ProHoster > Blog > wiadomości internetowe > Wydanie OpenBSD 6.7

Wydanie OpenBSD 6.7

Przesłane przez wydanie bezpłatnego, wieloplatformowego systemu operacyjnego typu UNIX OpenBSD 6.7. Projekt OpenBSD został założony przez Theo de Raadt w 1995 roku konflikt z twórcami NetBSD, w wyniku czego Teo odmówiono dostępu do repozytorium CVS NetBSD. Następnie Theo de Raadt i grupa podobnie myślących ludzi stworzyli nowy otwarty system operacyjny oparty na drzewie źródeł NetBSD, którego głównym celem była przenośność (wspierany przez 12 platform sprzętowych), standaryzacja, poprawność działania, aktywne bezpieczeństwo i zintegrowane narzędzia kryptograficzne. Pełny rozmiar instalacji Obraz ISO Podstawowy system OpenBSD 6.7 zajmuje 470 MB.

Oprócz samego systemu operacyjnego projekt OpenBSD znany jest ze swoich komponentów, które rozpowszechniły się w innych systemach i okazały się jednymi z najbezpieczniejszych i wysokiej jakości rozwiązań. Pomiędzy nimi: LibreSSL (widelec OpenSSL), OpenSSH, filtr pakietów PF, demony routingu OpenBGPD i OpenOSPFD, serwer NTP OtwórzNTPD, serwer poczty elektronicznej OtwórzSMTPD, multiplekser terminala tekstowego (podobny do ekranu GNU) tmux, demon identyfikować z implementacją protokołu IDENT, alternatywą BSDL dla pakietu GNU groff - mandocja, protokół organizacji systemów odpornych na uszkodzenia CARP (Common Address Redundancy Protocol), lekki serwer http, narzędzie do synchronizacji plików OtwórzRSYNC.

Głównym ulepszenia:

  • System plików FFS2, który wykorzystuje 64-bitowe wartości czasu i bloków, jest domyślnie włączony w nowych instalacjach dla prawie wszystkich obsługiwanych architektur zamiast FFS (z wyjątkiem landisk, luna88k i sgi).
  • Dodano nową metodę sprawdzania ważności wywołań systemowych, co jeszcze bardziej komplikuje wykorzystanie luk. Metoda umożliwia wykonywanie wywołań systemowych tylko wtedy, gdy dostęp do nich odbywa się z wcześniej zarejestrowanych obszarów pamięci. Zaproponowano nowe wywołanie systemowe msyscall() umożliwiające zaznaczenie obszarów pamięci i aktywację ochrony.
  • Zwiększono liczbę partycji, które można utworzyć na jednym dysku, z 7 do 15.
  • Kod analizujący opcję cron został przepisany, aby obsługiwał funkcje podobne do getopt, takie jak „-ns” i ponowne określanie tych samych flag. Pole „opcje” w crontabie zostało przemianowane na „flagi”. Dodano flagę „-s” do pliku crontab, dzięki czemu w danym momencie może być uruchomione tylko jedno wystąpienie zadania. Dodano operator „~” w celu określenia losowej wartości czasu.
  • Menedżer okien CWM implementuje możliwość określenia rozmiaru okna jako procentu rozmiaru głównego okna w układzie kafelkowym.
  • Architektura powerpc domyślnie przełączyła się na używanie Clang i umożliwiła niezależną od architektury implementację mplock.
  • apmd poprawiło obsługę automatycznego stanu wstrzymania i hibernacji (-z/-Z) - demon odpowiada teraz na komunikaty o zmianie poziomu naładowania baterii wysyłane przez sterownik monitorujący moc. Przejście w stan uśpienia następuje z opóźnieniem 60 sekund, co daje użytkownikowi czas na przejęcie kontroli.
  • Dodano zmienną konfiguracyjną $REQUEST_SCHEME do wbudowanego serwera HTTP, aby zachować oryginalny protokół (http lub https) podczas przekierowania, a także opcję „strip”, aby umożliwić wiele chrootów w /var/www dla serwerów FastCGI.
  • Najlepsze narzędzie obsługuje teraz przewijanie za pomocą klawiszy 9 i 0.
  • Wprowadzono mechanizm zwalniania stron pamięci w odwrotnej kolejności, co znacznie zwiększa efektywność aktywnego zwalniania dużej liczby stron.
  • Niepowiązany serwer DNS ma domyślnie włączone sprawdzanie DNSSEC.
  • Wywołania systemowe są wolne od globalnego blokowania
    __thrsleep(2), __thrwakeup(2), zamknij(2), zamknij(2), dup(2), dup2(2), dup3(2), stado(2), fcntl(2), kqueue(2), pipe(2), pipe2(2) i nanosleep(2), a także podstawową część ioctl(2).

  • Rozszerzona obsługa sprzętu. Dodano nowy sterownik iwx dla układów bezprzewodowych Intel AX200, a sterownik iwm dodał obsługę urządzeń Intel 9260 i 9560. Dodano sterownik rge dla karty Realtek 8125 PCI Express 2.5 Gb. Zaproponowano wiele nowych sterowników w celu poprawy wydajności płyt arm64 i armv7, w tym dodano obsługę płyty Raspberry Pi 4 i ulepszoną obsługę Raspberry Pi 2 i 3.
  • Podsystem dźwiękowy sndio został rozbudowany. Dodano sioctl_open API i narzędzie sndioctl do kontrolowania dźwięku poprzez sndiod. /dev/mixer został usunięty, a wszystkie porty przełączone na sndio zamiast interfejsu miksera jądra. Sndiod zapewnia wykorzystanie sprzętowych mechanizmów regulacji głośności. Aby zwiększyć bezpieczeństwo, dostęp zwykłych użytkowników do /dev/audio* i /dev/rmidi* jest zabroniony.
  • Stos sieci bezprzewodowej przestaje łączyć się z dowolną dostępną siecią Wi-Fi, która nie obsługuje szyfrowania, chyba że jawnie wywoła polecenie „ifconfig Join”. Zapewnia rozpoczęcie skanowania w tle dostępnych sieci po wykonaniu polecenia „ifconfig scan” przez użytkownika root. Zwiększono pamięć podręczną wyników skanowania. Dodano flagę „nwflag nomimo”, ustawianą za pomocą ifconfig, która pomaga pozbyć się utraty pakietów w trybie 11n, jeśli urządzenie ma niepodłączone złącza antenowe. Dodano obsługę aktywnego trybu skanowania dla sterownika bwfm. Ulepszono automatyczne przełączanie pomiędzy sieciami bezprzewodowymi poprzez obniżenie priorytetu sieci, z którymi nie można było się połączyć.
  • W stosie sieciowym pojawił się nowy sterownik pppac, który uwzględnia implementację interfejsu Koncentratora Dostępu PPP. Zmieniono ustawienia npppd.conf, aby używać pppac zamiast tun. Gdy przekierowywanie pakietów jest wyłączone, dodano kontrolę sprawdzającą, czy adres docelowy w pakiecie jest zgodny z adresem interfejsu sieciowego. Usunięto obsługę Mobileip.
  • Użytkownikom innym niż root zabrania się używania ioctl do zmiany adresu interfejsu sieciowego i zmiany parametrów interfejsów pppoe.
  • sysupgrade zapewnia, że ​​aktualizacje oprogramowania sprzętowego (fw_update) zostaną uruchomione przed ponownym uruchomieniem przed aktualizacją.
  • Wywołanie systemowe odsłonięcia zostało ulepszone, aby zapewnić izolację dostępu do systemu plików. Do 82 zwiększono liczbę aplikacji z systemu bazowego, dla których zaimplementowano ochronę przy użyciu odsłonięcia. W tym vmstat, iostat i systat przeniesione do odsłonięcia.
  • Do crypto(3) dodano obsługę RSA-PSS.
  • Do modułu rozpoznawania nazw unwind DNS dodano obsługę DoT (DNS przez TLS). Dodano polecenie „unwindctl status memory”.
  • Implementacja protokołu ipsec została znacznie unowocześniona. Dodano obsługę automatycznego przenoszenia ruchu pomiędzy domenami rdomen podczas szyfrowania i deszyfrowania w celu ochrony przed atakami typu side-channel. Dodano obsługę zmiany domeny rdomain na iked i dodano opcję „rdomain” do pliku iked.conf
    Domyślny poziom dla iked i isakmpd to IPSEC_LEVEL_REQUIRE, który zapobiega przetwarzaniu niezaszyfrowanych pakietów odpowiadających przepływowi. Algorytmy curve25519, ecp256, ecp384, ecp521, modp3072 i modp4096 zostały dodane do ustawień grupy Diffie-Hellman dla IKE SA. W iked domyślna metoda uwierzytelniania została zmieniona na uwierzytelnianie podpisu cyfrowego (RFC 7427). Dodano ustawienia ESN do pliku iked.conf. Dodano opcję „-p” umożliwiającą wybranie niestandardowego numeru portu UDP.

  • Rozszerzono możliwości multipleksera terminala tmux i dodano wiele nowych opcji.
  • Wersja serwera pocztowego OpenSMTPD została zaktualizowana. Wbudowane filtry implementują słowo kluczowe „bypass”, aby pominąć przetwarzanie w określonych warunkach. Umożliwia użycie w filtrach nazwy użytkownika bieżącej sesji smtpd. W smtpd.conf parametry pozwalają na użycie mail-from i rctp-to.
  • Pakiet OpenSSH 8.2 został zaktualizowany, aby uwzględnić obsługę tokenów uwierzytelniania dwuskładnikowego FIDO/U2F. Możesz zobaczyć szczegółowy przegląd ulepszeń tutaj.
  • Zaktualizowano pakiet LibreSSL, w którym zakończono wdrożenie protokołu TLS 1.3 w oparciu o nową maszynę o skończonych stanach i podsystem do pracy z rekordami. Domyślnie na razie włączona jest tylko część kliencka protokołu TLS 1.3; część serwerowa ma zostać domyślnie aktywowana w przyszłej wersji. Listę pozostałych zmian można zobaczyć w zapowiedziach wydania 3.1.0 и 3.1.1.
  • Liczba portów dla architektury AMD64 wynosiła 11268, dla aarch64 – 10848, dla i386 – 10715. Komponenty od zewnętrznych programistów zawarte w OpenBSD 6.7 zostały zaktualizowane:
    • Stos graficzny Xenocara oparty na X.Org 7.7 z xserver 1.20.8 + łatki, freetype 2.10.1, Fontconfig 2.12.4, Mesa 19.2.8, xterm 351, xkeyboard-config 2.20;
    • LLVM/Clang 8.0.1 (z poprawkami)
    • GCC 4.2.1 (z poprawkami) i 3.3.6 (z poprawkami)
    • Perl 5.30.2 (z poprawkami)
    • NSD4.2.4
    • Bez ograniczeń 1.10.0
    • Nkursy 5.7
    • Binutils 2.17 (z poprawkami)
    • Gdb 6.3 (z poprawkami)
    • Ach, 20 grudnia 2012
    • Ekspatriant 2.2.8

    Źródło: opennet.ru

Dodaj komentarz