2019 年第 XNUMX 四半期の FreeBSD 進捗レポート

公開済み 2019 年 XNUMX 月から XNUMX 月までの FreeBSD プロジェクトの開発に関するレポート。 変更点の中には次のようなものがあります。

• 一般的およびシステム的な問題
  • コア チームは、追加の特許契約 (BSD+特許) ただし、このライセンスに基づいてシステムに各コンポーネントを含めるかどうかの決定は、個別に承認される必要があります。
  • 集中型ソース管理システム Subversion から分散型システム Git へのソース コードの移行を実行するために設立されたワーキング グループの最初の会議が開催されました。 移行の実現可能性についての議論はまだ進行中であり、多くの問題についてはまだ決定が下されていません (たとえば、 contrib/ をどうするか、現在の git リポジトリでハッシュを再生成する必要があるかどうか、テストを実装する最適な方法など)コミット数);
  • NetBSD から 移植された KCSAN (Kernel Concurrency Sanitizer) ツールキット。異なる CPU で実行されているカーネル スレッド間の競合状態を検出できます。
  • GNU binutils アセンブラの代わりに Clang の組み込みアセンブラ (IAS) を使用する作業が進行中です。
  • Linux 環境エミュレーション インフラストラクチャ (Linuxulator) は、ARM64 アーキテクチャで動作するように適合されています。 「renameat2」システムコールを実装しました。 strace ユーティリティは、Linuxulator で実行されている Linux 実行可能ファイルの問題を診断できるように改良されました。 実行可能ファイルを新しい glibc にリンクするときにクラッシュする問題は解決されました。 Linuxulator の Linux コンポーネントを含むポートが CentOS 7.7 に更新されました。
  • Google Summer of Code プログラムの一環として、学生は 4 つのプロジェクトを無事完了しました。統合 (IPv6/IPvXNUMX) ping ユーティリティの実装が準備され、ファイアウォールをテストしてカーネル内のエラーを特定するためのツール (カーネル サニタイザー) が開発されました。モジュールが提案され、仮想メモリ圧縮用のコードが作成され、ポート構築プロセスをローカル インストールから分離する作業が行われました。
  • このシステムを使用した FreeBSD カーネルのファジングテストのプロジェクトは開発を続けています シスカラー。 レポート期間中に、syzkaller を使用して XNUMX 件を超えるエラーが特定され、削除されました。 bhyve に基づく仮想マシンで syzkaller を実行するには、別のサーバーが専用であり、
    syzbot は、Google インフラストラクチャ内のさまざまな FreeBSD サブシステムのテストを確立しました。 すべてのクラッシュに関する情報の backtrace.io サービスへの転送を整理し、グループ化と分析を簡素化しました。

  • zlib 実装をカーネル レベルで更新する作業が進行中です。
    圧縮関連のコードは、1.0.4 年以上前にリリースされた zlib 20 から現在の zlib 1.2.11 コードベースに移行されました。 zlib へのアクセスを統合するために、関数 compress、compress2、および uncompress がカーネルに追加されました。 netgraph サブシステムからの PPP プロトコルの動作を保証するコードは、このライブラリの独自のエディションではなく、zlib のシステム実装を使用するように転送されました。 kern_ctf.c、opencryptodeflate、geom_uzip、subr_compressor のサブシステムも新しい zlib に転送されました。
    if_mxge、bxe 更新、および ng_deflate;

  • 新しいカーネルインターフェースが開発中です sysctlinfoを使用すると、MIB (管理情報ベース) の形式で処理された sysctl パラメータ データベース内の要素を検索し、オブジェクトに関する情報をユーザー空間に転送できます。
• セキュリティ
  • カーネルモジュールを開発 mac_ipacl、TrustedBSD MAC フレームワークに基づいており、jail 環境のネットワーク スタック設定のためのアクセス制御システムを実装しています。 たとえば、ホスト システム管理者は、mac_ipacl を使用して、jail 環境の root ユーザーが特定のネットワーク インターフェイスの IP アドレスやサブネット設定を変更または設定できないようにすることができます。 提案された強制的なアクセス制御システム 許可する Jail に許可される IP アドレスとサブネットのリストを設定し、Jail への特定の IP とサブネットのインストールを禁止するか、特定のネットワーク インターフェイスのみのパラメーターの変更を制限します。
  • インテルはソフトウェア スタック ポートをプロジェクトに寄付しました TPM 2.0 (トラステッド プラットフォーム モジュール) セキュア コンピューティング チップとインターフェイスします。通常、ファームウェアと OS ブートローダーの検証されたロードに使用されます。 スタック コンポーネントは、ポート security/tpm2-tss、security/tpm2-tools、および security/tpm2-abrmd の形式で表示されます。 tpm2-tss ポートには、TPM2 API を使用するためのライブラリが含まれており、tpm2-tools には、TPM 操作を実行するためのコマンド ライン ユーティリティが提供され、tpm2-abrmd には、さまざまな TPM ユーザーからの要求を多重化する TPM アクセス ブローカーおよびリソース マネージャー コンポーネントのバックグラウンド プロセス実装が含まれています。単一のデバイスに。 FreeBSD での検証済みブートに加えて、TPM を使用すると、別のチップで暗号化操作を実行することにより、Strongswan IPsec、SSH、および TLS のセキュリティを強化できます。
  • amd64 アーキテクチャのカーネルは、W^X (書き込み XOR 実行) 保護技術を使用してブートするように適合されています。これは、書き込みと実行のためにメモリ ページに同時にアクセスできないことを意味します (カーネルは、書き込みが可能な実行可能メモリ ページを使用してロードできるようになりました)禁止されています）。 新しいカーネル保護メソッドは HEAD ブランチに含まれており、FreeBSD 13.0 および 12.2 リリースに含まれる予定です。
  • mmap および mprotect システムコールの場合 実装された マクロ PROT_MAX() を使用すると、さらなる変更が許可されるアクセス制限フラグのセット (PROT_READ、PROT_WRITE、PROT_EXEC) を決定できます。 PROT_MAX() を使用すると、開発者は、実行可能カテゴリへのメモリ領域の転送を禁止したり、実行は許可しないが後で実行可能に変換できるメモリを要求したりできます。 たとえば、メモリ領域は、動的バインディングまたは JIT コード生成の間のみ書き込み用に開かれている可能性がありますが、書き込みが完了すると、読み取りと実行のみに制限され、将来的に侵害された場合、攻撃者はその領域をアクセスできなくなります。そのメモリ ブロックへの書き込みを有効にすることはできません。 PROT_MAX() に加えて、sysctl vm.imply_prot_max も実装されており、これがアクティブ化されると、mmap への最初の呼び出しの初期パラメーターに基づいて有効なフラグのセットが決定されます。
  • 脆弱性の悪用に対する保護を強化するために、アドレス空間ランダム化技術 (ASLR) に加えて、初期スタック フレームと、環境、プログラム起動パラメータ、およびデータに関する情報を含むスタック上に配置された構造体をアドレス指定するポインタのオフセットをランダム化するメカニズムが追加されます。 ELF 形式の実行可能イメージ用が提案されています。
  • libc から安全でない取得関数を削除し (C11 標準以降、この関数は仕様から除外されました)、この関数をまだ使用しているポートを修正する作業が行われました。 この変更は FreeBSD 13.0 で提供される予定です。
  • フレームワークに基づいて刑務所環境を調整するツールを作成するための実験プロジェクトが開始されました 缶 Docker と同様に実装されたイメージの作成とエクスポート用、およびドライバー 遊牧民、jail環境でアプリケーションを動的に起動するためのインターフェースを提供します。 提案されたモデルでは、jail 環境の作成とその環境へのアプリケーションのデプロイのプロセスを分離できます。 プロジェクトの目標の XNUMX つは、jail を Docker スタイルのコンテナとして操作する手段を提供することです。
• ストレージとファイル システム
  • NetBSD から "makefs" ユーティリティへ 移動しました FAT ファイル システムのサポート (msdosfs)。 準備された変更により、md ドライバーや root 権限を使用せずに FAT を使用して FS イメージを作成できるようになります。
  • FUSE (Userspace のファイル システム) サブシステム ドライバーの再作業が完了し、ユーザー空間でのファイル システム実装の作成が可能になりました。 最初に出荷されたドライバーには多くのバグが含まれており、7.8 年前にリリースされた FUSE 11 をベースにしていました。 ドライバー最新化プロジェクトの一環として、FUSE 7.23 プロトコルのサポートが実装され、カーネル側でアクセス権をチェックするコード (「-odefault_permissions」) が追加され、VOP_MKNOD、VOP_BMAP、および VOP_ADVLOCK への呼び出しが追加されました。 FUSE 操作を中断する機能が提供され、名前のないパイプと unix ソケットのサポートが fusefs に追加されました。/dev/fuse に kqueue を使用できるようになりました。「mount -u」を介してマウント パラメータを更新できるようになり、サポートが追加されましたNFS 経由での furusef のエクスポート用に、RLIMIT_FSIZE アカウンティングを実装し、FOPEN_KEEP_CACHE フラグと FUSE_ASYNC_READ フラグを追加し、大幅なパフォーマンスの最適化とキャッシュ構成の改善を行いました。 新しいドライバーは、ヘッドおよび安定/12 ブランチ (FreeBSD 12.1 に含まれる) に含まれています。
  • FreeBSD 用の NFSv4.2 (RFC-7862) の実装がほぼ完了しました。 報告期間中の主な焦点はテストでした。 Linux 実装との互換性を確認するテストは完了しましたが、NFSv4.2 を使用した pNFS サーバーのテストはまだ継続中です。 一般に、コードはすでに FreeBSD ヘッド/現在のブランチに統合する準備ができていると見なされます。 NFS の新しいバージョンでは、posix_fadvise、posix_fallocate 関数、lseek の SEEKHOLE/SEEKDATA モード、サーバー上のファイルの一部を (クライアントに転送せずに) ローカルにコピーする操作のサポートが追加されています。
• ハードウェアサポート
  • ラップトップ上の FreeBSD のパフォーマンスを向上させるプロジェクトが開始されました。 FreeBSD でのハードウェア サポートについて監査された最初のデバイスは、第 1 世代 Lenovo XXNUMX Carbon ラップトップでした。
  • CheriBSD、研究用プロセッサ アーキテクチャ用の FreeBSD のフォーク シェリ (Capability Hardware Enhanced RISC 命令)、次期 ARM Morello プロセッサをサポートするために更新され、Capsicum 設計のセキュリティ モデルに基づく CHERI メモリ アクセス制御システムをサポートします。 モレロチップ 計画しています 2021年にリリース。 CheriBSD 開発者は、MIPS アーキテクチャに基づいた CHERI 参照プロトタイプの開発も監視し続けています。
  • RockPro3399 および NanoPC-T64 ボードで使用される RockChip RK4 チップのサポートが拡張されました。 最も重要な改善は、eMMC のサポートと、ボード上で使用される eMMC コントローラー用の新しいドライバーの開発でした。
  • ルーター、ゲートウェイ、ネットワーク ストレージでの使用を目的として、ARMv64 Cortex-A5871 プロセッサを搭載した ARM8 SoC Broadcom BCM57X のサポートの実装が継続的に行われています。 レポート期間中
    iProc PCIe サポートが拡張され、ハードウェア暗号化操作を使用して IPsec を高速化する機能が追加されました。
    HEAD ブランチへのコードの統合は第 XNUMX 四半期に予定されています。

  • powerpc64 プラットフォーム用の FreeBSD ポートの開発は大幅に進歩しました。 IBM POWER8 および POWER9 プロセッサーを搭載したシステムで高品質のパフォーマンスを提供することに重点が置かれていますが、オプションで古い Apple Power Mac、x500、および Amiga A1222 での動作をサポートします。 powerpc*/12 ブランチは引き続き gcc 4.2.1 とともに出荷され、powerpc*/13 ブランチは間もなく llvm90 に移行されます。 33306 個のポートのうち、30514 個が正常にアセンブルされました。
  • FreeBSD の移植は、統合ネットワーク パケット処理アクセラレーション エンジン、64 Gb Ethernet、PCIe 1046、SATA 8、USB 72 を備えた ARMv10 Cortex-A3.0 プロセッサをベースとした 3.0 ビット SoC NXP LS3.0A 向けに継続されています。 レポート期間中に、USB 3.0、SD/MMC、I2C、DPAA、および GPIO ネットワーク インターフェイスのサポートが実装されました。 QSPI をサポートし、ネットワーク インターフェイスのパフォーマンスを最適化する計画があります。 作業が完了し、HEAD ブランチに組み込まれるのは 4 年の第 2019 四半期になる予定です。
  • ena ドライバーは、Elastic Compute Cloud (EC2) インフラストラクチャで使用される第 2 世代の ENAv2 (Elastic Network Adaptor) ネットワーク アダプターをサポートするように更新され、EC25 ノード間の通信を最大 2 Gb/s の速度で組織します。 NETMAP サポートが ena ドライバーに追加およびテストされ、メモリ レイアウトが Amazon EC1 AXNUMX 環境で LLQ モードを有効にするように調整されました。
• アプリケーションとポートシステム
  • グラフィックス スタック コンポーネントと xorg 関連のポートを更新しました。 USE_XORG および XORG_CAT を使用するポートは、bsd.port.mk 経由で bsd.xorg.mk を呼び出すのではなく、USES フレームワークに移動されました。 このようなポートには、メイクファイルに「USES=xorg」フラグが含まれるようになりました。 XORG_CAT 機能は bsd.xorg.mk から分離され、「USES=xorg-cat」フラグによって有効になるようになりました。 git リポジトリから xorg ポートを直接生成するためのツールを追加しました
    freedesktop.org では、たとえば、まだリリースされていないバージョンのポートを作成できます。 将来的には、オートツールの代わりに中間子アセンブリシステムを使用して xorg ポートを構築するためのツールを準備する予定です。

    サポートされなくなったコンポーネントに関連付けられた古い xorg ポートをクリーンアップする作業が行われました。たとえば、x11/libXp ポートが削除され、x11/Xxf86misc、x11-fonts/libXfontcache、graphics/libGLw ポートが非推奨になりました。 ;

  • FreeBSD での Java 11 以降のリリースのサポートを改善するとともに、いくつかの変更を Java 8 ブランチに移植するための作業が行われ、Java Flight Recorder、HotSpot Serviceability Agent、HotSpot Debugger などの新しい Java 11 機能のサポートが行われました。 FreeBSD、DTrace、Javac Server、Java Sound、および SCTP については、すべての互換性テストに合格することを確認することに移行しました。 テストに合格したときの失敗の数が 50 から 2 に減少しました。
  • KDE Plasma デスクトップ、KDE ​​フレームワーク、KDE ​​アプリケーション、および Qt は常に最新の状態に保たれ、最新リリースに更新されます。
  • Xfce デスクトップを使用したポートがリリースに更新されました 4.14;
  • FreeBSD のポート ツリーは 38000 ポートを超え、クローズされていない PR の数は 2000 をわずかに超えており、そのうち 400 の PR はまだ解決されていません。 レポート期間中、7340 人の開発者によって 169 件の変更が行われました。 1.12 人の新しい参加者 (Santhosh Raju と Dmitri Goutnik) がコミッター権限を受け取りました。 pkg 2.0.4 パッケージ マネージャーの新しいリリースが公開され、ポート ツリーのオーバーレイと bsd.sites.mk のクリーニングがサポートされました。 ポート内の重要なバージョン更新には、Lazarus 9.0、LLVM 5.30、Perl11、PostgreSQL 2.6、Ruby 69.0.1、Firefox 68.1.0、Firefox-esr 76.0、Chromium XNUMX があります。
  • プロジェクト開発は続く ClonOS, 現像 仮想サーバー インフラストラクチャを展開するための特殊なディストリビューション。 ClonOS が解決するタスクの点では、ClonOS は Proxmox、Triton (Joyent)、OpenStack、OpenNebula、Amazon AWS などのシステムに似ています。主な違いは、FreeBSD の使用と、FreeBSD Jail コンテナーの管理、デプロイ、および管理機能です。 Bhyve および Xen ハイパーバイザーに基づく仮想環境。 最近の変更にはサポートが含まれています
    Linux/BSD VM のcloud-initとWindows VMのcloudbase-init。ネイティブイメージの使用への移行を開始し、ビルドのテストにはJenkins CIを使用し、インストールには新しいpkgリポジトリを使用します。
    パッケージからのClonOS。

出所： オープンネット.ru