ProHoster > Blog > internetne novice > Izdaja OpenBSD 6.7

Izdaja OpenBSD 6.7

Predložil izdaja brezplačnega večplatformskega operacijskega sistema, podobnega Unixu OpenBSD 6.7. Projekt OpenBSD je ustanovil Theo de Raadt leta 1995 po konflikt z razvijalci NetBSD, zaradi česar je bil Teo onemogočen dostop do repozitorija NetBSD CVS. Po tem je Theo de Raadt s skupino podobno mislečih ustvaril nov odprt operacijski sistem, ki temelji na izvornem drevesu NetBSD, katerega glavni cilj je bil prenosljivost (podpira 12 strojnih platform), standardizacija, pravilno delovanje, aktivna varnost in integrirana kriptografska orodja. Polna velikost namestitve ISO slika Osnovni sistem OpenBSD 6.7 je 470 MB.

Poleg samega operacijskega sistema je projekt OpenBSD znan po svojih komponentah, ki so se razširile tudi v drugih sistemih in so se izkazale kot ena najbolj varnih in kakovostnih rešitev. Med njimi: LibreSSL (vilice OpenSSL), OpenSSH, paketni filter PF, usmerjevalni demoni OpenBGPD in OpenOSPFD, strežnik NTP OpenNTPD, poštni strežnik OpenSMTPD, besedilni terminalski multiplekser (podoben zaslonu GNU) tmux, demon identd z implementacijo protokola IDENT, alternativa BSDL paketu GNU groff - mandoc, protokol za organizacijo sistemov, odpornih na napake CARP (Common Address Redundancy Protocol), lahek http strežnik, pripomoček za sinhronizacijo datotek OpenRSYNC.

Glavni izboljšave:

  • Datotečni sistem FFS2, ki uporablja 64-bitne časovne in blokovne vrednosti, je v novih namestitvah privzeto omogočen za skoraj vse podprte arhitekture namesto FFS (razen landisk, luna88k in sgi).
  • Dodana je nova metoda za preverjanje veljavnosti sistemskih klicev, kar dodatno oteži izkoriščanje ranljivosti. Metoda omogoča izvajanje sistemskih klicev le, če se do njih dostopa iz predhodno registriranih pomnilniških območij. Za označevanje pomnilniških območij in aktiviranje zaščite je bil predlagan nov sistemski klic msyscall().
  • Število particij, ki jih je mogoče ustvariti na enem disku, se je povečalo s 7 na 15.
  • Koda za razčlenjevanje možnosti cron je bila prepisana tako, da podpira getopt podobne funkcije, kot je "-ns" in ponovno določanje istih zastavic. Polje »možnosti« v crontabu je bilo preimenovano v »zastavice«. V crontab je dodana zastavica »-s«, tako da se lahko naenkrat izvaja samo en primerek opravila. Dodan je bil operator »~« za določitev naključne časovne vrednosti.
  • Upravljalnik oken cwm izvaja zmožnost določanja velikosti okna kot odstotka velikosti primarnega okna v postavitvi s ploščicami.
  • Arhitektura powerpc je privzeto prešla na uporabo Clang in omogočila od arhitekture neodvisno izvedbo mplock.
  • apmd je izboljšal podporo za samodejno pripravljenost in mirovanje (-z/-Z) - demon se zdaj odziva na sporočila o spremembi napolnjenosti baterije, ki jih pošlje gonilnik za spremljanje porabe. Prehod v spanje se zgodi z zamikom 60 sekund, kar uporabniku daje čas za prevzem nadzora.
  • Dodana konfiguracijska spremenljivka $REQUEST_SCHEME vgrajenemu strežniku HTTP za ohranitev izvirnega protokola (http ali https) pri preusmerjanju, kot tudi možnost »strip«, ki omogoča več chrootov v /var/www za strežnike FastCGI.
  • Zgornji pripomoček zdaj podpira pomikanje s tipkama 9 in 0.
  • Predstavljen je mehanizem za sproščanje pomnilniških strani v obratnem vrstnem redu, kar bistveno poveča učinkovitost aktivnega sproščanja velikega števila strani.
  • Nevezan DNS strežnik ima privzeto omogočeno preverjanje DNSSEC.
  • Sistemski klici so oproščeni globalnega blokiranja
    __thrsleep(2), __thrwakeup(2), close(2), closefrom(2), dup(2), dup2(2), dup3(2), flock(2), fcntl(2), kqueue(2), pipe(2), pipe2(2) in nanosleep(2), kot tudi osnovni del ioctl(2).

  • Razširjena strojna podpora. Dodan je bil nov gonilnik iwx za brezžične čipe Intel AX200, gonilnik iwm pa je dodal podporo za naprave Intel 9260 in 9560. Gonilnik rge je bil dodan za Realtek 8125 PCI Express 2.5 Gb. Predlaganih je bilo veliko novih gonilnikov za izboljšanje zmogljivosti na ploščah arm64 in armv7, vključno z dodano podporo za ploščo Raspberry Pi 4 in izboljšano podporo za Raspberry Pi 2 in 3.
  • Zvočni podsistem sndio je bil razširjen. Dodan API sioctl_open in pripomoček sndioctl za nadzor zvoka prek sndiod. /dev/mixer je bil odstranjen in vsa vrata so bila preklopljena na sndio namesto vmesnika mešalnika jedra. Sndiod omogoča uporabo mehanizmov strojne opreme za nadzor glasnosti. Za izboljšanje varnosti je običajni uporabniški dostop do /dev/audio* in /dev/rmidi* prepovedan.
  • Brezžični sklad preneha povezovati s katerim koli razpoložljivim omrežjem Wi-Fi, ki ne podpira šifriranja, razen z izrecnim klicem ukaza »ifconfig join«. Zagotavlja, da se začne skeniranje razpoložljivih omrežij v ozadju, ko root uporabnik izvede ukaz »ifconfig scan«. Predpomnilnik rezultatov skeniranja je bil povečan. Dodana zastavica »nwflag nomimo«, nastavljena prek ifconfig, ki pomaga odpraviti izgubo paketov v načinu 11n, če ima naprava nepovezane antenske priključke. Dodana podpora za aktivni način skeniranja za gonilnik bwfm. Izboljšano samodejno preklapljanje med brezžičnimi omrežji z znižanjem prioritete za omrežja, s katerimi se ni bilo mogoče povezati.
  • V omrežnem skladu se je pojavil nov gonilnik pppac, ki vključuje implementacijo vmesnika PPP Access Concentrator. Spremenjene nastavitve npppd.conf za uporabo pppac namesto tun. Ko je preusmeritev paketov onemogočena, je dodano preverjanje, ali se ciljni naslov v paketu ujema z naslovom omrežnega vmesnika. Podpora za Mobileip odstranjena.
  • Uporabnikom, ki niso root, je prepovedano uporabljati ioctl za spreminjanje naslova omrežnega vmesnika in spreminjanje parametrov vmesnikov pppoe.
  • sysupgrade zagotavlja, da se posodobitve vdelane programske opreme (fw_update) zaženejo pred ponovnim zagonom pred nadgradnjo.
  • Sistemski klic za razkritje je bil izboljšan, da zagotovi izolacijo dostopa do datotečnega sistema. Število aplikacij iz osnovnega sistema, za katere je implementirana zaščita z uporabo razkritja, je bilo povečano na 82. Vključno z vmstat, iostat in systat, prenesenimi v razkritje.
  • Podpora RSA-PSS je bila dodana v crypto(3).
  • Podpora za DoT (DNS prek TLS) je bila dodana razreševalniku DNS. Dodan ukaz "unwindctl status memory".
  • Implementacija ipseca je bila bistveno posodobljena. Dodana podpora za samodejno premikanje prometa med domenami rdomene med šifriranjem in dešifriranjem za zaščito pred napadi stranskega kanala. Dodana podpora za spreminjanje rdomain v iked in dodana možnost 'rdomain' v iked.conf
    Privzeta raven za iked in isakmpd je IPSEC_LEVEL_REQUIRE, ki preprečuje obdelavo nešifriranih paketov, ki ustrezajo toku. Algoritmi curve25519, ecp256, ecp384, ecp521, modp3072 in modp4096 so bili dodani nastavitvam skupine Diffie-Hellman za IKE SA. V iked je bil privzeti način preverjanja pristnosti spremenjen v preverjanje pristnosti z digitalnim podpisom (RFC 7427). Dodane nastavitve ESN v iked.conf. Dodana možnost "-p" za izbiro nestandardne številke vrat UDP.

  • Zmogljivosti terminalskega multiplekserja tmux so bile razširjene in dodanih je bilo veliko novih možnosti.
  • Različica poštnega strežnika OpenSMTPD je posodobljena. Vgrajeni filtri izvajajo ključno besedo »bypass« za preskok obdelave pod določenimi pogoji. Omogoča uporabo uporabniškega imena trenutne seje smtpd v filtrih. V smtpd.conf parametri dovoljujejo uporabo mail-from in rctp-to.
  • Paket OpenSSH 8.2 je bil posodobljen tako, da vključuje podporo za žetone dvofaktorske avtentikacije FIDO/U2F. Ogledate si lahko podroben pregled izboljšav tukaj.
  • Posodobljeno paket LibreSSL, v katerem je zaključena implementacija TLS 1.3 na osnovi novega končnega avtomata in podsistema za delo z zapisi. Privzeto je trenutno omogočen le odjemalski del TLS 1.3, strežniški del pa naj bi bil privzeto aktiviran v prihodnji izdaji. Seznam drugih sprememb si lahko ogledate v obvestilih o izdaji 3.1.0 и 3.1.1.
  • Število vrat za arhitekturo AMD64 je bilo 11268, za aarch64 - 10848, za i386 - 10715. Komponente razvijalcev drugih proizvajalcev, vključene v OpenBSD 6.7, so bile posodobljene:
    • Grafični sklad Xenocara, ki temelji na X.Org 7.7 z xserver 1.20.8 + popravki, freetype 2.10.1, fontconfig 2.12.4, Mesa 19.2.8, xterm 351, xkeyboard-config 2.20;
    • LLVM/Clang 8.0.1 (s popravki)
    • GCC 4.2.1 (s popravki) in 3.3.6 (s popravki)
    • Perl 5.30.2 (s popravki)
    • NSD 4.2.4
    • Brez obvez 1.10.0
    • Ncurses 5.7
    • Binutils 2.17 (s popravki)
    • Gdb 6.3 (s popravki)
    • Awk 20. december 2012
    • Expat 2.2.8

    Vir: opennet.ru

Dodaj komentar