выпуск свободной кросс-платформенной UNIX-подобной операционной системы . Pwojè OpenBSD te fonde pa Theo de Raadt an 1995 apre ak devlopè NetBSD yo, kòm rezilta yo te refize Teo aksè nan depo NetBSD CVS la. Apre sa, Theo de Raadt ak yon gwoup moun ki gen lide menm te kreye yon nouvo sistèm opere louvri ki baze sou pyebwa sous NetBSD, objektif prensipal yo te portabilite ( 12 platfòm pyès ki nan konpitè), normalisation, operasyon kòrèk, sekirite aktif ak zouti kriptografik entegre. Gwosè enstalasyon konplè базовой системы OpenBSD 6.7 составляет 470 МБ.
Anplis de sistèm operasyon an tèt li, pwojè OpenBSD se li te ye pou eleman li yo, ki te vin gaye toupatou nan lòt sistèm epi yo te pwouve tèt yo yo dwe youn nan solisyon ki pi an sekirite ak bon jan kalite. Pami yo: ( OpenSSL), , filtre pake , routage demon yo , NTP sèvè , sèvè lapòs , multiplexeur tèminal tèks (menm jan ak ekran GNU) , demon ak yon aplikasyon pwotokòl IDENT, yon altènatif BSDL pou pakè GNU groff - , pwotokòl pou òganize sistèm toleran fay CARP (Common Address Redundancy Protocol), ki lejè , sèvis piblik senkronizasyon dosye .
Prensipal la :
- Файловая система FFS2, в которой используются 64-разрядные значения времени и числа блоков, по умолчанию задействована в новых установках почти для всех поддерживаемых архитектур вместо FFS (за исключением landisk, luna88k и sgi).
- Добавлен новый метод проверки допустимости обращения к системным вызовам, дополнительно усложняющего эксплуатацию уязвимостей. Метод допускает выполнение системных вызовов, только если к ним обращаются из предварительно зарегистрированных областей памяти. Для пометки областей памяти и активации защиты предложен новый системный вызов msyscall().
- С 7 до 15 увеличено число разделов, которые можно создать на одном диске.
- Код разбора опций в cron переписан для поддержки getopt-подобных возможностей, таких как «-ns» и повторное указание одних и тех же флагов. Поле «options» в crontab переименовано в «flags». В crontab добавлен флаг «-s», при котором только один экземпляр задания может быть запущен одновременно. Добавлен оператор «~» для указания случайного значения времени.
- В оконном менеджере cwm реализована возможность определения размера окна в процентном соотношении от размера первичного окна при мозаичной компоновке.
- Для архитектуры powerpc осуществлён переход по умолчанию на использование Clang и задействована независимая от архитектуры реализация mplock.
- В apmd улучшена поддержка автоматического перехода в ждущий и спящий режимы (-z/-Z) — демон теперь реагирует на сообщения об изменении заряда аккумулятора, отправляемые драйвером контроля питания. Переход в сон происходит с задержкой в 60 секунд, что даёт пользователю время взять управление в свои руки.
- Во встроенный HTTP-сервер добавлена переменная конфигурации $REQUEST_SCHEME для сохранения исходного протокола (http или https) при перенаправлении, а также опция «strip», позволяющая использовать несколько chroot в /var/www для серверов FastCGI.
- В утилите top появилась поддержка прокрутки при помощи клавиш 9 и 0.
- Представлен механизм освобождения страниц памяти в обратном порядке, значительно повышающий эффективность активного освобождения большого числа страниц.
- В DNS-сервере unbound по умолчанию включена проверка DNSSEC.
- Избавлены от глобальной блокировки системные вызовы
__thrsleep(2), __thrwakeup(2), close(2), closefrom(2), dup(2), dup2(2), dup3(2), flock(2), fcntl(2), kqueue(2), pipe(2), pipe2(2) и nanosleep(2), а также базовая часть ioctl(2). - Расширена поддержка оборудования. Добавлен новый драйвер iwx для беспроводных чипов Intel AX200, а в драйвере iwm добавлена поддержка устройств Intel 9260 и 9560. Добавлен драйвер rge для Realtek 8125 PCI Express 2.5Gb. Предложено много новых драйверов для улучшения работы на платах arm64 и armv7, в том числе добавлена поддержка платы Raspberry Pi 4 и улучшена поддержка Raspberry Pi 2 и 3.
- Расширена звуковая подсистема sndio. Добавлены API sioctl_open и утилита sndioctl для управления звуком через sndiod. Удалён /dev/mixer, вместо которого все порты переведены на sndio вместо интерфейса mixer ядра. В sndiod обеспечено использование аппаратных механизмов управления громкостью. Для усиления безопасность запрещён доступ обычных пользователей к /dev/audio* и /dev/rmidi*.
- В беспроводном стеке прекращено подключение к любой доступной Wi-Fi сети, не поддерживающей шифрование, за исключением явного вызова команды «ifconfig join». Обеспечен запуск фонового сканирования доступных сетей при выполнении команды «ifconfig scan» пользователем root. Увеличен кэш результатов сканирования. Добавлен устанавливаемый через ifconfig флаг «nwflag nomimo», помогающий избавиться от потери пакетов в режиме 11n при наличии в устройстве неподключенных разъёмов для антенн. Для драйвера bwfm добавлена поддержка режима активного сканирования. Улучшено автоматическое переключение между беспроводными сетями через понижение приоритета для сетей, к которым не удалось подключиться.
- В сетевом стеке появился новый драйвер pppac, в который вынесена реализация интерфейса PPP Access Concentrator. Настройки npppd.conf переведены на использование pppac вместо tun. При отключённом перенаправлении пакетов добавлена проверка соответствия адреса назначения в пакете с адресом сетевого интерфейса. Удалена поддержка mobileip.
- Пользователям без прав root запрещено использование ioctl для изменения адреса сетевого интерфейса и изменения параметров интерфейсов pppoe.
- В sysupgrade обеспечен запуск обновления прошивок (fw_update) до перезагрузки перед обновлением.
- Усовершенствован системный вызов unveil, который обеспечивает изоляцию доступа к файловой системе. Число приложений из базовой системы, для которых реализована защита с использованием unveil, доведено до 82. В том числе на unveil переведены vmstat, iostat и systat.
- В crypto(3) добавлена поддержка RSA-PSS.
- В DNS резолвер unwind добавлена поддержка DoT (DNS over TLS). Добавлена команда «unwindctl status memory».
- Значительно модернизирована реализация ipsec. Добавлена поддержка автоматического перемещения трафика между rdomain при шифровании и расшифровке для защиты от атак по сторонним каналам. В iked добавлена поддержка изменения rdomain, а в iked.conf добавлена опция ‘rdomain’
Для iked и isakmpd по умолчанию выставлен уровень IPSEC_LEVEL_REQUIRE, запрещающий обработку незашифрованных пакетов, соответствующих потоку. В настройки группы Diffie-Hellman для IKE SA добавлены алгоритмы curve25519, ecp256, ecp384, ecp521, modp3072 и modp4096. В iked метод аутентификации по умолчанию изменён на аутентификацию по цифровой подписи (RFC 7427). Добавлены настройки ESN в iked.conf. Добавлена опция «-p» для выбора нестандартного номера UDP-порта. - Расширены возможности мультиплексора терминалов tmux, добавлено много новых опций.
- Обновлена версия почтового сервера OpenSMTPD. Во встроенных фильтрах реализовано ключевое слово «bypass» для пропуска обработки при заданных условиях. Разрешено использование в фильтрах имени пользователя текущего сеанса smtpd. В smtpd.conf в параметрах разрешено использование mail-from и rctp-to.
- Обновлён пакет OpenSSH 8.2, в котором появилась поддержка токенов двухфакторной аутентификации FIDO/U2F. Подробный обзор улучшений можно посмотреть .
- пакет LibreSSL, в котором доведена до готовности реализация TLS 1.3 на базе нового конечного автомата и подсистемы работы с записями. По умолчанию пока включена лишь клиентская часть TLS 1.3, серверную часть планируют активировать по умолчанию в одном из будущих выпусков. Список остальных изменений можно увидеть в анонсах выпусков и .
- Число портов для архитектуры AMD64 составило 11268, для aarch64 — 10848, для i386 — 10715. Обновлены компоненты от сторонних разработчиков, входящие в состав OpenBSD 6.7:
- Графический стек Xenocara на базе X.Org 7.7 with xserver 1.20.8 + патчи, freetype 2.10.1, fontconfig 2.12.4, Mesa 19.2.8, xterm 351, xkeyboard-config 2.20;
- LLVM/Clang 8.0.1 (ak plak)
- GCC 4.2.1 (ak plak) ak 3.3.6 (avèk plak)
- Perl 5.30.2 (ak plak)
- NSD 4.2.4
- Unbound 1.10.0
- Ncurses 5.7
- Binutils 2.17 (ak plak)
- Gdb 6.3 (ak plak)
- Awk от 20 декабря 2012 г.
- Ekspatriye 2.2.8
Sous: opennet.ru