ProHoster > Blog > actualités internet > Sortie d'OpenBSD 6.5

Sortie d'OpenBSD 6.5

j'ai vu la lumière sortie d'un système d'exploitation gratuit et multiplateforme de type UNIX OpenBSD 6.5. Le projet OpenBSD a été fondé par Theo de Raadt en 1995, après conflit avec les développeurs NetBSD, à la suite de quoi Teo s'est vu refuser l'accès au référentiel CVS NetBSD. Après cela, Theo de Raadt et un groupe de personnes partageant les mêmes idées ont créé un nouveau système d'exploitation ouvert basé sur l'arborescence des sources NetBSD, dont les principaux objectifs étaient la portabilité (soutenu par 13 plates-formes matérielles), standardisation, bon fonctionnement, sécurité active et outils cryptographiques intégrés. Taille d'installation complète Image ISO Le système de base OpenBSD 6.5 fait 407 Mo.

En plus du système d'exploitation lui-même, le projet OpenBSD est connu pour ses composants, qui se sont répandus dans d'autres systèmes et se sont révélés être l'une des solutions les plus sécurisées et de haute qualité. Parmi eux: LibreSSL (fourchette OpenSSL), OpenSSH, filtre de paquets PF, démons de routage OpenBGPD et OpenOSPFD, serveur NTP OuvrirNTPD, serveur de courrier OuvrirSMTPD, multiplexeur de terminal texte (similaire à l'écran GNU) tmux, démon identifiant avec une implémentation du protocole IDENT, une alternative BSDL au package GNU groff - mandoc, protocole d'organisation de systèmes tolérants aux pannes CARP (Common Address Redundancy Protocol), léger serveur http, utilitaire de synchronisation de fichiers OuvertRSYNC.

Parmi les changements les plus notables : une version portable de bgpd a été introduite, adaptée pour fonctionner dans d'autres OS, l'utilisation des privilèges root Xenocara et tcpdump a été supprimée, l'éditeur de liens LDD est activé par défaut pour amd64 et i386, le support MPLS a été considérablement amélioré et la protection contre les exploits avec des techniques de backtracking a été renforcée. programmation orientée (ROP), le déroulement du serveur DNS récursif le plus simple a été ajouté, un détecteur de comportement non défini a été intégré dans le noyau et notre propre implémentation de l'utilitaire rsync a été été introduit.

principal améliorations:

  • Lors de la construction pour les architectures amd64 et i386, l'éditeur de liens LDD développé par le projet LLVM est utilisé par défaut. Pour l'architecture mips64, la prise en charge de la construction à l'aide de Clang a été ajoutée ;
  • Nouveaux pilotes pvclock pour le minuteur KVM paravirtualisé et ixl pour Intel Ethernet 700. Le pilote uaudio a été remplacé par une nouvelle implémentation prenant en charge USB Audio 2.0.
  • Amélioration des performances des pilotes de périphériques sans fil bwfm, iwn, iwm et athn. La prise en charge des messages RTM_80211INFO a été ajoutée à la pile sans fil pour transmettre des informations détaillées sur l'état de l'interface aux commandes dhclient et route. Le comportement silencieux lors de la connexion aux réseaux sans fil a été modifié - si vous avez une liste de connexion automatique configurée, OpenBSD ne se connecte plus aux réseaux ouverts inconnus (pour revenir au comportement précédent, vous pouvez ajouter un réseau vide à la liste) ;
  • La pile réseau introduit de nouveaux pilotes de pseudo-périphériques bpe (Backbone Provider Edge) et mpip (MPLS IP layer 2). Ajout de la prise en charge de la configuration de domaines de routage alternatifs pour les interfaces MPLS. Le pilote VLAN a été activé pour contourner le traitement de la file d'attente et la sortie directement vers l'interface réseau parent. Ajout du mode txprio à ifconfig pour contrôler l'encodage prioritaire dans les en-têtes des paquets tunnelés (pris en charge pour les pilotes vlan, gre, gif et etherip) ;
  • Dans la mise en œuvre du filtre bpf, il est devenu possible d'utiliser le mécanisme de suppression sans capturer de paquets. Cette fonctionnalité est utilisée dans tcpdump pour filtrer au stade initial d'un paquet reçu par un périphérique ;
  • Le programme d'installation fournit une assistance rdsetroot pour ajouter une image disque au RAMDISK du noyau. Assurer la suppression de certains composants des anciennes versions lors du processus de mise à jour du système ;
  • Appel système amélioré dévoiler, qui fournit une isolation de l'accès au système de fichiers. La nouvelle version ajoute la détection des correspondances relatives au répertoire de travail du processus en cours lors de l'analyse des chemins relatifs. L'utilisation de stat et d'accès pour les composants de chemin de fichier restreint est interdite. Pour les applications ospfd, ospf6d, rebond, getconf, kvm_mkdb, bdftopcf, Xserver, passwd, spamlogd, spamd, sensord, snmpd, htpasswd et ifstated, une protection utilisant unveil est implémentée ;
  • Clang a amélioré les outils permettant de bloquer l'utilisation de techniques de programmation orientée retour (ROP), ce qui a considérablement réduit le nombre de gadgets polymorphes trouvés dans les fichiers exécutables résultants pour les architectures i386 et amd64 ;
  • Clang a amélioré les performances et la sécurité lors de l'utilisation
    mécanisme de protection RETGUARD, visant à compliquer l'exécution d'exploits construits à l'aide de morceaux de code empruntés et de techniques de programmation orientées retour. Pour accélérer le fonctionnement, les données sont placées dans des registres au lieu de la pile autant que possible, et le cache du processeur est utilisé plus efficacement lors du retour. RETGUARD est également désormais utilisé à la place de la protection de pile traditionnelle sur les systèmes amd64 et arm64 ;

  • Les utilitaires liés à la pile réseau ont été améliorés : La prise en charge du filtrage des paquets MPLS a été ajoutée à pcap-filter. La possibilité de configurer les priorités de routage a été ajoutée à ospfd, ospf6d et ripd. DANS
    ripd a ajouté une protection basée sur un mécanisme gage. Ajout des modes sff et sffdump à ifconfig pour obtenir des informations de diagnostic à partir des émetteurs optiques ;

  • Présentation de la première version du nouveau résolveur se détendre, qui traite les requêtes DNS récursives et accepte les connexions uniquement sur l'interface 127.0.0.1.
    Unwind est conçu pour être utilisé sur des systèmes clients, tels que des ordinateurs portables, se déplaçant entre différents réseaux sans fil. S'il détecte un blocage du trafic DNS sur le réseau local, le dérouleur passe à l'utilisation de l'adresse du serveur DNS récursif transférée via DHCP, mais continue d'essayer périodiquement de résoudre de manière indépendante et dès que les requêtes directes commencent à passer, il revient à l'accès indépendant. Serveurs DNS ;

  • Dans bgpd, des travaux ont été effectués pour réduire la consommation de mémoire, un optimiseur de règles simple a été ajouté (fusionne les règles de filtrage qui ne diffèrent que par les ensembles de filtres), le processus de configuration VPN BGP MPLS a été modifié, la prise en charge d'IPv6 BGP MPLS VPN a été ajoutée , et la fonctionnalité « as-override » a été implémentée pour remplacer l'AS voisin par l'AS local dans les chemins, a ajouté la possibilité de faire correspondre plusieurs communautés en une seule règle, a ajouté de nouvelles fonctionnalités de correspondance « * », « local-as » et « voisin -as", travail amélioré avec de grands ensembles de règles, ajout de nouvelles commandes pour travailler avec des groupes voisins systèmes autonomes ("bgpctl voisin groupe", "bgpctl show voisin groupe", "bgpctl show rib voisin groupe"), la possibilité d'ajouter des réseaux aux tables VPN BGP a été ajouté à bgpctl. Pour la première fois, une version portable d'OpenBGPD-portable a été préparée, prête à fonctionner sur des systèmes autres qu'OpenBSD ;
  • Option ajoutée kubsan pour détecter les cas de comportement non défini dans le noyau OpenBSD.
  • L'utilitaire tcpdump élimine complètement l'utilisation des privilèges root ;
  • Amélioration des performances de malloc dans les applications multithread ;
  • La version initiale du programme a été ajoutée à la composition OuvertRSYNC avec sa propre implémentation de l'utilitaire de synchronisation de fichiers rsync ;
  • La version du serveur de messagerie OpenSMTPD a été mise à jour, dans laquelle un nouveau critère de comparaison « from rdns » a été ajouté à smtpd.conf, qui permet de sélectionner des sessions en fonction de la résolution DNS inversée (détermination du nom d'hôte par IP). Lors de la recherche dans les tableaux, la possibilité d'utiliser des expressions régulières a été ajoutée ;
  • Le package OpenSSH 8.0 a été mis à jour, un aperçu détaillé des améliorations peut être trouvé ici;
  • Le package LibreSSL a été mis à jour, un aperçu détaillé des améliorations peut être trouvé dans les annonces de publication 2.9.0 и 2.9.1;
  • Mandoc a considérablement amélioré la sortie HTML, le rendu des tableaux et ajouté un indicateur « -O » pour ouvrir une page avec la définition du terme spécifié ;
  • Les capacités de la pile graphique Xenocara ont été étendues : le serveur X ne nécessite plus d'installation avec l'option setuid pour s'exécuter. Le pilote radeonsi Mesa inclut la prise en charge de l'accélération matérielle pour les GPU Southern Islands (Radeon HD 7000) et Sea Islands (Radeon HD 8000) ;
  • Les ports C++ pour les architectures non prises en charge par Clang sont désormais compilés à l'aide de GCC à partir des ports. Le nombre de ports pour l'architecture AMD64 était de 10602, pour aarch64 - 9654, pour i386 - 10535. Parmi les applications situées dans les ports, on note les suivantes :
    • Astérisque 16.2.1
    • Audacity 2.3.1
    • Faire 3.10.2
    • Chrome 73.0.3683.86
    • FFmpeg 4.1.3
    • GCC 4.9.4 et 8.3.0
    • GNOME 3.30.2.1
    • Aller 1.12.1
    • JDK 8u202 et 11.0.2+9-3
    • LLVM/Clang 7.0.1
    • LibreOffice 6.2.2.2
    • Lua 5.1.5, 5.2.4 et 5.3.5
    • MariaDB 10.0.38
    • Singe 5.18.1.0
    • Mozilla Firefox 66.0.2 et ESR 60.6.1
    • Mozilla Thunderbird 60.6.1
    • Noeud.js 10.15.0
    • OpenLDAP 2.3.43 et 2.4.47
    • PHP 7.1.28, 7.2.17 et 7.3.4
    • Postfix 3.3.3 et 3.4.20190106
    • PostgreSQL 11.2
    • Python 2.7.16 et 3.6.8
    • R3.5.3
    • Ruby 2.4.6, 2.5.5 et 2.6.2
    • Rouille 1.33.0
    • Envoyer un courrier 8.16.0.41
    • SQLite3 3.27.2
    • Suricate 4.1.3
    • Tcl/Tk 8.5.19 et 8.6.8
    • TeX en direct 2018
    • Vim 8.1.1048 et Neovim 0.3.4
    • Xfce 4.12
  • Composants tiers inclus avec OpenBSD 6.5 :
    • Pile graphique Xenocara basée sur le serveur X.Org 1.19.7 avec correctifs, freetype 2.9.1, fontconfig 2.12.4, Mesa 18.3.5, xterm 344, xkeyboard-config 2.20 ;
    • LLVM/Clang 7.0.1 (avec correctifs)
    • GCC 4.2.1 (avec correctifs) et 3.3.6 (avec correctifs)
    • Perl 5.28.1 (avec correctifs)
    • NSD 4.1.27
    • Non lié 1.9.1
    • Ncurses 5.7
    • Binutils 2.17 (avec correctifs)
    • Gdb 6.3 (avec correctifs)
    • Awk 10 août 2011
    • Expatrié 2.2.6

Source: opennet.ru

Ajouter un commentaire