ProHoster > blog > notizie internet > Rilascio di OpenBSD 6.7

Rilascio di OpenBSD 6.7

Introdotto rilascio di un sistema operativo multipiattaforma gratuito simile a UNIX OpenBSD6.7. Il progetto OpenBSD è stato fondato da Theo de Raadt nel 1995 dopo conflitto con gli sviluppatori NetBSD, a seguito del quale a Teo è stato negato l'accesso al repository CVS di NetBSD. Successivamente, Theo de Raadt e un gruppo di persone affini hanno creato un nuovo sistema operativo aperto basato sull'albero dei sorgenti NetBSD, i cui obiettivi principali erano la portabilità (supportato 12 piattaforme hardware), standardizzazione, corretto funzionamento, sicurezza attiva e strumenti crittografici integrati. Dimensioni di installazione complete immagine ISO Il sistema base OpenBSD 6.7 è 470 MB.

Oltre al sistema operativo stesso, il progetto OpenBSD è noto per i suoi componenti, che si sono diffusi in altri sistemi e si sono dimostrati una delle soluzioni più sicure e di alta qualità. Tra loro: LibreSSL (forchetta OpenSSL), OpenSSH, filtro dei pacchetti PF, demoni di instradamento OpenBGPD e OpenOSPFD, server NTP ApriNTPD, server email Apri SMTPD, multiplexer terminale di testo (simile allo schermo GNU) tmux, demone identificazione con un'implementazione del protocollo IDENT, un'alternativa BSDL al pacchetto GNU groff - mandoco, protocollo per l'organizzazione di sistemi tolleranti agli errori CARP (Common Address Redundancy Protocol), leggero server http, utilità di sincronizzazione dei file OpenRSYNC.

Il principale miglioramenti:

  • Il file system FFS2, che utilizza valori di tempo e blocco a 64 bit, è abilitato per impostazione predefinita nelle nuove installazioni per quasi tutte le architetture supportate invece di FFS (eccetto landisk, luna88k e sgi).
  • È stato aggiunto un nuovo metodo per verificare la validità delle chiamate di sistema, che complica ulteriormente lo sfruttamento delle vulnerabilità. Il metodo consente di eseguire chiamate di sistema solo se si accede ad esse da aree di memoria precedentemente registrate. È stata proposta una nuova chiamata di sistema msyscall() per marcare le aree di memoria e attivare la protezione.
  • Il numero di partizioni che possono essere create su un disco è stato aumentato da 7 a 15.
  • Il codice di analisi dell'opzione cron è stato riscritto per supportare funzionalità simili a getopt come "-ns" e specificare nuovamente gli stessi flag. Il campo "opzioni" in crontab è stato rinominato "flag". Aggiunto un flag "-s" a crontab in modo che sia possibile eseguire solo un'istanza di un lavoro alla volta. Aggiunto l'operatore "~" per specificare un valore temporale casuale.
  • Il window manager cwm implementa la capacità di determinare la dimensione della finestra come percentuale della dimensione della finestra primaria in un layout affiancato.
  • L'architettura powerpc è passata all'utilizzo di Clang per impostazione predefinita e ha consentito un'implementazione di mplock indipendente dall'architettura.
  • apmd ha migliorato il supporto per lo standby automatico e l'ibernazione (-z/-Z): il demone ora risponde ai messaggi di modifica della carica della batteria inviati dal driver di monitoraggio dell'alimentazione. Il passaggio alla modalità di sospensione avviene con un ritardo di 60 secondi, che dà all'utente il tempo di prendere il controllo.
  • Aggiunta la variabile di configurazione $REQUEST_SCHEME al server HTTP integrato per preservare il protocollo originale (http o https) durante il reindirizzamento, nonché un'opzione "strip" per consentire più chroot in /var/www per i server FastCGI.
  • L'utilità principale ora supporta lo scorrimento utilizzando i tasti 9 e 0.
  • Viene introdotto un meccanismo per liberare le pagine di memoria in ordine inverso, che aumenta significativamente l'efficienza della liberazione attiva di un gran numero di pagine.
  • Per impostazione predefinita, il server DNS non associato ha il controllo DNSSEC abilitato.
  • Le chiamate di sistema sono liberate dal blocco globale
    __thrsleep(2), __thrwakeup(2), close(2), closefrom(2), dup(2), dup2(2), dup3(2), stormo(2), fcntl(2), kqueue(2), pipe(2), pipe2(2) e nanosleep(2), nonché la parte base di ioctl(2).

  • Supporto hardware esteso. È stato aggiunto un nuovo driver iwx per i chip wireless Intel AX200 e il driver iwm ha aggiunto il supporto per i dispositivi Intel 9260 e 9560. Il driver rge è stato aggiunto per Realtek 8125 PCI Express 2.5Gb. Sono stati proposti molti nuovi driver per migliorare le prestazioni sulle schede arm64 e armv7, incluso il supporto aggiuntivo per la scheda Raspberry Pi 4 e il supporto migliorato per Raspberry Pi 2 e 3.
  • Il sottosistema audio sndio è stato ampliato. Aggiunta l'API sioctl_open e l'utilità sndioctl per il controllo dell'audio tramite sndiod. /dev/mixer è stato rimosso e tutte le porte sono state commutate su sndio invece che sull'interfaccia del mixer del kernel. Sndiod prevede l'uso di meccanismi di controllo del volume hardware. Per migliorare la sicurezza, è vietato l'accesso utente regolare a /dev/audio* e /dev/rmidi*.
  • Lo stack wireless interrompe la connessione a qualsiasi rete Wi-Fi disponibile che non supporti la crittografia, tranne che chiamando esplicitamente il comando "ifconfig join". Garantisce che venga avviata una scansione in background delle reti disponibili quando il comando "ifconfig scan" viene eseguito dall'utente root. La cache dei risultati della scansione è stata aumentata. Aggiunto il flag "nwflag nomimo", impostato tramite ifconfig, che aiuta a eliminare la perdita di pacchetti in modalità 11n se il dispositivo ha connettori dell'antenna non collegati. Aggiunto il supporto per la modalità di scansione attiva per il driver bwfm. Miglioramento del passaggio automatico tra reti wireless riducendo la priorità per le reti a cui non è possibile connettersi.
  • Nello stack di rete è apparso un nuovo driver pppac, che include l'implementazione dell'interfaccia PPP Access Concentrator. Modificate le impostazioni di npppd.conf per utilizzare pppac invece di tun. Quando il reindirizzamento dei pacchetti è disabilitato, è stato aggiunto un controllo per verificare se l'indirizzo di destinazione nel pacchetto corrisponde all'indirizzo dell'interfaccia di rete. Supporto MobileIP rimosso.
  • Agli utenti non root è vietato utilizzare ioctl per modificare l'indirizzo dell'interfaccia di rete e modificare i parametri delle interfacce pppoe.
  • sysupgrade garantisce che gli aggiornamenti del firmware (fw_update) vengano avviati prima del riavvio prima dell'aggiornamento.
  • La chiamata di sistema Unveil è stata migliorata per fornire l'isolamento dell'accesso al file system. Il numero di applicazioni del sistema di base per le quali è implementata la protezione tramite unveil è stato aumentato a 82. Inclusi vmstat, iostat e systat trasferiti in unveil.
  • Il supporto RSA-PSS è stato aggiunto a crypto(3).
  • Il supporto DoT (DNS su TLS) è stato aggiunto al risolutore DNS di rimozione. Aggiunto il comando "unwindctl status memory".
  • L'implementazione di IPSec è stata notevolmente modernizzata. Aggiunto supporto per lo spostamento automatico del traffico tra domini durante la crittografia e la decrittografia per proteggersi dagli attacchi del canale laterale. Aggiunto il supporto per modificare rdomain in iked e aggiunta l'opzione 'rdomain' a iked.conf
    Il livello predefinito per iked e isakmpd è IPSEC_LEVEL_REQUIRE, che impedisce l'elaborazione di pacchetti non crittografati corrispondenti al flusso. Gli algoritmi curve25519, ecp256, ecp384, ecp521, modp3072 e modp4096 sono stati aggiunti alle impostazioni del gruppo Diffie-Hellman per IKE SA. Inoltre, il metodo di autenticazione predefinito è stato modificato in autenticazione con firma digitale (RFC 7427). Aggiunte le impostazioni ESN a iked.conf. Aggiunta l'opzione "-p" per selezionare un numero di porta UDP non standard.

  • Le capacità del multiplexer terminale tmux sono state ampliate e sono state aggiunte molte nuove opzioni.
  • La versione del server di posta OpenSMTPD è stata aggiornata. I filtri integrati implementano la parola chiave "bypass" per saltare l'elaborazione in condizioni specificate. Consente di utilizzare nei filtri il nome utente della sessione smtpd corrente. In smtpd.conf, i parametri consentono l'uso di mail-from e rctp-to.
  • Il pacchetto OpenSSH 8.2 è stato aggiornato per includere il supporto per i token di autenticazione a due fattori FIDO/U2F. È possibile visualizzare una panoramica dettagliata dei miglioramenti qui.
  • Aggiornato il pacchetto LibreSSL, in cui è stata completata l'implementazione di TLS 1.3 basata su una nuova macchina a stati finiti e un sottosistema per lavorare con i record. Per impostazione predefinita, per ora è abilitata solo la parte client di TLS 1.3; si prevede che la parte server venga attivata per impostazione predefinita in una versione futura. Un elenco di altre modifiche può essere visualizzato negli annunci di rilascio 3.1.0 и 3.1.1.
  • Il numero di porte per l'architettura AMD64 era 11268, per aarch64 - 10848, per i386 - 10715. I componenti di sviluppatori di terze parti inclusi in OpenBSD 6.7 sono stati aggiornati:
    • Stack grafico Xenocara basato su X.Org 7.7 con xserver 1.20.8 + patch, freetype 2.10.1, fontconfig 2.12.4, Mesa 19.2.8, xterm 351, xkeyboard-config 2.20;
    • LLVM/Clang 8.0.1 (con patch)
    • GCC 4.2.1 (con patch) e 3.3.6 (con patch)
    • Perl 5.30.2 (con patch)
    • NSD4.2.4
    • Non legato 1.10.0
    • Ncurses 5.7
    • Binutils 2.17 (con patch)
    • Gdb 6.3 (con patch)
    • Awk, 20 dicembre 2012
    • Espatriato 2.2.8

    Fonte: opennet.ru

Aggiungi un commento