump root-privilegier er blevet elimineret, LDD-linkeren er aktiveret som standard for amd64 og i386, MPLS-understøttelse er blevet væsentligt forbedret, og beskyttelsen mod udnyttelser med backtracking-teknikker er blevet styrket, den enkleste rekursive DNS-server-afvikling er blevet tilføjet, en udefineret adfærdsdetektor er blevet integreret i kernen, og vores egen implementering af rsync-værktøjet er blevet tilføjet. blevet indført.

The main forbedring:

  • Når man bygger til amd64- og i386-arkitekturer, bruges LDD-linkeren udviklet af LLVM-projektet som standard. Til mips64-arkitekturen er der tilføjet understøttelse af bygning ved hjælp af Clang;
  • Nye pvclock-drivere til den paravirtualiserede KVM-timer og ixl til Intel Ethernet 700. Uaudio-driveren er blevet erstattet med en ny implementering med understøttelse af USB Audio 2.0.
  • Forbedret ydeevne af trådløse enhedsdrivere bwfm, iwn, iwm og athn. Understøttelse af RTM_80211INFO-meddelelser er blevet tilføjet til den trådløse stak for at sende detaljerede oplysninger om grænsefladetilstanden til dhclienten og rutekommandoer. Den tavse adfærd ved forbindelse til trådløse netværk er blevet ændret - hvis du har en konfigureret auto-tilslutningsliste, opretter OpenBSD ikke længere forbindelse til ukendte åbne netværk (for at returnere den tidligere adfærd, kan du tilføje et tomt netværk til listen);
  • Netværksstakken introducerer nye bpe (Backbone Provider Edge) og mpip (MPLS IP layer 2) pseudo-enhedsdrivere. Tilføjet understøttelse til konfiguration af alternative routingdomæner til MPLS-grænseflader. Vlan-driveren er blevet aktiveret til at omgå købehandling og output direkte til det overordnede netværksinterface. Tilføjet txprio-tilstand til ifconfig for at kontrollere prioritetskodning i headerne af tunnelerede pakker (understøttet for vlan, gre, gif og etherip-drivere);
  • I implementeringen af ​​bpf-filteret blev det muligt at bruge drop-mekanismen uden at fange pakker. Denne funktion bruges i tcpdump til at filtrere i den indledende fase af en pakke, der modtages af en enhed;
  • Installationsprogrammet yder support rdsetroot for at tilføje et diskbillede til kernen RAMDISK. Fjernelsen af ​​nogle komponenter af gamle udgivelser under systemopdateringsprocessen er blevet sikret;
  • Forbedret systemopkald afsløre, som giver adgangsisolering til filsystemet. Den nye version tilføjer detektion af matches i forhold til arbejdsbiblioteket for den aktuelle proces, når relative stier analyseres. Brug af stat og adgang til begrænsede filstikomponenter er forbudt. For applikationer ospfd, ospf6d, rebound, getconf, kvm_mkdb, bdftopcf, Xserver, passwd, spamlogd, spamd, sensorsd, snmpd, htpasswd og ifstated er beskyttelse ved hjælp af unveil implementeret;
  • Clang har forbedrede værktøjer til at blokere brugen af ​​returorienteret programmering (ROP) teknikker, hvilket har reduceret antallet af polymorfe gadgets, der findes i de resulterende eksekverbare filer til i386- og amd64-arkitekturerne markant;
  • Clang har forbedret ydeevne og sikkerhed ved brug
    beskyttelsesmekanisme BERETNING, rettet mod at komplicere udførelsen af ​​udnyttelser, der er bygget ved hjælp af lån af kodestykker og returorienterede programmeringsteknikker. For at fremskynde driften placeres data i registre i stedet for stakken, når det er muligt, og processorcachen bruges mere effektivt ved retur. RETGUARD bruges nu også i stedet for traditionel stakbeskyttelse på amd64- og arm64-systemer;

  • Hjælpeprogrammer relateret til netværksstakken er blevet forbedret: Understøttelse af filtrering af MPLS-pakker er blevet tilføjet til pcap-filter. Muligheden for at konfigurere routingprioriteter er blevet tilføjet til ospfd, ospf6d og ripd. I
    ripd tilføjet mekanisme baseret beskyttelse løfte. Tilføjede sff- og sffdump-tilstande til ifconfig for at få diagnostisk information fra optiske sendere;

  • Første udgivelse af ny resolver præsenteret slappe, som behandler rekursive DNS-forespørgsler og kun accepterer forbindelser på interface 127.0.0.1.
    Unwind er designet til brug på klientsystemer, såsom bærbare computere, der bevæger sig mellem forskellige trådløse netværk. Hvis den registrerer blokering af DNS-trafik på det lokale netværk, afvikler skifter til at bruge adressen på den rekursive DNS-server, der er overført via DHCP, men fortsætter med periodisk at forsøge at løse uafhængigt, og så snart direkte anmodninger begynder at passere, vender den tilbage til uafhængig adgang DNS-servere;

  • I bgpd er der arbejdet på at reducere hukommelsesforbruget, en simpel regeloptimering er tilføjet (sammenslår filtreringsregler, der kun adskiller sig i filtersæt), BGP MPLS VPN konfigurationsprocessen er blevet ændret, understøttelse af IPv6 BGP MPLS VPN er tilføjet , og "as-override"-funktionalitet er blevet implementeret for at erstatte nabo-AS til lokal AS i stier, tilføjet muligheden for at matche med flere fællesskaber i én regel, tilføjet nye matchende funktioner "*", "local-as" og "nabo" -as", forbedret arbejde med store sæt regler, tilføjet nye kommandoer til at arbejde med grupper, der nærmer sig autonome systemer ("bgpctl nabogruppe", "bgpctl vis nabogruppe", "bgpctl vis rib nabogruppe"), muligheden for at tilføje netværk til BGP VPN-tabellerne er blevet tilføjet til bgpctl. For første gang er en bærbar version af OpenBGPD-portable blevet forberedt, klar til at arbejde på andre systemer end OpenBSD;
  • Tilføjet mulighed kubsan at opdage tilfælde af udefineret adfærd i OpenBSD-kernen.
  • tcpdump-værktøjet eliminerer fuldstændig brugen af ​​root-privilegier;
  • Forbedret malloc ydeevne i flertrådede applikationer;
  • Den oprindelige version af programmet er blevet tilføjet til sammensætningen OpenRSYNC med sin egen implementering af rsync-filsynkroniseringsværktøjet;
  • Versionen af ​​OpenSMTPD-mailserveren er blevet opdateret, hvor der er tilføjet et nyt sammenligningskriterium "fra rdns" til smtpd.conf, som giver dig mulighed for at vælge sessioner baseret på omvendt DNS-opløsning (bestemmelse af værtsnavnet ved IP). Ved søgning i tabeller er muligheden for at bruge regulære udtryk tilføjet;
  • OpenSSH 8.0-pakken er blevet opdateret, en detaljeret oversigt over forbedringerne kan findes her;
  • LibreSSL-pakken er blevet opdateret, en detaljeret oversigt over forbedringerne kan findes i udgivelsesmeddelelserne 2.9.0 и 2.9.1;
  • Mandoc har væsentligt forbedret HTML-output, forbedret tabelgengivelse og tilføjet et "-O"-flag for at åbne en side med definitionen af ​​det angivne udtryk;
  • Mulighederne for Xenocara-grafikstakken er blevet udvidet: X-serveren kræver ikke længere installation med setuid-flaget for at køre. Radeonsi Mesa-driveren inkluderer understøttelse af hardwareacceleration til de sydlige øer (Radeon HD 7000) og Sea Islands (Radeon HD 8000) GPU'er;
  • C++-porte til arkitekturer, der ikke understøttes af Clang, er nu kompileret ved hjælp af GCC fra porte. Antallet af porte for AMD64-arkitekturen var 10602, for aarch64 - 9654, for i386 - 10535. Af de applikationer, der er placeret i portene, er følgende noteret:
    • Asterisk 16.2.1
    • Audacity 2.3.1
    • CMag 3.10.2
    • Chrom 73.0.3683.86
    • FFmpeg 4.1.3
    • GCC 4.9.4 og 8.3.0
    • GNOME 3.30.2.1
    • Gå 1.12.1
    • JDK 8u202 og 11.0.2+9-3
    • LLVM/Clang 7.0.1
    • LibreOffice 6.2.2.2
    • Lua 5.1.5, 5.2.4 og 5.3.5
    • MariaDB 10.0.38
    • Monkey 5.18.1.0
    • Mozilla Firefox 66.0.2 og ESR 60.6.1
    • Mozilla Thunderbird 60.6.1
    • Node.js 10.15.0
    • OpenLDAP 2.3.43 og 2.4.47
    • PHP 7.1.28, 7.2.17 og 7.3.4
    • Postfix 3.3.3 og 3.4.20190106
    • PostgreSQL 11.2
    • Python 2.7.16 og 3.6.8
    • R 3.5.3
    • Ruby 2.4.6, 2.5.5 og 2.6.2
    • Rust 1.33.0
    • Sendmail 8.16.0.41
    • SQLite3 3.27.2
    • Meerkat 4.1.3
    • Tcl/Tk 8.5.19 og 8.6.8
    • TeX Live 2018
    • Vim 8.1.1048 og Neovim 0.3.4
    • Xfce 4.12
  • Tredjepartskomponenter inkluderet i OpenBSD 6.5:
    • Xenocara grafikstak baseret på X.Org server 1.19.7 med patches, freetype 2.9.1, fontconfig 2.12.4, Mesa 18.3.5, xterm 344, xkeyboard-config 2.20;
    • LLVM/Clang 7.0.1 (med patches)
    • GCC 4.2.1 (med patches) og 3.3.6 (med patches)
    • Perl 5.28.1 (med patches)
    • NSD 4.1.27
    • Ubundet 1.9.1
    • Ncurses 5.7
    • Binutils 2.17 (med patches)
    • Gdb 6.3 (med patches)
    • Awk 10. august 2011
    • Expat 2.2.6

Kilde: opennet.ru

Tilføj en kommentar