liberigo de senpaga transplatforma UNIX-simila operaciumo . La OpenBSD-projekto estis fondita fare de Theo de Raadt en 1995 poste kun la NetBSD-programistoj, kiel rezulto de kiu al Teo estis neita aliro al la NetBSD CVS-deponejo. Post tio, Theo de Raadt kaj grupo de samideanoj kreis novan malferman operaciumon bazitan sur la fontarbo de NetBSD, kies ĉefaj celoj estis porteblo ( 12 hardvarplatformoj), normigado, ĝusta funkciado, aktiva sekureco kaj integraj kriptaj iloj. Plena instala grandeco OpenBSD 6.7 baza sistemo estas 470 MB.
Krom la operaciumo mem, la projekto OpenBSD estas konata pro siaj komponantoj, kiuj disvastiĝis en aliaj sistemoj kaj pruvis sin esti unu el la plej sekuraj kaj altkvalitaj solvoj. Inter ili: ( OpenSSL), , paka filtrilo , vojaj demonoj , NTP-servilo , poŝtservilo , teksta fina multipleksilo (simila al GNU-ekrano) , demono kun efektivigo de la IDENT-protokolo, BSDL-alternativo al la GNU groff-pakaĵo - , protokolo por organizado de misfunkciaj sistemoj CARP (Common Address Redundancy Protocol), malpeza , Dosiera sinkroniga ilo .
Ĉefa :
- La dosiersistemo FFS2, kiu uzas 64-bitajn tempo- kaj blokvalorojn, estas ebligita defaŭlte en novaj instalaĵoj por preskaŭ ĉiuj subtenataj arkitekturoj anstataŭ FFS (krom landisk, luna88k kaj sgi).
- Nova metodo estis aldonita por kontroli la validecon de sistemaj vokoj, kio pli komplikas la ekspluaton de vundeblecoj. La metodo permesas al sistemvokoj esti efektivigitaj nur se ili estas aliritaj de antaŭe registritaj memorareoj. Nova msyscall() sistemvoko estis proponita por marki memorareojn kaj aktivigi protekton.
- La nombro da sekcioj kreeblaj sur unu disko pliiĝis de 7 al 15.
- La analiza kodo de la opcio de cron estis reverkita por subteni getopt-similajn funkciojn kiel "-ns" kaj respecifi la samajn flagojn. La kampo "opcioj" en crontab estis renomita al "flagoj". Aldonita "-s" flago al crontab tiel ke nur unu okazo de laboro povas ruliĝi samtempe. Aldonita "~" operatoro por specifi hazardan tempovaloron.
- La cwm-fenestra administranto efektivigas la kapablon determini la fenestrograndecon kiel procento de la grandeco de la primara fenestro en kahelizita aranĝo.
- La arkitekturo powerpc ŝanĝis al uzado de Clang defaŭlte kaj ebligis arkitektur-sendependan efektivigon de mplock.
- apmd plibonigis subtenon por aŭtomata atendo kaj vintrodormo (-z/-Z) - la demono nun respondas al mesaĝoj pri ŝargo de bateriaj ŝarĝoj senditaj de la ŝoforo pri monitorado de potenco. La transiro al dormo okazas kun malfruo de 60 sekundoj, kio donas al la uzanto tempon por preni kontrolon.
- Aldonita $REQUEST_SCHEME-agorda variablo al la enkonstruita HTTP-servilo por konservi la originan protokolon (http aŭ https) dum alidirektado, same kiel "strip" opcio por permesi plurajn chroots en /var/www por FastCGI-serviloj.
- La supra ilo nun subtenas movu per la 9 kaj 0 klavoj.
- Mekanismo por liberigi memorpaĝojn en inversa sinsekvo estas lanĉita, kiu signife pliigas la efikecon de aktive liberigi grandan nombron da paĝoj.
- La nebindita DNS-servilo havas DNSSEC-kontroladon ebligita defaŭlte.
- Sistemvokoj estas liberigitaj de tutmonda blokado
__thrsleep(2), __thrwakeup(2), close(2), closefrom(2), dup(2), dup2(2), dup3(2), flock(2), fcntl(2), kqueue(2), pipo(2), pipo2(2) kaj nanosleep(2), same kiel la baza parto de ioctl(2). - Pligrandigita aparatara subteno. Nova iwx-ŝoforo estis aldonita por sendrataj blatoj Intel AX200, kaj la iwm-ŝoforo aldonis subtenon por Intel 9260 kaj 9560-aparatoj. La rge-ŝoforo estis aldonita por Realtek 8125 PCI Express 2.5Gb. Multaj novaj ŝoforoj estis proponitaj por plibonigi rendimenton sur arm64 kaj armv7-tabuloj, inkluzive de aldonita subteno por la Raspberry Pi 4-tabulo kaj plibonigita subteno por Raspberry Pi 2 kaj 3.
- La sndio-sonsubsistemo estis vastigita. Aldonita sioctl_open API kaj sndioctl utileco por kontroli sonon per sndiod. /dev/mixer estis forigita kaj ĉiuj pordoj estis ŝanĝitaj al sndio anstataŭ la interfaco de la miksilo de la kerno. Sndiod disponigas la uzon de aparataj volumkontrolmekanismoj. Por plibonigi sekurecon, regula uzanta aliro al /dev/audio* kaj /dev/rmidi* estas malpermesita.
- La sendrata stako ĉesas konektiĝi al iu ajn disponebla Wi-Fi-reto, kiu ne subtenas ĉifradon, krom eksplicite vokado de la komando "ifconfig join". Certigas, ke fona skanado de disponeblaj retoj komenciĝas kiam la komando "ifconfig scan" estas ekzekutita de la radika uzanto. La kaŝmemoro de skanaj rezultoj estis pliigita. Aldonita la flago "nwflag nomimo", agordita per ifconfig, kiu helpas forigi pakaĵperdon en 11n-reĝimo se la aparato havas nekonektitajn antenkonektilojn. Aldonita subteno por aktiva skana reĝimo por la bwfm-ŝoforo. Plibonigita aŭtomata ŝanĝado inter sendrataj retoj malaltigante la prioritaton por retoj al kiuj ne povus esti konektitaj.
- Nova pppac-ŝoforo aperis en la reto-stako, kiu inkluzivas la efektivigon de la interfaco de PPP Access Concentrator. Ŝanĝis npppd.conf agordojn por uzi pppac anstataŭ tun. Kiam paka redirektado estas malŝaltita, kontrolo estis aldonita por kontroli ĉu la cel-adreso en la pakaĵeto kongruas kun la adreso de la reto-interfaco. Mobileip-subteno forigita.
- Ne-radikaj uzantoj estas malpermesitaj uzi ioctl por ŝanĝi la retinterfaco-adreson kaj ŝanĝi la parametrojn de pppoe-interfacoj.
- sysupgrade certigas, ke firmware-ĝisdatigoj (fw_update) estas komencitaj antaŭ rekomenco antaŭ ĝisdatigo.
- La malkaŝa sistemvoko estis plibonigita por disponigi dosiersisteman alirizolon. La nombro da aplikoj de la baza sistemo, por kiuj protekto uzanta unveil estas efektivigita, pliiĝis al 82. Inkluzive de vmstat, iostat kaj systat translokigita al unveil.
- RSA-PSS-subteno estis aldonita al kripto(3).
- DoT (DNS super TLS) subteno estis aldonita al la malvolvi DNS-solvilo. Aldonita komando "unwindctl status memory".
- La efektivigo de ipsec estis signife modernigita. Aldonita subteno por aŭtomate movi trafikon inter rdomajnoj dum ĉifrado kaj malĉifrado por protekti kontraŭ flankaj atakoj. Aldonita subteno por ŝanĝi rdomain al iked, kaj aldonis 'rdomain' opcion al iked.conf
La defaŭlta nivelo por iked kaj isakmpd estas IPSEC_LEVEL_REQUIRE, kiu malhelpas prilaboradon de neĉifritaj pakaĵetoj respondaj al la fluo. La kurbo25519, ecp256, ecp384, ecp521, modp3072 kaj modp4096-algoritmoj estis aldonitaj al la agordoj de la grupo Diffie-Hellman por IKE SA. En iked, la defaŭlta aŭtentikigmetodo estis ŝanĝita al diĝita subskriba aŭtentigo (RFC 7427). Aldonitaj ESN-agordoj al iked.conf. Aldonita "-p" opcio por elekti nenorman UDP-havennumeron. - La kapabloj de la tmux-terminala multipleksilo estis vastigitaj kaj multaj novaj opcioj estis aldonitaj.
- La versio de la poŝtservilo OpenSMTPD estis ĝisdatigita. La enkonstruitaj filtriloj efektivigas la ŝlosilvorton "pretervojo" por salti pretigon sub specifitaj kondiĉoj. Permesas la uzantnomon de la nuna smtpd-sesio esti uzata en filtriloj. En smtpd.conf, la parametroj permesas la uzon de mail-from kaj rctp-to.
- La OpenSSH 8.2-pakaĵo estis ĝisdatigita por inkluzivi subtenon por dufaktoraj aŭtentikigĵetoj FIDO/U2F. Vi povas vidi detalan superrigardon de la plibonigoj .
- la LibreSSL-pakaĵo, en kiu la efektivigo de TLS 1.3 bazita sur nova finhava maŝino kaj subsistemo por labori kun rekordoj estis kompletigita. Defaŭlte, nur la klientparto de TLS 1.3 estas ebligita nuntempe; la servila parto estas planita por esti aktivigita defaŭlte en estonta eldono. Listo de aliaj ŝanĝoj videblas en la eldonaj anoncoj и .
- La nombro da havenoj por la AMD64-arkitekturo estis 11268, por aarch64 - 10848, por i386 - 10715. Komponantoj de triapartaj programistoj inkluzivitaj en OpenBSD 6.7 estis ĝisdatigitaj:
- Xenocara grafika stako bazita sur X.Org 7.7 kun xserver 1.20.8 + diakiloj, freetype 2.10.1, fontconfig 2.12.4, Mesa 19.2.8, xterm 351, xkeyboard-config 2.20;
- LLVM/Clang 8.0.1 (kun pecetoj)
- GCC 4.2.1 (kun pecetoj) kaj 3.3.6 (kun pecetoj)
- Perl 5.30.2 (kun pecetoj)
- NSD 4.2.4
- Neligita 1.10.0
- Ncurses 5.7
- Binutils 2.17 (kun pecetoj)
- Gdb 6.3 (kun pecetoj)
- Awk la 20-an de decembro 2012
- Elmigranto 2.2.8
fonto: opennet.ru