OpenBSD 6.7 izlaišana

Iesniedzis bezmaksas starpplatformu UNIX līdzīgas operētājsistēmas izlaišana OpenBSD 6.7. OpenBSD projektu dibināja Teo de Rāts 1995. gadā pēc tam konflikts ar NetBSD izstrādātājiem, kā rezultātā Teo tika liegta pieeja NetBSD CVS repozitorijai. Pēc tam Teo de Rāts un domubiedru grupa izveidoja jaunu atvērtu operētājsistēmu, kuras pamatā ir NetBSD avota koks, kuras galvenie mērķi bija pārnesamība (atbalsta 12 aparatūras platformas), standartizācija, pareiza darbība, aktīvā drošība un integrēti kriptogrāfijas rīki. Pilns uzstādīšanas izmērs ISO attēls OpenBSD 6.7 bāzes sistēma ir 470 MB.

Papildus pašai operētājsistēmai OpenBSD projekts ir pazīstams ar saviem komponentiem, kas ir kļuvuši plaši izplatīti citās sistēmās un ir pierādījuši sevi kā vienu no drošākajiem un kvalitatīvākajiem risinājumiem. Starp viņiem: LibreSSL (dakša OpenSSL), OpenSSH, pakešu filtrs PF, maršrutēšanas dēmoni OpenBGPD un OpenOSPFD, NTP serveris OpenNTPD, pasta serveris AtvērtSMTPD, teksta termināļa multiplekseris (līdzīgi GNU ekrānam) tmux, dēmons identd ar IDENT protokola ieviešanu, BSDL alternatīvu GNU groff pakotnei - mandoc, protokols kļūdu izturīgu sistēmu organizēšanai CARP (Common Address Redundancy Protocol), viegls http serveris, failu sinhronizācijas utilīta OpenRSYNC.

Galvenais uzlabojumi:

• FFS2 failu sistēma, kas izmanto 64 bitu laika un bloku vērtības, ir iespējota pēc noklusējuma jaunajās instalācijās gandrīz visām atbalstītajām arhitektūrām, nevis FFS (izņemot landisk, luna88k un sgi).
• Sistēmas izsaukumu derīguma pārbaudei ir pievienota jauna metode, kas vēl vairāk apgrūtina ievainojamību izmantošanu. Šī metode ļauj izpildīt sistēmas zvanus tikai tad, ja tiem piekļūst no iepriekš reģistrētiem atmiņas apgabaliem. Ir ierosināts jauns msyscall() sistēmas izsaukums, lai atzīmētu atmiņas apgabalus un aktivizētu aizsardzību.
• Vienā diskā izveidojamo nodalījumu skaits ir palielināts no 7 uz 15.
• Cron opcijas parsēšanas kods ir pārrakstīts, lai atbalstītu getopt līdzīgas funkcijas, piemēram, "-ns" un to pašu karodziņu atkārtotu norādīšanu. Lauks "Opcijas" programmā crontab ir pārdēvēts par "karogi". Crontab ir pievienots karodziņš "-s", lai vienlaikus varētu darboties tikai viens darba gadījums. Pievienots operators "~", lai norādītu nejaušu laika vērtību.
• Cwm logu pārvaldnieks ievieš iespēju noteikt loga izmēru procentos no primārā loga lieluma flīžu izkārtojumā.
• Powerpc arhitektūra pēc noklusējuma ir pārgājusi uz Clang izmantošanu un iespējojusi no arhitektūras neatkarīgu mplock ieviešanu.
• apmd ir uzlabojis automātiskās gaidstāves un hibernācijas (-z/-Z) atbalstu — dēmons tagad reaģē uz akumulatora uzlādes maiņas ziņojumiem, ko nosūta jaudas uzraudzības draiveris. Pāreja uz miegu notiek ar 60 sekunžu aizkavi, kas lietotājam dod laiku pārņemt kontroli.
• Iebūvētajam HTTP serverim ir pievienots $REQUEST_SCHEME konfigurācijas mainīgais, lai novirzīšanas laikā saglabātu sākotnējo protokolu (http vai https), kā arī opcija "sloksne", lai FastCGI serveriem atļautu vairākus chrootus mapē /var/www.
• Galvenā utilīta tagad atbalsta ritināšanu, izmantojot taustiņus 9 un 0.
• Tiek ieviests mehānisms atmiņas lapu atbrīvošanai apgrieztā secībā, kas ievērojami palielina liela skaita lapu aktīvas atbrīvošanas efektivitāti.
• Nesaistītajam DNS serverim pēc noklusējuma ir iespējota DNSSEC pārbaude.
• Sistēmas zvani tiek atbrīvoti no globālās bloķēšanas
  __thrsleep(2), __thrwakeup(2), close(2), closefrom(2), dup(2), dup2(2), dup3(2), flok(2), fcntl(2), kqueue(2), caurule(2), pipe2(2) un nanosleep(2), kā arī ioctl(2) pamatdaļa.

• Paplašināts aparatūras atbalsts. Intel AX200 bezvadu mikroshēmām ir pievienots jauns iwx draiveris, un iwm draiveris ir pievienojis atbalstu ierīcēm Intel 9260 un 9560. Ir pievienots rge draiveris Realtek 8125 PCI Express 2.5Gb. Ir ierosināti daudzi jauni draiveri, lai uzlabotu veiktspēju arm64 un armv7 platēs, tostarp pievienots Raspberry Pi 4 plates atbalsts un uzlabots Raspberry Pi 2 un 3 atbalsts.
• Ir paplašināta sndio skaņas apakšsistēma. Pievienota sioctl_open API un sndioctl utilīta skaņas kontrolei, izmantojot sndiod. /dev/mixer ir noņemts, un visi porti ir pārslēgti uz sndio, nevis kodola miksera saskarni. Sndiod nodrošina aparatūras skaļuma kontroles mehānismu izmantošanu. Lai uzlabotu drošību, ir aizliegta regulāra lietotāju piekļuve /dev/audio* un /dev/rmidi*.
• Bezvadu steks pārstāj izveidot savienojumu ar jebkuru pieejamo Wi-Fi tīklu, kas neatbalsta šifrēšanu, izņemot nepārprotami izsaucot komandu “ifconfig join”. Nodrošina pieejamo tīklu fona skenēšanas sākšanu, kad saknes lietotājs izpilda komandu “ifconfig scan”. Ir palielināta skenēšanas rezultātu kešatmiņa. Pievienots “nwflag nomimo” karogs, kas iestatīts caur ifconfig, kas palīdz atbrīvoties no pakešu zuduma 11n režīmā, ja ierīcei ir nepievienoti antenas savienotāji. Pievienots atbalsts aktīvajam skenēšanas režīmam bwfm draiverim. Uzlabota automātiska pārslēgšanās starp bezvadu tīkliem, samazinot to tīklu prioritāti, ar kuriem nevarēja izveidot savienojumu.
• Tīkla stekā ir parādījies jauns pppac draiveris, kas ietver PPP Access Concentrator interfeisa ieviešanu. Mainīti npppd.conf iestatījumi, lai tun vietā izmantotu pppac. Kad pakešu pāradresācija ir atspējota, ir pievienota pārbaude, lai pārbaudītu, vai paketes mērķa adrese atbilst tīkla interfeisa adresei. Mobilā tālruņa atbalsts ir noņemts.
• Lietotājiem, kas nav root lietotāji, ir aizliegts izmantot ioctl, lai mainītu tīkla interfeisa adresi un mainītu pppoe saskarņu parametrus.
• sysupgrade nodrošina, ka programmaparatūras atjauninājumi (fw_update) tiek palaisti pirms atsāknēšanas pirms jaunināšanas.
• Atklāšanas sistēmas izsaukums ir uzlabots, lai nodrošinātu failu sistēmas piekļuves izolāciju. Lietojumprogrammu skaits no bāzes sistēmas, kurām ir ieviesta aizsardzība, izmantojot atklāšanu, ir palielināts līdz 82. Tostarp vmstat, iostat un systat, kas pārsūtīti uz atklāšanu.
• Kripto (3) ir pievienots RSA-PSS atbalsts.
• DoT (DNS, izmantojot TLS) atbalsts ir pievienots DNS atrisinātājam. Pievienota komanda "unwindctl status memory".
• Ipsec ieviešana ir būtiski modernizēta. Pievienots atbalsts automātiskai trafika pārvietošanai starp domēniem šifrēšanas un atšifrēšanas laikā, lai aizsargātu pret sānu kanālu uzbrukumiem. Pievienots atbalsts domena maiņai uz iked un iked.conf pievienota opcija 'rdomain'
  Iked un isakmpd noklusējuma līmenis ir IPSEC_LEVEL_REQUIRE, kas novērš plūsmai atbilstošu nešifrētu pakešu apstrādi. Algoritmi līkne25519, ecp256, ecp384, ecp521, modp3072 un modp4096 ir pievienoti IKE SA Diffie-Hellman grupas iestatījumiem. Programmā iked noklusējuma autentifikācijas metode ir mainīta uz digitālā paraksta autentifikāciju (RFC 7427). Pievienoti ESN iestatījumi iked.conf. Pievienota opcija "-p", lai izvēlētos nestandarta UDP porta numuru.

• Ir paplašinātas tmux termināļa multipleksora iespējas un pievienotas daudzas jaunas iespējas.
• OpenSMTPD pasta servera versija ir atjaunināta. Iebūvētie filtri ievieš atslēgvārdu “apiet”, lai izlaistu apstrādi noteiktos apstākļos. Ļauj filtros izmantot pašreizējās smtpd sesijas lietotājvārdu. Vietnē smtpd.conf parametri ļauj izmantot mail-from un rctp-to.
• OpenSSH 8.2 pakotne ir atjaunināta, iekļaujot FIDO/U2F divu faktoru autentifikācijas pilnvaru atbalstu. Jūs varat redzēt detalizētu pārskatu par uzlabojumiem šeit.
• Atjaunināts LibreSSL pakotne, kurā ir pabeigta TLS 1.3 ieviešana, kuras pamatā ir jauna galīgā stāvokļa mašīna un apakšsistēma darbam ar ierakstiem. Pēc noklusējuma pašlaik ir iespējota tikai TLS 1.3 klienta daļa; servera daļu ir plānots aktivizēt pēc noklusējuma nākamajā laidienā. Citu izmaiņu sarakstu var redzēt paziņojumos par atbrīvošanu 3.1.0 и 3.1.1.
• Portu skaits AMD64 arhitektūrai bija 11268, aarch64 - 10848, i386 - 10715. Ir atjaunināti OpenBSD 6.7 iekļautie trešo pušu izstrādātāju komponenti:
  • Xenocara grafikas steks, kuras pamatā ir X.Org 7.7 ar xserver 1.20.8 + ielāpus, freetype 2.10.1, fontconfig 2.12.4, Mesa 19.2.8, xterm 351, xkeyboard-config 2.20;
  • LLVM/Clang 8.0.1 (ar ielāpiem)
  • GCC 4.2.1 (ar ielāpiem) un 3.3.6 (ar ielāpiem)
  • Perl 5.30.2 (ar ielāpiem)
  • NSD 4.2.4
  • Nav saistību. 1.10.0
  • Nlāsti 5.7
  • Binutils 2.17 (ar ielāpiem)
  • Gdb 6.3 (ar ielāpiem)
  • Awk 20. gada 2012. decembris
  • Expat 2.2.8

  Avots: opennet.ru