ProHoster > Blog > ειδήσεις στο διαδίκτυο > Κυκλοφορία του OpenBSD 6.7

Κυκλοφορία του OpenBSD 6.7

Εισήχθη απελευθέρωση ενός δωρεάν λειτουργικού συστήματος τύπου UNIX σε πολλαπλές πλατφόρμες OpenBSD 6.7. Το έργο OpenBSD ιδρύθηκε από τον Theo de Raadt το 1995 μετά σύγκρουση με τους προγραμματιστές του NetBSD, με αποτέλεσμα να στερηθεί η πρόσβαση στον Teo στο αποθετήριο NetBSD CVS. Μετά από αυτό, ο Theo de Raadt και μια ομάδα ομοϊδεατών δημιούργησαν ένα νέο ανοιχτό λειτουργικό σύστημα βασισμένο στο δέντρο πηγής NetBSD, οι κύριοι στόχοι του οποίου ήταν η φορητότητα (υποστηριζόμενο από 12 πλατφόρμες υλικού), τυποποίηση, σωστή λειτουργία, ενεργή ασφάλεια και ενσωματωμένα κρυπτογραφικά εργαλεία. Πλήρες μέγεθος εγκατάστασης εικόνα ISO Το βασικό σύστημα OpenBSD 6.7 είναι 470 MB.

Εκτός από το ίδιο το λειτουργικό σύστημα, το έργο OpenBSD είναι γνωστό για τα στοιχεία του, τα οποία έχουν γίνει ευρέως διαδεδομένα σε άλλα συστήματα και έχουν αποδειχθεί μια από τις πιο ασφαλείς και υψηλής ποιότητας λύσεις. Ανάμεσα τους: LibreSSL (πιρούνι OpenSSL), OpenSSH, φίλτρο πακέτων PF, δρομολογώντας δαίμονες OpenBGPD και OpenOSPFD, διακομιστής NTP OpenNTPD, διακομιστής αλληλογραφίας ΆνοιγμαSMTPD, πολυπλέκτης τερματικού κειμένου (παρόμοιο με την οθόνη GNU) tmux, δαίμονας ταυτίστηκε με μια υλοποίηση του πρωτοκόλλου IDENT, μια εναλλακτική λύση BSDL στο πακέτο GNU groff - mandoc, πρωτόκολλο οργάνωσης συστημάτων ανοχής σε σφάλματα CARP (Common Address Redundancy Protocol), ελαφρύ διακομιστή http, βοηθητικό πρόγραμμα συγχρονισμού αρχείων OpenRSYNC.

Ο κύριος βελτιώσεις:

  • Το σύστημα αρχείων FFS2, το οποίο χρησιμοποιεί τιμές χρόνου και μπλοκ 64 bit, είναι ενεργοποιημένο από προεπιλογή σε νέες εγκαταστάσεις για σχεδόν όλες τις υποστηριζόμενες αρχιτεκτονικές αντί για FFS (εκτός από landisk, luna88k και sgi).
  • Προστέθηκε μια νέα μέθοδος για τον έλεγχο της εγκυρότητας των κλήσεων συστήματος, η οποία περιπλέκει περαιτέρω την εκμετάλλευση των τρωτών σημείων. Η μέθοδος επιτρέπει την εκτέλεση κλήσεων συστήματος μόνο εάν γίνεται πρόσβαση σε αυτές από προηγουμένως καταχωρημένες περιοχές μνήμης. Μια νέα κλήση συστήματος msyscall() έχει προταθεί για την επισήμανση των περιοχών μνήμης και την ενεργοποίηση της προστασίας.
  • Ο αριθμός των κατατμήσεων που μπορούν να δημιουργηθούν σε έναν δίσκο έχει αυξηθεί από 7 σε 15.
  • Ο κώδικας ανάλυσης της επιλογής cron έχει ξαναγραφτεί για να υποστηρίζει χαρακτηριστικά που μοιάζουν με getopt, όπως "-ns" και τον επαναπροσδιορισμό των ίδιων σημαιών. Το πεδίο "επιλογές" στο crontab έχει μετονομαστεί σε "σημαία". Προστέθηκε μια σημαία "-s" στο crontab έτσι ώστε να μπορεί να εκτελείται μόνο μία παρουσία μιας εργασίας τη φορά. Προστέθηκε ο τελεστής "~" για να καθορίσει μια τυχαία τιμή χρόνου.
  • Ο διαχειριστής παραθύρων cwm υλοποιεί τη δυνατότητα προσδιορισμού του μεγέθους του παραθύρου ως ποσοστό του μεγέθους του κύριου παραθύρου σε μια διάταξη με πλακάκια.
  • Η αρχιτεκτονική του powerpc έχει αλλάξει στη χρήση Clang από προεπιλογή και έχει ενεργοποιήσει μια ανεξάρτητη αρχιτεκτονική υλοποίηση του mplock.
  • Το apmd έχει βελτιωμένη υποστήριξη για αυτόματη αναμονή και αδρανοποίηση (-z/-Z) - ο δαίμονας ανταποκρίνεται τώρα στα μηνύματα αλλαγής φόρτισης μπαταρίας που αποστέλλονται από το πρόγραμμα οδήγησης παρακολούθησης ισχύος. Η μετάβαση στον ύπνο γίνεται με καθυστέρηση 60 δευτερολέπτων, η οποία δίνει στον χρήστη χρόνο να πάρει τον έλεγχο.
  • Προστέθηκε μεταβλητή διαμόρφωσης $REQUEST_SCHEME στον ενσωματωμένο διακομιστή HTTP για τη διατήρηση του αρχικού πρωτοκόλλου (http ή https) κατά την ανακατεύθυνση, καθώς και μια επιλογή "strip" για να επιτραπούν πολλαπλά chroot στο /var/www για διακομιστές FastCGI.
  • Το κορυφαίο βοηθητικό πρόγραμμα υποστηρίζει πλέον την κύλιση χρησιμοποιώντας τα πλήκτρα 9 και 0.
  • Εισάγεται ένας μηχανισμός για την απελευθέρωση σελίδων μνήμης με αντίστροφη σειρά, ο οποίος αυξάνει σημαντικά την αποτελεσματικότητα της ενεργητικής απελευθέρωσης μεγάλου αριθμού σελίδων.
  • Ο μη δεσμευμένος διακομιστής DNS έχει ενεργοποιημένο από προεπιλογή τον έλεγχο DNSSEC.
  • Οι κλήσεις συστήματος απαλλάσσονται από τον παγκόσμιο αποκλεισμό
    __thrsleep(2), __thrwakeup(2), close(2), closefrom(2), dup(2), dup2(2), dup3(2), flock(2), fcntl(2), kqueue(2), pipe(2), pipe2(2) και nanosleep(2), καθώς και το βασικό μέρος του ioctl(2).

  • Διευρυμένη υποστήριξη υλικού. Ένα νέο πρόγραμμα οδήγησης iwx προστέθηκε για ασύρματα τσιπ Intel AX200 και το πρόγραμμα οδήγησης iwm έχει προσθέσει υποστήριξη για συσκευές Intel 9260 και 9560. Το πρόγραμμα οδήγησης rge προστέθηκε για Realtek 8125 PCI Express 2.5Gb. Πολλά νέα προγράμματα οδήγησης έχουν προταθεί για τη βελτίωση της απόδοσης στις πλακέτες arm64 και armv7, συμπεριλαμβανομένης της πρόσθετης υποστήριξης για την πλακέτα Raspberry Pi 4 και της βελτιωμένης υποστήριξης για τα Raspberry Pi 2 και 3.
  • Το υποσύστημα ήχου sndio έχει επεκταθεί. Προστέθηκε το sioctl_open API και το βοηθητικό πρόγραμμα sndioctl για τον έλεγχο του ήχου μέσω sndiod. Το /dev/mixer έχει αφαιρεθεί και όλες οι θύρες έχουν αλλάξει σε sndio αντί για τη διεπαφή μίκτη πυρήνα. Το Sndiod παρέχει τη χρήση μηχανισμών ελέγχου έντασης ήχου υλικού. Για τη βελτίωση της ασφάλειας, απαγορεύεται η τακτική πρόσβαση των χρηστών στα /dev/audio* και /dev/rmidi*.
  • Η στοίβα ασύρματης σύνδεσης σταματά να συνδέεται με οποιοδήποτε διαθέσιμο δίκτυο Wi-Fi που δεν υποστηρίζει κρυπτογράφηση, εκτός εάν καλέσετε ρητά την εντολή "ifconfig join". Διασφαλίζει ότι η σάρωση παρασκηνίου των διαθέσιμων δικτύων ξεκινά όταν εκτελείται η εντολή "ifconfig scan" από τον χρήστη root. Η κρυφή μνήμη των αποτελεσμάτων σάρωσης έχει αυξηθεί. Προστέθηκε η σημαία "nwflag nomimo", που ορίστηκε μέσω ifconfig, η οποία βοηθά να απαλλαγείτε από την απώλεια πακέτων σε λειτουργία 11n, εάν η συσκευή έχει μη συνδεδεμένες υποδοχές κεραίας. Προστέθηκε υποστήριξη για λειτουργία ενεργής σάρωσης για το πρόγραμμα οδήγησης bwfm. Βελτιώθηκε η αυτόματη εναλλαγή μεταξύ ασύρματων δικτύων μειώνοντας την προτεραιότητα για δίκτυα στα οποία δεν ήταν δυνατή η σύνδεση.
  • Ένα νέο πρόγραμμα οδήγησης pppac εμφανίστηκε στη στοίβα δικτύου, το οποίο περιλαμβάνει την υλοποίηση της διεπαφής PPP Access Concentrator. Άλλαξε τις ρυθμίσεις npppd.conf για χρήση pppac αντί tun. Όταν η ανακατεύθυνση πακέτων είναι απενεργοποιημένη, έχει προστεθεί ένας έλεγχος για να ελεγχθεί εάν η διεύθυνση προορισμού στο πακέτο ταιριάζει με τη διεύθυνση της διεπαφής δικτύου. Η υποστήριξη Mobileip καταργήθηκε.
  • Απαγορεύεται στους χρήστες που δεν είναι root να χρησιμοποιούν ioctl για να αλλάξουν τη διεύθυνση διεπαφής δικτύου και να αλλάξουν τις παραμέτρους των διεπαφών pppoe.
  • Το sysupgrade διασφαλίζει ότι οι ενημερώσεις υλικολογισμικού (fw_update) ξεκινούν πριν από την επανεκκίνηση πριν από την αναβάθμιση.
  • Η κλήση συστήματος αποκάλυψης έχει βελτιωθεί για να παρέχει απομόνωση πρόσβασης στο σύστημα αρχείων. Ο αριθμός των εφαρμογών από το βασικό σύστημα για τις οποίες εφαρμόζεται προστασία με χρήση αποκάλυψης έχει αυξηθεί σε 82. Συμπεριλαμβανομένων των vmstat, iostat και systat που μεταφέρθηκαν στο unveil.
  • Η υποστήριξη RSA-PSS έχει προστεθεί στο crypto(3).
  • Η υποστήριξη DoT (DNS μέσω TLS) έχει προστεθεί στο πρόγραμμα επίλυσης DNS ξετυλίγματος. Προστέθηκε η εντολή "unwindctl status memory".
  • Η εφαρμογή του ipsec έχει εκσυγχρονιστεί σημαντικά. Προστέθηκε υποστήριξη για αυτόματη μετακίνηση κίνησης μεταξύ rdomains κατά την κρυπτογράφηση και την αποκρυπτογράφηση για προστασία από επιθέσεις πλευρικού καναλιού. Προστέθηκε υποστήριξη για αλλαγή του rdomain σε iked και προστέθηκε η επιλογή 'rdomain' στο iked.conf
    Το προεπιλεγμένο επίπεδο για το iked και το isakmpd είναι το IPSEC_LEVEL_REQUIRE, το οποίο αποτρέπει την επεξεργασία μη κρυπτογραφημένων πακέτων που αντιστοιχούν στη ροή. Οι αλγόριθμοι curve25519, ecp256, ecp384, ecp521, modp3072 και modp4096 έχουν προστεθεί στις ρυθμίσεις της ομάδας Diffie-Hellman για την IKE SA. Στο iked, η προεπιλεγμένη μέθοδος ελέγχου ταυτότητας έχει αλλάξει σε έλεγχο ταυτότητας ψηφιακής υπογραφής (RFC 7427). Προστέθηκαν ρυθμίσεις ESN στο iked.conf. Προστέθηκε η επιλογή "-p" για να επιλέξετε έναν μη τυπικό αριθμό θύρας UDP.

  • Οι δυνατότητες του πολυπλέκτη τερματικού tmux έχουν επεκταθεί και έχουν προστεθεί πολλές νέες επιλογές.
  • Η έκδοση του διακομιστή αλληλογραφίας OpenSMTPD έχει ενημερωθεί. Τα ενσωματωμένα φίλτρα εφαρμόζουν τη λέξη-κλειδί «παράκαμψης» για παράλειψη επεξεργασίας υπό καθορισμένες συνθήκες. Επιτρέπει τη χρήση του ονόματος χρήστη της τρέχουσας περιόδου λειτουργίας smtpd σε φίλτρα. Στο smtpd.conf, οι παράμετροι επιτρέπουν τη χρήση mail-from και rctp-to.
  • Το πακέτο OpenSSH 8.2 έχει ενημερωθεί για να περιλαμβάνει υποστήριξη για διακριτικά ελέγχου ταυτότητας δύο παραγόντων FIDO/U2F. Μπορείτε να δείτε μια λεπτομερή επισκόπηση των βελτιώσεων εδώ.
  • ΕΠΙΚΑΙΡΟΠΟΙΗΜΕΝΟ το πακέτο LibreSSL, στο οποίο έχει ολοκληρωθεί η υλοποίηση του TLS 1.3 που βασίζεται σε μια νέα μηχανή πεπερασμένης κατάστασης και ένα υποσύστημα εργασίας με εγγραφές. Από προεπιλογή, μόνο το τμήμα πελάτη του TLS 1.3 είναι ενεργοποιημένο προς το παρόν· το τμήμα διακομιστή έχει προγραμματιστεί να ενεργοποιηθεί από προεπιλογή σε μελλοντική έκδοση. Μια λίστα με άλλες αλλαγές μπορείτε να δείτε στις ανακοινώσεις κυκλοφορίας 3.1.0 и 3.1.1.
  • Ο αριθμός των θυρών για την αρχιτεκτονική AMD64 ήταν 11268, για aarch64 - 10848, για i386 - 10715. Τα στοιχεία από τρίτους προγραμματιστές που περιλαμβάνονται στο OpenBSD 6.7 έχουν ενημερωθεί:
    • Στοίβα γραφικών Xenocara βασισμένη στο X.Org 7.7 με patches xserver 1.20.8 +, freetype 2.10.1, fontconfig 2.12.4, Mesa 19.2.8, xterm 351, xkeyboard-config 2.20;
    • LLVM/Clang 8.0.1 (με patches)
    • GCC 4.2.1 (με patches) και 3.3.6 (με patches)
    • Perl 5.30.2 (με patches)
    • NSD 4.2.4
    • Χωρίς περιορισμούς 1.10.0
    • Ncurses 5.7
    • Binutils 2.17 (με μπαλώματα)
    • Gdb 6.3 (με patches)
    • Awk 20 Δεκεμβρίου 2012
    • Expat 2.2.8

    Πηγή: opennet.ru

Προσθέστε ένα σχόλιο