FreeBSD attīstības ziņojums 2019. gada XNUMX. ceturksnī

publicēts ziņojums par FreeBSD projekta attīstību no 2019. gada jūlija līdz septembrim. Izmaiņas ietver:

• Vispārīgi un sistēmas jautājumi
  • Galvenā komanda kopumā ir apstiprinājusi BSD licencēta koda iekļaušanu papildu patenta līgumā (BSD + patents), taču lēmums par katras šīs licences komponentes iekļaušanu sistēmā jāapstiprina atsevišķi;
  • Notika pirmā avota kodu migrācijas veikšanai izveidotās darba grupas sanāksme no centralizētās pirmkoda pārvaldības sistēmas Subversion uz decentralizēto sistēmu Git. Diskusija par migrācijas piemērotību joprojām turpinās, un vēl ir jāizlemj par daudziem jautājumiem (piemēram, kā rīkoties ar contrib/, vai reģenerēt jaucējfailus pašreizējā git repozitorijā un kā vislabāk īstenot commit testēšanu);
  • No NetBSD pārnests KCSAN (Kernel Concurrency Sanitizer) rīkkopa, kas ļauj noteikt sacensību apstākļu rašanos starp kodola pavedieniem, kas darbojas dažādos CPU;
  • Notiek darbs, lai izmantotu Clang iebūvēto montētāju (IAS), nevis montētāju no GNU binutils;
  • Linux vides emulācijas infrastruktūra (Linuxulator) ir pielāgota darbam ar ARM64 arhitektūru. Sistēmas izsaukums "renameat2" ir ieviests. Utilīta strace ir uzlabota, lai diagnosticētu problēmas Linux izpildāmajos failos, kas darbojas programmā Linuxulator. Novērsta avārija, saistot izpildāmos failus ar jaunu glibc. Porti ar Linux komponentiem Linuxulatoram atjaunināti uz CentOS 7.7;
  • Programmas Google Summer of Code ietvaros studenti veiksmīgi pabeidza sešus projektus: tika sagatavota vienotas (IPv4 / IPv6) ping utilīta ieviešana, izstrādāti rīki ugunsmūru testēšanai un kodola kļūdu noteikšanai (Kernel sanitizer), mac_ipacl. tika piedāvāts modulis, un tika uzrakstīts kods, lai saspiestu virtuālo atmiņu, un ir veikts darbs, lai nodalītu portu veidošanas procesu no vietējās instalācijas;
  • Projekts FreeBSD kodola izplūdes pārbaudei, izmantojot sistēmu syzkaller. Pārskata periodā ar syzkaller palīdzību tika konstatētas un novērstas vairāk nekā desmit kļūdas. Lai palaistu syzkaller virtuālajās mašīnās, kuru pamatā ir bhyve, tiek piešķirts atsevišķs serveris un tiek izmantots
    syzbot pārbauda dažādas FreeBSD apakšsistēmas Google infrastruktūrā. Informācijas par visām avārijām pārsūtīšana uz backtrace.io pakalpojumu ir organizēta, lai vienkāršotu to grupēšanu un analīzi;

  • Notiek darbs pie zlib ieviešanas atjaunināšanas kodola līmenī.
    Ar saspiešanu saistītais kods ir pārvietots no zlib 1.0.4, kas tika izlaists pirms vairāk nekā 20 gadiem, uz pašreizējo zlib 1.2.11 kodu bāzi. Kompresijas, saspiešanas2 un atspiešanas funkcijas ir pievienotas kodolam, lai vienotu piekļuvi zlib. Kods, kas nodrošina PPP protokolu no netgraph apakšsistēmas, ir pārslēgts, lai izmantotu zlib sistēmas ieviešanu, nevis šīs bibliotēkas vietējo izdevumu. Apakšsistēmas kern_ctf.c, opencryptodflate, geom_uzip, subr_compressor,
    if_mxge, bxe atjaunināts un ng_deflate;

  • Tiek izstrādāta jauna kodola saskarne sysctlinfo, kas ļauj atrast elementus sysctl parametru bāzē, kas apstrādāts MIB (Management Information Base) formā, un pārsūtīt informāciju par objektiem uz lietotāja telpu.
• Drošība
  • Izstrādāts kodola modulis mac_ipacl, pamatojoties uz TrustedBSD MAC Framework un ieviešot piekļuves kontroles sistēmu tīkla steka iestatījumiem cietuma vidēm. Piemēram, izmantojot mac_ipacl, resursdatora sistēmas administrators var neļaut root lietotājam cietuma vidē mainīt vai iestatīt IP adreses vai apakštīkla iestatījumus noteiktām tīkla saskarnēm. Ierosinātā obligātās piekļuves kontroles sistēma pieļauj iestatīt cietumā atļauto IP adrešu un apakštīklu sarakstus, aizliegt noteiktu IP un apakštīklu instalēšanu cietumā vai ierobežot parametru izmaiņas tikai noteiktām tīkla saskarnēm;
  • Intel projektam piešķīra programmatūras steka portu TPM 2.0 (Uzticamas platformas modulis) mijiedarbībai ar drošo skaitļošanas mikroshēmu, ko parasti izmanto pārbaudītai programmaparatūras un OS sāknēšanas ielādētāja palaišanai. Stack komponenti tiek nodrošināti kā securtity/tpm2-tss, security/tpm2-tools un security/tpm2-abrmd porti. Portā tpm2-tss ir iekļautas bibliotēkas TPM2 API izmantošanai, tpm2-tools nodrošina komandrindas utilītas TPM darbību veikšanai, un tpm2-abrmd satur fona procesu, kas ievieš TPM Access Broker un Resource Manager komponentus, kas multipleksē pieprasījumus no dažādiem TPM. lietotājiem vienā ierīcē. Papildus verificētajai sāknēšanai uz FreeBSD, TPM var izmantot, lai uzlabotu Strongswan IPsec, SSH un TLS drošību, veicot kriptogrāfijas darbības atsevišķā mikroshēmā;
  • Kodols amd64 arhitektūrai ir pielāgots ielādei, izmantojot W^X (write XOR execute) aizsardzības paņēmienu, kas nozīmē, ka atmiņas lapas nevar vienlaikus būt pieejamas rakstīšanai un izpildei (kodolu tagad var ielādēt, izmantojot izpildāmās atmiņas lapas, kurām rakstīšana ir atspējota). Jaunā kodola aizsardzības metode ir iekļauta HEAD filiālē un būs daļa no FreeBSD 13.0 un 12.2 laidieniem;
  • MMAp un mprotect sistēmas zvaniem īstenota PROT_MAX() makro, kas ļauj noteikt piekļuves ierobežojumu karogu kopu (PROT_READ, PROT_WRITE, PROT_EXEC), kas ir derīga turpmākām izmaiņām. Izmantojot PROT_MAX(), izstrādātājs var aizliegt atmiņas apgabala pārsūtīšanu uz izpildāmo kategoriju vai pieprasīt atmiņu, kas neļauj izpildīt, bet vēlāk var tikt pārsūtīta uz izpildāmo failu. Piemēram, atmiņas apgabals var būt atvērts rakstīšanai tikai uz dinamiskās saistīšanas vai JIT koda ģenerēšanas laiku, bet pēc rakstīšanas pabeigšanas tas ir ierobežots tikai ar lasīšanu un izpildi, kā arī turpmāk kompromisa gadījumā. , uzbrucējs nevarēs atļaut rakstīt šim atmiņas blokam. Papildus PROT_MAX() ir ieviests arī sysctl vm.imply_prot_max, kas, aktivizējot, nosaka derīgo karogu kopu, pamatojoties uz pirmā mmap izsaukuma sākotnējiem parametriem;
  • Lai stiprinātu aizsardzību pret ievainojamību izmantošanu, papildus adrešu telpas nejaušināšanas (ASLR) tehnikai tiek piedāvāts mehānisms, lai nejauši izvēlētos norādes, kas adresē sākotnējo steka rāmi un struktūras, kas atrodas uz steka ar informāciju par vidi, programmas palaišanas parametriem, un dati izpildāmiem attēliem ELF formātā;
  • Ir veikts darbs, lai no libc noņemtu nedrošo izņemšanas funkciju (sākot ar C11 standartu, šī funkcija ir izslēgta no specifikācijas) un izlabotu portus, kas joprojām izmanto šo funkciju. Izmaiņas plānots piedāvāt FreeBSD 13.0 versijā;
  • Tika uzsākts izmēģinājuma projekts, lai izveidotu rīkus cietuma vides organizēšanai, pamatojoties uz sistēmu var attēlu izveidei un eksportēšanai, kas ieviests līdzīgi kā Docker, un draiveri nomadu, kas nodrošina saskarni dinamiskai lietojumprogrammu palaišanai cietuma vidē. Piedāvātais modelis ļauj nodalīt cietuma vides veidošanas un lietojumprogrammu izvietošanas procesus tajās. Viens no projekta mērķiem ir nodrošināt līdzekļus, lai manipulētu ar cietumiem, piemēram, Docker stila konteineriem;
• Uzglabāšanas un failu sistēmas
  • No NetBSD līdz utilītai "makefs". pārplānots atbalsts FAT failu sistēmai (msdosfs). Sagatavotās izmaiņas ļauj izveidot FS attēlus ar FAT, neizmantojot md draiveri un bez root tiesībām;
  • Pārstrādāts FUSE (File system in USERspace) apakšsistēmas draiveris, kas ļauj izveidot failu sistēmu implementācijas lietotāja telpā. Sākotnēji piegādātajā draiverī bija daudz kļūdu, un tas bija balstīts uz FUSE 7.8, kas tika izlaists pirms 11 gadiem. Draivera modernizācijas projekta ietvaros tika ieviests FUSE 7.23 protokola atbalsts, pievienots kods atļauju pārbaudei kodola pusē ("-o default_permissions"), pievienoti VOP_MKNOD, VOP_BMAP un VOP_ADVLOCK izsaukumi, iespēja pārtraukt FUSE darbības. pievienots, pievienots atbalsts beznosaukumiem caurulēm un unix ligzdām drošinātājiem, kļuva iespējams izmantot kqueue priekš /dev/fuse, tika atļauta mount parametru atjaunināšana caur "mount -u", tika pievienots atbalsts drošinātāju eksportēšanai caur NFS, tika veikta RLIMIT_FSIZE uzskaite ieviests, tika pievienoti karodziņi FOPEN_KEEP_CACHE un FUSE_ASYNC_READ, veiktas būtiskas veiktspējas optimizācijas un uzlabota kešatmiņas organizācija. Jaunais draiveris ir iekļauts galvenajā un stabilajā/12 filiālēs (iekļauts FreeBSD 12.1);
  • NFSv4.2 ieviešana (RFC-7862) FreeBSD ir gandrīz pabeigta. Pārskata periodā galvenā uzmanība tika pievērsta testēšanai. Saderības testi ar Linux ieviešanu ir pabeigti, bet pNFS servera testēšana ar NFSv4.2 joprojām turpinās. Vispārīgi runājot, kods jau tiek uzskatīts par gatavu integrācijai FreeBSD galvenajās/pašreizējās filiālēs. Jaunā NFS versija pievieno atbalstu posix_fadvise, posix_fallocate, SEEKHOLE/SEEKDATA režīmiem lseek, faila daļu lokālai kopēšanai serverī (bez pārsūtīšanas uz klientu);
• Aparatūras atbalsts
  • Uzsācis projektu, lai uzlabotu FreeBSD klēpjdatoros. Pirmā ierīce, kas tika pārbaudīta attiecībā uz aparatūras atbalstu FreeBSD, bija septītās paaudzes Lenovo X1 Carbon klēpjdators;
  • CheriBSD, FreeBSD dakša pētniecības procesoru arhitektūrai ČERI (Capability Hardware Enhanced RISC Instructions), atjaunināts, lai atbalstītu gaidāmo ARM Morello procesoru, kas atbalstīs CHERI atmiņas piekļuves kontroles sistēmu, kuras pamatā ir Capsicum drošības modelis. Morello čips plāno izlaidums 2021. gadā. CheriBSD izstrādātāji arī turpina uzraudzīt CHERI atsauces prototipa izstrādi, pamatojoties uz MIPS arhitektūru;
  • Paplašināts atbalsts RockChip RK3399 mikroshēmām, ko izmanto RockPro64 un NanoPC-T4 plates. Būtiskākais uzlabojums bija eMMC atbalsts un jauna draivera izstrāde dēlī izmantotajam eMMC kontrollerim;
  • Turpinājās darbs pie atbalsta ieviešanas ARM64 SoC Broadcom BCM5871X ar ARMv8 Cortex-A57 procesoriem, kas paredzēti lietošanai maršrutētājos, vārtejās un NAS. Pārskata periodā
    paplašināts iProc PCIe atbalsts un pievienota iespēja izmantot aparatūras kriptogrāfijas darbības, lai paātrinātu IPsec.
    Ceturtajā ceturksnī gaidāma koda integrācija HEAD filiālē;

  • Ievērojams progress ir panākts FreeBSD porta izstrādē powerpc64 platformai. Galvenā uzmanība tiek pievērsta kvalitatīvas veiktspējas nodrošināšanai sistēmās ar IBM POWER8 un POWER9 procesoriem, taču to pēc izvēles atbalsta arī vecāki Apple Power Mac, x500 un Amiga A1222. Powerpc*/12 filiāle turpina piegādāt ar gcc 4.2.1, un powerpc*/13 filiāle drīz tiks migrēta uz llvm90. No 33306 portiem 30514 ir veiksmīgi samontēti;
  • FreeBSD pārnešana uz NXP LS64A 1046 bitu SoC, kuras pamatā ir ARMv8 Cortex-A72 procesors ar integrētu tīkla pakešu apstrādes paātrinājuma dzinēju, 10 Gb Ethernet, PCIe 3.0, SATA 3.0 un USB 3.0. Pārskata periodā tika ieviests USB 3.0, SD / MMC, I2C, DPAA tīkla interfeisa un GPIO atbalsts. Mēs plānojam atbalstīt QSPI un optimizēt tīkla interfeisa veiktspēju. Pabeigšana un iekļaušana HEAD filiālē ir paredzēta 4. gada 2019. ceturksnī;
  • Ena draiveris ir atjaunināts, lai atbalstītu otrās paaudzes ENAv2 (Elastīgais tīkla adapteris) tīkla adapterus, ko izmanto Elastic Compute Cloud (EC2) infrastruktūrā, lai organizētu komunikāciju starp EC2 mezgliem ar ātrumu līdz 25 Gb/s. Pievienots un pārbaudīts NETMAP atbalsts ena draiverim un pielāgots atmiņas izkārtojums, lai iespējotu LLQ režīmu Amazon EC2 A1 vidēs;
• Lietojumprogrammas un portu sistēma
  • Atjaunināti grafikas steka komponenti un porti, kas saistīti ar xorg. Porti, kas izmanto USE_XORG un XORG_CAT, ir migrēti uz USES sistēmu, nevis izsauc bsd.xorg.mk, izmantojot bsd.port.mk. Šādi porti tagad savos makefailos ietver karogu "USES=xorg". XORG_CAT funkcionalitāte ir izvilkta no vietnes bsd.xorg.mk un tagad ir iespējota ar karogu "USES=xorg-cat". Pievienoti rīki tiešai xorg portu ģenerēšanai no git repozitorija
    freedesktop.org, kas, piemēram, ļauj ģenerēt portus versijām, kas vēl nav izlaistas. Nākotnē ir plānots sagatavot rīku komplektu, lai xorg portu veidošanai izmantotu meson build sistēmu, nevis autotools.

    Ir veikts darbs, lai notīrītu vecos xorg portus, kas saistīti ar komponentiem, kuri vairs netiek atbalstīti, piemēram, noņemts x11/libXp ports un novecojis x11/Xxf86misc, x11-fonts/libXfontcache un grafikas/libGLw porti;

  • Ir veikts darbs, lai uzlabotu Java 11 un jaunāku versiju atbalstu FreeBSD un pārnestu dažas izmaiņas Java 8 filiālē. Kopš FreeBSD ir ieviesis atbalstu jaunām Java 11 funkcijām, piemēram, Java Flight Recorder, HotSpot Serviceability Agent, HotSpot Debugger, DTrace, Javac Server, Java Sound un SCTP, darbs ir pārcelts uz visu saderības testu izturēšanu. Kļūmju skaits, nokārtojot testus, ir samazināts no 50 uz 2;
  • KDE Plasma darbvirsma, KDE Frameworks, KDE lietojumprogrammas un Qt tiek atjauninātas un atjauninātas līdz jaunākajām versijām;
  • Porti ar Xfce desktop ir atjaunināti, lai atbrīvotu 4.14;
  • FreeBSD portu koks ir izturējis 38000 2000 portu pagrieziena punktu, atvērto PR skaits ir nedaudz virs 400, no kuriem 7340 PR joprojām ir neapstiprināti. Pārskata periodā 169 izmaiņas veikuši 1.12 izstrādātāji. Divi jauni dalībnieki (Santhosh Raju un Dmitri Goutnik) ieguva apņemšanās tiesības. Ir publicēts jauns pkg 2.0.4 pakotņu pārvaldnieka laidiens ar atbalstu pārklājumiem portu kokā un bsd.sites.mk tīrīšanu. Nozīmīgie portu versiju atjauninājumi ietver: Lazarus 9.0, LLVM 5.30, Perl11, PostgreSQL 2.6, Ruby 69.0.1, Firefox 68.1.0, Firefox-esr 76.0, Chromium XNUMX;
  • Projekta attīstība turpinās ClonOS, attīstot specializēts izplatīšanas komplekts virtuālā servera infrastruktūras izvietošanai. Atrisināmo uzdevumu ziņā ClonOS atgādina tādas sistēmas kā Proxmox, Triton (Joyent), OpenStack, OpenNebula un Amazon AWS, no kurām galvenā atšķirība ir FreeBSD izmantošana un iespēja pārvaldīt, izvietot un pārvaldīt FreeBSD Jail konteinerus un virtuālās vides, kuru pamatā ir Bhyve un Xen hipervizori. No nesenajām izmaiņām ir atbalsts
    cloud-init operētājsistēmai Linux/BSD VM un cloudbase-init operētājsistēmai Windows VM, pārejas sākums uz vietējiem attēliem, Jenkins CI izmantošana būvēšanas testēšanai un jauna pkg repozitorija instalēšanai
    ClonOS no pakotnēm.

Avots: opennet.ru