ProHoster > Blog > actualités internet > Sortie d'OpenBSD 6.7

Sortie d'OpenBSD 6.7

Introduit sortie d'un système d'exploitation multiplateforme gratuit de type UNIX OpenBSD 6.7. Le projet OpenBSD a été fondé par Theo de Raadt en 1995 après conflit avec les développeurs NetBSD, à la suite de quoi Teo s'est vu refuser l'accès au référentiel CVS NetBSD. Après cela, Theo de Raadt et un groupe de personnes partageant les mêmes idées ont créé un nouveau système d'exploitation ouvert basé sur l'arborescence des sources NetBSD, dont les principaux objectifs étaient la portabilité (soutenu par 12 plates-formes matérielles), standardisation, bon fonctionnement, sécurité active et outils cryptographiques intégrés. Taille d'installation complète Image ISO Le système de base OpenBSD 6.7 fait 470 Mo.

En plus du système d'exploitation lui-même, le projet OpenBSD est connu pour ses composants, qui se sont répandus dans d'autres systèmes et se sont révélés être l'une des solutions les plus sécurisées et de haute qualité. Parmi eux: LibreSSL (fourchette OpenSSL), OpenSSH, filtre de paquets PF, démons de routage OpenBGPD et OpenOSPFD, serveur NTP OuvrirNTPD, serveur de courrier OuvrirSMTPD, multiplexeur de terminal texte (similaire à l'écran GNU) tmux, démon identifiant avec une implémentation du protocole IDENT, une alternative BSDL au package GNU groff - mandoc, protocole d'organisation de systèmes tolérants aux pannes CARP (Common Address Redundancy Protocol), léger serveur http, utilitaire de synchronisation de fichiers OuvertRSYNC.

principal améliorations:

  • Le système de fichiers FFS2, qui utilise des valeurs de temps et de bloc de 64 bits, est activé par défaut dans les nouvelles installations pour presque toutes les architectures prises en charge au lieu de FFS (sauf landisk, luna88k et sgi).
  • Une nouvelle méthode a été ajoutée pour vérifier la validité des appels système, ce qui complique encore davantage l'exploitation des vulnérabilités. La méthode permet d'exécuter les appels système uniquement s'ils sont accessibles à partir de zones de mémoire précédemment enregistrées. Un nouvel appel système msyscall() a été proposé pour marquer les zones mémoire et activer la protection.
  • Le nombre de partitions pouvant être créées sur un disque est passé de 7 à 15.
  • Le code d'analyse de l'option cron a été réécrit pour prendre en charge des fonctionnalités de type getopt telles que "-ns" et re-spécifier les mêmes indicateurs. Le champ « options » dans crontab a été renommé « drapeaux ». Ajout d'un indicateur "-s" à crontab afin qu'une seule instance d'un travail puisse être exécutée à la fois. Ajout de l'opérateur "~" pour spécifier une valeur de temps aléatoire.
  • Le gestionnaire de fenêtres CWM implémente la possibilité de déterminer la taille de la fenêtre en pourcentage de la taille de la fenêtre principale dans une disposition en mosaïque.
  • L'architecture PowerPC est passée à l'utilisation de Clang par défaut et a permis une implémentation de mplock indépendante de l'architecture.
  • apmd a amélioré la prise en charge de la veille et de l'hibernation automatiques (-z/-Z) - le démon répond désormais aux messages de changement de charge de la batterie envoyés par le pilote de surveillance de l'alimentation. Le passage au sommeil s'effectue avec un délai de 60 secondes, ce qui laisse à l'utilisateur le temps de prendre le contrôle.
  • Ajout de la variable de configuration $REQUEST_SCHEME au serveur HTTP intégré pour conserver le protocole d'origine (http ou https) lors de la redirection, ainsi qu'une option "strip" pour autoriser plusieurs chroots dans /var/www pour les serveurs FastCGI.
  • L'utilitaire supérieur prend désormais en charge le défilement à l'aide des touches 9 et 0.
  • Un mécanisme de libération des pages mémoire dans l'ordre inverse est introduit, ce qui augmente considérablement l'efficacité de la libération active d'un grand nombre de pages.
  • Le serveur DNS indépendant a la vérification DNSSEC activée par défaut.
  • Les appels système sont libérés du blocage global
    __thrsleep(2), __thrwakeup(2), close(2), closefrom(2), dup(2), dup2(2), dup3(2), flock(2), fcntl(2), kqueue(2), pipe(2), pipe2(2) et nanosleep(2), ainsi que la partie de base de ioctl(2).

  • Prise en charge matérielle étendue. Un nouveau pilote iwx a été ajouté pour les puces sans fil Intel AX200, et le pilote iwm a ajouté la prise en charge des périphériques Intel 9260 et 9560. Le pilote rge a été ajouté pour Realtek 8125 PCI Express 2.5 Go. De nombreux nouveaux pilotes ont été proposés pour améliorer les performances des cartes arm64 et armv7, notamment une prise en charge supplémentaire de la carte Raspberry Pi 4 et une prise en charge améliorée des Raspberry Pi 2 et 3.
  • Le sous-système audio sndio a été étendu. Ajout de l'API sioctl_open et de l'utilitaire sndioctl pour contrôler le son via sndiod. /dev/mixer a été supprimé et tous les ports ont été basculés vers sndio au lieu de l'interface du mélangeur du noyau. Sndiod propose l'utilisation de mécanismes matériels de contrôle du volume. Pour renforcer la sécurité, l'accès régulier des utilisateurs à /dev/audio* et /dev/rmidi* est interdit.
  • La pile sans fil cesse de se connecter à tout réseau Wi-Fi disponible qui ne prend pas en charge le cryptage, sauf en appelant explicitement la commande « ifconfig join ». Garantit qu'une analyse en arrière-plan des réseaux disponibles est lancée lorsque la commande « ifconfig scan » est exécutée par l'utilisateur root. Le cache des résultats de l'analyse a été augmenté. Ajout de l'indicateur « nwflag nomimo », défini via ifconfig, qui permet d'éliminer la perte de paquets en mode 11n si l'appareil a des connecteurs d'antenne non connectés. Ajout de la prise en charge du mode d'analyse active pour le pilote bwfm. Amélioration de la commutation automatique entre les réseaux sans fil en réduisant la priorité des réseaux auxquels il n'est pas possible de se connecter.
  • Un nouveau pilote pppac est apparu dans la pile réseau, qui inclut l'implémentation de l'interface PPP Access Concentrator. Modification des paramètres de npppd.conf pour utiliser pppac au lieu de tun. Lorsque la redirection de paquet est désactivée, une vérification a été ajoutée pour vérifier si l'adresse de destination dans le paquet correspond à l'adresse de l'interface réseau. Prise en charge de Mobileip supprimée.
  • Il est interdit aux utilisateurs non root d'utiliser ioctl pour modifier l'adresse de l'interface réseau et modifier les paramètres des interfaces pppoe.
  • sysupgrade garantit que les mises à jour du micrologiciel (fw_update) sont démarrées avant le redémarrage avant la mise à niveau.
  • L'appel système de dévoilement a été amélioré pour fournir une isolation de l'accès au système de fichiers. Le nombre d'applications du système de base pour lesquelles la protection via unveil est implémentée a été augmenté à 82. Y compris vmstat, iostat et systat transférés vers unveil.
  • La prise en charge RSA-PSS a été ajoutée à crypto(3).
  • La prise en charge DoT (DNS sur TLS) a été ajoutée au résolveur DNS de déroulement. Ajout de la commande "unwindctl status memory".
  • La mise en œuvre d'IPSEC a été considérablement modernisée. Ajout de la prise en charge du déplacement automatique du trafic entre les domaines r pendant le chiffrement et le déchiffrement afin de se protéger contre les attaques par canal secondaire. Ajout de la prise en charge du changement de rdomain en iked et ajout de l'option 'rdomain' à iked.conf
    Le niveau par défaut pour iked et isakmpd est IPSEC_LEVEL_REQUIRE, qui empêche le traitement des paquets non chiffrés correspondant au flux. Les algorithmes Curve25519, ecp256, ecp384, ecp521, modp3072 et modp4096 ont été ajoutés aux paramètres du groupe Diffie-Hellman pour IKE SA. Dans iked, la méthode d'authentification par défaut a été modifiée en authentification par signature numérique (RFC 7427). Ajout des paramètres ESN à iked.conf. Ajout de l'option "-p" pour sélectionner un numéro de port UDP non standard.

  • Les capacités du multiplexeur de terminal tmux ont été étendues et de nombreuses nouvelles options ont été ajoutées.
  • La version du serveur de messagerie OpenSMTPD a été mise à jour. Les filtres intégrés implémentent le mot-clé « bypass » pour ignorer le traitement dans des conditions spécifiées. Permet d'utiliser le nom d'utilisateur de la session smtpd actuelle dans les filtres. Dans smtpd.conf, les paramètres permettent l'utilisation de mail-from et rctp-to.
  • Le package OpenSSH 8.2 a été mis à jour pour inclure la prise en charge des jetons d'authentification à deux facteurs FIDO/U2F. Vous pouvez voir un aperçu détaillé des améliorations ici.
  • Mis à jour le package LibreSSL, dans lequel la mise en œuvre de TLS 1.3 basée sur une nouvelle machine à états finis et un sous-système pour travailler avec des enregistrements a été achevée. Par défaut, seule la partie client de TLS 1.3 est activée pour l'instant ; la partie serveur devrait être activée par défaut dans une prochaine version. Une liste d'autres changements peut être consultée dans les annonces de version 3.1.0 и 3.1.1.
  • Le nombre de ports pour l'architecture AMD64 était de 11268 64, pour aarch10848 - 386 10715, pour i6.7 - XNUMX XNUMX. Les composants de développeurs tiers inclus dans OpenBSD XNUMX ont été mis à jour :
    • Pile graphique Xenocara basée sur X.Org 7.7 avec xserver 1.20.8 + correctifs, freetype 2.10.1, fontconfig 2.12.4, Mesa 19.2.8, xterm 351, xkeyboard-config 2.20 ;
    • LLVM/Clang 8.0.1 (avec correctifs)
    • GCC 4.2.1 (avec correctifs) et 3.3.6 (avec correctifs)
    • Perl 5.30.2 (avec correctifs)
    • NSD 4.2.4
    • Non lié 1.10.0
    • Ncurses 5.7
    • Binutils 2.17 (avec correctifs)
    • Gdb 6.3 (avec correctifs)
    • Maladroit 20 décembre 2012
    • Expatrié 2.2.8

    Source: opennet.ru

Ajouter un commentaire