ProHoster > Blog > ynternet nijs > Utjefte fan OpenBSD 6.5

Utjefte fan OpenBSD 6.5

Seach it ljocht frijlitting fan in fergese, cross-platform UNIX-lykas bestjoeringssysteem OpenBSD 6.5. De OpenBSD projekt waard oprjochte troch Theo de Raadt yn 1995, na konflikt mei de NetBSD-ûntwikkelders, as gefolch dêrfan waard Teo tagong wegere ta it NetBSD CVS-repository. Hjirnei makken Theo de Raadt en in groep like-minded minsken in nij iepen bestjoeringssysteem basearre op de NetBSD boarnebeam, wêrfan de haaddoelen portabiliteit wiene (stipe troch 13 hardware-platfoarms), standerdisearring, juste operaasje, aktive feiligens en yntegreare kryptografyske ark. Folsleine ynstallaasje grutte ISO ôfbylding OpenBSD 6.5 basissysteem is 407 MB.

Neist it bestjoeringssysteem sels is it OpenBSD-projekt bekend om syn komponinten, dy't wiidferspraat wurden binne yn oare systemen en har bewiisd hawwe as ien fan 'e feilichste en heechweardige oplossingen. Under harren: FreeSSL (foarke OpenSSL), OpenSSH, pakketfilter PF, routing daemons OpenBGPD en OpenOSPFD, NTP-tsjinner OpenNTPD, mailtsjinner Iepen SMTPD, tekstterminal multiplexer (lykas GNU-skerm) tmux, daemon identd mei in ymplemintaasje fan it IDENT-protokol, in BSDL-alternatyf foar it GNU groff-pakket - mandoc, protokol foar it organisearjen fan fouttolerante systemen CARP (Common Address Redundancy Protocol), lichtgewicht http tsjinner, hulpprogramma foar triemsyngronisaasje OpenRSYNC.

Under de meast opfallende feroarings: in draachbere ferzje fan bgpd is yntrodusearre, oanpast om te wurkjen yn oare OSes, it brûken fan Xenocara en tcpdump root privileezjes is eliminearre, de LDD linker is standert ynskeakele foar amd64 en i386, MPLS stipe is west signifikant ferbettere, en beskerming tsjin eksploaten mei backtracking-techniken is fersterke, de ienfâldichste rekursive DNS-tsjinner ûntspanning is tafoege, in ûndefinieare gedrachsdetektor is yntegreare yn 'e kearn, en ús eigen ymplemintaasje fan it rsync-hulpprogramma hat. yntrodusearre.

haad ferbetterings:

  • By it bouwen foar amd64- en i386-arsjitektueren wurdt de LDD-linker ûntwikkele troch it LLVM-projekt standert brûkt. Foar de mips64-arsjitektuer is stipe foar it bouwen mei Clang tafoege;
  • Nije pvclock-bestjoerders foar de paravirtualisearre KVM-timer en ixl foar Intel Ethernet 700. De uaudio-bestjoerder is ferfongen troch in nije ymplemintaasje mei stipe foar USB Audio 2.0.
  • Ferbettere prestaasjes fan stjoerprogramma's foar draadloze apparaten bwfm, iwn, iwm en athn. Stipe foar RTM_80211INFO-berjochten is tafoege oan 'e draadloze stack om detaillearre ynterface-statusynformaasje nei de dhclient- en rûtekommando's te stjoeren. It stille gedrach by it ferbinen mei draadloze netwurken is feroare - as jo in konfigureare auto-ferbining list hawwe, makket OpenBSD net mear ferbining mei ûnbekende iepen netwurken (om it foarige gedrach werom te jaan, kinne jo in leech netwurk tafoegje oan 'e list);
  • De netwurkstack yntroduseart nije bpe (Backbone Provider Edge) en mpip (MPLS IP-laach 2) pseudo-apparaatbestjoerders. Stipe tafoege foar it konfigurearjen fan alternative routingdomeinen foar MPLS-ynterfaces. De vlan-bestjoerder is ynskeakele om wachtrigeferwurking en útfier direkt nei de âldernetwurkynterface te omgean. Txprio-modus tafoege oan ifconfig om prioriteitskodearring te kontrolearjen yn 'e kopteksten fan tunnelearre pakketten (stipe foar vlan, gre, gif en etherip-bestjoerders);
  • By de ymplemintaasje fan it bpf-filter waard it mooglik om it dropmeganisme te brûken sûnder pakketten te fangen. Dizze funksje wurdt brûkt yn tcpdump om te filterjen yn 'e earste faze fan in pakket dat wurdt ûntfongen troch in apparaat;
  • De ynstallearder biedt stipe rdsetroot om in skiifôfbylding ta te foegjen oan de kernel RAMDISK. Soarge foar it fuortheljen fan guon komponinten fan âlde releases tidens it systeemupdateproses;
  • Ferbettere systeem oprop ûnwille, dy't isolaasje fan triemsysteem tagong jout. De nije ferzje foeget deteksje ta fan wedstriden relatyf oan de wurkmap fan it aktuele proses by it parsearjen fan relative paden. It brûken fan stat en tagong foar beheinde triempaadkomponinten is ferbean. Foar applikaasjes ospfd, ospf6d, rebound, getconf, kvm_mkdb, bdftopcf, Xserver, passwd, spamlogd, spamd, sensorsd, snmpd, htpasswd en ifstated, wurdt beskerming mei unveil ymplementearre;
  • Clang hat ferbettere ark foar it blokkearjen fan it gebrûk fan werom-rjochte programmearring (ROP) techniken, dy't it oantal polymorphyske gadgets fûn yn 'e resultearjende útfierbere triemmen foar de i386- en amd64-arsjitektuer signifikant fermindere;
  • Clang hat ferbettere prestaasjes en feiligens by it brûken
    beskerming meganisme RETGUARD, rjochte op it komplisearjen fan de útfiering fan eksploaten dy't boud binne mei gebrûk fan stikken koade en weromrjochte programmearringstechniken. Om de operaasje te rapperjen, wurde gegevens yn registers pleatst ynstee fan 'e stapel as it mooglik is, en de prosessor-cache wurdt effisjinter brûkt by it weromkommen. RETGUARD wurdt ek no brûkt yn plak fan tradisjonele stack beskerming op amd64 en arm64 systemen;

  • Hulpprogramma's yn ferbân mei de netwurkstapel binne ferbettere: Stipe foar it filterjen fan MPLS-pakketten is tafoege oan pcap-filter. De mooglikheid om routingprioriteiten te konfigurearjen is tafoege oan ospfd, ospf6d en ripd. YN
    ripd tafoege meganisme basearre beskerming pledge. sff- en sffdump-modi tafoege oan ifconfig om diagnostyske ynformaasje te krijen fan optyske transmitters;

  • Earste release fan nije resolver presintearre ûntspanne, dy't rekursive DNS-fragen ferwurket en allinich ferbiningen akseptearret op ynterface 127.0.0.1.
    Unwind is ûntworpen foar gebrûk op kliïntsystemen, lykas laptops, dy't ferpleatse tusken ferskate draadloze netwurken. As it blokkearjen fan DNS-ferkear op it lokale netwurk ûntdekt, skeakelet ôf nei it brûken fan it adres fan 'e rekursive DNS-tsjinner oerbrocht fia DHCP, mar bliuwt periodyk besykje selsstannich op te lossen en sa gau as direkte oanfragen begjinne te passe, komt it werom nei ûnôfhinklik tagong DNS-tsjinners;

  • Yn bgpd is wurk dien om ûnthâldferbrûk te ferminderjen, in ienfâldige regelsoptimizer is tafoege (fusearret filterregels dy't allinich ferskille yn filtersets), it BGP MPLS VPN-konfiguraasjeproses is feroare, stipe foar IPv6 BGP MPLS VPN is tafoege , en "as-override" funksjonaliteit is ymplementearre om de buorman AS te ferfangen nei lokale AS yn paden, tafoege de mooglikheid om te passen mei ferskate mienskippen yn ien regel, tafoege nije oerienkommende funksjes "*", "local-as" en "buorman" -as", ferbettere wurk mei grutte sets regels, nije kommando's tafoege foar it wurkjen mei groepen oanbuorjende autonome systemen ("bgpctl buorgroep", "bgpctl buorgroep sjen litte", "bgpctl buorgroep sjen litte"), de mooglikheid om netwurken ta te foegjen oan de BGP VPN-tabellen is tafoege oan bgpctl. Foar it earst is in draachbere ferzje fan OpenBGPD-portable taret, klear om te wurkjen op oare systemen dan OpenBSD;
  • Opsje tafoege kubsan om gefallen fan ûndefinieare gedrach yn 'e OpenBSD-kearn te detektearjen.
  • It tcpdump-hulpprogramma elimineert it gebrûk fan root-privileges folslein;
  • Ferbettere malloc-prestaasjes yn multi-threaded applikaasjes;
  • De earste ferzje fan it programma is tafoege oan de gearstalling OpenRSYNC mei in eigen ymplemintaasje fan it rsync-bestânsyngronisaasjeprogramma;
  • De ferzje fan de OpenSMTPD-posttsjinner is bywurke, wêryn in nij fergelikingskriterium "fan rdns" is tafoege oan smtpd.conf, wêrtroch jo sesjes kinne selektearje op basis fan reverse DNS-resolúsje (bepale de hostnamme troch IP). By it sykjen yn tabellen is de mooglikheid om reguliere útdrukkingen te brûken tafoege;
  • It OpenSSH 8.0-pakket is bywurke, in detaillearre oersjoch fan de ferbetterings is te finen hjir;
  • It LibreSSL-pakket is bywurke, in detaillearre oersjoch fan de ferbetterings is te finen yn 'e release-oankundigingen 2.9.0 и 2.9.1;
  • Mandoc hat gâns ferbettere HTML-útfier, ferbettere tabel rendering, en tafoege in "-O" flagge te iepenjen in side mei de definysje fan de opjûne term;
  • De mooglikheden fan 'e Xenocara-grafykstapel binne útwreide: de X-tsjinner fereasket gjin ynstallaasje mear mei de setuid-flagge om te rinnen. De radeonsi Mesa-bestjoerder omfettet stipe foar hardware-fersnelling foar de Súdlike Eilannen (Radeon HD 7000) en See-eilannen (Radeon HD 8000) GPU's;
  • C ++ havens foar arsjitektuer net stipe troch Clang wurde no kompilearre mei GCC út havens. It oantal havens foar de AMD64-arsjitektuer wie 10602, foar aarch64 - 9654, foar i386 - 10535. Fan 'e applikaasjes dy't yn' e havens lizze, wurde de folgjende opmurken:
    • Asterisk 16.2.1
    • Audacity 2.3.1
    • CMake 3.10.2
    • Chromium 73.0.3683.86
    • ffmpeg 4.1.3
    • GCC 4.9.4 en 8.3.0
    • GNOME 3.30.2.1
    • Gean 1.12.1
    • JDK 8u202 en 11.0.2+9-3
    • LLVM/Clang 7.0.1
    • LibreOffice 6.2.2.2
    • Lua 5.1.5, 5.2.4 en 5.3.5
    • MariaDB 10.0.38
    • Monkey 5.18.1.0
    • Mozilla Firefox 66.0.2 en ESR 60.6.1
    • Mozilla Thunderbird 60.6.1
    • Node.js 10.15.0
    • OpenLDAP 2.3.43 en 2.4.47
    • PHP 7.1.28, 7.2.17 en 7.3.4
    • Postfix 3.3.3 en 3.4.20190106
    • PostgreSQL 11.2
    • Python 2.7.16 en 3.6.8
    • R 3.5.3
    • Ruby 2.4.6, 2.5.5 en 2.6.2
    • Roest 1.33.0
    • Ferstjoere 8.16.0.41
    • SQLite3 3.27.2
    • Meerkat 4.1.3
    • Tcl/Tk 8.5.19 en 8.6.8
    • TeX Live 2018
    • Vim 8.1.1048 en Neovim 0.3.4
    • Xfce 4.12
  • Komponinten fan tredden opnommen mei OpenBSD 6.5:
    • Xenocara graphics stack basearre op X.Org tsjinner 1.19.7 mei patches, freetype 2.9.1, fontconfig 2.12.4, Mesa 18.3.5, xterm 344, xkeyboard-config 2.20;
    • LLVM/Clang 7.0.1 (mei patches)
    • GCC 4.2.1 (mei patches) en 3.3.6 (mei patches)
    • Perl 5.28.1 (mei patches)
    • NSD 4.1.27
    • Unbûn 1.9.1
    • Ncurses 5.7
    • Binutils 2.17 (mei patches)
    • Gdb 6.3 (mei patches)
    • 10 aug 2011
    • Expat 2.2.6

Boarne: opennet.ru

Add a comment