Lançamento do OpenBSD 6.5

vi a luz lançamento de um sistema operacional gratuito e multiplataforma semelhante ao UNIX OpenBSD 6.5. O projeto OpenBSD foi fundado por Theo de Raadt em 1995, após conflito com os desenvolvedores do NetBSD, como resultado Teo teve acesso negado ao repositório CVS do NetBSD. Depois disso, Theo de Raadt e um grupo de pessoas com ideias semelhantes criaram um novo sistema operacional aberto baseado na árvore de código-fonte do NetBSD, cujos principais objetivos eram a portabilidade (apoiado por 13 plataformas de hardware), padronização, correto funcionamento, segurança ativa e ferramentas criptográficas integradas. Tamanho total da instalação imagem ISO O sistema básico do OpenBSD 6.5 tem 407 MB.

Além do próprio sistema operacional, o projeto OpenBSD é conhecido por seus componentes, que se difundiram em outros sistemas e se mostraram uma das soluções mais seguras e de alta qualidade. Entre eles: LibreSSL (garfo OpenSSL), OpenSSH, filtro de pacotes PF, daemons de roteamento OpenBGPD e OpenOSPFD, servidor NTP OpenNTPD, servidor de e-mail OpenSMTPD, multiplexador de terminal de texto (semelhante à tela GNU) tmux, demônio identificado com uma implementação do protocolo IDENT, uma alternativa BSDL ao pacote GNU groff - mandoc, protocolo para organização de sistemas tolerantes a falhas CARP (Common Address Redundancy Protocol), leve servidor http, utilitário de sincronização de arquivos OpenRSYNC.

Entre as mudanças mais notáveis: foi introduzida uma versão portátil do bgpd, adaptada para funcionar em outros sistemas operacionais, o uso de privilégios de root Xenocara e tcpdump foi eliminado, o vinculador LDD está habilitado por padrão para amd64 e i386, o suporte MPLS foi significativamente melhorado, e a proteção contra explorações com técnicas de retrocesso foi fortalecida, a programação orientada (ROP), o desenrolamento recursivo mais simples do servidor DNS foi adicionado, um detector de comportamento indefinido foi integrado ao kernel e nossa própria implementação do utilitário rsync foi foi introduzido.

O principal melhorias:

• Ao construir para arquiteturas AMD64 e i386, o vinculador LDD desenvolvido pelo projeto LLVM é usado por padrão. Para a arquitetura mips64, foi adicionado suporte para construção usando Clang;
• Novos drivers pvclock para o temporizador KVM paravirtualizado e ixl para Intel Ethernet 700. O driver uaudio foi substituído por uma nova implementação com suporte para USB Audio 2.0.
• Melhor desempenho dos drivers de dispositivos sem fio bwfm, iwn, iwm e athn. O suporte para mensagens RTM_80211INFO foi adicionado à pilha sem fio para transmitir informações detalhadas do estado da interface para os comandos dhclient e route. O comportamento silencioso ao conectar-se a redes sem fio foi alterado - se você tiver uma lista de conexão automática configurada, o OpenBSD não se conecta mais a redes abertas desconhecidas (para retornar ao comportamento anterior, você pode adicionar uma rede vazia à lista);
• A pilha de rede apresenta novos drivers de pseudo-dispositivo bpe (Backbone Provider Edge) e mpip (MPLS IP camada 2). Adicionado suporte para configuração de domínios de roteamento alternativos para interfaces MPLS. O driver vlan foi habilitado para ignorar o processamento da fila e enviar diretamente para a interface de rede pai. Adicionado modo txprio ao ifconfig para controlar a codificação de prioridade nos cabeçalhos dos pacotes em túnel (suportado para drivers vlan, gre, gif e etherip);
• Na implementação do filtro bpf, tornou-se possível utilizar o mecanismo de drop sem capturar pacotes. Este recurso é usado no tcpdump para filtrar no estágio inicial de um pacote recebido por um dispositivo;
• O instalador fornece suporte rdsetroot para adicionar uma imagem de disco ao RAMDISK do kernel. Assegurei a remoção de alguns componentes de versões antigas durante o processo de atualização do sistema;
• Chamada de sistema aprimorada Desvendar, que fornece isolamento de acesso ao sistema de arquivos. A nova versão adiciona detecção de correspondências relativas ao diretório de trabalho do processo atual ao analisar caminhos relativos. O uso de estatísticas e acesso para componentes de caminho de arquivo restritos é proibido. Para aplicações ospfd, ospf6d, rebound, getconf, kvm_mkdb, bdftopcf, Xserver, passwd, spamlogd, spamd,sensd, snmpd, htpasswd e ifstated, a proteção usando desvelar é implementada;
• Clang aprimorou ferramentas para bloquear o uso de técnicas de programação orientada a retorno (ROP), o que reduziu significativamente o número de gadgets polimórficos encontrados nos arquivos executáveis ​​resultantes para as arquiteturas i386 e AMD64;
• Clang melhorou o desempenho e a segurança ao usar
  mecanismo de proteção RETGUARDA, com o objetivo de complicar a execução de explorações construídas usando pedaços de código emprestados e técnicas de programação orientada a retorno. Para acelerar a operação, os dados são colocados em registradores em vez de na pilha sempre que possível, e o cache do processador é usado de forma mais eficiente ao retornar. RETGUARD também é usado agora no lugar da proteção de pilha tradicional em sistemas AMD64 e ARM64;

• Utilitários relacionados à pilha de rede foram melhorados: Suporte para filtragem de pacotes MPLS foi adicionado ao pcap-filter. A capacidade de configurar prioridades de roteamento foi adicionada ao ospfd, ospf6d e ripd. EM
  ripd adicionou proteção baseada em mecanismo penhor. Adicionados modos sff e sffdump ao ifconfig para obter informações de diagnóstico de transmissores ópticos;

• Apresentada a primeira versão do novo resolvedor descontrair, que processa consultas DNS recursivas e aceita conexões somente na interface 127.0.0.1.
  O Unwind foi projetado para uso em sistemas clientes, como laptops, movendo-se entre diferentes redes sem fio. Se detectar bloqueio de tráfego DNS na rede local, ele passa a usar o endereço do servidor DNS recursivo transferido via DHCP, mas continua tentando periodicamente resolver de forma independente e assim que as solicitações diretas começarem a passar, ele volta a acessar de forma independente Servidores DNS;

• No bgpd, foi feito um trabalho para reduzir o consumo de memória, um otimizador de regras simples foi adicionado (mescla regras de filtragem que diferem apenas nos conjuntos de filtros), o processo de configuração do BGP MPLS VPN foi alterado, o suporte para IPv6 BGP MPLS VPN foi adicionado , e a funcionalidade “as-override” foi implementada para substituir o AS vizinho pelo AS local em caminhos, adicionou a capacidade de combinar com várias comunidades em uma regra, adicionou novos recursos de correspondência “*”, “local-as” e “vizinho -as”, melhorou o trabalho com grandes conjuntos de regras, adicionou novos comandos para trabalhar com grupos de sistemas autônomos vizinhos (“bgpctl Neighbor Group”, “bgpctl show Neighbor Group”, “bgpctl show Rib Neighbour Group”), a capacidade de adicionar redes às tabelas VPN BGP foi adicionado ao bgpctl. Pela primeira vez, foi preparada uma versão portátil do OpenBGPD-portable, pronta para funcionar em outros sistemas que não o OpenBSD;
• Opção adicionada kubsan para detectar casos de comportamento indefinido no kernel do OpenBSD.
• O utilitário tcpdump elimina completamente o uso de privilégios de root;
• Melhor desempenho de malloc em aplicativos multithread;
• A versão inicial do programa foi adicionada à composição OpenRSYNC com sua própria implementação do utilitário de sincronização de arquivos rsync;
• Foi atualizada a versão do servidor de e-mail OpenSMTPD, na qual um novo critério de comparação “de rdns” foi adicionado ao smtpd.conf, que permite selecionar sessões com base na resolução DNS reversa (determinando o nome do host por IP). Ao pesquisar em tabelas, foi adicionada a capacidade de usar expressões regulares;
• O pacote OpenSSH 8.0 foi atualizado, uma visão geral detalhada das melhorias pode ser encontrada aqui;
• O pacote LibreSSL foi atualizado, uma visão geral detalhada das melhorias pode ser encontrada nos anúncios de lançamento 2.9.0 и 2.9.1;
• Mandoc melhorou significativamente a saída HTML, melhorou a renderização de tabelas e adicionou um sinalizador “-O” para abrir uma página com a definição do termo especificado;
• Os recursos da pilha gráfica Xenocara foram expandidos: o servidor X não requer mais instalação com o sinalizador setuid para funcionar. O driver radeonsi Mesa inclui suporte para aceleração de hardware para GPUs das Ilhas do Sul (Radeon HD 7000) e Ilhas do Mar (Radeon HD 8000);
• As portas C++ para arquiteturas não suportadas pelo Clang agora são compiladas usando GCC a partir das portas. O número de portas para a arquitetura AMD64 foi 10602, para aarch64 - 9654, para i386 - 10535. Dos aplicativos localizados nas portas, destacam-se os seguintes:
  • Asterisco 16.2.1
  • Audacity 2.3.1
  • CFaça 3.10.2
  • Cromo 73.0.3683.86
  • FFmpeg 4.1.3
  • GCC 4.9.4 e 8.3.0
  • GNOME 3.30.2.1
  • Ir 1.12.1
  • JDK 8u202 e 11.0.2+9-3
  • LLVM/Clang 7.0.1
  • LibreOffice 6.2.2.2
  • Lua 5.1.5, 5.2.4 e 5.3.5
  • MariaDB 10.0.38
  • Macaco 5.18.1.0
  • Mozilla Firefox 66.0.2 e ESR 60.6.1
  • Mozilla Thunderbird 60.6.1
  • Node.js 10.15.0
  • OpenLDAP 2.3.43 e 2.4.47
  • PHP 7.1.28, 7.2.17 e 7.3.4
  • Postfix 3.3.3 e 3.4.20190106
  • PostgreSQL 11.2
  • Python 2.7.16 e 3.6.8
  • R 3.5.3
  • Ruby 2.4.6, 2.5.5 e 2.6.2
  • Ferrugem 1.33.0
  • Sendmail 8.16.0.41
  • SQLite3 3.27.2
  • Meerkat 4.1.3
  • Tcl/Tk 8.5.19 e 8.6.8
  • TeX ao vivo 2018
  • Vim 8.1.1048 e Neovim 0.3.4
  • Xfce 4.12
• Componentes de terceiros incluídos no OpenBSD 6.5:
  • Pilha gráfica Xenocara baseada no servidor X.Org 1.19.7 com patches, freetype 2.9.1, fontconfig 2.12.4, Mesa 18.3.5, xterm 344, xkeyboard-config 2.20;
  • LLVM/Clang 7.0.1 (com patches)
  • GCC 4.2.1 (com patches) e 3.3.6 (com patches)
  • Perl 5.28.1 (com patches)
  • NSD 4.1.27
  • Não consolidado 1.9.1
  • Nmaldições 5.7
  • Binutils 2.17 (com patches)
  • Gdb 6.3 (com patches)
  • Awk 10 de agosto de 2011
  • Expatriado 2.2.6

Fonte: opennet.ru