ProHoster > Blog > wiadomości internetowe > Wydanie OpenBSD 6.5

Wydanie OpenBSD 6.5

zobaczyłem światło wydanie darmowego, wieloplatformowego systemu operacyjnego typu UNIX OpenBSD 6.5. Projekt OpenBSD został założony przez Theo de Raadta w 1995 r konflikt z twórcami NetBSD, w wyniku czego Teo odmówiono dostępu do repozytorium CVS NetBSD. Następnie Theo de Raadt i grupa podobnie myślących ludzi stworzyli nowy otwarty system operacyjny oparty na drzewie źródeł NetBSD, którego głównym celem była przenośność (wspierany przez 13 platform sprzętowych), standaryzacja, poprawność działania, aktywne bezpieczeństwo i zintegrowane narzędzia kryptograficzne. Pełny rozmiar instalacji Obraz ISO Podstawowy system OpenBSD 6.5 zajmuje 407 MB.

Oprócz samego systemu operacyjnego projekt OpenBSD znany jest ze swoich komponentów, które rozpowszechniły się w innych systemach i okazały się jednymi z najbezpieczniejszych i wysokiej jakości rozwiązań. Pomiędzy nimi: LibreSSL (widelec OpenSSL), OpenSSH, filtr pakietów PF, demony routingu OpenBGPD i OpenOSPFD, serwer NTP OtwórzNTPD, serwer poczty elektronicznej OtwórzSMTPD, multiplekser terminala tekstowego (podobny do ekranu GNU) tmux, demon identyfikować z implementacją protokołu IDENT, alternatywą BSDL dla pakietu GNU groff - mandocja, protokół organizacji systemów odpornych na uszkodzenia CARP (Common Address Redundancy Protocol), lekki serwer http, narzędzie do synchronizacji plików OtwórzRSYNC.

Wśród najbardziej zauważalnych zmian: wprowadzono przenośną wersję bgpd, dostosowaną do pracy w innych systemach operacyjnych, wyeliminowano korzystanie z uprawnień roota Xenocara i tcpdump, linker LDD jest domyślnie włączony dla amd64 i i386, obsługa MPLS znacznie ulepszono, wzmocniono ochronę przed exploitami za pomocą technik backtrackingu (ROP), dodano najprostszy rekursywny serwer DNS, w jądrze zintegrowano detektor niezdefiniowanego zachowania oraz wprowadzono naszą własną implementację narzędzia rsync. został wprowadzony.

Głównym ulepszenia:

  • Podczas budowania dla architektur amd64 i i386 domyślnie używany jest linker LDD opracowany w projekcie LLVM. Dla architektury mips64 dodano obsługę budowania przy użyciu Clang;
  • Nowe sterowniki pvclock dla parawirtualnego timera KVM i ixl dla Intel Ethernet 700. Sterownik uaudio został zastąpiony nową implementacją z obsługą USB Audio 2.0.
  • Poprawiona wydajność sterowników urządzeń bezprzewodowych bwfm, iwn, iwm i athn. Do stosu sieci bezprzewodowej dodano obsługę komunikatów RTM_80211INFO w celu przesyłania szczegółowych informacji o stanie interfejsu do poleceń dhclient i Route. Zmieniono ciche zachowanie podczas łączenia się z sieciami bezprzewodowymi - jeśli masz skonfigurowaną listę automatycznych połączeń, OpenBSD nie łączy się już z nieznanymi otwartymi sieciami (aby przywrócić poprzednie zachowanie, możesz dodać pustą sieć do listy);
  • Stos sieciowy wprowadza nowe sterowniki pseudourządzeń bpe (Backbone Provider Edge) i mpip (MPLS IP Layer 2). Dodano obsługę konfigurowania alternatywnych domen routingu dla interfejsów MPLS. Włączono sterownik sieci VLAN, aby ominąć przetwarzanie kolejek i wysyłać dane bezpośrednio do nadrzędnego interfejsu sieciowego. Dodano tryb txprio do ifconfig w celu kontrolowania kodowania priorytetów w nagłówkach tunelowanych pakietów (obsługiwane dla sterowników vlan, gre, gif i etherip);
  • W implementacji filtra bpf możliwe stało się wykorzystanie mechanizmu upuszczania bez przechwytywania pakietów. Ta funkcja jest używana w tcpdump do filtrowania na początkowym etapie pakietu odbieranego przez urządzenie;
  • Instalator zapewnia wsparcie rdsetroot aby dodać obraz dysku do jądra RAMDISK. Zapewniono usunięcie niektórych komponentów starych wydań podczas procesu aktualizacji systemu;
  • Ulepszone wywołanie systemowe demaskować, który zapewnia izolację dostępu do systemu plików. Nowa wersja dodaje wykrywanie dopasowań względem katalogu roboczego bieżącego procesu podczas analizowania ścieżek względnych. Używanie statystyk i dostępu do komponentów ścieżki plików o ograniczonym dostępie jest zabronione. Dla aplikacji ospfd, ospf6d, rebound, getconf, kvm_mkdb, bdftopcf, Xserver, passwd, spamlogd, spamd, sensorsd, snmpd, htpasswd i ifstated zaimplementowano ochronę za pomocą odsłonięcia;
  • Clang ulepszył narzędzia do blokowania stosowania technik programowania zorientowanego na zwrot (ROP), co znacznie zmniejszyło liczbę polimorficznych gadżetów znajdowanych w powstałych plikach wykonywalnych dla architektur i386 i amd64;
  • Clang poprawił wydajność i bezpieczeństwo podczas użytkowania
    mechanizm ochronny RETGUARD, mające na celu utrudnienie wykonywania exploitów zbudowanych przy użyciu pożyczonych fragmentów kodu i technik programowania zorientowanych na zwrot. Aby przyspieszyć działanie, dane, jeśli to możliwe, umieszczane są w rejestrach, a nie na stosie, a pamięć podręczna procesora jest wykorzystywana efektywniej podczas powrotu. RETGUARD jest teraz również używany zamiast tradycyjnej ochrony stosu w systemach amd64 i arm64;

  • Udoskonalono narzędzia związane ze stosem sieciowym: Do pcap-filter dodano obsługę filtrowania pakietów MPLS. Do ospfd, ospf6d i ripd dodano możliwość konfiguracji priorytetów routingu. W
    ripd dodał ochronę opartą na mechanizmie zastaw. Dodano tryby sff i sffdump do ifconfig w celu uzyskania informacji diagnostycznych z nadajników optycznych;

  • Zaprezentowano pierwszą wersję nowego narzędzia do rozpoznawania nazw rozwijać, który przetwarza rekurencyjne zapytania DNS i akceptuje połączenia tylko na interfejsie 127.0.0.1.
    Unwind jest przeznaczony do użytku w systemach klienckich, takich jak laptopy, przemieszczających się pomiędzy różnymi sieciami bezprzewodowymi. Jeśli wykryje blokowanie ruchu DNS w sieci lokalnej, unwind przełącza się na korzystanie z adresu rekursywnego serwera DNS przesłanego przez DHCP, ale nadal okresowo próbuje rozwiązać niezależnie i gdy tylko zaczną przechodzić bezpośrednie żądania, powraca do niezależnego dostępu serwery DNS;

  • W bgpd poczyniono prace mające na celu zmniejszenie zużycia pamięci, dodano prosty optymalizator reguł (scala reguły filtrowania różniące się jedynie zestawami filtrów), zmieniono proces konfiguracji BGP MPLS VPN, dodano obsługę IPv6 BGP MPLS VPN , oraz zaimplementowano funkcję „as-override”, aby zastąpić sąsiada AS lokalnym AS w ścieżkach, dodano możliwość dopasowania do kilku społeczności w jednej regule, dodano nowe funkcje dopasowywania „*”, „lokalny-jako” i „sąsiad -as”, poprawiono pracę z dużymi zbiorami reguł, dodano nowe polecenia do pracy z grupami sąsiadującymi z systemami autonomicznymi („bgpctl sąsiad grupa”, „bgpctl show sąsiad grupa”, „bgpctl show rib sąsiad grupa”), możliwość dodawania sieci do tabel BGP VPN został dodany do bgpctl. Po raz pierwszy przygotowano przenośną wersję OpenBGPD-portable, gotową do pracy na systemach innych niż OpenBSD;
  • Dodano opcję kubsan do wykrywania przypadków niezdefiniowanego zachowania w jądrze OpenBSD.
  • Narzędzie tcpdump całkowicie eliminuje użycie uprawnień roota;
  • Poprawiona wydajność malloc w aplikacjach wielowątkowych;
  • Do składu dodana została początkowa wersja programu OtwórzRSYNC z własną implementacją narzędzia do synchronizacji plików rsync;
  • Zaktualizowano wersję serwera pocztowego OpenSMTPD, w której do smtpd.conf dodano nowe kryterium porównania „z rdns”, które umożliwia selekcję sesji w oparciu o odwrotne rozpoznawanie DNS (ustalanie nazwy hosta po IP). Podczas wyszukiwania w tabelach dodano możliwość wykorzystania wyrażeń regularnych;
  • Pakiet OpenSSH 8.0 został zaktualizowany, można znaleźć szczegółowy przegląd ulepszeń tutaj;
  • Pakiet LibreSSL został zaktualizowany, szczegółowy przegląd ulepszeń można znaleźć w zapowiedziach wydania 2.9.0 и 2.9.1;
  • Mandoc znacznie ulepszył wyjście HTML, poprawione renderowanie tabel i dodał flagę „-O”, aby otworzyć stronę z definicją określonego terminu;
  • Możliwości stosu graficznego Xenocara zostały rozszerzone: serwer X nie wymaga już instalacji z flagą setuid do działania. Sterownik radeonsi Mesa obsługuje akcelerację sprzętową dla procesorów graficznych Southern Islands (Radeon HD 7000) i Sea Islands (Radeon HD 8000);
  • Porty C++ dla architektur nieobsługiwanych przez Clang są teraz kompilowane przy użyciu GCC z portów. Liczba portów dla architektury AMD64 wyniosła 10602, dla aarch64 - 9654, dla i386 - 10535. Spośród aplikacji znajdujących się w portach odnotowuje się:
    • Gwiazdka 16.2.1
    • Audacity 2.3.1
    • CMake 3.10.2
    • Chromium 73.0.3683.86
    • FFmpeg 4.1.3
    • GCC 4.9.4 i 8.3.0
    • GNOME 3.30.2.1
    • Idź 1.12.1
    • JDK 8u202 i 11.0.2+9-3
    • LLVM/Clang 7.0.1
    • LibreOffice 6.2.2.2
    • Lua 5.1.5, 5.2.4 i 5.3.5
    • MariaDB 10.0.38
    • Mono 5.18.1.0
    • Mozilla Firefox 66.0.2 i ESR 60.6.1
    • Mozilla Thunderbird 60.6.1
    • Node.js 10.15.0
    • OpenLDAP 2.3.43 i 2.4.47
    • PHP 7.1.28, 7.2.17 i 7.3.4
    • Postfix 3.3.3 i 3.4.20190106
    • PostgreSQL 11.2
    • Python 2.7.16 i 3.6.8
    • R 3.5.3
    • Ruby 2.4.6, 2.5.5 i 2.6.2
    • Rdza 1.33.0
    • Wyślij pocztę 8.16.0.41
    • SQLite3 3.27.2
    • Meerkat 4.1.3
    • Tcl/Tk 8.5.19 i 8.6.8
    • TeX na żywo 2018
    • Vima 8.1.1048 i Neovima 0.3.4
    • Xfce 4.12
  • Komponenty innych firm zawarte w OpenBSD 6.5:
    • Stos graficzny Xenocara oparty na serwerze X.Org 1.19.7 z poprawkami, freetype 2.9.1, Fontconfig 2.12.4, Mesa 18.3.5, xterm 344, xkeyboard-config 2.20;
    • LLVM/Clang 7.0.1 (z poprawkami)
    • GCC 4.2.1 (z poprawkami) i 3.3.6 (z poprawkami)
    • Perl 5.28.1 (z poprawkami)
    • NSD4.1.27
    • Bez ograniczeń 1.9.1
    • Nkursy 5.7
    • Binutils 2.17 (z poprawkami)
    • Gdb 6.3 (z poprawkami)
    • Awk 10 sierpnia 2011
    • Ekspatriant 2.2.6

Źródło: opennet.ru

Dodaj komentarz