vydanie bezplatného multiplatformového operačného systému podobného UNIXu . Projekt OpenBSD založil Theo de Raadt v roku 1995 s vývojármi NetBSD, v dôsledku čoho bol Teovi odmietnutý prístup k úložisku NetBSD CVS. Potom Theo de Raadt a skupina rovnako zmýšľajúcich ľudí vytvorili nový otvorený operačný systém založený na zdrojovom strome NetBSD, ktorého hlavným cieľom bola prenosnosť ( 12 hardvérových platforiem), štandardizácia, správne fungovanie, aktívne zabezpečenie a integrované kryptografické nástroje. Plná veľkosť inštalácie Základný systém OpenBSD 6.7 má 470 MB.
Okrem samotného operačného systému je projekt OpenBSD známy svojimi komponentmi, ktoré sa rozšírili aj v iných systémoch a osvedčili sa ako jedno z najbezpečnejších a najkvalitnejších riešení. Medzi nimi: ( OpenSSL), , paketový filter , smerovacie démony , NTP server , poštový server , multiplexer textového terminálu (podobný obrazovke GNU) , démon s implementáciou protokolu IDENT, alternatívou BSDL k balíku GNU groff - , protokol na organizovanie systémov odolných voči chybám CARP (Common Address Redundancy Protocol), ľahký , nástroj na synchronizáciu súborov .
Hlavné :
- Súborový systém FFS2, ktorý používa 64-bitové hodnoty času a blokov, je v nových inštaláciách štandardne povolený pre takmer všetky podporované architektúry namiesto FFS (okrem landisk, luna88k a sgi).
- Pribudla nová metóda na kontrolu platnosti systémových volaní, čo ešte viac komplikuje využívanie zraniteľností. Metóda umožňuje vykonávať systémové volania iba vtedy, ak sú prístupné z predtým zaregistrovaných oblastí pamäte. Na označenie pamäťových oblastí a aktiváciu ochrany bolo navrhnuté nové systémové volanie msyscall().
- Počet oddielov, ktoré je možné vytvoriť na jednom disku, sa zvýšil zo 7 na 15.
- Kód na analýzu voľby cron bol prepísaný tak, aby podporoval funkcie podobné getopt, ako napríklad "-ns" a opätovné špecifikovanie rovnakých príznakov. Pole „options“ v crontab bolo premenované na „flags“. Do crontab bol pridaný príznak „-s“, aby bolo možné naraz spustiť iba jednu inštanciu úlohy. Pridaný operátor "~" na určenie náhodnej časovej hodnoty.
- Správca okien cwm implementuje schopnosť určiť veľkosť okna ako percento veľkosti primárneho okna v dlaždicovom rozložení.
- Architektúra powerpc predvolene prešla na používanie Clang a umožnila implementáciu mplock nezávislú od architektúry.
- apmd má vylepšenú podporu pre automatický pohotovostný režim a hibernáciu (-z/-Z) – démon teraz reaguje na správy o zmene nabitia batérie odoslané ovládačom monitorovania napájania. Prechod do režimu spánku nastáva s oneskorením 60 sekúnd, čo dáva používateľovi čas na prevzatie kontroly.
- Pridaná konfiguračná premenná $REQUEST_SCHEME do vstavaného servera HTTP na zachovanie pôvodného protokolu (http alebo https) pri presmerovaní, ako aj možnosť „strip“, ktorá umožňuje viacnásobné chrooty vo /var/www pre servery FastCGI.
- Špičkový nástroj teraz podporuje posúvanie pomocou kláves 9 a 0.
- Zavádza sa mechanizmus na uvoľnenie pamäťových stránok v opačnom poradí, čo výrazne zvyšuje efektivitu aktívneho uvoľňovania veľkého počtu stránok.
- Neviazaný server DNS má predvolene povolenú kontrolu DNSSEC.
- Systémové hovory sú oslobodené od globálneho blokovania
__thrsleep(2), __thrwakeup(2), close(2), closefrom(2), dup(2), dup2(2), dup3(2), flock(2), fcntl(2), kqueue(2), pipe(2), pipe2(2) a nanosleep(2), ako aj základnú časť ioctl(2). - Rozšírená podpora hardvéru. Bol pridaný nový ovládač iwx pre bezdrôtové čipy Intel AX200 a ovládač iwm pridal podporu pre zariadenia Intel 9260 a 9560. Pre Realtek 8125 PCI Express 2.5Gb bol pridaný ovládač rge. Bolo navrhnutých veľa nových ovládačov na zlepšenie výkonu na doskách arm64 a armv7, vrátane pridanej podpory pre dosku Raspberry Pi 4 a vylepšenej podpory pre Raspberry Pi 2 a 3.
- Zvukový subsystém sndio bol rozšírený. Pridané sioctl_open API a nástroj sndioctl na ovládanie zvuku cez sndiod. /dev/mixer bol odstránený a všetky porty boli prepnuté na sndio namiesto rozhrania kernel mixer. Sndiod poskytuje použitie hardvérových mechanizmov na ovládanie hlasitosti. Z dôvodu zvýšenia bezpečnosti je bežný prístup používateľov k /dev/audio* a /dev/rmidi* zakázaný.
- Bezdrôtový zásobník sa prestane pripájať k akejkoľvek dostupnej sieti Wi-Fi, ktorá nepodporuje šifrovanie, okrem výslovného volania príkazu „ifconfig join“. Zabezpečuje spustenie kontroly dostupných sietí na pozadí, keď užívateľ root vykoná príkaz „ifconfig scan“. Vyrovnávacia pamäť výsledkov skenovania bola zväčšená. Pridaný príznak „nwflag nomimo“, nastavený cez ifconfig, ktorý pomáha zbaviť sa straty paketov v režime 11n, ak má zariadenie nepripojené anténne konektory. Pridaná podpora pre aktívny režim skenovania pre ovládač bwfm. Vylepšené automatické prepínanie medzi bezdrôtovými sieťami znížením priority pre siete, ku ktorým sa nedalo pripojiť.
- V sieťovom zásobníku sa objavil nový ovládač pppac, ktorý zahŕňa implementáciu rozhrania PPP Access Concentrator. Zmenené nastavenia npppd.conf tak, aby namiesto tun používali pppac. Keď je presmerovanie paketov zakázané, bola pridaná kontrola na kontrolu, či sa cieľová adresa v pakete zhoduje s adresou sieťového rozhrania. Podpora Mobileip bola odstránená.
- Používatelia, ktorí nie sú root, majú zakázané používať ioctl na zmenu adresy sieťového rozhrania a zmenu parametrov rozhraní pppoe.
- sysupgrade zaisťuje, že aktualizácie firmvéru (fw_update) sa spustia pred reštartovaním pred aktualizáciou.
- Systémové volanie odhalenia bolo vylepšené, aby poskytovalo izoláciu prístupu k súborovému systému. Počet aplikácií zo základného systému, pre ktoré je implementovaná ochrana pomocou unveil, sa zvýšil na 82. Vrátane vmstat, iostat a systat prenesených do unveil.
- Do krypto(3) bola pridaná podpora RSA-PSS.
- Do odvíjacieho DNS resolvera bola pridaná podpora DoT (DNS over TLS). Pridaný príkaz „unwindctl status memory“.
- Implementácia ipsec bola výrazne modernizovaná. Pridaná podpora pre automatický presun prevádzky medzi doménami rdomains počas šifrovania a dešifrovania na ochranu pred útokmi z bočného kanála. Pridaná podpora pre zmenu rdomény na iked a pridaná možnosť „rdoména“ do iked.conf
Predvolená úroveň pre iked a isakmpd je IPSEC_LEVEL_REQUIRE, ktorá zabraňuje spracovaniu nešifrovaných paketov zodpovedajúcich toku. Algoritmy krivky25519, ecp256, ecp384, ecp521, modp3072 a modp4096 boli pridané do nastavení skupiny Diffie-Hellman pre IKE SA. V iked bola predvolená metóda autentifikácie zmenená na autentifikáciu digitálnym podpisom (RFC 7427). Do iked.conf boli pridané nastavenia ESN. Pridaná možnosť „-p“ na výber neštandardného čísla portu UDP. - Možnosti terminálového multiplexera tmux boli rozšírené a bolo pridaných mnoho nových možností.
- Verzia poštového servera OpenSMTPD bola aktualizovaná. Vstavané filtre implementujú kľúčové slovo „bypass“ na preskočenie spracovania za špecifikovaných podmienok. Umožňuje použitie používateľského mena aktuálnej relácie smtpd vo filtroch. V smtpd.conf parametre umožňujú použitie mail-from a rctp-to.
- Balík OpenSSH 8.2 bol aktualizovaný tak, aby zahŕňal podporu pre tokeny dvojfaktorovej autentifikácie FIDO/U2F. Môžete si pozrieť podrobný prehľad vylepšení .
- balík LibreSSL, v ktorom bola dokončená implementácia TLS 1.3 na báze nového finite state automatu a subsystému pre prácu so záznamami. V predvolenom nastavení je zatiaľ povolená iba klientska časť TLS 1.3, serverová časť sa plánuje štandardne aktivovať v budúcom vydaní. Zoznam ďalších zmien nájdete v oznámeniach o vydaní и .
- Počet portov pre architektúru AMD64 bol 11268, pre aarch64 - 10848, pre i386 - 10715. Komponenty od vývojárov tretích strán zahrnuté v OpenBSD 6.7 boli aktualizované:
- Grafický zásobník Xenocara založený na X.Org 7.7 s xserver 1.20.8 + záplaty, freetype 2.10.1, fontconfig 2.12.4, Mesa 19.2.8, xterm 351, xkeyboard-config 2.20;
- LLVM/Clang 8.0.1 (s opravami)
- GCC 4.2.1 (s opravami) a 3.3.6 (s opravami)
- Perl 5.30.2 (s opravami)
- 4.2.4 NSD
- Bez obmedzenia 1.10.0
- Zdravotné sestry 5.7
- Binutils 2.17 (s opravami)
- Gdb 6.3 (s opravami)
- Awk 20. decembra 2012
- Expat 2.2.8
Zdroj: opennet.ru