ProHoster > blogg > internetnyheter > Release av OpenBSD 6.5

Release av OpenBSD 6.5

Såg ljuset release av ett gratis, plattformsoberoende UNIX-liknande operativsystem OpenBSD 6.5. OpenBSD-projektet grundades av Theo de Raadt 1995, efter konflikt med NetBSD-utvecklarna, som ett resultat av vilket Teo nekades åtkomst till NetBSD CVS-förvaret. Efter detta skapade Theo de Raadt och en grupp likasinnade ett nytt öppet operativsystem baserat på NetBSD-källträdet, vars huvudmål var portabilitet (stöds av 13 hårdvaruplattformar), standardisering, korrekt drift, aktiv säkerhet och integrerade kryptografiska verktyg. Full installationsstorlek ISO-bild OpenBSD 6.5 bassystem är 407 MB.

Utöver själva operativsystemet är OpenBSD-projektet känt för sina komponenter, som har blivit utbredda i andra system och har visat sig vara en av de säkraste och mest högkvalitativa lösningarna. Bland dem: LibreSSL (gaffel OpenSSL), OpenSSH, paketfilter PF, dirigera demoner OpenBGPD och OpenOSPFD, NTP-server openntpd, Mejl server Öppna SMTPD, textterminalmultiplexer (liknar GNU-skärmen) tmux, demon identd med en implementering av IDENT-protokollet, ett BSDL-alternativ till GNU groff-paketet - mandoc, protokoll för att organisera feltoleranta system CARP (Common Address Redundancy Protocol), lättvikts http-server, filsynkroniseringsverktyg ÖppnaRSYNC.

Bland de mest anmärkningsvärda förändringarna: en bärbar version av bgpd har introducerats, anpassad för att fungera i andra operativsystem, användningen av Xenocara och tcpdump root-privilegier har eliminerats, LDD-linkern är aktiverad som standard för amd64 och i386, MPLS-stöd har blivit avsevärt förbättrats och skyddet mot utnyttjande med backtracking-tekniker har stärkts. orienterad programmering (ROP), den enklaste rekursiva DNS-serverns avveckling har lagts till, en odefinierad beteendedetektor har integrerats i kärnan och vår egen implementering av rsync-verktyget har införts.

Den huvudsakliga förbättringar:

  • När man bygger för amd64- och i386-arkitekturer används LDD-linkern som utvecklats av LLVM-projektet som standard. För mips64-arkitekturen har stöd för att bygga med Clang lagts till;
  • Nya pvclock-drivrutiner för den paravirtualiserade KVM-timern och ixl för Intel Ethernet 700. Uaudio-drivrutinen har ersatts med en ny implementering med stöd för USB Audio 2.0.
  • Förbättrad prestanda för trådlösa enhetsdrivrutiner bwfm, iwn, iwm och athn. Stöd för RTM_80211INFO-meddelanden har lagts till den trådlösa stacken för att överföra detaljerad information om gränssnittstillstånd till dhclienten och ruttkommandon. Det tysta beteendet vid anslutning till trådlösa nätverk har ändrats - om du har en konfigurerad lista med automatisk anslutning ansluter OpenBSD inte längre till okända öppna nätverk (för att återställa det tidigare beteendet kan du lägga till ett tomt nätverk i listan);
  • Nätverksstacken introducerar nya bpe (Backbone Provider Edge) och mpip (MPLS IP lager 2) pseudoenhetsdrivrutiner. Tillagt stöd för att konfigurera alternativa routingdomäner för MPLS-gränssnitt. Vlan-drivrutinen har aktiverats för att kringgå köbearbetning och utmatning direkt till det överordnade nätverksgränssnittet. Lade till txprio-läge till ifconfig för att styra prioritetskodning i rubrikerna för tunnlade paket (stöds för vlan, gre, gif och etherip-drivrutiner);
  • I implementeringen av bpf-filtret blev det möjligt att använda droppmekanismen utan att fånga paket. Denna funktion används i tcpdump för att filtrera i det inledande skedet av ett paket som tas emot av en enhet;
  • Installationsprogrammet ger support rdsetroot för att lägga till en diskavbildning till kärnan RAMDISK. Säkerställde borttagning av vissa komponenter i gamla utgåvor under systemuppdateringsprocessen;
  • Förbättrat systemanrop avtäcka, som ger åtkomstisolering till filsystemet. Den nya versionen lägger till detektering av matchningar i förhållande till arbetskatalogen för den aktuella processen vid analys av relativa sökvägar. Användning av stat och åtkomst för begränsade filsökvägskomponenter är förbjuden. För applikationer ospfd, ospf6d, rebound, getconf, kvm_mkdb, bdftopcf, Xserver, passwd, spamlogd, spamd, sensorsd, snmpd, htpasswd och ifstated, implementeras skydd med unveil;
  • Clang har förbättrade verktyg för att blockera användningen av returorienterad programmeringsteknik (ROP), vilket avsevärt har minskat antalet polymorfa prylar som finns i de resulterande körbara filerna för arkitekturerna i386 och amd64;
  • Clang har förbättrad prestanda och säkerhet vid användning
    skyddsmekanism TERVAKT, som syftar till att komplicera exekveringen av exploater som byggts med att låna kodbitar och returorienterade programmeringstekniker. För att påskynda driften placeras data i register istället för stacken när det är möjligt, och processorcachen används mer effektivt vid retur. RETGUARD används nu också i stället för traditionellt stackskydd på amd64- och arm64-system;

  • Verktyg relaterade till nätverksstacken har förbättrats: Stöd för filtrering av MPLS-paket har lagts till pcap-filter. Möjligheten att konfigurera routingprioriteter har lagts till i ospfd, ospf6d och ripd. I
    ripd tillagt mekanismbaserat skydd pantsättning. Lade till sff- och sffdump-lägen till ifconfig för att få diagnostisk information från optiska sändare;

  • Första utgåvan av ny resolver presenterad koppla av, som behandlar rekursiva DNS-frågor och accepterar anslutningar endast på gränssnitt 127.0.0.1.
    Unwind är designad för användning på klientsystem, såsom bärbara datorer, som rör sig mellan olika trådlösa nätverk. Om den upptäcker blockering av DNS-trafik på det lokala nätverket, koppla av växlar till att använda adressen för den rekursiva DNS-servern överförd via DHCP, men fortsätter att periodiskt försöka lösa oberoende och så snart direkta förfrågningar börjar passera, återgår den till oberoende åtkomst DNS-servrar;

  • I bgpd har man arbetat för att minska minnesförbrukningen, en enkel regeloptimerare har lagts till (sammanfogar filtreringsregler som endast skiljer sig åt i filteruppsättningar), BGP MPLS VPN-konfigurationsprocessen har ändrats, stöd för IPv6 BGP MPLS VPN har lagts till , och "as-override"-funktionalitet har implementerats för att ersätta grann-AS mot lokal AS i sökvägar, lagt till möjligheten att matcha med flera gemenskaper i en regel, lagt till nya matchningsfunktioner "*", "local-as" och "neighbor" -as”, förbättrat arbete med stora uppsättningar regler, lagt till nya kommandon för att arbeta med grupper som angränsar autonoma system ("bgpctl granngrupp", "bgpctl visa grannegrupp", "bgpctl visa ribgrannegrupp"), möjligheten att lägga till nätverk till BGP VPN-tabellerna har lagts till i bgpctl. För första gången har en bärbar version av OpenBGPD-portable förberetts, redo att fungera på andra system än OpenBSD;
  • Tillagt alternativ kubsan för att upptäcka fall av odefinierat beteende i OpenBSD-kärnan.
  • Verktyget tcpdump eliminerar helt användningen av root-privilegier;
  • Förbättrad malloc-prestanda i flertrådade applikationer;
  • Den ursprungliga versionen av programmet har lagts till i kompositionen ÖppnaRSYNC med sin egen implementering av rsync-filsynkroniseringsverktyget;
  • Versionen av OpenSMTPD-e-postservern har uppdaterats, där ett nytt jämförelsekriterium "från rdns" har lagts till smtpd.conf, vilket låter dig välja sessioner baserat på omvänd DNS-upplösning (bestämmer värdnamnet genom IP). Vid sökning i tabeller har möjligheten att använda reguljära uttryck lagts till;
  • OpenSSH 8.0-paketet har uppdaterats, en detaljerad översikt över förbättringarna kan hittas här;
  • LibreSSL-paketet har uppdaterats, en detaljerad översikt över förbättringarna finns i releasemeddelandena 2.9.0 и 2.9.1;
  • Mandoc har avsevärt förbättrat HTML-utdata, förbättrat tabellrendering och lagt till en "-O"-flagga för att öppna en sida med definitionen av den angivna termen;
  • Möjligheterna för Xenocara-grafikstacken har utökats: X-servern kräver inte längre installation med setuid-flaggan för att köras. radeonsi Mesa-drivrutinen inkluderar stöd för hårdvaruacceleration för södra öarna (Radeon HD 7000) och Sea Islands (Radeon HD 8000) GPU:er;
  • C++-portar för arkitekturer som inte stöds av Clang kompileras nu med GCC från portar. Antalet portar för AMD64-arkitekturen var 10602, för aarch64 - 9654, för i386 - 10535. Av de applikationer som finns i portarna noteras följande:
    • Asterisk 16.2.1
    • Audacity 2.3.1
    • CMake 3.10.2
    • Krom 73.0.3683.86
    • FFmpeg 4.1.3
    • GCC 4.9.4 och 8.3.0
    • GNOME 3.30.2.1
    • Gå 1.12.1
    • JDK 8u202 och 11.0.2+9-3
    • LLVM/Clang 7.0.1
    • LibreOffice 6.2.2.2
    • Lua 5.1.5, 5.2.4 och 5.3.5
    • MariaDB 10.0.38
    • Mono 5.18.1.0
    • Mozilla Firefox 66.0.2 och ESR 60.6.1
    • Mozilla Thunderbird 60.6.1
    • Node.js 10.15.0
    • OpenLDAP 2.3.43 och 2.4.47
    • PHP 7.1.28, 7.2.17 och 7.3.4
    • Postfix 3.3.3 och 3.4.20190106
    • PostgreSQL 11.2
    • Python 2.7.16 och 3.6.8
    • R 3.5.3
    • Ruby 2.4.6, 2.5.5 och 2.6.2
    • Rost 1.33.0
    • Skicka mail 8.16.0.41
    • SQLite3 3.27.2
    • Meerkat 4.1.3
    • Tcl/Tk 8.5.19 och 8.6.8
    • TeX Live 2018
    • Vim 8.1.1048 och Neovim 0.3.4
    • Xfce 4.12
  • Tredjepartskomponenter som ingår i OpenBSD 6.5:
    • Xenocara-grafikstack baserad på X.Org-server 1.19.7 med patchar, freetype 2.9.1, fontconfig 2.12.4, Mesa 18.3.5, xterm 344, xkeyboard-config 2.20;
    • LLVM/Clang 7.0.1 (med patchar)
    • GCC 4.2.1 (med patchar) och 3.3.6 (med patchar)
    • Perl 5.28.1 (med patchar)
    • NSD 4.1.27
    • Obundet 1.9.1
    • Ncurses 5.7
    • Binutils 2.17 (med patchar)
    • Gdb 6.3 (med patchar)
    • Awk 10 augusti 2011
    • Expat 2.2.6

Källa: opennet.ru

Lägg en kommentar