Veröffentlichung eines kostenlosen, plattformübergreifenden UNIX-ähnlichen Betriebssystems . Das OpenBSD-Projekt wurde 1995 von Theo de Raadt gegründet mit den NetBSD-Entwicklern, wodurch Teo der Zugriff auf das NetBSD-CVS-Repository verweigert wurde. Danach erstellten Theo de Raadt und eine Gruppe Gleichgesinnter ein neues offenes Betriebssystem auf Basis des NetBSD-Quellbaums, dessen Hauptziele Portabilität waren ( 13 Hardwareplattformen), Standardisierung, korrekter Betrieb, aktive Sicherheit und integrierte kryptografische Tools. Volle Installationsgröße Das OpenBSD 6.5-Basissystem ist 407 MB groß.
Neben dem Betriebssystem selbst ist das OpenBSD-Projekt für seine Komponenten bekannt, die in anderen Systemen weit verbreitet sind und sich als eine der sichersten und hochwertigsten Lösungen erwiesen haben. Unter ihnen: ( OpenSSL), , Paketfilter , Routing-Daemons , NTP-Server , Mail-Server , Textterminal-Multiplexer (ähnlich dem GNU-Bildschirm) , Dämon mit einer Implementierung des IDENT-Protokolls, einer BSDL-Alternative zum GNU-Groff-Paket - , Protokoll zur Organisation fehlertoleranter Systeme CARP (Common Address Redundancy Protocol), leichtgewichtig , Dienstprogramm zur Dateisynchronisierung .
Zu den bemerkenswertesten Änderungen gehören: Es wurde eine portable Version von bgpd eingeführt, die für die Arbeit in anderen Betriebssystemen angepasst wurde, die Verwendung von Xenocara- und TCPdump-Root-Rechten wurde eliminiert, der LDD-Linker ist standardmäßig für amd64 und i386 aktiviert, MPLS-Unterstützung wurde hinzugefügt deutlich verbessert und der Schutz vor Exploits mit Backtracking-Techniken wurde gestärkt. Orientierte Programmierung (ROP), die einfachste rekursive DNS-Server-Abwicklung wurde hinzugefügt, ein Detektor für undefiniertes Verhalten wurde in den Kernel integriert und unsere eigene Implementierung des Dienstprogramms rsync wurde hinzugefügt eingeführt worden.
Haupt- :
- Beim Erstellen für amd64- und i386-Architekturen wird standardmäßig der vom LLVM-Projekt entwickelte LDD-Linker verwendet. Für die mips64-Architektur wurde Unterstützung für die Erstellung mit Clang hinzugefügt;
- Neue pvclock-Treiber für den paravirtualisierten KVM-Timer und ixl für Intel Ethernet 700. Der uaudio-Treiber wurde durch eine neue Implementierung mit Unterstützung für USB Audio 2.0 ersetzt.
- Verbesserte Leistung der WLAN-Gerätetreiber bwfm, iwn, iwm und athn. Dem Wireless-Stack wurde Unterstützung für RTM_80211INFO-Nachrichten hinzugefügt, um detaillierte Schnittstellenstatusinformationen an den dhclient und Routenbefehle zu übertragen. Das stille Verhalten beim Herstellen einer Verbindung zu drahtlosen Netzwerken wurde geändert. Wenn Sie eine konfigurierte Liste für automatische Verbindungen haben, stellt OpenBSD keine Verbindung mehr zu unbekannten offenen Netzwerken her (um das vorherige Verhalten wiederherzustellen, können Sie der Liste ein leeres Netzwerk hinzufügen).
- Der Netzwerkstapel führt neue Pseudogerätetreiber bpe (Backbone Provider Edge) und mpip (MPLS IP Layer 2) ein. Unterstützung für die Konfiguration alternativer Routing-Domänen für MPLS-Schnittstellen hinzugefügt. Der VLAN-Treiber wurde aktiviert, um die Warteschlangenverarbeitung zu umgehen und direkt an die übergeordnete Netzwerkschnittstelle auszugeben. Txprio-Modus zu ifconfig hinzugefügt, um die Prioritätskodierung in den Headern getunnelter Pakete zu steuern (unterstützt für VLAN-, Gre-, GIF- und Etherip-Treiber);
- Bei der Implementierung des BPF-Filters wurde es möglich, den Drop-Mechanismus zu verwenden, ohne Pakete zu erfassen. Diese Funktion wird in tcpdump verwendet, um in der Anfangsphase eines Pakets, das von einem Gerät empfangen wird, zu filtern;
- Der Installer bietet Unterstützung um ein Disk-Image zur Kernel-RAMDISK hinzuzufügen. Sicherstellung der Entfernung einiger Komponenten alter Versionen während des Systemaktualisierungsprozesses;
- Verbesserter Systemaufruf , das eine Isolierung des Dateisystemzugriffs bietet. Die neue Version fügt beim Parsen relativer Pfade die Erkennung von Übereinstimmungen relativ zum Arbeitsverzeichnis des aktuellen Prozesses hinzu. Die Verwendung von stat und access für eingeschränkte Dateipfadkomponenten ist verboten. Für die Anwendungen ospfd, ospf6d, rebound, getconf, kvm_mkdb, bdftopcf,
- Clang verfügt über verbesserte Tools zum Blockieren der Verwendung von ROP-Techniken (Return-Oriented Programming), wodurch die Anzahl polymorpher Gadgets in den resultierenden ausführbaren Dateien für die i386- und amd64-Architekturen erheblich reduziert wurde.
- Clang hat die Leistung und Sicherheit bei der Verwendung verbessert
Schutzmechanismus , die darauf abzielt, die Ausführung von Exploits zu erschweren, die mithilfe ausgeliehener Codeteile und rückgabeorientierter Programmiertechniken erstellt wurden. Um den Betrieb zu beschleunigen, werden Daten nach Möglichkeit in Registern statt im Stapel abgelegt, und der Prozessor-Cache wird bei der Rückgabe effizienter genutzt. RETGUARD wird jetzt auch anstelle des herkömmlichen Stapelschutzes auf amd64- und arm64-Systemen verwendet; - Dienstprogramme im Zusammenhang mit dem Netzwerk-Stack wurden verbessert: Dem pcap-filter wurde Unterstützung für das Filtern von MPLS-Paketen hinzugefügt. Die Möglichkeit, Routing-Prioritäten zu konfigurieren, wurde zu ospfd, ospf6d und ripd hinzugefügt. IN
ripd hat einen mechanismusbasierten Schutz hinzugefügt . Sff- und Sffdump-Modi zu ifconfig hinzugefügt, um Diagnoseinformationen von optischen Sendern zu erhalten; - Erste Veröffentlichung des neuen Resolvers vorgestellt , das rekursive DNS-Abfragen verarbeitet und Verbindungen nur über die Schnittstelle 127.0.0.1 akzeptiert.
Unwind ist für die Verwendung auf Client-Systemen wie Laptops konzipiert, die zwischen verschiedenen drahtlosen Netzwerken wechseln. Wenn es eine Blockierung des DNS-Verkehrs im lokalen Netzwerk erkennt, schaltet Unwind auf die Verwendung der über DHCP übertragenen Adresse des rekursiven DNS-Servers um, versucht jedoch weiterhin in regelmäßigen Abständen, eine unabhängige Lösung zu finden, und sobald direkte Anfragen weitergeleitet werden, kehrt es zum unabhängigen Zugriff zurück DNS-Server; - In bgpd wurde daran gearbeitet, den Speicherverbrauch zu reduzieren, ein einfacher Regeloptimierer wurde hinzugefügt (führt Filterregeln zusammen, die sich nur in Filtersätzen unterscheiden), der BGP MPLS VPN-Konfigurationsprozess wurde geändert, Unterstützung für IPv6 BGP MPLS VPN wurde hinzugefügt , und die „as-override“-Funktionalität wurde implementiert, um den Nachbar-AS durch den lokalen AS in Pfaden zu ersetzen, die Möglichkeit zum Abgleich mit mehreren Communities in einer Regel hinzugefügt, neue Abgleichsfunktionen „*“, „local-as“ und „neighbor“ hinzugefügt -as“, verbesserte Arbeit mit großen Regelsätzen, neue Befehle für die Arbeit mit Gruppen benachbarter autonomer Systeme hinzugefügt („bgpctl neighbor group“, „bgpctl show neighbor group“, „bgpctl show rib neighbor group“), die Möglichkeit, Netzwerke hinzuzufügen zu den BGP VPN-Tabellen wurde zu bgpctl hinzugefügt. Zum ersten Mal wurde eine portable Version von OpenBGPD-portable vorbereitet, die für die Arbeit auf anderen Systemen als OpenBSD bereit ist;
- Option hinzugefügt um Fälle von undefiniertem Verhalten im OpenBSD-Kernel zu erkennen.
- Das Dienstprogramm tcpdump macht die Verwendung von Root-Rechten vollständig überflüssig;
- Verbesserte Malloc-Leistung in Multithread-Anwendungen;
- Die ursprüngliche Version des Programms wurde der Komposition hinzugefügt mit einer eigenen Implementierung des Rsync-Dienstprogramms zur Dateisynchronisierung;
- Die Version des OpenSMTPD-Mailservers wurde aktualisiert, wobei smtpd.conf ein neues Vergleichskriterium „von rdns“ hinzugefügt wurde, mit dem Sie Sitzungen basierend auf der umgekehrten DNS-Auflösung (Bestimmung des Hostnamens anhand der IP) auswählen können. Bei der Suche in Tabellen wurde die Möglichkeit hinzugefügt, reguläre Ausdrücke zu verwenden;
- Das OpenSSH 8.0-Paket wurde aktualisiert, eine detaillierte Übersicht der Verbesserungen finden Sie hier ;
- Das LibreSSL-Paket wurde aktualisiert, eine detaillierte Übersicht der Verbesserungen finden Sie in den Release-Ankündigungen и ;
- Mandoc hat die HTML-Ausgabe deutlich verbessert, die Tabellendarstellung verbessert und ein „-O“-Flag hinzugefügt, um eine Seite mit der Definition des angegebenen Begriffs zu öffnen;
- Die Fähigkeiten des Xenocara-Grafikstapels wurden erweitert: Der X-Server erfordert keine Installation mehr mit dem Setuid-Flag, um ausgeführt zu werden. Der radeonsi Mesa-Treiber unterstützt die Hardwarebeschleunigung für die GPUs Southern Islands (Radeon HD 7000) und Sea Islands (Radeon HD 8000);
- C++-Ports für Architekturen, die von Clang nicht unterstützt werden, werden jetzt mit GCC aus Ports kompiliert. Die Anzahl der Ports für die AMD64-Architektur betrug 10602, für aarch64 - 9654, für i386 - 10535. Von den in den Ports befindlichen Anwendungen ist Folgendes vermerkt:
- Sternchen 16.2.1
- Kühnheit 2.3.1
- CMake 3.10.2
- Chrom 73.0.3683.86
- FFmpeg 4.1.3
- GCC 4.9.4 und 8.3.0
- GNOME 3.30.2.1
- Gehe 1.12.1
- JDK 8u202 und 11.0.2+9-3
- LLVM/Clang 7.0.1
- LibreOffice 6.2.2.2
- Lua 5.1.5, 5.2.4 und 5.3.5
- Maria DB 10.0.38
- Mono 5.18.1.0
- Mozilla Firefox 66.0.2 und ESR 60.6.1
- Mozilla Thunderbird 60.6.1
- Node.js 10.15.0
- OpenLDAP 2.3.43 und 2.4.47
- PHP 7.1.28, 7.2.17 und 7.3.4
- Postfix 3.3.3 und 3.4.20190106
- PostgreSQL 11.2
- Python 2.7.16 und 3.6.8
- R3.5.3
- Ruby 2.4.6, 2.5.5 und 2.6.2
- Rost 1.33.0
- Sendmail 8.16.0.41
- SQLite3 3.27.2
- Erdmännchen 4.1.3
- Tcl/Tk 8.5.19 und 8.6.8
- TeX Live 2018
- Vim 8.1.1048 und Neovim 0.3.4
- Xfce 4.12
- In OpenBSD 6.5 enthaltene Komponenten von Drittanbietern:
- Xenocara-Grafikstapel basierend auf X.Org-Server 1.19.7 mit Patches, Freetype 2.9.1, Fontconfig 2.12.4, Mesa 18.3.5, xterm 344, xkeyboard-config 2.20;
- LLVM/Clang 7.0.1 (mit Patches)
- GCC 4.2.1 (mit Patches) und 3.3.6 (mit Patches)
- Perl 5.28.1 (mit Patches)
- NSD 4.1.27
- Ungebunden 1.9.1
- Ncurses 5.7
- Binutils 2.17 (mit Patches)
- Gdb 6.3 (mit Patches)
- Awk 10. August 2011
- Expats 2.2.6
Source: opennet.ru