ProHoster > Blog > noticias de internet > Lanzamento de OpenBSD 6.5

Lanzamento de OpenBSD 6.5

Viu a luz liberación dun sistema operativo libre e multiplataforma tipo UNIX OpenBSD 6.5. O proxecto OpenBSD foi fundado por Theo de Raadt en 1995, despois conflito cos desenvolvedores de NetBSD, como resultado do cal a Teo se lle negou o acceso ao repositorio CVS de NetBSD. Despois diso, Theo de Raadt e un grupo de persoas afíns crearon un novo sistema operativo aberto baseado na árbore de fontes de NetBSD, cuxos principais obxectivos eran a portabilidade (apoiado por 13 plataformas hardware), normalización, correcto funcionamento, seguridade activa e ferramentas criptográficas integradas. Tamaño de instalación total Imaxe ISO O sistema base OpenBSD 6.5 ten 407 MB.

Ademais do propio sistema operativo, o proxecto OpenBSD é coñecido polos seus compoñentes, que se difundiron noutros sistemas e demostraron ser unha das solucións máis seguras e de alta calidade. Entre eles: FreeSSL (garfo OpenSSL), OpenSSH, filtro de paquetes PF, demos de enrutamento OpenBGPD e OpenOSPFD, servidor NTP OpenNTPD, servidor de correo OpenSMTPD, multiplexor de terminal de texto (semellante á pantalla GNU) tmux, demo identd cunha implementación do protocolo IDENT, unha alternativa BSDL ao paquete GNU groff - mandoc, protocolo para organizar sistemas tolerantes a fallos CARP (Common Address Redundancy Protocol), lixeiro servidor http, utilidade de sincronización de ficheiros OpenRSYNC.

Entre os cambios máis salientables: introduciuse unha versión portátil de bgpd, adaptada para funcionar noutros SO, eliminouse o uso de Xenocara e privilexios de root tcpdump, o enlazador LDD está habilitado por defecto para amd64 e i386, soporte MPLS. mellorouse significativamente e reforzouse a protección contra ataques con técnicas de retroceso.Engadiuse a programación orientada (ROP), o servidor DNS recursivo máis sinxelo desenrolar, integrouse un detector de comportamentos indefinidos no núcleo e a nosa propia implementación da utilidade rsync. introducido.

O principal melloras:

  • Cando se crea para arquitecturas amd64 e i386, úsase por defecto o enlazador LDD desenvolvido polo proxecto LLVM. Para a arquitectura mips64, engadiuse soporte para construír usando Clang;
  • Novos controladores pvclock para o temporizador KVM paravirtualizado e ixl para Intel Ethernet 700. O controlador uaudio foi substituído por unha nova implementación con soporte para USB Audio 2.0.
  • Mellorouse o rendemento dos controladores de dispositivos sen fíos bwfm, iwn, iwm e athn. Engadiuse soporte para mensaxes RTM_80211INFO á pila sen fíos para transmitir información detallada do estado da interface aos comandos dhclient e route. O comportamento silencioso ao conectarse a redes sen fíos cambiou: se tes unha lista de conexión automática configurada, OpenBSD xa non se conecta a redes abertas descoñecidas (para devolver o comportamento anterior, podes engadir unha rede baleira á lista);
  • A pila de rede introduce novos controladores de pseudodispositivos bpe (Backbone Provider Edge) e mpip (MPLS IP capa 2). Engadiuse soporte para configurar dominios de enrutamento alternativos para interfaces MPLS. O controlador vlan habilitouse para evitar o procesamento da fila e a saída directamente á interface de rede principal. Engadiuse o modo txprio a ifconfig para controlar a codificación prioritaria nas cabeceiras dos paquetes tunelizados (compatible con controladores vlan, gre, gif e etherip);
  • Na implementación do filtro bpf, fíxose posible utilizar o mecanismo de caída sen capturar paquetes. Esta característica úsase en tcpdump para filtrar na fase inicial dun paquete que recibe un dispositivo;
  • O instalador ofrece soporte rdsetroot para engadir unha imaxe de disco ao RAMDISK do núcleo. Asegurouse a eliminación dalgúns compoñentes de versións antigas durante o proceso de actualización do sistema;
  • Chamada do sistema mellorada abre, que proporciona illamento de acceso ao sistema de ficheiros. A nova versión engade a detección de coincidencias relativas ao directorio de traballo do proceso actual ao analizar camiños relativos. Prohíbese o uso de stat e acceso para compoñentes de rutas de ficheiro restrinxidas. Para as aplicacións ospfd, ospf6d, rebound, getconf, kvm_mkdb, bdftopcf, Xserver, passwd, spamlogd, spamd, sensorsd, snmpd, htpasswd e ifstated, está implementada a protección mediante unveil;
  • Clang mellorou ferramentas para bloquear o uso de técnicas de programación orientada a retorno (ROP), o que reduciu significativamente o número de gadgets polimórficos que se atopan nos ficheiros executables resultantes para as arquitecturas i386 e amd64;
  • Clang mellorou o rendemento e a seguridade ao usar
    mecanismo de protección RETGUARDA, destinado a complicar a execución de exploits construídos mediante o préstamo de pezas de código e técnicas de programación orientadas ao retorno. Para acelerar o funcionamento, os datos colócanse nos rexistros en lugar da pila sempre que sexa posible, e a caché do procesador úsase de forma máis eficiente ao regresar. RETGUARD tamén se usa agora en lugar da protección de pila tradicional nos sistemas amd64 e arm64;

  • Melloráronse as utilidades relacionadas coa pila de rede: engadiuse a compatibilidade para filtrar paquetes MPLS a pcap-filter. A capacidade de configurar as prioridades de enrutamento engadiuse a ospfd, ospf6d e ripd. EN
    ripd engadiu protección baseada en mecanismos penhor. Engadíronse os modos sff e sffdump a ifconfig para obter información de diagnóstico dos transmisores ópticos;

  • Presentouse a primeira versión do novo resolver relaxarse, que procesa consultas DNS recursivas e só acepta conexións na interface 127.0.0.1.
    Unwind está deseñado para o seu uso en sistemas cliente, como portátiles, que se desprazan entre diferentes redes sen fíos. Se detecta o bloqueo do tráfico DNS na rede local, desenrola cambia a usar o enderezo do servidor DNS recursivo transferido a través de DHCP, pero continúa intentando resolver periódicamente de forma independente e, en canto comezan a pasar as solicitudes directas, volve ao acceso independente. servidores DNS;

  • En bgpd traballouse para reducir o consumo de memoria, engadiuse un sinxelo optimizador de regras (combina regras de filtrado que só se diferencian nos conxuntos de filtros), cambiouse o proceso de configuración da VPN BGP MPLS, engadiuse soporte para IPv6 BGP MPLS VPN , e implementouse a funcionalidade "as-override" para substituír o AS veciño ao AS local nas rutas, engadiu a posibilidade de coincidir con varias comunidades nunha soa regra, engadiu novas funcións de coincidencia "*", "local-as" e "veciño". -as", mellorou o traballo con grandes conxuntos de regras, engadiu novos comandos para traballar con grupos de sistemas autónomos veciños ("bgpctl group neighbor", "bgpctl show neighbor group", "bgpctl show rib neighbor group"), a capacidade de engadir redes ás táboas VPN BGP engadiuse a bgpctl. Por primeira vez, preparouse unha versión portátil de OpenBGPD-portable, lista para funcionar en sistemas distintos de OpenBSD;
  • Opción engadida kubsan para detectar casos de comportamento indefinido no núcleo de OpenBSD.
  • A utilidade tcpdump elimina completamente o uso de privilexios de root;
  • Melloro do rendemento de malloc en aplicacións multiproceso;
  • A versión inicial do programa engadiuse á composición OpenRSYNC coa súa propia implementación da utilidade de sincronización de ficheiros rsync;
  • Actualizouse a versión do servidor de correo OpenSMTPD, na que se engadiu a smtpd.conf un novo criterio de comparación “de rdns”, que permite seleccionar sesións en función da resolución DNS inversa (determinando o nome do host por IP). Ao buscar en táboas, engadiuse a posibilidade de usar expresións regulares;
  • Actualizouse o paquete OpenSSH 8.0, pódese atopar unha visión xeral detallada das melloras aquí;
  • O paquete LibreSSL foi actualizado, pódese atopar unha visión xeral detallada das melloras nos anuncios de lanzamento 2.9.0 и 2.9.1;
  • Mandoc mellorou significativamente a saída HTML, mellorou a representación da táboa e engadiu unha marca "-O" para abrir unha páxina coa definición do termo especificado;
  • Ampliáronse as capacidades da pila de gráficos Xenocara: o servidor X xa non precisa instalación coa marca setuid para executarse. O controlador radeonsi Mesa inclúe soporte para a aceleración de hardware para as GPU Southern Islands (Radeon HD 7000) e Sea Islands (Radeon HD 8000);
  • Os portos C++ para arquitecturas non soportadas por Clang agora compílanse usando GCC desde portos. O número de portos para a arquitectura AMD64 foi 10602, para aarch64 - 9654, para i386 - 10535. Das aplicacións localizadas nos portos, nótanse as seguintes:
    • Asterisco 16.2.1
    • Audacity 2.3.1
    • CMake 3.10.2
    • Chromium 73.0.3683.86
    • ffmpeg 4.1.3
    • GCC 4.9.4 e 8.3.0
    • GNOME 3.30.2.1
    • Vaia 1.12.1
    • JDK 8u202 e 11.0.2+9-3
    • LLVM/Clang 7.0.1
    • LibreOffice 6.2.2.2
    • Lua 5.1.5, 5.2.4 e 5.3.5
    • MariaDB 10.0.38
    • Mono 5.18.1.0
    • Mozilla Firefox 66.0.2 e ESR 60.6.1
    • Mozilla Thunderbird 60.6.1
    • Nodo.js 10.15.0
    • OpenLDAP 2.3.43 e 2.4.47
    • PHP 7.1.28, 7.2.17 e 7.3.4
    • Postfix 3.3.3 e 3.4.20190106
    • PostgreSQL 11.2
    • Python 2.7.16 e 3.6.8
    • R 3.5.3
    • Ruby 2.4.6, 2.5.5 e 2.6.2
    • Ferruxe 1.33.0
    • Sendmail 8.16.0.41
    • SQLite3 3.27.2
    • Meerkat 4.1.3
    • Tcl/Tk 8.5.19 e 8.6.8
    • TeX Live 2018
    • Vim 8.1.1048 e Neovim 0.3.4
    • Xfce 4.12
  • Compoñentes de terceiros incluídos con OpenBSD 6.5:
    • Pila de gráficos Xenocara baseada no servidor X.Org 1.19.7 con parches, freetype 2.9.1, fontconfig 2.12.4, Mesa 18.3.5, xterm 344, xkeyboard-config 2.20;
    • LLVM/Clang 7.0.1 (con parches)
    • GCC 4.2.1 (con parches) e 3.3.6 (con parches)
    • Perl 5.28.1 (con parches)
    • NSD 4.1.27
    • Sen consolidar 1.9.1
    • Ncurses 5.7
    • Binutils 2.17 (con parches)
    • Gdb 6.3 (con parches)
    • Awk 10 de agosto de 2011
    • Expat 2.2.6

Fonte: opennet.ru

Engadir un comentario