Издание на FreeBSD 13.2 со поддршка за Netlink и WireGuard

По 11 месеци развој, FreeBSD 13.2 е објавен. Сликите за инсталација се генерираат за архитектури amd64, i386, powerpc, powerpc64, powerpc64le, powerpcspe, armv6, armv7, aarch64 и riscv64. Дополнително, подготвени се склопови за системи за виртуелизација (QCOW2, VHD, VMDK, raw) и облак околини Amazon EC2, Google Compute Engine и Vagrant.

Клучни промени:

• Способноста да се креираат снимки од датотечните системи UFS и FFS со овозможено евидентирање (меки ажурирања) е имплементирана. Додадена е и поддршка за зачувување на депонии во заднина (исклучување со знаменце „-L“) со содржината на монтирани датотечни системи UFS кога е овозможено дневникот. Една од функциите што не е достапна при користење на евиденција е извршувањето на проверките на интегритетот во заднина со помош на алатката fsck.
• Основниот состав вклучува wg драјвер кој работи на ниво на кернел со имплементација на мрежен интерфејс за VPN WireGuard. За да се користат криптографските алгоритми што ги бара двигателот, беше проширен API на крипто-потсистемот на јадрото FreeBSD, на кој беше додаден темперамент што овозможува користење на алгоритми од библиотеката libsodium што не се поддржани во FreeBSD преку стандардниот крипто-API . За време на процесот на развој, оптимизацијата беше извршена и за рамномерно да се балансира врзувањето на задачите за шифрирање и декрипција на пакети со јадрата на процесорот, со што се намалија трошоците при обработката на пакетите WireGuard.

  Последниот обид да се вклучи WireGuard во FreeBSD беше направен во 2020 година, но заврши со скандал, како резултат на што веќе додадениот код беше отстранет поради низок квалитет, невнимателна работа со бафери, употреба на никулци наместо проверки, нецелосна имплементација на протоколот и повреда на GPL лиценцата. Новата имплементација беше заеднички подготвена од основните развојни тимови на FreeBSD и WireGuard, со придонес од Џејсон А. Доненфелд, автор на VPN WireGuard и Џон Х. Болдвин, познат развивач на FreeBSD. Целосен преглед на промените беше спроведен со поддршка на Фондацијата FreeBSD пред да биде прифатен новиот код.

• Имплементирана е поддршка за протоколот за комуникација Netlink (RFC 3549), кој се користи во Linux за организирање на интеракцијата на кернелот со процесите во корисничкиот простор. Проектот е ограничен на поддршка на фамилијата NETLINK_ROUTE на операции за управување со состојбата на мрежниот потсистем во кернелот, што му овозможува на FreeBSD да ја користи Linux ip алатката од пакетот iproute2 за управување со мрежните интерфејси, поставување IP адреси, конфигурирање на рутирање и манипулирање со Nexthop објекти кои чуваат податоци за состојбата што се користат за пренос на пакетот до саканата дестинација.
• Сите извршни датотеки на базниот систем на 64-битни платформи имаат стандардно овозможена рандомизација на распоред на просторот за адреси (ASLR). За селективно оневозможување на ASLR, можете да ги користите командите „proccontrol -m aslr -s disable“ или „elfctl -e +noaslr“.
• Во ipfw, табелите на radix се користат за пребарување на MAC адреси, што ви овозможува да креирате табели со MAC адреси и да ги користите за филтрирање на сообраќајот. На пример: ipfw табела 1 креирај тип mac ipfw табела 1 додај 11:22:33:44:55:66/48 ipfw додај skipto tablearg src-mac „табела(1)“ ipfw додај одбие src-mac „табела(1, 100 )' ipfw додај одбие пребарување dst-mac 1
• Модулите на јадрото dpdk_lpm4 и dpdk_lpm6 се додадени и се достапни за вчитување преку loader.conf со имплементација на алгоритмот за пребарување маршрути DIR-24-8 за IPv4/IPv6, кој ви овозможува да ги оптимизирате функциите за насочување за домаќини со многу големи табели за насочување ( во тестовите, се забележува зголемување на брзината од 25 %). За да ги конфигурирате модулите, може да се користи стандардната алатка за рути (додадена е опцијата FIB_ALGO).
• Имплементацијата на датотечниот систем ZFS е ажурирана за да го објави OpenZFS 2.1.9. Скриптата за стартување zfskeys обезбедува автоматско вчитување на клучевите складирани во датотечен систем ZFS. Додадена е нова RC скрипта zpoolreguid за доделување GUID на еден или повеќе zpools (на пр. корисен за средини за виртуелизација на споделени податоци).
• Хипервизорот Bhyve и модулот vmm поддржуваат прикачување на повеќе од 15 виртуелни процесори на гостинскиот систем (регулиран преку sysctl hw.vmm.maxcpu). Услужната алатка bhyve имплементира емулација на виртио-влезниот уред, со кој можете да ги замените настаните за внесување на тастатурата и глувчето во системот за гости.
• Во KTLS, имплементација на протоколот TLS што работи на ниво на кернелот на FreeBSD, додадена е поддршка за хардверско забрзување на TLS 1.3 со симнување на некои операции поврзани со обработка на шифрирани дојдовни пакети на мрежната картичка. Претходно, слична функција беше достапна за TLS 1.1 и TLS 1.2.
• Во скриптата за стартување growfs, при проширување на root-датотечниот систем, можно е да се додаде партиција за замена ако првично недостасувала таква партиција (на пример, корисна при инсталирање готова системска слика на SD-картичка). За да се контролира големината на swap, нов параметар growfs_swap_size е додаден во rc.conf.
• Скриптата за стартување на хостид гарантира дека се генерира случаен UUID ако недостасува датотеката /etc/hostid и UUID не може да се добие од хардверот. Додадена е и датотека /etc/machine-id со компактна претстава на ID на домаќинот (без цртички).
• Променливите defaultrouter_fibN и ipv6_defaultrouter_fibN се додадени на rc.conf, преку кои можете да додавате стандардни рути на табелите FIB различни од примарната.
• Поддршката за хашови SHA-512/224 е додадена во библиотеката libmd.
• Библиотеката pthread обезбедува поддршка за семантиката на функциите што се користат во Linux.
• Додадена е поддршка за декодирање на системски повици на Linux до kdump. Додадена е поддршка за следење на системски повици во стил на Linux до kdump и sysdecode.
• Услужната алатка killall сега има можност да испрати сигнал до процесите врзани за одреден терминал (на пример, „killall -t pts/1“).
• Додадена е алатка nproc за прикажување на бројот на пресметковни блокови достапни за тековниот процес.
• Поддршка за декодирање на параметрите ACS (Услуги за контрола на пристап) е додадена во алатката pciconf.
• Поставката SPLIT_KERNEL_DEBUG е додадена во кернелот, што ви овозможува да зачувате информации за отстранување грешки за кернелот и модулите на јадрото во посебни датотеки.
• Linux ABI е речиси комплетен со поддршка за механизмот vDSO (виртуелни динамични споделени објекти), кој обезбедува ограничен сет на системски повици достапни во корисничкиот простор без префрлување контекст. Linux ABI на системите ARM64 е изедначен со имплементацијата за архитектурата AMD64.
• Подобрена хардверска поддршка. Додадена е поддршка за следење на перформансите (hwpmc) за процесорите на Intel Alder Lake. Двигателот iwlwifi за безжичните картички на Intel е ажуриран со поддршка за нови чипови и стандардот 802.11ac. Додаден е драјвер rtw88 за безжични картички Realtek со PCI интерфејс. Можностите на слојот linuxkpi се проширени за употреба со двигатели на Linux во FreeBSD.
• Библиотеката OpenSSL е ажурирана на верзијата 1.1.1t, LLVM/Сlang на верзијата 14.0.5, а SSH серверот и клиентот се ажурирани на OpenSSH 9.2p1 (претходната верзија користеше OpenSSH 8.8p1). Ажурирани се и верзии bc 6.2.4, expat 2.5.0, датотека 5.43, помалку 608, libarchive 3.6.2, sendmail 8.17.1, sqlite 3.40.1, неврзан 1.17.1, zlib 1.2.13.

Дополнително, најавено е дека, почнувајќи од гранката на FreeBSD 14.0, еднократните лозинки OPIE, двигатели на ce и cp, двигатели за ISA картички, mergemaster и minigzip комунални услуги, компонентите на банкоматите во netgraph (NgATM), процесот на telnetd позадина и VINUM класа по геом.

Извор: opennet.ru