ProHoster > Blog > notícias da internet > Lançamento do OpenBSD 6.7

Lançamento do OpenBSD 6.7

Introduzido lançamento de um sistema operacional gratuito de plataforma cruzada semelhante ao UNIX OpenBSD 6.7. O projeto OpenBSD foi fundado por Theo de Raadt em 1995 após conflito com os desenvolvedores do NetBSD, como resultado Teo teve acesso negado ao repositório CVS do NetBSD. Depois disso, Theo de Raadt e um grupo de pessoas com ideias semelhantes criaram um novo sistema operacional aberto baseado na árvore de código-fonte do NetBSD, cujos principais objetivos eram a portabilidade (apoiado por 12 plataformas de hardware), padronização, correto funcionamento, segurança ativa e ferramentas criptográficas integradas. Tamanho total da instalação imagem ISO O sistema básico do OpenBSD 6.7 tem 470 MB.

Além do próprio sistema operacional, o projeto OpenBSD é conhecido por seus componentes, que se difundiram em outros sistemas e se mostraram uma das soluções mais seguras e de alta qualidade. Entre eles: LibreSSL (garfo OpenSSL), OpenSSH, filtro de pacotes PF, daemons de roteamento OpenBGPD e OpenOSPFD, servidor NTP OpenNTPD, servidor de e-mail OpenSMTPD, multiplexador de terminal de texto (semelhante à tela GNU) tmux, demônio identificado com uma implementação do protocolo IDENT, uma alternativa BSDL ao pacote GNU groff - mandoc, protocolo para organização de sistemas tolerantes a falhas CARP (Common Address Redundancy Protocol), leve servidor http, utilitário de sincronização de arquivos OpenRSYNC.

O principal melhorias:

  • O sistema de arquivos FFS2, que usa tempo e valores de bloco de 64 bits, é habilitado por padrão em novas instalações para quase todas as arquiteturas suportadas em vez de FFS (exceto landisk, luna88k e sgi).
  • Foi adicionado um novo método para verificar a validade das chamadas do sistema, o que complica ainda mais a exploração de vulnerabilidades. O método permite que chamadas de sistema sejam executadas somente se forem acessadas de áreas de memória previamente registradas. Uma nova chamada de sistema msyscall() foi proposta para marcar áreas de memória e ativar proteção.
  • O número de partições que podem ser criadas em um disco aumentou de 7 para 15.
  • O código de análise da opção cron foi reescrito para suportar recursos do tipo getopt, como "-ns" e reespecificar os mesmos sinalizadores. O campo “opções” no crontab foi renomeado para “sinalizadores”. Adicionado um sinalizador "-s" ao crontab para que apenas uma instância de um trabalho possa ser executada por vez. Adicionado operador "~" para especificar um valor de tempo aleatório.
  • O gerenciador de janelas cwm implementa a capacidade de determinar o tamanho da janela como uma porcentagem do tamanho da janela principal em um layout lado a lado.
  • A arquitetura powerpc passou a usar Clang por padrão e permitiu uma implementação de mplock independente da arquitetura.
  • apmd melhorou o suporte para espera e hibernação automáticas (-z/-Z) - o daemon agora responde às mensagens de alteração de carga da bateria enviadas pelo driver de monitoramento de energia. A transição para dormir ocorre com um atraso de 60 segundos, o que dá ao usuário tempo para assumir o controle.
  • Adicionada a variável de configuração $REQUEST_SCHEME ao servidor HTTP integrado para preservar o protocolo original (http ou https) ao redirecionar, bem como uma opção "strip" para permitir vários chroots em /var/www para servidores FastCGI.
  • O utilitário principal agora suporta rolagem usando as teclas 9 e 0.
  • É introduzido um mecanismo para liberar páginas de memória na ordem inversa, o que aumenta significativamente a eficiência de liberação ativa de um grande número de páginas.
  • O servidor DNS não vinculado tem a verificação DNSSEC habilitada por padrão.
  • As chamadas do sistema estão livres do bloqueio global
    __thrsleep(2), __thrwakeup(2), close(2), closefrom(2), dup(2), dup2(2), dup3(2), rebanho(2), fcntl(2), kqueue(2), pipe(2), pipe2(2) e nanosleep(2), bem como a parte básica do ioctl(2).

  • Suporte de hardware expandido. Um novo driver iwx foi adicionado para chips sem fio Intel AX200, e o driver iwm adicionou suporte para dispositivos Intel 9260 e 9560. O driver rge foi adicionado para Realtek 8125 PCI Express 2.5 Gb. Muitos novos drivers foram propostos para melhorar o desempenho nas placas arm64 e armv7, incluindo suporte adicional para a placa Raspberry Pi 4 e suporte aprimorado para Raspberry Pi 2 e 3.
  • O subsistema de som sndio foi expandido. Adicionada API sioctl_open e utilitário sndioctl para controlar o som via sndiod. /dev/mixer foi removido e todas as portas foram trocadas para sndio em vez da interface do mixer do kernel. Sndiod fornece o uso de mecanismos de controle de volume de hardware. Para aumentar a segurança, o acesso regular do usuário a /dev/audio* e /dev/rmidi* é proibido.
  • A pilha sem fio interrompe a conexão com qualquer rede Wi-Fi disponível que não suporte criptografia, exceto chamando explicitamente o comando "ifconfig join". Garante que uma verificação em segundo plano das redes disponíveis seja iniciada quando o comando “ifconfig scan” for executado pelo usuário root. O cache dos resultados da verificação foi aumentado. Adicionado o sinalizador “nwflag nomimo”, definido via ifconfig, que ajuda a eliminar a perda de pacotes no modo 11n se o dispositivo tiver conectores de antena desconectados. Adicionado suporte para modo de digitalização ativo para o driver bwfm. Melhoria da comutação automática entre redes sem fio, reduzindo a prioridade para redes às quais não era possível conectar-se.
  • Um novo driver pppac apareceu na pilha de rede, que inclui a implementação da interface PPP Access Concentrator. Alteradas as configurações do npppd.conf para usar pppac em vez de tun. Quando o redirecionamento de pacotes está desativado, foi adicionada uma verificação para verificar se o endereço de destino no pacote corresponde ao endereço da interface de rede. Suporte Mobileip removido.
  • Usuários não root estão proibidos de usar ioctl para alterar o endereço da interface de rede e alterar os parâmetros das interfaces pppoe.
  • sysupgrade garante que as atualizações de firmware (fw_update) sejam iniciadas antes da reinicialização antes da atualização.
  • A chamada de sistema de revelação foi aprimorada para fornecer isolamento de acesso ao sistema de arquivos. O número de aplicativos do sistema básico para os quais a proteção usando desvelamento é implementada foi aumentado para 82. Incluindo vmstat, iostat e systat transferidos para desvelamento.
  • O suporte RSA-PSS foi adicionado ao crypto(3).
  • O suporte DoT (DNS sobre TLS) foi adicionado ao resolvedor DNS de desenrolamento. Adicionado o comando "unwindctl status memory".
  • A implementação do ipsec foi significativamente modernizada. Adicionado suporte para movimentação automática de tráfego entre rdomains durante a criptografia e descriptografia para proteção contra ataques de canal lateral. Adicionado suporte para alterar rdomain para iked e adicionada a opção 'rdomain' para iked.conf
    O nível padrão para iked e isakmpd é IPSEC_LEVEL_REQUIRE, que impede o processamento de pacotes não criptografados correspondentes ao fluxo. Os algoritmos curve25519, ecp256, ecp384, ecp521, modp3072 e modp4096 foram adicionados às configurações do grupo Diffie-Hellman para IKE SA. No iked, o método de autenticação padrão foi alterado para autenticação por assinatura digital (RFC 7427). Adicionadas configurações de ESN ao iked.conf. Adicionada opção "-p" para selecionar um número de porta UDP não padrão.

  • Os recursos do multiplexador de terminal tmux foram expandidos e muitas novas opções foram adicionadas.
  • A versão do servidor de e-mail OpenSMTPD foi atualizada. Os filtros integrados implementam a palavra-chave “bypass” para pular o processamento sob condições especificadas. Permite que o nome de usuário da sessão smtpd atual seja usado em filtros. No smtpd.conf, os parâmetros permitem o uso de mail-from e rctp-to.
  • O pacote OpenSSH 8.2 foi atualizado para incluir suporte para tokens de autenticação de dois fatores FIDO/U2F. Você pode ver uma visão geral detalhada das melhorias aqui.
  • Atualizada o pacote LibreSSL, no qual foi concluída a implementação do TLS 1.3 baseado em uma nova máquina de estados finitos e um subsistema para trabalhar com registros. Por padrão, apenas a parte do cliente do TLS 1.3 está habilitada por enquanto; a parte do servidor está planejada para ser ativada por padrão em uma versão futura. Uma lista de outras mudanças pode ser vista nos anúncios de lançamento 3.1.0 и 3.1.1.
  • O número de portas para a arquitetura AMD64 era 11268, para aarch64 - 10848, para i386 - 10715. Os componentes de desenvolvedores terceiros incluídos no OpenBSD 6.7 foram atualizados:
    • Pilha gráfica Xenocara baseada em X.Org 7.7 com xserver 1.20.8 + patches, freetype 2.10.1, fontconfig 2.12.4, Mesa 19.2.8, xterm 351, xkeyboard-config 2.20;
    • LLVM/Clang 8.0.1 (com patches)
    • GCC 4.2.1 (com patches) e 3.3.6 (com patches)
    • Perl 5.30.2 (com patches)
    • NSD 4.2.4
    • Não consolidado 1.10.0
    • Nmaldições 5.7
    • Binutils 2.17 (com patches)
    • Gdb 6.3 (com patches)
    • Awk 20 de dezembro de 2012
    • Expatriado 2.2.8

    Fonte: opennet.ru

Adicionar um comentário