ProHoster > Blog > noticias de internet > Lanzamiento de OpenBSD 6.7

Lanzamiento de OpenBSD 6.7

Presentado por lanzamiento de un sistema operativo multiplataforma gratuito tipo UNIX OpenBSD 6.7. El proyecto OpenBSD fue fundado por Theo de Raadt en 1995 después conflicto con los desarrolladores de NetBSD, como resultado de lo cual a Teo se le negó el acceso al repositorio CVS de NetBSD. Después de esto, Theo de Raadt y un grupo de personas con ideas afines crearon un nuevo sistema operativo abierto basado en el árbol fuente de NetBSD, cuyos principales objetivos eran la portabilidad (Apoyado por 12 plataformas hardware), estandarización, correcto funcionamiento, seguridad activa y herramientas criptográficas integradas. Tamaño de instalación completo imagen ISO El sistema base OpenBSD 6.7 tiene 470 MB.

Además del sistema operativo en sí, el proyecto OpenBSD es conocido por sus componentes, que se han generalizado en otros sistemas y han demostrado ser una de las soluciones más seguras y de mayor calidad. Entre ellos: LibreSSL (tenedor abiertoSSL), OpenSSH, filtro de paquetes PF, demonios de enrutamiento OpenBGPD y OpenOSPFD, servidor NTP AbrirNTPD, servidor de correo Abrir SMTPD, multiplexor de terminal de texto (similar a la pantalla GNU) tmux, demonio identificado con una implementación del protocolo IDENT, una alternativa BSDL al paquete GNU groff - mandoc, protocolo para organizar sistemas tolerantes a fallos CARP (Protocolo común de redundancia de direcciones), ligero servidor http, utilidad de sincronización de archivos AbiertoRSYNC.

El principal mejoras:

  • El sistema de archivos FFS2, que utiliza valores de bloque y tiempo de 64 bits, está habilitado de forma predeterminada en instalaciones nuevas para casi todas las arquitecturas compatibles en lugar de FFS (excepto landisk, luna88k y sgi).
  • Se ha agregado un nuevo método para verificar la validez de las llamadas al sistema, lo que complica aún más la explotación de vulnerabilidades. El método permite ejecutar llamadas al sistema solo si se accede a ellas desde áreas de memoria previamente registradas. Se ha propuesto una nueva llamada al sistema msyscall() para marcar áreas de memoria y activar la protección.
  • El número de particiones que se pueden crear en un disco se ha aumentado de 7 a 15.
  • El código de análisis de la opción cron se ha reescrito para admitir funciones similares a getopt como "-ns" y volver a especificar los mismos indicadores. El campo "opciones" en crontab ahora se llama "banderas". Se agregó un indicador "-s" a crontab para que solo se pueda ejecutar una instancia de un trabajo a la vez. Se agregó el operador "~" para especificar un valor de tiempo aleatorio.
  • El administrador de ventanas cwm implementa la capacidad de determinar el tamaño de la ventana como un porcentaje del tamaño de la ventana principal en un diseño en mosaico.
  • La arquitectura powerpc ha cambiado al uso de Clang de forma predeterminada y ha habilitado una implementación de mplock independiente de la arquitectura.
  • apmd ha mejorado el soporte para el modo de espera e hibernación automáticos (-z/-Z); el demonio ahora responde a los mensajes de cambio de carga de la batería enviados por el controlador de monitoreo de energía. La transición al sueño se produce con un retraso de 60 segundos, lo que le da tiempo al usuario para tomar el control.
  • Se agregó la variable de configuración $REQUEST_SCHEME al servidor HTTP integrado para preservar el protocolo original (http o https) al redireccionar, así como una opción "strip" para permitir múltiples chroots en /var/www para servidores FastCGI.
  • La utilidad superior ahora admite el desplazamiento con las teclas 9 y 0.
  • Se introduce un mecanismo para liberar páginas de memoria en orden inverso, lo que aumenta significativamente la eficiencia de liberar activamente una gran cantidad de páginas.
  • El servidor DNS independiente tiene la comprobación DNSSEC habilitada de forma predeterminada.
  • Las llamadas al sistema están libres del bloqueo global
    __thrsleep(2), __thrwakeup(2), close(2), closefrom(2), dup(2), dup2(2), dup3(2), grey(2), fcntl(2), kqueue(2), pipe(2), pipe2(2) y nanosleep(2), así como la parte básica de ioctl(2).

  • Soporte de hardware ampliado. Se agregó un nuevo controlador iwx para los chips inalámbricos Intel AX200 y el controlador iwm agregó soporte para dispositivos Intel 9260 y 9560. Se agregó el controlador rge para Realtek 8125 PCI Express 2.5Gb. Se han propuesto muchos controladores nuevos para mejorar el rendimiento en las placas arm64 y armv7, incluido soporte adicional para la placa Raspberry Pi 4 y soporte mejorado para Raspberry Pi 2 y 3.
  • Se ha ampliado el subsistema de sonido sndio. Se agregó la API sioctl_open y la utilidad sndioctl para controlar el sonido a través de sndiod. /dev/mixer se eliminó y todos los puertos se cambiaron a sndio en lugar de la interfaz del mezclador del kernel. Sndiod proporciona el uso de mecanismos de control de volumen de hardware. Para mejorar la seguridad, el acceso regular de usuarios a /dev/audio* y /dev/rmidi* está prohibido.
  • La pila inalámbrica deja de conectarse a cualquier red Wi-Fi disponible que no admita cifrado, excepto llamando explícitamente al comando "ifconfig join". Garantiza que se inicie un análisis en segundo plano de las redes disponibles cuando el usuario root ejecute el comando "ifconfig scan". Se ha aumentado el caché de los resultados del análisis. Se agregó el indicador "nwflag nomimo", configurado a través de ifconfig, que ayuda a eliminar la pérdida de paquetes en el modo 11n si el dispositivo tiene conectores de antena desconectados. Se agregó soporte para el modo de escaneo activo para el controlador bwfm. Se mejoró el cambio automático entre redes inalámbricas al reducir la prioridad de las redes a las que no se pudo conectar.
  • Ha aparecido un nuevo controlador pppac en la pila de red, que incluye la implementación de la interfaz PPP Access Concentrator. Se modificó la configuración de npppd.conf para usar pppac en lugar de tun. Cuando la redirección de paquetes está deshabilitada, se ha agregado una verificación para verificar si la dirección de destino en el paquete coincide con la dirección de la interfaz de red. Se eliminó el soporte para Mobileip.
  • Los usuarios que no sean root tienen prohibido usar ioctl para cambiar la dirección de la interfaz de red y cambiar los parámetros de las interfaces pppoe.
  • sysupgrade garantiza que las actualizaciones de firmware (fw_update) se inicien antes de reiniciar antes de actualizar.
  • La llamada al sistema de revelación se ha mejorado para proporcionar aislamiento de acceso al sistema de archivos. El número de aplicaciones del sistema base para las cuales se implementa protección mediante unveil se ha incrementado a 82. Incluyendo vmstat, iostat y systat transferidos a unveil.
  • Se ha agregado soporte RSA-PSS a crypto(3).
  • Se ha agregado compatibilidad con DoT (DNS sobre TLS) al solucionador de DNS de desenredado. Se agregó el comando "memoria de estado unwindctl".
  • La implementación de ipsec se ha modernizado significativamente. Se agregó soporte para mover automáticamente el tráfico entre dominios r durante el cifrado y descifrado para proteger contra ataques de canales laterales. Se agregó soporte para cambiar rdomain a iked y se agregó la opción 'rdomain' a iked.conf
    El nivel predeterminado para iked e isakmpd es IPSEC_LEVEL_REQUIRE, que impide el procesamiento de paquetes no cifrados correspondientes al flujo. Los algoritmos curve25519, ecp256, ecp384, ecp521, modp3072 y modp4096 se han agregado a la configuración del grupo Diffie-Hellman para IKE SA. En iked, el método de autenticación predeterminado se cambió a autenticación de firma digital (RFC 7427). Se agregó configuración de ESN a iked.conf. Se agregó la opción "-p" para seleccionar un número de puerto UDP no estándar.

  • Se han ampliado las capacidades del multiplexor de terminal tmux y se han agregado muchas opciones nuevas.
  • Se ha actualizado la versión del servidor de correo OpenSMTPD. Los filtros integrados implementan la palabra clave "omitir" para omitir el procesamiento en condiciones específicas. Permite utilizar el nombre de usuario de la sesión SMTPD actual en los filtros. En smtpd.conf, los parámetros permiten el uso de mail-from y rctp-to.
  • El paquete OpenSSH 8.2 se actualizó para incluir soporte para tokens de autenticación de dos factores FIDO/U2F. Puedes ver una descripción detallada de las mejoras. aquí.
  • Actualizado el paquete LibreSSL, en el que se ha completado la implementación de TLS 1.3 basado en una nueva máquina de estados finitos y un subsistema para trabajar con registros. De forma predeterminada, por ahora solo está habilitada la parte del cliente de TLS 1.3; está previsto que la parte del servidor se active de forma predeterminada en una versión futura. Se puede ver una lista de otros cambios en los anuncios de lanzamiento. 3.1.0 и 3.1.1.
  • El número de puertos para la arquitectura AMD64 fue 11268, para aarch64 - 10848, para i386 - 10715. Se actualizaron los componentes de desarrolladores externos incluidos en OpenBSD 6.7:
    • Pila de gráficos Xenocara basada en X.Org 7.7 con xserver 1.20.8 + parches, freetype 2.10.1, fontconfig 2.12.4, Mesa 19.2.8, xterm 351, xkeyboard-config 2.20;
    • LLVM/Clang 8.0.1 (con parches)
    • GCC 4.2.1 (con parches) y 3.3.6 (con parches)
    • Perl 5.30.2 (con parches)
    • ND 4.2.4
    • Sin consolidar 1.10.0
    • Nmaldiciones 5.7
    • Binutils 2.17 (con parches)
    • Gdb 6.3 (con parches)
    • Awk 20 de diciembre de 2012
    • Expatriado 2.2.8

    Fuente: opennet.ru

Añadir un comentario