ProHoster > blog > internetnieuws > Vrijgave van OpenBSD 6.7

Vrijgave van OpenBSD 6.7

Geïntroduceerd release van een gratis platformonafhankelijk UNIX-achtig besturingssysteem OpenBSD 6.7. Het OpenBSD-project werd in 1995 opgericht door Theo de Raadt conflict met de NetBSD-ontwikkelaars, waardoor Teo de toegang tot de NetBSD CVS-repository werd ontzegd. Hierna creëerden Theo de Raadt en een groep gelijkgestemde mensen een nieuw open besturingssysteem gebaseerd op de NetBSD-bronboom, waarvan de belangrijkste doelen portabiliteit waren (ondersteund door 12 hardwareplatforms), standaardisatie, correcte werking, actieve beveiliging en geïntegreerde cryptografische tools. Volledige installatiegrootte ISO-afbeelding Het OpenBSD 6.7-basissysteem is 470 MB.

Naast het besturingssysteem zelf staat het OpenBSD-project bekend om zijn componenten, die wijdverspreid zijn geworden in andere systemen en zichzelf hebben bewezen als een van de meest veilige en hoogwaardige oplossingen. Onder hen: LibreSSL (vork OpenSSL), OpenSSH, pakketfilter PF, routerende daemonen OpenBGPD en OpenOSPFD, NTP-server NTPD openen, mail server OpenSMTPD, tekstterminalmultiplexer (vergelijkbaar met GNU-scherm) tmux, daemon geïdentificeerd met een implementatie van het IDENT-protocol, een BSDL-alternatief voor het GNU groff-pakket - mandoc, protocol voor het organiseren van fouttolerante systemen CARP (Common Address Redundancy Protocol), lichtgewicht http-server, hulpprogramma voor bestandssynchronisatie OpenRSYNC.

De belangrijkste verbeteringen:

  • Het FFS2-bestandssysteem, dat 64-bit tijd- en blokwaarden gebruikt, is standaard ingeschakeld in nieuwe installaties voor bijna alle ondersteunde architecturen in plaats van FFS (behalve landisk, luna88k en sgi).
  • Er is een nieuwe methode toegevoegd om de geldigheid van systeemaanroepen te controleren, wat de exploitatie van kwetsbaarheden nog ingewikkelder maakt. Met deze methode kunnen systeemoproepen alleen worden uitgevoerd als deze worden benaderd vanuit eerder geregistreerde geheugengebieden. Er is een nieuwe systeemaanroep msyscall() voorgesteld om geheugengebieden te markeren en de beveiliging te activeren.
  • Het aantal partities dat op één schijf kan worden aangemaakt, is verhoogd van 7 naar 15.
  • De parseercode van de cron-optie is herschreven om getopt-achtige functies zoals "-ns" en het opnieuw specificeren van dezelfde vlaggen te ondersteunen. Het veld "opties" in crontab is hernoemd naar "vlaggen". Er is een vlag "-s" aan crontab toegevoegd, zodat er slechts één exemplaar van een taak tegelijk kan worden uitgevoerd. Operator "~" toegevoegd om een ​​willekeurige tijdswaarde op te geven.
  • De cwm window manager implementeert de mogelijkheid om de venstergrootte te bepalen als een percentage van de grootte van het primaire venster in een tegelindeling.
  • De powerpc-architectuur is standaard overgestapt op het gebruik van Clang en heeft een architectuuronafhankelijke implementatie van mplock mogelijk gemaakt.
  • apmd heeft verbeterde ondersteuning voor automatische stand-by en slaapstand (-z/-Z) - de daemon reageert nu op berichten over het wijzigen van de batterijlading die worden verzonden door het stuurprogramma voor stroombewaking. De overgang naar de slaap vindt plaats met een vertraging van 60 seconden, waardoor de gebruiker de tijd heeft om de controle over te nemen.
  • Configuratievariabele $REQUEST_SCHEME toegevoegd aan de ingebouwde HTTP-server om het originele protocol (http of https) te behouden bij het omleiden, evenals een "strip"-optie om meerdere chroots in /var/www toe te staan ​​voor FastCGI-servers.
  • Het bovenste hulpprogramma ondersteunt nu scrollen met de toetsen 9 en 0.
  • Er wordt een mechanisme geïntroduceerd voor het vrijmaken van geheugenpagina's in omgekeerde volgorde, waardoor de efficiëntie van het actief vrijmaken van een groot aantal pagina's aanzienlijk wordt vergroot.
  • Op de ongebonden DNS-server is DNSSEC-controle standaard ingeschakeld.
  • Systeemoproepen zijn bevrijd van globale blokkering
    __thrsleep(2), __thrwakeup(2), close(2), closefrom(2), dup(2), dup2(2), dup3(2), kudde(2), fcntl(2), kqueue(2), pipe(2), pipe2(2) en nanosleep(2), evenals het basisgedeelte van ioctl(2).

  • Uitgebreide hardwareondersteuning. Er is een nieuwe iwx-driver toegevoegd voor Intel AX200 draadloze chips, en de iwm-driver heeft ondersteuning toegevoegd voor Intel 9260- en 9560-apparaten. De rge-driver is toegevoegd voor Realtek 8125 PCI Express 2.5Gb. Er zijn veel nieuwe stuurprogramma's voorgesteld om de prestaties op arm64- en armv7-borden te verbeteren, inclusief extra ondersteuning voor het Raspberry Pi 4-bord en verbeterde ondersteuning voor Raspberry Pi 2 en 3.
  • Het sndio-geluidssubsysteem is uitgebreid. Sioctl_open API en sndioctl-hulpprogramma toegevoegd voor het regelen van geluid via sndiod. /dev/mixer is verwijderd en alle poorten zijn overgeschakeld naar sndio in plaats van de kernelmixerinterface. Sndiod biedt het gebruik van hardware-mechanismen voor volumeregeling. Om de veiligheid te vergroten is reguliere gebruikerstoegang tot /dev/audio* en /dev/rmidi* verboden.
  • De draadloze stapel maakt geen verbinding meer met elk beschikbaar Wi-Fi-netwerk dat geen codering ondersteunt, behalve door expliciet de opdracht 'ifconfig join' aan te roepen. Zorgt ervoor dat een achtergrondscan van beschikbare netwerken wordt gestart wanneer de opdracht “ifconfig scan” wordt uitgevoerd door de rootgebruiker. De cache met scanresultaten is vergroot. De vlag “nwflag nomimo” toegevoegd, ingesteld via ifconfig, die helpt om pakketverlies in de 11n-modus te voorkomen als het apparaat niet-aangesloten antenneconnectoren heeft. Ondersteuning toegevoegd voor de actieve scanmodus voor het bwfm-stuurprogramma. Verbeterde automatische omschakeling tussen draadloze netwerken door de prioriteit te verlagen voor netwerken waarmee geen verbinding kon worden gemaakt.
  • Er is een nieuwe pppac-driver in de netwerkstack verschenen, die de implementatie van de PPP Access Concentrator-interface omvat. npppd.conf instellingen gewijzigd om pppac te gebruiken in plaats van tun. Wanneer pakketomleiding is uitgeschakeld, is er een controle toegevoegd om te controleren of het bestemmingsadres in het pakket overeenkomt met het adres van de netwerkinterface. Mobileip-ondersteuning verwijderd.
  • Het is niet-rootgebruikers verboden om ioctl te gebruiken om het netwerkinterfaceadres te wijzigen en de parameters van pppoe-interfaces te wijzigen.
  • sysupgrade zorgt ervoor dat firmware-updates (fw_update) worden gestart voordat opnieuw wordt opgestart voordat de upgrade wordt uitgevoerd.
  • De onthullingssysteemoproep is verbeterd om isolatie van de toegang tot het bestandssysteem te bieden. Het aantal applicaties uit het basissysteem waarvoor bescherming met behulp van reveal is geïmplementeerd is verhoogd naar 82. Inclusief vmstat, iostat en systat die zijn overgedragen naar reveal.
  • RSA-PSS-ondersteuning is toegevoegd aan crypto(3).
  • DoT-ondersteuning (DNS over TLS) is toegevoegd aan de DNS-resolver. Opdracht "unwindctl statusgeheugen" toegevoegd.
  • De implementatie van ipsec is aanzienlijk gemoderniseerd. Ondersteuning toegevoegd voor het automatisch verplaatsen van verkeer tussen domeinnamen tijdens het versleutelen en ontsleutelen, ter bescherming tegen zijkanaalaanvallen. Ondersteuning toegevoegd voor het wijzigen van rdomain naar iked, en de optie 'rdomain' toegevoegd aan iked.conf
    Het standaardniveau voor iked en isakmpd is IPSEC_LEVEL_REQUIRE, waardoor de verwerking van niet-gecodeerde pakketten die overeenkomen met de stroom wordt voorkomen. De algoritmen curve25519, ecp256, ecp384, ecp521, modp3072 en modp4096 zijn toegevoegd aan de Diffie-Hellman-groepsinstellingen voor IKE SA. In iked is de standaard authenticatiemethode gewijzigd in digitale handtekeningauthenticatie (RFC 7427). ESN-instellingen toegevoegd aan iked.conf. Optie "-p" toegevoegd om een ​​niet-standaard UDP-poortnummer te selecteren.

  • De mogelijkheden van de tmux terminalmultiplexer zijn uitgebreid en er zijn veel nieuwe opties toegevoegd.
  • De versie van de OpenSMTPD-mailserver is bijgewerkt. De ingebouwde filters implementeren het sleutelwoord “bypass” om de verwerking onder gespecificeerde omstandigheden over te slaan. Hiermee kan de gebruikersnaam van de huidige smtpd-sessie in filters worden gebruikt. In smtpd.conf staan ​​de parameters het gebruik van mail-from en rctp-to toe.
  • Het OpenSSH 8.2-pakket is bijgewerkt met ondersteuning voor FIDO/U2F tweefactorauthenticatietokens. U ziet een gedetailleerd overzicht van de verbeteringen hier.
  • Bijgewerkt het LibreSSL-pakket, waarin de implementatie van TLS 1.3 op basis van een nieuwe eindige toestandsmachine en een subsysteem voor het werken met records is voltooid. Standaard is voorlopig alleen het clientgedeelte van TLS 1.3 ingeschakeld; het is de bedoeling dat het servergedeelte in een toekomstige release standaard wordt geactiveerd. Een lijst met andere wijzigingen is te zien in de release-aankondigingen 3.1.0 и 3.1.1.
  • Het aantal poorten voor de AMD64-architectuur was 11268, voor aarch64 - 10848, voor i386 - 10715. Componenten van externe ontwikkelaars opgenomen in OpenBSD 6.7 zijn bijgewerkt:
    • Xenocara grafische stapel gebaseerd op X.Org 7.7 met xserver 1.20.8 + patches, freetype 2.10.1, fontconfig 2.12.4, Mesa 19.2.8, xterm 351, xkeyboard-config 2.20;
    • LLVM/Clang 8.0.1 (met patches)
    • GCC 4.2.1 (met patches) en 3.3.6 (met patches)
    • Perl 5.30.2 (met patches)
    • NSD 4.2.4
    • Niet geconsolideerd 1.10.0
    • Nvloeken 5.7
    • Binutils 2.17 (met patches)
    • Gdb 6.3 (met patches)
    • Awk 20 december 2012
    • Expats 2.2.8

    Bron: opennet.ru

Voeg een reactie