ProHoster > Blog > internetové správy > Vydanie OpenBSD 6.5

Vydanie OpenBSD 6.5

Videl svetlo vydanie bezplatného operačného systému podobného UNIXu pre rôzne platformy OpenBSD 6.5. Projekt OpenBSD založil Theo de Raadt v roku 1995, po konflikt s vývojármi NetBSD, v dôsledku čoho bol Teovi odmietnutý prístup k úložisku NetBSD CVS. Potom Theo de Raadt a skupina rovnako zmýšľajúcich ľudí vytvorili nový otvorený operačný systém založený na zdrojovom strome NetBSD, ktorého hlavným cieľom bola prenosnosť (podporovaný 13 hardvérových platforiem), štandardizácia, správne fungovanie, aktívne zabezpečenie a integrované kryptografické nástroje. Plná veľkosť inštalácie ISO obraz Základný systém OpenBSD 6.5 má 407 MB.

Okrem samotného operačného systému je projekt OpenBSD známy svojimi komponentmi, ktoré sa rozšírili aj v iných systémoch a osvedčili sa ako jedno z najbezpečnejších a najkvalitnejších riešení. Medzi nimi: libressl (vidlička OpenSSL), OpenSSH, paketový filter PF, smerovacie démony OpenBGPD a OpenOSPFD, NTP server OpenNTPD, poštový server OpenSMTPD, multiplexer textového terminálu (podobný obrazovke GNU) tmux, démon identd s implementáciou protokolu IDENT, alternatívou BSDL k balíku GNU groff - mandoc, protokol na organizovanie systémov odolných voči chybám CARP (Common Address Redundancy Protocol), ľahký http server, nástroj na synchronizáciu súborov OpenRSYNC.

Medzi najvýznamnejšie zmeny: bola predstavená prenosná verzia bgpd prispôsobená na prácu v iných operačných systémoch, používanie koreňových práv Xenocara a tcpdump bolo eliminované, linker LDD je štandardne povolený pre amd64 a i386, bola podpora MPLS výrazne vylepšené a bola posilnená ochrana proti exploitom s technikami backtrackingu. Orientované programovanie (ROP), bol pridaný najjednoduchší rekurzívny DNS server unwind, do jadra bol integrovaný detektor nedefinovaného správania a naša vlastná implementácia utility rsync bola predstavená.

Hlavné vylepšenia:

  • Pri vytváraní pre architektúry amd64 a i386 sa štandardne používa linker LDD vyvinutý projektom LLVM. Pre architektúru mips64 bola pridaná podpora pre vytváranie pomocou Clang;
  • Nové ovládače pvclock pre paravirtualizovaný časovač KVM a ixl pre Intel Ethernet 700. Ovládač uaudio bol nahradený novou implementáciou s podporou USB Audio 2.0.
  • Vylepšený výkon ovládačov bezdrôtových zariadení bwfm, iwn, iwm a athn. Do bezdrôtového zásobníka bola pridaná podpora pre správy RTM_80211INFO na prenos podrobných informácií o stave rozhrania do príkazov dhclient a route. Tiché správanie pri pripájaní k bezdrôtovým sieťam bolo zmenené - ak máte nakonfigurovaný zoznam automatického pripojenia, OpenBSD sa už nepripája k neznámym otvoreným sieťam (ak chcete vrátiť predchádzajúce správanie, môžete do zoznamu pridať prázdnu sieť);
  • Sieťový zásobník zavádza nové ovládače pseudozariadení bpe (Backbone Provider Edge) a mpip (MPLS IP vrstva 2). Pridaná podpora pre konfiguráciu alternatívnych smerovacích domén pre rozhrania MPLS. Ovládač vlan má povolené obísť spracovanie frontu a výstup priamo do nadradeného sieťového rozhrania. Do ifconfig bol pridaný režim txprio na riadenie prioritného kódovania v hlavičkách tunelovaných paketov (podporované pre ovládače vlan, gre, gif a etherip);
  • Pri implementácii filtra bpf bolo možné použiť mechanizmus drop bez zachytávania paketov. Táto vlastnosť sa používa v tcpdump na filtrovanie v počiatočnom štádiu paketu prijímaného zariadením;
  • Inštalátor poskytuje podporu rdsetroot na pridanie obrazu disku do jadra RAMDISK. Zabezpečil odstránenie niektorých komponentov starých vydaní počas procesu aktualizácie systému;
  • Vylepšené systémové volanie odhaliť, ktorý poskytuje izoláciu prístupu k súborovému systému. Nová verzia pridáva detekciu zhôd vo vzťahu k pracovnému adresáru aktuálneho procesu pri analýze relatívnych ciest. Používanie štatistík a prístupu pre obmedzené komponenty cesty k súboru je zakázané. Pre aplikácie ospfd, ospf6d, rebound, getconf, kvm_mkdb, bdftopcf, Xserver, passwd, spamlogd, spamd, sensorsd, snmpd, htpasswd a ifstated je implementovaná ochrana pomocou unveil;
  • Clang vylepšil nástroje na blokovanie používania techník návratovo orientovaného programovania (ROP), čo výrazne znížilo počet polymorfných gadgetov nachádzajúcich sa vo výsledných spustiteľných súboroch pre architektúry i386 a amd64;
  • Clang má vylepšený výkon a bezpečnosť pri používaní
    ochranný mechanizmus RETGUARD, zameraný na skomplikovanie vykonávania exploitov vytvorených pomocou vypožičiavania si kúskov kódu a návratovo orientovaných programovacích techník. Na urýchlenie prevádzky sa údaje umiestňujú do registrov namiesto zásobníka vždy, keď je to možné, a vyrovnávacia pamäť procesora sa pri návrate využíva efektívnejšie. RETGUARD sa teraz tiež používa namiesto tradičnej ochrany zásobníka na systémoch amd64 a arm64;

  • Nástroje súvisiace so sieťovým zásobníkom boli vylepšené: Do pcap-filter bola pridaná podpora pre filtrovanie paketov MPLS. Možnosť konfigurovať priority smerovania bola pridaná do ospfd, ospf6d a ripd. IN
    ochrana založená na mechanizme ripd zástava. Pridané režimy sff a sffdump do ifconfig na získanie diagnostických informácií z optických vysielačov;

  • Predstavené prvé vydanie nového resolvera odpočinúť, ktorý spracováva rekurzívne DNS dotazy a prijíma pripojenia iba na rozhraní 127.0.0.1.
    Unwind je navrhnutý na použitie na klientskych systémoch, ako sú notebooky, ktoré sa pohybujú medzi rôznymi bezdrôtovými sieťami. Ak zistí blokovanie prenosu DNS v lokálnej sieti, prepne sa na používanie adresy rekurzívneho servera DNS preneseného cez DHCP, ale naďalej sa pravidelne pokúša vyriešiť nezávisle a hneď ako začnú prechádzať priame požiadavky, vráti sa k nezávislému prístupu. DNS servery;

  • V bgpd sa pracovalo na znížení spotreby pamäte, bol pridaný jednoduchý optimalizátor pravidiel (zlučuje pravidlá filtrovania, ktoré sa líšia iba sadami filtrov), zmenil sa proces konfigurácie BGP MPLS VPN, bola pridaná podpora pre IPv6 BGP MPLS VPN a bola implementovaná funkcia „as-override“ s cieľom nahradiť susedný AS miestnym AS v cestách, pridaná možnosť spájania s niekoľkými komunitami v jednom pravidle, pridané nové funkcie priraďovania „*“, „lokálne-ako“ a „sused -as“, vylepšená práca s veľkými súbormi pravidiel, pridané nové príkazy pre prácu so skupinami susediacich autonómnych systémov („bgpctl susedná skupina“, „bgpctl zobraziť susednú skupinu“, „bgpctl zobraziť rib susednú skupinu“), možnosť pridávať siete do tabuliek BGP VPN bol pridaný do bgpctl. Prvýkrát bola pripravená prenosná verzia OpenBGPD-portable, pripravená na prácu na iných systémoch ako OpenBSD;
  • Pridaná možnosť kubsan na detekciu prípadov nedefinovaného správania v jadre OpenBSD.
  • Pomôcka tcpdump úplne eliminuje používanie práv root;
  • Vylepšený výkon malloc vo viacvláknových aplikáciách;
  • Pôvodná verzia programu bola pridaná do kompozície OpenRSYNC s vlastnou implementáciou pomôcky na synchronizáciu súborov rsync;
  • Verzia poštového servera OpenSMTPD bola aktualizovaná, v ktorej bolo do smtpd.conf pridané nové porovnávacie kritérium „from rdns“, ktoré vám umožňuje vybrať relácie na základe reverzného rozlíšenia DNS (určenie názvu hostiteľa podľa IP). Pri vyhľadávaní v tabuľkách pribudla možnosť používať regulárne výrazy;
  • Balík OpenSSH 8.0 bol aktualizovaný, podrobný prehľad vylepšení nájdete tu;
  • Balík LibreSSL bol aktualizovaný, podrobný prehľad vylepšení nájdete v oznámeniach o vydaní 2.9.0 и 2.9.1;
  • Mandoc výrazne zlepšil výstup HTML, zlepšil vykresľovanie tabuliek a pridal príznak „-O“ na otvorenie stránky s definíciou zadaného termínu;
  • Možnosti grafického zásobníka Xenocara boli rozšírené: X server už na spustenie nevyžaduje inštaláciu s príznakom setuid. Ovládač radeonsi Mesa obsahuje podporu pre hardvérovú akceleráciu pre GPU Južné ostrovy (Radeon HD 7000) a Sea Islands (Radeon HD 8000);
  • C++ porty pre architektúry, ktoré Clang nepodporuje, sú teraz kompilované pomocou GCC z portov. Počet portov pre architektúru AMD64 bol 10602, pre aarch64 - 9654, pre i386 - 10535. Z aplikácií umiestnených v portoch sú uvedené nasledovné:
    • Asterisk 16.2.1
    • Audacity 2.3.1
    • CMake 3.10.2
    • Chromium 73.0.3683.86
    • FFmpeg 4.1.3
    • GCC 4.9.4 a 8.3.0
    • GNOME 3.30.2.1
    • Choďte na 1.12.1
    • JDK 8u202 a 11.0.2+9-3
    • LLVM/Clang 7.0.1
    • LibreOffice 6.2.2.2
    • Lua 5.1.5, 5.2.4 a 5.3.5
    • MariaDB 10.0.38
    • Opica 5.18.1.0
    • Mozilla Firefox 66.0.2 a ESR 60.6.1
    • Mozilla Thunderbird 60.6.1
    • Node.js 10.15.0
    • OpenLDAP 2.3.43 a 2.4.47
    • PHP 7.1.28, 7.2.17 a 7.3.4
    • Postfix 3.3.3 a 3.4.20190106
    • PostgreSQL 11.2
    • Python 2.7.16 a 3.6.8
    • R 3.5.3
    • Ruby 2.4.6, 2.5.5 a 2.6.2
    • Hrdza 1.33.0
    • Sendmail 8.16.0.41
    • SQLite3 3.27.2
    • Surikata 4.1.3
    • Tcl/Tk 8.5.19 a 8.6.8
    • TeX Live 2018
    • Vim 8.1.1048 a Neovim 0.3.4
    • Xfce 4.12
  • Komponenty tretích strán zahrnuté v OpenBSD 6.5:
    • Grafický zásobník Xenocara založený na serveri X.Org 1.19.7 s opravami, freetype 2.9.1, fontconfig 2.12.4, Mesa 18.3.5, xterm 344, xkeyboard-config 2.20;
    • LLVM/Clang 7.0.1 (s opravami)
    • GCC 4.2.1 (s opravami) a 3.3.6 (s opravami)
    • Perl 5.28.1 (s opravami)
    • 4.1.27 NSD
    • Bez obmedzenia 1.9.1
    • Zdravotné sestry 5.7
    • Binutils 2.17 (s opravami)
    • Gdb 6.3 (s opravami)
    • Awk 10. augusta 2011
    • Expat 2.2.6

Zdroj: opennet.ru

Pridať komentár