FreeBSD 개발 보고서 2019년 XNUMX분기

게시 됨 2019년 XNUMX월부터 XNUMX월까지 FreeBSD 프로젝트 개발에 대한 보고서입니다. 변경 사항은 다음과 같습니다.

• 일반 및 시스템 질문
  • Core 팀은 일반적으로 추가 특허 계약과 함께 BSD 라이센스 코드를 포함하는 것을 승인했습니다(BSD+특허), 그러나 본 라이선스에 따라 각 구성 요소를 시스템에 포함하기로 한 결정은 별도로 승인되어야 합니다.
  • 중앙 집중식 소스 코드 관리 시스템인 Subversion에서 분산 시스템인 Git으로 소스 코드를 마이그레이션하기 위해 만들어진 워킹 그룹의 첫 번째 회의가 열렸습니다. 마이그레이션의 적절성에 대한 논의는 여전히 진행 중이며 결정해야 할 많은 문제가 남아 있습니다(예: contrib/를 처리하는 방법, 현재 git 저장소에서 해시를 재생성할지 여부, 커밋 테스트를 가장 잘 구현하는 방법).
  • NetBSD에서 이식된 서로 다른 CPU에서 실행되는 커널 스레드 간의 경쟁 조건 발생을 감지할 수 있는 KCSAN(Kernel Concurrency Sanitizer) 툴킷
  • GNU binutils의 어셈블러 대신 Clang의 내장 어셈블러(IAS)를 사용하는 작업이 진행 중입니다.
  • Linux 환경 에뮬레이션 인프라(Linuxulator)는 ARM64 아키텍처에서 작동하도록 조정되었습니다. "renameat2" 시스템 호출이 구현되었습니다. Linuxulator에서 실행되는 Linux 실행 파일의 문제를 진단하기 위해 strace 유틸리티가 개선되었습니다. 실행 파일을 새로운 glibc와 연결할 때 발생하는 충돌 문제를 수정했습니다. CentOS 7.7로 업데이트된 Linuxulator용 Linux 구성 요소가 포함된 포트
  • Google Summer of Code 프로그램의 일환으로 학생들은 4개의 프로젝트를 성공적으로 완료했습니다. 통합(IPv6/IPvXNUMX) ping 유틸리티 구현 준비, 방화벽 테스트 및 커널 오류 감지(Kernel sanitizer), mac_ipacl 도구 개발 모듈이 제안되었고, 가상 메모리를 압축하기 위한 코드가 작성되었으며, 포트 구축 프로세스와 로컬 설치 프로세스를 분리하는 작업이 수행되었습니다.
  • 시스템을 사용하여 FreeBSD 커널을 퍼지 테스트하는 프로젝트 시즈칼러. 보고 기간 동안 syzkaller의 도움으로 XNUMX개 이상의 오류가 식별되고 제거되었습니다. bhyve 기반의 가상머신에서 syzkaller를 실행하기 위해 별도의 서버를 할당하고 이를 이용하여
    syzbot은 Google 인프라에서 다양한 FreeBSD 하위 시스템을 확인합니다. 모든 충돌에 대한 정보를 backtrace.io 서비스로 전송하여 그룹화 및 분석을 단순화하도록 구성되었습니다.

  • 커널 수준에서 zlib 구현을 업데이트하는 작업이 진행 중입니다.
    압축 관련 코드는 1.0.4년 전에 출시된 zlib 20에서 현재 zlib 1.2.11 코드베이스로 이동되었습니다. zlib에 대한 액세스를 통합하기 위해 압축, 압축2 및 압축 해제 기능이 커널에 추가되었습니다. netgraph 하위 시스템에서 PPP 프로토콜을 제공하는 코드는 이 라이브러리의 기본 버전 대신 zlib의 시스템 구현을 사용하도록 전환되었습니다. 하위 시스템 kern_ctf.c, opencryptodeflate, geom_uzip, subr_compressor,
    if_mxge, bxe 업데이트 및 ng_deflate;

  • 새로운 커널 인터페이스가 개발 중입니다. sysctlinf, 이를 통해 MIB(Management Information Base) 형식으로 처리되는 sysctl 매개변수 베이스에서 요소를 찾아 객체에 대한 정보를 사용자 공간으로 전송할 수 있습니다.
• Безопасность
  • 커널 모듈 개발 mac_ipacl, TrustedBSD MAC 프레임워크를 기반으로 하고 감옥 환경을 위한 네트워크 스택 설정에 대한 액세스 제어 시스템을 구현합니다. 예를 들어, 호스트 시스템 관리자는 mac_ipacl을 사용하여 감옥 환경의 루트 사용자가 특정 네트워크 인터페이스에 대한 IP 주소 또는 서브넷 설정을 변경하거나 설정하는 것을 방지할 수 있습니다. 제안된 필수 출입통제 시스템 그것은 수 있습니다 감옥에 허용되는 IP 주소 및 서브넷 목록을 설정하고, 감옥에 특정 IP 및 서브넷 설치를 금지하거나, 특정 네트워크 인터페이스에 대해서만 매개변수 변경을 제한합니다.
  • 인텔은 프로젝트에 소프트웨어 스택 포트를 기부했습니다. TPM 2.0 (신뢰할 수 있는 플랫폼 모듈)은 일반적으로 펌웨어 및 OS 부트로더의 검증된 부팅에 사용되는 보안 컴퓨팅 칩과 상호 작용합니다. 스택 구성 요소는 security/tpm2-tss, security/tpm2-tools 및 security/tpm2-abrmd 포트 형식으로 제공됩니다. tpm2-tss 포트에는 TPM2 API 사용을 위한 라이브러리가 포함되어 있고, tpm2-tools는 TPM 작업 수행을 위한 명령줄 유틸리티를 제공하며, tpm2-abrmd에는 다양한 TPM의 요청을 다중화하는 TPM 액세스 브로커 및 리소스 관리자 구성 요소를 구현하는 백그라운드 프로세스가 포함되어 있습니다. 사용자는 단일 장치로 이동합니다. FreeBSD의 자체 검사 부팅 외에도 TPM은 별도의 칩에서 암호화 작업을 수행하여 Strongswan IPsec, SSH 및 TLS 보안을 강화하는 데 사용할 수 있습니다.
  • amd64 아키텍처용 커널은 W^X(쓰기 XOR 실행) 보호 기술을 사용하여 로드되도록 조정되었습니다. 이는 메모리 페이지를 쓰기와 실행에 동시에 사용할 수 없음을 의미합니다(이제 커널은 실행 가능한 메모리 페이지를 사용하여 로드할 수 있음). 쓰기가 비활성화됩니다.) 새로운 커널 보호 방법은 HEAD 분기에 포함되어 있으며 FreeBSD 13.0 및 12.2 릴리스의 일부가 될 것입니다.
  • mmap 및 mprotect 시스템 호출의 경우 구현 추가 변경에 유효한 액세스 제한 플래그(PROT_READ, PROT_WRITE, PROT_EXEC) 세트를 결정할 수 있는 PROT_MAX() 매크로. PROT_MAX()를 사용하면 개발자는 메모리 영역을 실행 가능 카테고리로 이전하는 것을 금지하거나 실행을 허용하지 않지만 나중에 실행 가능 카테고리로 이전할 수 있는 메모리를 요청할 수 있습니다. 예를 들어, 메모리 영역은 동적 연결이나 JIT 코드 생성 기간 동안에만 쓰기를 위해 열릴 수 있지만 쓰기가 완료된 후에는 읽기 및 실행으로만 제한되며 향후에는 손상이 발생할 경우 , 공격자는 이 메모리 블록에 대한 쓰기를 허용할 수 없습니다. PROT_MAX() 외에도 sysctl vm.imply_prot_max도 구현되어 활성화되면 첫 번째 mmap 호출의 초기 매개변수를 기반으로 유효한 플래그 세트를 결정합니다.
  • 취약점 악용에 대한 보호를 강화하기 위해 ASLR(주소 공간 무작위화) 기술 외에도 환경, 프로그램 시작 매개변수, ELF 형식의 실행 가능한 이미지에 대한 데이터;
  • libc에서 안전하지 않은 가져오기 기능을 제거하고(C11 표준부터 이 기능은 사양에서 제외됨) 이 기능을 계속 사용하는 포트를 수정하는 작업이 수행되었습니다. 이 변경 사항은 FreeBSD 13.0에서 제공될 예정입니다.
  • 프레임워크를 기반으로 감옥 환경을 조정하기 위한 도구를 만들기 위한 파일럿 프로젝트가 시작되었습니다. 수 Docker와 유사하게 구현된 이미지 생성 및 내보내기용 드라이버 유목민, 감옥 환경에서 애플리케이션을 동적으로 실행하기 위한 인터페이스를 제공합니다. 제안된 모델을 사용하면 감옥 환경을 생성하고 그 안에 애플리케이션을 배포하는 프로세스를 분리할 수 있습니다. 프로젝트의 목표 중 하나는 Docker 스타일 컨테이너와 같은 감옥을 조작할 수 있는 수단을 제공하는 것입니다.
• 스토리지 및 파일 시스템
  • NetBSD에서 "makefs" 유틸리티까지 일정이 변경됨 FAT 파일 시스템(msdosfs)을 지원합니다. 준비된 변경 사항을 사용하면 md 드라이버를 사용하지 않고 루트 권한 없이 FAT로 FS 이미지를 생성할 수 있습니다.
  • FUSE(USErspace의 파일 시스템) 하위 시스템 드라이버가 재작업되어 사용자 공간에서 파일 시스템 구현을 생성할 수 있습니다. 원래 출시된 드라이버는 버그가 많았으며 7.8년 전에 출시된 FUSE 11을 기반으로 했습니다. 드라이버 현대화 프로젝트의 일환으로 FUSE 7.23 프로토콜 지원이 구현되었고, 커널 측에서 권한을 확인하기 위한 코드("-o default_permissions")가 추가되었으며, VOP_MKNOD, VOP_BMAP 및 VOP_ADVLOCK 호출이 추가되었으며, FUSE 작업을 중단하는 기능이 추가되었습니다. 추가, 이름 없는 파이프 및 unix 소켓에 대한 지원이 퓨즈fs에 추가되었고, /dev/fuse에 kqueue를 사용할 수 있게 되었으며, "mount -u"를 통한 마운트 매개변수 업데이트가 허용되었으며, NFS를 통해 퓨즈f 내보내기 지원이 추가되었으며, RLIMIT_FSIZE 계정이 추가되었습니다. 구현되고 FOPEN_KEEP_CACHE 및 FUSE_ASYNC_READ 플래그가 추가되었으며 상당한 성능 최적화가 이루어졌으며 캐싱 구성이 개선되었습니다. 새 드라이버는 head 및 stable/12 브랜치(FreeBSD 12.1에 포함)에 포함되어 있습니다.
  • FreeBSD에 대한 NFSv4.2 구현(RFC-7862)이 거의 완료되었습니다. 보고 기간 동안에는 테스트에 중점을 두었습니다. Linux 구현과의 호환성 테스트는 완료되었지만 NFSv4.2를 사용한 pNFS 서버 테스트는 아직 진행 중입니다. 일반적으로, 코드는 이미 FreeBSD의 헤드/현재 분기에 통합할 준비가 된 것으로 간주됩니다. NFS의 새 버전에는 posix_fadvise, posix_fallocate 함수, lseek의 SEEKHOLE/SEEKDATA 모드, 서버에서 파일 부분의 로컬 복사(클라이언트로 전송하지 않음)에 대한 지원이 추가되었습니다.
• 하드웨어 지원
  • 노트북에서 FreeBSD를 개선하기 위한 프로젝트를 시작했습니다. FreeBSD의 하드웨어 지원에 대해 감사를 받은 첫 번째 장치는 1세대 Lenovo XXNUMX Carbon 노트북이었습니다.
  • 연구용 프로세서 아키텍처를 위한 FreeBSD의 포크인 CheriBSD 체리 (Capability Hardware Enhanced RISC Instructions), 곧 출시될 ARM Morello 프로세서를 지원하도록 업데이트되었습니다. 이 프로세서는 Capsicum 보안 모델을 기반으로 하는 CHERI의 메모리 액세스 제어 시스템을 지원합니다. 모렐로 칩 계획하고있다. 2021년 출시. CheriBSD 개발자는 또한 MIPS 아키텍처를 기반으로 하는 CHERI 참조 프로토타입의 개발을 계속 모니터링하고 있습니다.
  • RockPro3399 및 NanoPC-T64 보드에 사용되는 RockChip RK4 칩에 대한 지원이 확장되었습니다. 가장 중요한 개선 사항은 eMMC 지원과 보드에 사용되는 eMMC 컨트롤러용 새 드라이버 개발이었습니다.
  • 라우터, 게이트웨이 및 NAS에서의 사용을 목표로 하는 ARMv64 Cortex-A5871 프로세서를 갖춘 ARM8 SoC Broadcom BCM57X에 대한 지원을 구현하는 작업이 계속되었습니다. 보고기간 동안
    iProc PCIe에 대한 지원을 확장하고 하드웨어 암호화 작업을 사용하여 IPsec 속도를 높이는 기능을 추가했습니다.
    HEAD 분기에 코드 통합은 XNUMX분기에 예상됩니다.

  • powerpc64 플랫폼용 FreeBSD 포트 개발에 상당한 진전이 있었습니다. IBM POWER8 및 POWER9 프로세서를 탑재한 시스템에서 고품질 성능을 제공하는 데 중점을 두고 있지만 구형 Apple Power Mac, x500 및 Amiga A1222에서는 선택적으로 지원됩니다. powerpc*/12 분기는 계속해서 gcc 4.2.1과 함께 제공되며 powerpc*/13 분기는 곧 llvm90으로 마이그레이션될 예정입니다. 33306개의 포트 중 30514개가 성공적으로 조립되었습니다.
  • 통합 네트워크 패킷 처리 가속 엔진, 64Gb 이더넷, PCIe 1046, SATA 8 및 USB 72을 갖춘 ARMv10 Cortex-A3.0 프로세서 기반 NXP LS3.0A 3.0비트 SoC로 FreeBSD 포팅이 계속되었습니다. 보고 기간 동안 USB 3.0, SD/MMC, I2C, DPAA 네트워크 인터페이스 및 GPIO에 대한 지원이 구현되었습니다. QSPI를 지원하고 네트워크 인터페이스 성능을 최적화할 계획입니다. HEAD 지점이 완료되어 포함될 예정은 4년 2019분기입니다.
  • ena 드라이버는 최대 2Gb/s의 속도로 EC2 노드 간 통신을 구성하기 위해 Elastic Compute Cloud(EC2) 인프라에서 사용되는 25세대 ENAv2(Elastic Network Adapter) 네트워크 어댑터를 지원하도록 업데이트되었습니다. ena 드라이버에 NETMAP 지원을 추가 및 테스트했으며 Amazon EC1 AXNUMX 환경에서 LLQ 모드를 활성화하도록 메모리 레이아웃을 조정했습니다.
• 애플리케이션 및 포트 시스템
  • xorg와 관련된 그래픽 스택 구성 요소 및 포트가 업데이트되었습니다. USE_XORG 및 XORG_CAT를 사용하는 포트는 bsd.port.mk를 통해 bsd.xorg.mk를 호출하는 대신 USES 프레임워크로 마이그레이션되었습니다. 이제 이러한 포트에는 makefile에 "USES=xorg" 플래그가 포함됩니다. XORG_CAT 기능은 bsd.xorg.mk에서 추출되었으며 이제 "USES=xorg-cat" 플래그로 활성화됩니다. git 저장소에서 xorg 포트를 직접 생성하기 위한 도구가 추가되었습니다.
    예를 들어, freedesktop.org에서는 아직 출시되지 않은 버전에 대한 포트를 생성할 수 있습니다. 앞으로 xorg 포트를 빌드하기 위해 autotools 대신 meson 빌드 시스템을 사용하는 툴킷을 준비할 계획입니다.

    x11/libXp 포트를 제거하고 x11/Xxf86misc, x11-fonts/libXfontcache 및 그래픽/libGLw 포트를 더 이상 사용하지 않는 등 더 이상 지원되지 않는 구성 요소에 연결된 오래된 xorg 포트를 정리하는 작업이 수행되었습니다.

  • FreeBSD에서 Java 11 및 최신 릴리스에 대한 지원을 개선하고 일부 변경 사항을 Java 8 분기로 포팅하는 작업이 수행되었습니다. FreeBSD는 Java Flight Recorder, HotSpot Serviceability Agent, HotSpot Debugger와 같은 새로운 Java 11 기능에 대한 지원을 구현했기 때문에 DTrace, Javac Server, Java Sound 및 SCTP에 대한 작업은 모든 호환성 테스트를 통과하는지 확인하는 쪽으로 전환되었습니다. 테스트 통과 시 실패 횟수가 50회에서 2회로 감소했습니다.
  • KDE 플라즈마 데스크탑, KDE 프레임워크, KDE 응용 프로그램 및 Qt는 최신 상태로 유지되고 최신 릴리스로 업데이트됩니다.
  • Xfce 데스크탑이 포함된 포트가 릴리스로 업데이트되었습니다. 4.14;
  • FreeBSD 포트 트리는 38000개의 포트라는 이정표를 통과했으며, 열려 있는 PR의 수는 2000개를 약간 넘고 그 중 400개의 PR이 여전히 보류 중입니다. 보고 기간 동안 7340명의 개발자가 169건의 변경 사항을 적용했습니다. 두 명의 새로운 기여자(Santhosh Raju 및 Dmitri Goutnik)가 커미터 권한을 얻었습니다. 포트 트리의 오버레이를 지원하고 bsd.sites.mk를 정리하는 pkg 1.12 패키지 관리자의 새 릴리스가 게시되었습니다. 포트의 중요한 버전 업데이트에는 Lazarus 2.0.4, LLVM 9.0, Perl5.30, PostgreSQL 11, Ruby 2.6, Firefox 69.0.1, Firefox-esr 68.1.0, Chromium 76.0이 포함됩니다.
  • 프로젝트 개발은 계속된다 클론OS, 개발 중 가상 서버 인프라 배포를 위한 전문 배포 키트입니다. 해결해야 할 작업 측면에서 ClonOS는 Proxmox, Triton(Joyent), OpenStack, OpenNebula 및 Amazon AWS와 같은 시스템과 유사하지만, 주요 차이점은 FreeBSD를 사용하고 FreeBSD Jail 컨테이너를 관리, 배포 및 관리하는 기능입니다. Bhyve 및 Xen 하이퍼바이저를 기반으로 한 가상 환경. 최근 변경 사항 중 지원이 있습니다.
    Linux/BSD VM용 cloud-init 및 Windows VM용 cloudbase-init, 네이티브 이미지로의 전환 시작, 빌드 테스트를 위한 Jenkins CI 사용 및 설치를 위한 새로운 pkg 저장소
    패키지의 ClonOS.

출처 : opennet.ru