ProHoster > blogg > internetnyheter > Release av OpenBSD 6.7

Release av OpenBSD 6.7

Introducerad release av ett gratis plattformsoberoende UNIX-liknande operativsystem OpenBSD 6.7. OpenBSD-projektet grundades av Theo de Raadt 1995 efter konflikt med NetBSD-utvecklarna, som ett resultat av vilket Teo nekades åtkomst till NetBSD CVS-förvaret. Efter detta skapade Theo de Raadt och en grupp likasinnade ett nytt öppet operativsystem baserat på NetBSD-källträdet, vars huvudmål var portabilitet (stöds av 12 hårdvaruplattformar), standardisering, korrekt drift, aktiv säkerhet och integrerade kryptografiska verktyg. Full installationsstorlek ISO-bild OpenBSD 6.7 bassystem är 470 MB.

Utöver själva operativsystemet är OpenBSD-projektet känt för sina komponenter, som har blivit utbredda i andra system och har visat sig vara en av de säkraste och mest högkvalitativa lösningarna. Bland dem: LibreSSL (gaffel OpenSSL), OpenSSH, paketfilter PF, dirigera demoner OpenBGPD och OpenOSPFD, NTP-server openntpd, Mejl server Öppna SMTPD, textterminalmultiplexer (liknar GNU-skärmen) tmux, demon identd med en implementering av IDENT-protokollet, ett BSDL-alternativ till GNU groff-paketet - mandoc, protokoll för att organisera feltoleranta system CARP (Common Address Redundancy Protocol), lättvikts http-server, filsynkroniseringsverktyg ÖppnaRSYNC.

Den huvudsakliga förbättringar:

  • Filsystemet FFS2, som använder 64-bitars tid och blockvärden, är aktiverat som standard i nya installationer för nästan alla stödda arkitekturer istället för FFS (förutom landisk, luna88k och sgi).
  • En ny metod har lagts till för att kontrollera giltigheten av systemanrop, vilket ytterligare komplicerar exploateringen av sårbarheter. Metoden tillåter att systemanrop exekveras endast om de nås från tidigare registrerade minnesområden. Ett nytt msyscall()-systemanrop har föreslagits för att markera minnesområden och aktivera skydd.
  • Antalet partitioner som kan skapas på en disk har utökats från 7 till 15.
  • Parsningskoden för cron-alternativet har skrivits om för att stödja getopt-liknande funktioner som "-ns" och att omspecificera samma flaggor. "Alternativ"-fältet i crontab har bytt namn till "flaggor". Lade till en "-s"-flagga till crontab så att endast en instans av ett jobb kan köras åt gången. Lade till operatorn "~" för att ange ett slumpmässigt tidsvärde.
  • Cwm-fönsterhanteraren implementerar möjligheten att bestämma fönsterstorleken som en procentandel av storleken på det primära fönstret i en sida vid sida.
  • Powerpc-arkitekturen har gått över till att använda Clang som standard och aktiverat en arkitekturoberoende implementering av mplock.
  • apmd har förbättrat stöd för automatisk standby och viloläge (-z/-Z) - demonen svarar nu på meddelanden om batteriladdningsändring som skickas av drivrutinen för strömövervakning. Övergången till viloläge sker med en fördröjning på 60 sekunder, vilket ger användaren tid att ta kontroll.
  • Lade till $REQUEST_SCHEME konfigurationsvariabel till den inbyggda HTTP-servern för att bevara det ursprungliga protokollet (http eller https) vid omdirigering, samt ett "strip"-alternativ för att tillåta flera chroots i /var/www för FastCGI-servrar.
  • Det översta verktyget stöder nu rullning med knapparna 9 och 0.
  • En mekanism för att frigöra minnessidor i omvänd ordning införs, vilket avsevärt ökar effektiviteten för att aktivt frigöra ett stort antal sidor.
  • Den obundna DNS-servern har DNSSEC-kontroll aktiverad som standard.
  • Systemsamtal är befriade från global blockering
    __thrsleep(2), __thrwakeup(2), close(2), closefrom(2), dup(2), dup2(2), dup3(2), flock(2), fcntl(2), kqueue(2), pipe(2), pipe2(2) och nanosleep(2), samt den grundläggande delen av ioctl(2).

  • Utökat hårdvarustöd. En ny iwx-drivrutin har lagts till för Intel AX200 trådlösa chips, och iwm-drivrutinen har lagt till stöd för enheterna Intel 9260 och 9560. Rge-drivrutinen har lagts till för Realtek 8125 PCI Express 2.5Gb. Många nya drivrutiner har föreslagits för att förbättra prestandan på arm64- och armv7-kort, inklusive extra stöd för Raspberry Pi 4-kortet och förbättrat stöd för Raspberry Pi 2 och 3.
  • Undersystemet sndio ljud har utökats. Lade till sioctl_open API och sndioctl-verktyg för att styra ljud via sndiod. /dev/mixer har tagits bort och alla portar har bytts till sndio istället för kärnmixergränssnittet. Sndiod tillhandahåller användningen av hårdvaruvolymkontrollmekanismer. För att öka säkerheten är regelbunden användaråtkomst till /dev/audio* och /dev/rmidi* förbjuden.
  • Den trådlösa stacken slutar ansluta till alla tillgängliga Wi-Fi-nätverk som inte stöder kryptering, förutom genom att uttryckligen anropa kommandot "ifconfig join". Säkerställer att en bakgrundsskanning av tillgängliga nätverk startas när kommandot "ifconfig scan" exekveras av rotanvändaren. Cachen för skanningsresultat har utökats. Lade till flaggan "nwflag nomimo", inställd via ifconfig, som hjälper till att bli av med paketförlust i 11n-läge om enheten har oanslutna antennkontakter. Tillagt stöd för aktivt skanningsläge för bwfm-drivrutinen. Förbättrad automatisk växling mellan trådlösa nätverk genom att sänka prioritet för nätverk som inte gick att ansluta till.
  • En ny pppac-drivrutin har dykt upp i nätverksstacken, som inkluderar implementeringen av PPP Access Concentrator-gränssnittet. Ändrade npppd.conf-inställningarna för att använda pppac istället för tun. När paketomdirigering är inaktiverat har en kontroll lagts till för att kontrollera om destinationsadressen i paketet matchar adressen till nätverksgränssnittet. Mobileip-stöd har tagits bort.
  • Icke-rootanvändare är förbjudna att använda ioctl för att ändra nätverksgränssnittsadressen och ändra parametrarna för pppoe-gränssnitt.
  • sysupgrade säkerställer att firmwareuppdateringar (fw_update) startas innan omstart innan uppgradering.
  • Systemanropet har förbättrats för att ge åtkomstisolering till filsystemet. Antalet applikationer från bassystemet för vilka skydd med unveil är implementerat har utökats till 82. Inklusive vmstat, iostat och systat överförs till unveil.
  • RSA-PSS-stöd har lagts till i crypto(3).
  • Stöd för DoT (DNS över TLS) har lagts till i avkopplings-DNS-resolvern. Lade till kommandot "unwindctl status memory".
  • Implementeringen av ipsec har moderniserats avsevärt. Tillagt stöd för att automatiskt flytta trafik mellan rdomäner under kryptering och dekryptering för att skydda mot sidokanalattacker. Lade till stöd för att ändra rdomain till iked, och la till alternativet "rdomain" till iked.conf
    Standardnivån för iked och isakmpd är IPSEC_LEVEL_REQUIRE, vilket förhindrar behandling av okrypterade paket som motsvarar flödet. Algoritmerna kurva25519, ecp256, ecp384, ecp521, modp3072 och modp4096 har lagts till i Diffie-Hellman-gruppinställningarna för IKE SA. I iked har standardautentiseringsmetoden ändrats till digital signaturautentisering (RFC 7427). Lade till ESN-inställningar till iked.conf. Lade till alternativet "-p" för att välja ett icke-standardiserat UDP-portnummer.

  • Möjligheterna hos tmux-terminalmultiplexern har utökats och många nya alternativ har lagts till.
  • Versionen av OpenSMTPD-e-postservern har uppdaterats. De inbyggda filtren implementerar nyckelordet "bypass" för att hoppa över bearbetning under specificerade förhållanden. Tillåter att användarnamnet för den aktuella smtpd-sessionen används i filter. I smtpd.conf tillåter parametrarna användning av mail-from och rctp-to.
  • OpenSSH 8.2-paketet har uppdaterats för att inkludera stöd för FIDO/U2F tvåfaktorsautentiseringstoken. Du kan se en detaljerad översikt över förbättringarna här.
  • Uppdaterad LibreSSL-paketet, där implementeringen av TLS 1.3 baserat på en ny finita tillståndsmaskin och ett undersystem för att arbeta med poster har slutförts. Som standard är endast klientdelen av TLS 1.3 aktiverad för närvarande, serverdelen är planerad att aktiveras som standard i en framtida version. En lista över andra ändringar kan ses i releasemeddelandena 3.1.0 и 3.1.1.
  • Antalet portar för AMD64-arkitekturen var 11268, för aarch64 - 10848, för i386 - 10715. Komponenter från tredjepartsutvecklare som ingår i OpenBSD 6.7 har uppdaterats:
    • Xenocara-grafikstack baserad på X.Org 7.7 med xserver 1.20.8 + patchar, freetype 2.10.1, fontconfig 2.12.4, Mesa 19.2.8, xterm 351, xkeyboard-config 2.20;
    • LLVM/Clang 8.0.1 (med patchar)
    • GCC 4.2.1 (med patchar) och 3.3.6 (med patchar)
    • Perl 5.30.2 (med patchar)
    • NSD 4.2.4
    • Obundet 1.10.0
    • Ncurses 5.7
    • Binutils 2.17 (med patchar)
    • Gdb 6.3 (med patchar)
    • Awk 20 december 2012
    • Expat 2.2.8

    Källa: opennet.ru

Lägg en kommentar