rilascio di un sistema operativo gratuito e multipiattaforma simile a UNIX . Il progetto OpenBSD è stato fondato da Theo de Raadt nel 1995, dopo con gli sviluppatori NetBSD, a seguito del quale a Teo è stato negato l'accesso al repository CVS di NetBSD. Successivamente, Theo de Raadt e un gruppo di persone affini hanno creato un nuovo sistema operativo aperto basato sull'albero dei sorgenti NetBSD, i cui obiettivi principali erano la portabilità ( 13 piattaforme hardware), standardizzazione, corretto funzionamento, sicurezza attiva e strumenti crittografici integrati. Dimensioni di installazione complete Il sistema base OpenBSD 6.5 è 407 MB.
Oltre al sistema operativo stesso, il progetto OpenBSD è noto per i suoi componenti, che si sono diffusi in altri sistemi e si sono dimostrati una delle soluzioni più sicure e di alta qualità. Tra loro: ( OpenSSL), , filtro dei pacchetti , demoni di instradamento , server NTP , server email , multiplexer terminale di testo (simile allo schermo GNU) , demone con un'implementazione del protocollo IDENT, un'alternativa BSDL al pacchetto GNU groff - , protocollo per l'organizzazione di sistemi tolleranti agli errori CARP (Common Address Redundancy Protocol), leggero , utilità di sincronizzazione dei file .
Tra i cambiamenti più notevoli: è stata introdotta una versione portatile di bgpd, adattata per funzionare su altri sistemi operativi, è stato eliminato l'uso dei privilegi root di Xenocara e tcpdump, il linker LDD è abilitato di default per amd64 e i386, il supporto MPLS è stato notevolmente migliorata ed è stata rafforzata la protezione contro gli exploit con tecniche di backtracking, la programmazione orientata (ROP), è stato aggiunto il più semplice rimozione ricorsiva del server DNS, un rilevatore di comportamento indefinito è stato integrato nel kernel e la nostra implementazione dell'utilità rsync è stata migliorata stato introdotto.
Il principale :
- Quando si compila per architetture amd64 e i386, il linker LDD sviluppato dal progetto LLVM viene utilizzato per impostazione predefinita. Per l'architettura mips64 è stato aggiunto il supporto per la compilazione tramite Clang;
- Nuovi driver pvclock per il timer KVM paravirtualizzato e ixl per Intel Ethernet 700. Il driver uaudio è stato sostituito con una nuova implementazione con supporto per USB Audio 2.0.
- Prestazioni migliorate dei driver dei dispositivi wireless bwfm, iwn, iwm e athn. È stato aggiunto il supporto per i messaggi RTM_80211INFO allo stack wireless per trasmettere informazioni dettagliate sullo stato dell'interfaccia ai comandi dhclient e route. Il comportamento silenzioso durante la connessione alle reti wireless è stato modificato: se hai un elenco di connessione automatica configurato, OpenBSD non si connette più a reti aperte sconosciute (per ripristinare il comportamento precedente, puoi aggiungere una rete vuota all'elenco);
- Lo stack di rete introduce nuovi driver pseudo-dispositivo bpe (Backbone Provider Edge) e mpip (MPLS IP layer 2). Aggiunto supporto per la configurazione di domini di routing alternativi per le interfacce MPLS. Il driver vlan è stato abilitato per ignorare l'elaborazione della coda e inviarlo direttamente all'interfaccia di rete principale. Aggiunta la modalità txprio a ifconfig per controllare la codifica della priorità nelle intestazioni dei pacchetti tunnelizzati (supportato per driver vlan, gre, gif ed etherip);
- Nell'implementazione del filtro bpf è diventato possibile utilizzare il meccanismo di drop senza catturare i pacchetti. Questa funzionalità viene utilizzata in tcpdump per filtrare nella fase iniziale di un pacchetto ricevuto da un dispositivo;
- Il programma di installazione fornisce supporto per aggiungere un'immagine del disco al RAMDISK del kernel. È stata assicurata la rimozione di alcuni componenti delle vecchie release durante il processo di aggiornamento del sistema;
- Chiamata di sistema migliorata , che fornisce l'isolamento dell'accesso al file system. La nuova versione aggiunge il rilevamento delle corrispondenze relative alla directory di lavoro del processo corrente durante l'analisi dei percorsi relativi. È vietato l'uso di stat e access per componenti con percorso file limitato. Per le applicazioni ospfd, ospf6d, rebound, getconf, kvm_mkdb, bdftopcf, Xserver, passwd, spamlogd, spamd, sensorsd, snmpd, htpasswd e ifstated, è implementata la protezione tramite unveil;
- Clang ha migliorato gli strumenti per bloccare l'uso delle tecniche di programmazione orientata al ritorno (ROP), che ha ridotto significativamente il numero di gadget polimorfici trovati nei file eseguibili risultanti per le architetture i386 e amd64;
- Clang ha migliorato le prestazioni e la sicurezza durante l'utilizzo
meccanismo di protezione , volto a complicare l'esecuzione di exploit costruiti utilizzando pezzi di codice presi in prestito e tecniche di programmazione orientate al rendimento. Per velocizzare il funzionamento, i dati vengono inseriti nei registri anziché nello stack quando possibile e la cache del processore viene utilizzata in modo più efficiente durante la restituzione. RETGUARD è ora utilizzato anche al posto della tradizionale protezione dello stack sui sistemi amd64 e arm64; - Le utilità relative allo stack di rete sono state migliorate: il supporto per il filtraggio dei pacchetti MPLS è stato aggiunto a pcap-filter. La possibilità di configurare le priorità di routing è stata aggiunta a ospfd, ospf6d e ripd. IN
ripd ha aggiunto la protezione basata sul meccanismo . Aggiunte modalità sff e sffdump a ifconfig per ottenere informazioni diagnostiche dai trasmettitori ottici; - Presentata la prima versione del nuovo risolutore , che elabora query DNS ricorsive e accetta connessioni solo sull'interfaccia 127.0.0.1.
Unwind è progettato per l'uso su sistemi client, come i laptop, che si spostano tra diverse reti wireless. Se rileva un blocco del traffico DNS sulla rete locale, l'unwind passa all'utilizzo dell'indirizzo del server DNS ricorsivo trasferito tramite DHCP, ma continua a provare periodicamente a risolvere in modo indipendente e non appena le richieste dirette iniziano a passare, torna ad accedere in modo indipendente server DNS; - In bgpd è stato fatto del lavoro per ridurre il consumo di memoria, è stato aggiunto un semplice ottimizzatore di regole (unisce regole di filtraggio che differiscono solo nei set di filtri), è stato modificato il processo di configurazione della VPN BGP MPLS, è stato aggiunto il supporto per VPN BGP MPLS IPv6 , ed è stata implementata la funzionalità "as-override" per sostituire l'AS vicino con l'AS locale nei percorsi, aggiunta la possibilità di abbinare diverse comunità in un'unica regola, aggiunti nuovi attributi di corrispondenza "*", "local-as" e "neighbor -as”, migliorato il lavoro con ampi insiemi di regole, aggiunti nuovi comandi per lavorare con gruppi di sistemi autonomi vicini (“bgpctl neighbor group”, “bgpctl show neighbor group”, “bgpctl show rib neighbor group”), la possibilità di aggiungere reti alle tabelle VPN BGP è stato aggiunto a bgpctl. Per la prima volta è stata preparata una versione portatile di OpenBGPD-portable, pronta per funzionare su sistemi diversi da OpenBSD;
- Opzione aggiunta per rilevare casi di comportamento indefinito nel kernel OpenBSD.
- L'utilità tcpdump elimina completamente l'uso dei privilegi di root;
- Prestazioni malloc migliorate nelle applicazioni multi-thread;
- Alla composizione è stata aggiunta la versione iniziale del programma con la propria implementazione dell'utilità di sincronizzazione dei file rsync;
- È stata aggiornata la versione del server di posta OpenSMTPD, in cui è stato aggiunto a smtpd.conf un nuovo criterio di confronto “da rdns”, che consente di selezionare le sessioni in base alla risoluzione DNS inversa (determinando il nome host tramite IP). Durante la ricerca nelle tabelle è stata aggiunta la possibilità di utilizzare le espressioni regolari;
- Il pacchetto OpenSSH 8.0 è stato aggiornato, è possibile trovare una panoramica dettagliata dei miglioramenti ;
- Il pacchetto LibreSSL è stato aggiornato, una panoramica dettagliata dei miglioramenti è disponibile negli annunci di rilascio и ;
- Mandoc ha notevolmente migliorato l'output HTML, migliorato il rendering delle tabelle e aggiunto un flag "-O" per aprire una pagina con la definizione del termine specificato;
- Le capacità dello stack grafico Xenocara sono state ampliate: il server X non richiede più l'installazione con il flag setuid per funzionare. Il driver radeonsi Mesa include il supporto per l'accelerazione hardware per le GPU Southern Islands (Radeon HD 7000) e Sea Islands (Radeon HD 8000);
- I port C++ per architetture non supportate da Clang vengono ora compilati utilizzando GCC dai port. Il numero di porte per l'architettura AMD64 era 10602, per aarch64 - 9654, per i386 - 10535. Delle applicazioni situate nelle porte, si notano quanto segue:
- Asterisco 16.2.1
- Audacity 2.3.1
- CRendere 3.10.2
- Chromium 73.0.3683.86
- FFmpeg 4.1.3
- GCC 4.9.4 e 8.3.0
- GNOME 3.30.2.1
- Andare 1.12.1
- JDK 8u202 e 11.0.2+9-3
- LLVM/Clang 7.0.1
- LibreOffice 6.2.2.2
- Lua 5.1.5, 5.2.4 e 5.3.5
- Maria DB 10.0.38
- Scimmia 5.18.1.0
- Mozilla Firefox 66.0.2 e ESR 60.6.1
- Mozilla Thunderbird 60.6.1
- Nodo.js 10.15.0
- OpenLDAP 2.3.43 e 2.4.47
- PHP 7.1.28, 7.2.17 e 7.3.4
- Suffisso 3.3.3 e 3.4.20190106
- PostgreSQL 11.2
- Python 2.7.16 e 3.6.8
- R 3.5.3
- Ruby 2.4.6, 2.5.5 e 2.6.2
- Ruggine 1.33.0
- Invia posta 8.16.0.41
- SQLite3 3.27.2
- Meerkat 4.1.3
- Tcl/Tk 8.5.19 e 8.6.8
- TeX Live 2018
- Vim 8.1.1048 e Neovim 0.3.4
- Xfce 4.12
- Componenti di terze parti inclusi con OpenBSD 6.5:
- Stack grafico Xenocara basato sul server X.Org 1.19.7 con patch, freetype 2.9.1, fontconfig 2.12.4, Mesa 18.3.5, xterm 344, xkeyboard-config 2.20;
- LLVM/Clang 7.0.1 (con patch)
- GCC 4.2.1 (con patch) e 3.3.6 (con patch)
- Perl 5.28.1 (con patch)
- NSD4.1.27
- Non legato 1.9.1
- Ncurses 5.7
- Binutils 2.17 (con patch)
- Gdb 6.3 (con patch)
- Awk, 10 agosto 2011
- Espatriato 2.2.6
Fonte: opennet.ru