ProHoster > Blog > wiadomości internetowe > Wydanie OpenBSD 6.5

Wydanie OpenBSD 6.5

zobaczyłem światło релиз свободной, кросс-платформенной UNIX-подобной операционной системы OpenBSD 6.5. Проект OpenBSD был основан Тэо де Раадтом (Theo de Raadt) в 1995 году, после konflikt z twórcami NetBSD, w wyniku czego Teo odmówiono dostępu do repozytorium CVS NetBSD. Następnie Theo de Raadt i grupa podobnie myślących ludzi stworzyli nowy otwarty system operacyjny oparty na drzewie źródeł NetBSD, którego głównym celem była przenośność (wspierany przez 13 platform sprzętowych), standaryzacja, poprawność działania, aktywne bezpieczeństwo i zintegrowane narzędzia kryptograficzne. Pełny rozmiar instalacji Obraz ISO Podstawowy system OpenBSD 6.5 zajmuje 407 MB.

Oprócz samego systemu operacyjnego projekt OpenBSD znany jest ze swoich komponentów, które rozpowszechniły się w innych systemach i okazały się jednymi z najbezpieczniejszych i wysokiej jakości rozwiązań. Pomiędzy nimi: LibreSSL (widelec OpenSSL), OpenSSH, filtr pakietów PF, demony routingu OpenBGPD i OpenOSPFD, serwer NTP OtwórzNTPD, serwer poczty elektronicznej OtwórzSMTPD, multiplekser terminala tekstowego (podobny do ekranu GNU) tmux, demon identyfikować z implementacją protokołu IDENT, alternatywą BSDL dla pakietu GNU groff - mandocja, protokół organizacji systemów odpornych na uszkodzenia CARP (Common Address Redundancy Protocol), lekki serwer http, narzędzie do synchronizacji plików OtwórzRSYNC.

Среди наиболее заметных изменений: представлена переносимая версия bgpd, адаптированная для работы в других ОС, избавлены от использования root-привилегий Xenocara и tcpdump, для amd64 и i386 задействован по умолчанию компоновщик LDD, значительно улучшена поддержка MPLS, усилена защита от эксплоитов с приёмами возвратно-ориентированного программирования (ROP), добавлен простейший рекурсивный DNS-сервер unwind, в ядро интегрирован детектор неопределённого поведения, представлена собственная реализация утилиты rsync.

Głównym ulepszenia:

  • При сборке для архитектур amd64 и i386 по умолчанию задействован компоновщик LDD, развиваемый проектом LLVM. Для архитектуры mips64 добавлена поддержка сборки с использованием Clang;
  • Новые драйверы pvclock для паравиртуализированного таймера KVM и ixl для Intel Ethernet 700. Драйвер uaudio заменён на новую реализацию с поддержкой USB Audio 2.0.
  • Улучшена работа драйверов беспроводных устройств bwfm, iwn, iwm и athn. В беспроводной стек добавлена поддержка сообщений RTM_80211INFO для передачи детальных сведений о состоянии интерфейса в команды dhclient и route. Изменено поведение по молчанию при подключении к беспроводным сетям — при наличии настроенного списка автоподключения, OpenBSD теперь не соединяется с неизвестными открытыми сетями (для возвращения прошлого поведения можно добавить пустую сеть в список);
  • В сетевом стеке представлены новые драйверы псевдоустройств bpe (Backbone Provider Edge) и mpip (MPLS IP layer 2). Для MPLS-интерфейсов добавлена поддержка настройки альтернативных доменов маршрутизации. Обеспечена работа драйвера vlan в обход обработки очередей с выводом напрямую в родительский сетевой интерфейс. В ifconfig добавлен режим txprio для управлением кодированием приоритета в заголовках туннелируемых пакетов (поддерживается для драйверов vlan, gre, gif и etherip);
  • В реализации фильтра bpf появилась возможность применения механизма отбрасывания (drop) без захвата пакетов. Данная возможность задействована в tcpdump для фильтрации на начальном этапе поступления пакета устройством;
  • В инсталляторе обеспечена поддержка rdsetroot для добавления дискового образа в RAMDISK ядра. Обеспечено удаление некоторых компонентов старых релизов в процессе обновления системы;
  • Усовершенствован системный вызов demaskować, который обеспечивает изоляцию доступа к файловой системе. В новой версии добавлено определение совпадений относительно рабочего каталога текущего процесса при разборе относительных путей. Запрещено использование stat и access для ограниченных компонентов файловых путей. Для приложений ospfd, ospf6d, rebound, getconf, kvm_mkdb, bdftopcf, Xserver, passwd, spamlogd, spamd, sensorsd, snmpd, htpasswd и ifstated реализована защита с использованием unveil;
  • В Clang улучшены средства для блокирования применения приёмов возвратно-ориентированного программирования (ROP), позволившие значительно сократить число полиморфных гаджетов, встречающихся в результирующих исполняемых файлах для архитектур i386 и amd64;
  • В Clang повышена производительность и безопасность при применении
    механизма защиты RETGUARD, нацеленного на усложнение выполнения эксплоитов, построенных с использованием заимствования кусков кода и приёмов возвратно-ориентированного программирования. Для ускорения работы вместо стека данные по возможности размещаются в регистрах, а при возврате более эффективно используется процессорный кэш. RETGUARD также теперь используется вместо традиционной защиты стека на системах amd64 и arm64;

  • Улучшены утилиты, связанные с сетевым стеком: В pcap-filter добавлена поддержка фильтрации пакетов MPLS. В ospfd, ospf6d и ripd добавлена возможность настройки приоритетов маршрутизации. В
    ripd добавлена защита на основе механизма zastaw. В ifconfig добавлены режимы sff и sffdump для получения диагностической информации с оптических передатчиков;

  • Представлен первый выпуск нового резолвера rozwijać, обрабатывающего рекурсивные DNS-запросы и принимающего соединения только на интерфейсе 127.0.0.1.
    Unwind рассчитан для использования на клиентских системах, таких как ноутбуки, перемещающиеся между разными беспроводными сетями. В случае определения блокирования DNS-трафика в локальной сети, unwind переключается на использование переданного по DHCP адреса рекурсивного DNS-сервера, но продолжает периодически пытаться выполнить резолвинг самостоятельно и как только прямые запросы начинают проходить возвращается к самостоятельному обращению к DNS-серверам;

  • В bgpd проведена работа по снижению потребления памяти, добавлен простой оптимизатор правил (выполняет слияние правил фильтрации, отличающихся только наборами фильтров), изменён процесс настройки BGP MPLS VPN, добавлена поддержка IPv6 BGP MPLS VPN, реализована функциональность «as-override» для замены AS соседа на локальный AS в путях, добавлена возможность сопоставления с несколькими communitie в одном правиле, добавлены новые признаки сопоставлений «*», «local-as» и «neighbor-as», улучшена работа с большими наборами правил, добавлены новые команды для работы с группами соседних автономных систем ( «bgpctl neighbor group», «bgpctl show neighbor group», «bgpctl show rib neighbor group»), в bgpctl добавлена возможность добавления сетей в таблицы BGP VPN. Впервые подготовлен переносимый вариант OpenBGPD-portable, готовый к работе в системах, отличных от OpenBSD;
  • Dodano opcję kubsan для выявления случаев неопределённого поведения в ядре OpenBSD.
  • Утилита tcpdump полностью избавлена от использования root-привилегий;
  • Улучшена производительность malloc в многопоточных приложениях;
  • В состав добавлена начальная версия программы OtwórzRSYNC с собственной реализацией утилиты синхронизации файлов rsync;
  • Обновлена версия почтового сервера OpenSMTPD, в которой в smtpd.conf добавлен новый критерий сопоставлений «from rdns», позволяющий выбирать севнсы на основе резолвинга обратного DNS (определение имени хоста по IP). При поиске в таблицах добавлена возможность применения регулярных выражений;
  • Pakiet OpenSSH 8.0 został zaktualizowany, można znaleźć szczegółowy przegląd ulepszeń tutaj;
  • Обновлён пакет LibreSSL, подробный обзор улучшений можно посмотреть в анонсах выпусков 2.9.0 и 2.9.1;
  • В Mandoc значительно улучшен вывод в HTML, улучшена отрисовка таблиц и добавлен флаг «-O» для открытия страницы с определением указанного термина;
  • Расширены возможности графического стека Xenocara: X-сервер теперь не требует для запуска установки с флагом setuid. В Mesa-драйвере radeonsi включена поддержка аппаратного ускорения для GPU Southern Islands (Radeon HD 7000) и Sea Islands (Radeon HD 8000);
  • Порты на языке C++ для архитектур не поддерживаемых в Clang теперь собраны с использованием GCC из портов. Число портов для архитектуры AMD64 составило 10602, для aarch64 — 9654, для i386 — 10535. Из находящихся в портах приложений, отмечены:
    • Gwiazdka 16.2.1
    • Audacity 2.3.1
    • CMake 3.10.2
    • Chromium 73.0.3683.86
    • FFmpeg 4.1.3
    • GCC 4.9.4 i 8.3.0
    • GNOME 3.30.2.1
    • Idź 1.12.1
    • JDK 8u202 и 11.0.2+9-3
    • LLVM/Clang 7.0.1
    • LibreOffice 6.2.2.2
    • Lua 5.1.5, 5.2.4 and 5.3.5
    • MariaDB 10.0.38
    • Mono 5.18.1.0
    • Mozilla Firefox 66.0.2 i ESR 60.6.1
    • Mozilla Thunderbird 60.6.1
    • Node.js 10.15.0
    • OpenLDAP 2.3.43 и 2.4.47
    • PHP 7.1.28, 7.2.17 и 7.3.4
    • Postfix 3.3.3 i 3.4.20190106
    • PostgreSQL 11.2
    • Python 2.7.16 и 3.6.8
    • R 3.5.3
    • Ruby 2.4.6, 2.5.5 i 2.6.2
    • Rdza 1.33.0
    • Wyślij pocztę 8.16.0.41
    • SQLite3 3.27.2
    • Meerkat 4.1.3
    • Tcl/Tk 8.5.19 i 8.6.8
    • TeX na żywo 2018
    • Vima 8.1.1048 i Neovima 0.3.4
    • Xfce 4.12
  • Компоненты от сторонних разработчиков, входящие в состав OpenBSD 6.5:
    • Графический стек Xenocara на базе X.Org server 1.19.7 с патчами, freetype 2.9.1, fontconfig 2.12.4, Mesa 18.3.5, xterm 344, xkeyboard-config 2.20;
    • LLVM/Clang 7.0.1 (z poprawkami)
    • GCC 4.2.1 (z poprawkami) i 3.3.6 (z poprawkami)
    • Perl 5.28.1 (z poprawkami)
    • NSD4.1.27
    • Bez ograniczeń 1.9.1
    • Nkursy 5.7
    • Binutils 2.17 (z poprawkami)
    • Gdb 6.3 (z poprawkami)
    • Awk 10 sierpnia 2011
    • Ekspatriant 2.2.6

Źródło: opennet.ru

Dodaj komentarz