ProHoster > Blog > internetes hírek > Az OpenBSD 6.7 kiadása

Az OpenBSD 6.7 kiadása

Által benyújtott ingyenes, többplatformos UNIX-szerű operációs rendszer kiadása OpenBSD 6.7. Az OpenBSD projektet Theo de Raadt alapította 1995-ben konfliktus a NetBSD fejlesztőivel, aminek következtében Teo-tól megtagadták a hozzáférést a NetBSD CVS tárolóhoz. Ezt követően Theo de Raadt hasonló gondolkodású emberek egy csoportjával létrehoztak egy új nyílt operációs rendszert a NetBSD forrásfáján alapulva, melynek fő célja a hordozhatóság volt (támogatta 12 hardverplatform), szabványosítás, helyes működés, aktív biztonság és integrált kriptográfiai eszközök. Teljes telepítési méret ISO kép Az OpenBSD 6.7 alaprendszere 470 MB.

Az OpenBSD projekt az operációs rendszeren kívül más rendszerekben is elterjedt összetevőiről ismert, és az egyik legbiztonságosabb és legminőségibb megoldásnak bizonyult. Közöttük: LibreSSL (Villa OpenSSL), OpenSSH, csomagszűrő PF, útválasztó démonok OpenBGPD és OpenOSPFD, NTP szerver OpenNTPD, levelezőszerver Nyissa meg azSMTPD-t, szöveges terminál multiplexer (hasonlóan a GNU képernyőhöz) tmux, démon identd az IDENT protokoll megvalósításával, amely a GNU groff csomag BSDL alternatívája - mandoc, protokoll a hibatűrő rendszerek szervezésére CARP (Common Address Redundancy Protocol), könnyű http szerver, fájlszinkronizáló segédprogram OpenRSYNC.

A főbb fejlesztések:

  • A 2 bites idő- és blokkértékeket használó FFS64 fájlrendszer alapértelmezés szerint engedélyezve van az új telepítésekben szinte minden támogatott architektúránál FFS helyett (kivéve a landisk, a luna88k és az sgi).
  • Új módszerrel bővült a rendszerhívások érvényességének ellenőrzése, ami tovább bonyolítja a sérülékenységek kihasználását. A módszer csak akkor teszi lehetővé a rendszerhívások végrehajtását, ha azokat a korábban regisztrált memóriaterületekről érik el. Új msyscall() rendszerhívást javasoltak a memóriaterületek megjelölésére és a védelem aktiválására.
  • Az egy lemezen létrehozható partíciók száma 7-ről 15-re nőtt.
  • A cron opció értelmező kódja át lett írva, hogy támogassa a getopt-szerű szolgáltatásokat, mint például az "-ns", és ugyanazon jelzők újra megadását. A crontab "beállítások" mezőjét átnevezték "flags"-ra. "-s" jelző hozzáadása a crontabhoz, így egyszerre csak egy feladat futtatható. "~" operátor hozzáadva egy véletlenszerű időérték megadásához.
  • A cwm ablakkezelő lehetővé teszi, hogy az ablakméretet az elsődleges ablak méretének százalékában határozza meg egy csempézett elrendezésben.
  • A powerpc architektúra alapértelmezés szerint a Clang használatára vált, és lehetővé tette az mplock architektúrától független megvalósítását.
  • Az apmd továbbfejlesztette az automatikus készenléti és hibernálási (-z/-Z) támogatást – a démon mostantól válaszol az akkumulátor töltöttség változásáról szóló üzenetekre, amelyeket az energiafigyelő illesztőprogram küldött. Az alvó üzemmódba való áttérés 60 másodperces késleltetéssel történik, ami időt ad a felhasználónak az irányítás átvételére.
  • $REQUEST_SCHEME konfigurációs változó hozzáadva a beépített HTTP-kiszolgálóhoz, hogy megőrizze az eredeti protokollt (http vagy https) az átirányításkor, valamint egy "strip" opció, amely lehetővé teszi több chroot használatát a /var/www könyvtárban a FastCGI szerverek számára.
  • A felső segédprogram mostantól támogatja a görgetést a 9 és 0 gombokkal.
  • Bevezetik a memóriaoldalak fordított sorrendben történő felszabadításának mechanizmusát, amely jelentősen növeli a nagyszámú oldal aktív felszabadításának hatékonyságát.
  • A kötetlen DNS-kiszolgálón alapértelmezés szerint engedélyezve van a DNSSEC-ellenőrzés.
  • A rendszerhívások mentesülnek a globális blokkolás alól
    __thrsleep(2), __thrwakeup(2), close(2), closefrom(2), dup(2), dup2(2), dup3(2), flock(2), fcntl(2), kqueue(2), pipe(2), pipe2(2) és nanosleep(2), valamint az ioctl(2) alapvető része.

  • Bővített hardver támogatás. Új iwx illesztőprogram került az Intel AX200 vezeték nélküli chipekhez, az iwm illesztőprogram pedig az Intel 9260 és 9560 eszközök támogatását.Az rge illesztőprogram került hozzáadásra a Realtek 8125 PCI Express 2.5 Gb-hez. Számos új illesztőprogramot javasoltak az arm64 és armv7 kártyák teljesítményének javítására, beleértve a Raspberry Pi 4 kártya hozzáadott támogatását és a Raspberry Pi 2 és 3 jobb támogatását.
  • Bővült a sndio hang alrendszer. Hozzáadott sioctl_open API és sndioctl segédprogram a hang sndiod-on keresztüli vezérléséhez. A /dev/mixer fájlt eltávolítottuk, és az összes portot sndio-ra kapcsoltuk a kernelkeverő felülete helyett. Az Sndiod hardveres hangerőszabályzó mechanizmusok használatát biztosítja. A biztonság fokozása érdekében a /dev/audio* és /dev/rmidi* rendszeres felhasználói hozzáférése tilos.
  • A vezeték nélküli verem leállítja a csatlakozást minden olyan elérhető Wi-Fi hálózathoz, amely nem támogatja a titkosítást, kivéve az "ifconfig join" parancs kifejezett meghívását. Biztosítja, hogy az elérhető hálózatok háttérben történő vizsgálata elinduljon, amikor a root felhasználó végrehajtja az „ifconfig scan” parancsot. A vizsgálati eredmények gyorsítótárát megnövelték. Hozzáadtuk az ifconfig segítségével beállított „nwflag nomimo” jelzőt, amely segít megszabadulni a csomagvesztéstől 11n módban, ha az eszköz nem csatlakoztatott antennacsatlakozókkal rendelkezik. Támogatás hozzáadva az aktív szkennelési módhoz a bwfm illesztőprogramhoz. Továbbfejlesztett automatikus váltás a vezeték nélküli hálózatok között, csökkentve azon hálózatok prioritását, amelyekhez nem lehetett csatlakozni.
  • Új pppac driver jelent meg a hálózati veremben, mely a PPP Access Concentrator interfész megvalósítását tartalmazza. Módosította az npppd.conf beállításait, hogy a pppac-ot használja a tun helyett. Ha a csomagátirányítás le van tiltva, egy ellenőrzést hozzáadott annak ellenőrzésére, hogy a csomagban lévő célcím megegyezik-e a hálózati interfész címével. Mobileip támogatás eltávolítva.
  • A nem root felhasználóknak tilos az ioctl használatával megváltoztatni a hálózati interfész címét és módosítani a pppoe interfészek paramétereit.
  • A sysupgrade biztosítja, hogy a firmware-frissítések (fw_update) elinduljanak a frissítés előtti újraindítás előtt.
  • A leleplező rendszerhívást továbbfejlesztették, hogy a fájlrendszerhez való hozzáférést elszigetelje. Az alaprendszerből származó alkalmazások száma, amelyekre a feltárás használatával valósult meg, 82-re nőtt. Beleértve a vmstat-ot, az iostat-ot és a feltárásra átvitt systat-ot.
  • RSA-PSS támogatással bővült a crypto(3).
  • DoT (DNS over TLS) támogatást adtunk az unwind DNS-feloldóhoz. Hozzáadott "unwindctl status memory" parancs.
  • Az ipsec megvalósítása jelentősen korszerűsödött. Hozzáadott támogatás a forgalom automatikus mozgatásához az rdomainek között a titkosítás és a visszafejtés során az oldalcsatornás támadások elleni védelem érdekében. Támogatás hozzáadva az rdomain megváltoztatásához az iked-re, és hozzáadva az 'rdomain' opciót az iked.conf-hoz
    Az iked és az isakmpd alapértelmezett szintje az IPSEC_LEVEL_REQUIRE, amely megakadályozza az áramlásnak megfelelő titkosítatlan csomagok feldolgozását. A curve25519, ecp256, ecp384, ecp521, modp3072 és modp4096 algoritmusok hozzáadásra kerültek az IKE SA Diffie-Hellman csoportbeállításaihoz. Az ikedben az alapértelmezett hitelesítési módszer digitális aláírás hitelesítésre (RFC 7427) módosult. ESN beállítások hozzáadva az iked.conf fájlhoz. "-p" opció hozzáadva a nem szabványos UDP-portszám kiválasztásához.

  • A tmux terminál multiplexer képességei kibővültek, és számos új opcióval bővült.
  • Az OpenSMTPD levelezőszerver verziója frissítve lett. A beépített szűrők a „bypass” kulcsszót alkalmazzák a feldolgozás kihagyására meghatározott feltételek mellett. Lehetővé teszi az aktuális smtpd munkamenet felhasználónevének használatát a szűrőkben. Az smtpd.conf fájlban a paraméterek lehetővé teszik a mail-from és az rctp-to használatát.
  • Az OpenSSH 8.2 csomagot frissítettük, hogy az tartalmazza a FIDO/U2F kétfaktoros hitelesítési tokenek támogatását. Részletes áttekintést láthat a fejlesztésekről itt.
  • Frissítve a LibreSSL csomag, melyben elkészült a TLS 1.3 implementációja egy új véges állapotú gépen és egy iratkezelési alrendszeren. Alapértelmezés szerint a TLS 1.3-nak egyelőre csak a kliens része van engedélyezve; a kiszolgálórészt a tervek szerint alapértelmezés szerint aktiválják egy jövőbeli kiadásban. Az egyéb változások listája a kiadási közleményekben tekinthető meg 3.1.0 и 3.1.1.
  • Az AMD64 architektúra portjainak száma 11268 volt, az aarch64-nél - 10848, az i386-nál - 10715. Frissültek az OpenBSD 6.7-ben szereplő, külső fejlesztőktől származó komponensek:
    • Xenocara grafikus verem X.Org 7.7 alapú xserver 1.20.8 + javításokkal, freetype 2.10.1, fontconfig 2.12.4, Mesa 19.2.8, xterm 351, xkeyboard-config 2.20;
    • LLVM/Clang 8.0.1 (javításokkal)
    • GCC 4.2.1 (javításokkal) és 3.3.6 (javításokkal)
    • Perl 5.30.2 (javításokkal)
    • NSD 4.2.4
    • Kötelezettség nélkül 1.10.0
    • Ncurs 5.7
    • Binutils 2.17 (javításokkal)
    • Gdb 6.3 (javításokkal)
    • Awk 20. december 2012
    • Expat 2.2.8

    Forrás: opennet.ru

Hozzászólás