LINUX.ORG.RU

OpenBSD 7.3

 , , ,


1

1

Представлен выпуск свободной UNIX-подобной операционной системы OpenBSD 7.3. Проект OpenBSD был основан Тэо де Раадтом (Theo de Raadt) в 1995 году после конфликта с разработчиками NetBSD, в результате которого для Тэо был закрыт доступ к CVS репозиторию NetBSD. После этого Тэо де Раадт с группой единомышленников создал на базе дерева исходных текстов NetBSD новую открытую операционную систему, главными целями развития которой стали переносимость (поддерживается 13 аппаратных платформ), стандартизация, корректная работа, проактивная безопасность и интегрированные криптографические средства. Размер полного установочного ISO-образа базовой системы OpenBSD 7.3 составляет 620 МБ.

Кроме непосредственно операционной системы, проект OpenBSD известен своими компонентами, которые получили распространение в других системах и зарекомендовали себя как одни из наиболее безопасных и качественных решений. Среди них: LibreSSL (форк OpenSSL), OpenSSH, пакетный фильтр PF, демоны маршрутизации OpenBGPD и OpenOSPFD, NTP-сервер OpenNTPD, почтовый сервер OpenSMTPD, мультиплексор текстового терминала (аналог GNU screen) tmux, демон identd с реализацией протокола IDENT, BSDL-альтернатива пакету GNU groff - mandoc, протокол для организации отказоустойчивых систем CARP (Common Address Redundancy Protocol), легковесный http-сервер, утилита синхронизации файлов OpenRSYNC.

Основные улучшения:

  • Реализованы системные вызовы waitid (ожидание изменения состояния процесса), pinsyscall (для передачи информации о точке входа execve для защиты от ROP-эксплоитов), getthrname и setthrname (получение и установка имени потока).
  • Для всех архитектур задействован clockintr, независящий от оборудования планировщик прерываний от таймера.
  • Добавлен sysctl kern.autoconf_serial, который можно использовать для отслеживания изменения состояния device tree в ядре из пространства пользователя.
  • Усовершенствована поддержка многопроцессорных систем (SMP). Переведены в разряд mp-safe фильтры событий для устройств tun и tap. Избавлены от блокировок функции select, pselect, poll, ppoll, getsockopt, setsockopt, mmap, munmap, mprotect, sched_yield, minherit и utrace, а также ioctl SIOCGIFCONF, SIOCGIFGMEMB, SIOCGIFGATTR и SIOCGIFGLIST. Улучшена работа с блокировками в пакетном фильтре pf. Увеличена производительность системы и сетевого стека на многоядерных системах.
  • Реализация фреймворка drm (Direct Rendering Manager) синхронизирована с ядром Linux 6.1.15 (в прошлом выпуске - 5.15.69). В драйвер amdgpu добавлена поддержка GPU Ryzen 7000 «Raphael», Ryzen 7020 «Mendocino», Ryzen 7045 «Dragon Range», Radeon RX 7900 XT/XTX «Navi 31», Radeon RX 7600M (XT), 7700S и 7600S «Navi 33». В amdgpu добавлена поддержка управления фоновой подсветкой и обеспечена работаg xbacklight при использовании X.Org-драйвера modesetting. В Mesa по умолчанию включено кэширование шейдеров.
  • Внесены улучшения в гипервизор VMM.
  • Реализованы возможности для дополнительной защиты памяти процессов в пространстве пользователя: системный вызов mimmutable и связанная с ним одноимённая библиотечная функция, позволяющая зафиксировать права доступа при отражении в память (memory mappings). После фиксации, выставленные для области памяти права, например, запрет на запись и исполнение, невозможно в дальнейшем изменить через последующие вызовы функций mmap(), mprotect() и munmap(), которые при попытке изменения будут выдавать ошибку EPERM.
  • На архитектуре AMD64 для системных вызовов включён механизм защиты RETGUARD, нацеленный на усложнение выполнения эксплоитов, построенных с использованием заимствования кусков кода и приёмов возвратно-ориентированного программирования.
  • Включена защита от эксплуатации уязвимостей, основанная на случайной перекомпоновке исполняемого файла sshd при каждой загрузке системы. Перекомпоновка позволяет сделать малопредсказуемым смещения функций в sshd, что затруднит создание эксплоитов, использующих методы возвратно-ориентированного программирования.
  • Обеспечена более агрессивная рандомизация расположения стека на 64-разрядных системах.
  • Добавлена защита от уязвимости Spectre-BHB в микроархитектурных структурах процессоров.
  • На процессорах ARM64 для пространства пользователя и ядра задействован флаг DIT (Data Independent Timing) для блокирования атак по сторонним каналам, манипулирующих зависимостью времени выполнения инструкций от обрабатываемых в этих инструкциях данных.
  • Предоставления возможность использования lladdr при определении сетевых конфигураций. Например, помимо привязки к имени интерфейса (hostname.fxp0) можно использовать привязку к MAC-адресу (hostname.00:00:6e:00:34:8f).
  • Улучшена поддержка перехода в спящий режим для систем на базе архитектуры ARM64.
  • Значительно расширена поддержка ARM-чипов Apple.
  • Добавлена поддержка нового оборудования и включены в состав новые драйверы.
  • В драйвере bwfm для беспроводных карт на базе чипов Broadcom и Cypress реализована поддержка шифрования для WEP.
  • В инсталляторе улучшена работа с программными RAID и реализована начальная поддержка шифрования дисков (Guided Disk Encryption).
  • В tmux («terminal multiplexer») добавлены новые команды scroll-top и scroll-bottom для прокрутки курсора в начало и конец Обновлены пакеты LibreSSL и OpenSSH. Подробный обзор улучшений можно посмотреть в обзорах LibreSSL 3.7.0, OpenSSH 9.2 и OpenSSH 9.3.

>>> Подробности

★★★

Проверено: hobbit ()
Последнее исправление: hobbit (всего исправлений: 3)

лавными целями развития которой стали переносимость (поддерживается 13 аппаратных платформ), стандартизация, корректная работа, проактивная безопасность и интегрированные криптографические средства

Боюсь себе представить что же входит в главные цели других BSD и вообще операционных систем.

R_He_Po6oT ★★★★★
()
Ответ на: комментарий от chenbr0

Очевидно, проспать сертификаты архива форума, сломать совместимость с Арчем и закрыть доступ chenbr0? :))

R_He_Po6oT ★★★★★
()
Ответ на: комментарий от Turbid

WireGuard завезли ещё 3 релиза назад. Прямо в ядро. Точнее даже он там был раньше, чем где-либо ещё.

beastie ★★★★★
()
Последнее исправление: beastie (всего исправлений: 1)
Ответ на: комментарий от seiken

А ведь всего через 4 года после Линукса, а какая разница…

Разница не от времени выхода ж, а от интереса корпораций.

skiminok1986 ★★★★★
()
Ответ на: комментарий от R_He_Po6oT

Главными целями развития которой стали переносимость (поддерживается 13 аппаратных платформ), стандартизация, корректная работа, проактивная безопасность и интегрированные криптографические средства

Боюсь себе представить что же входит в главные цели других BSD и вообще операционных систем.

Вендор-лок, профит и «делать минимум чтобы юзеры не разбежались». Хотя это больше про не-bsd :)

skyman ★★★
()
Последнее исправление: skyman (всего исправлений: 1)
Ответ на: комментарий от seiken

Так то и никакой разницы. У BSD систем как было две ниши, это high-performance, и построение фаерволов, так они до сих пор за BSD системами, и линуксом там и не пахнет.

sbu_shpigun
()

«apt update && apt upgrade» и подобные бытовые удобства в бздю когда завезут? А нескучный фаервол никому отдельно не интересен.

yu-boot ★★★★★
()
Ответ на: комментарий от yu-boot

«apt update && apt upgrade» и подобные бытовые удобства в бздю когда завезут?

В (Open)бзде разве нет менеджера пакетов?

apt – ненужно, закопайте.

Clockwork ★★★★★
()

В драйвере bwfm для беспроводных карт на базе чипов Broadcom и Cypress реализована поддержка шифрования для WEP.

Они нам говорили «Никто никогда не вернётся в 2007 год» (c)

А тут вжух и сразу в 2003 году! =)

ex-kiev
()
Ответ на: комментарий от yu-boot

ты упорот?

какой еще файрвол по дефолту может быть в опенке?

guyvernk
()

Нужен нормальный способ установки на аплы с м1.

А не через загрузчик асахи с возможность окирпичить устройство.

guyvernk
()
Ответ на: комментарий от cumvillain

Когда BSD тыкал веточкой, там для использования pf вместо встроенного недоразумения надо было перекомпилять ядро.

yu-boot ★★★★★
()
Ответ на: комментарий от yu-boot

Ты больной штоле? PF в OpenBSD родной файрвол. Он оттуда пришел. А во FreeBSD он просто есть, но ipfw тоже никоим образом не недоразумение.

lealxe
()
Ответ на: комментарий от sbu_shpigun

У BSD систем как было две ниши, это high-performance

*сквозь слезы* ссылку в студию.

и построение фаерволов

Надо чувакам в Чекпоинт заслать, пусть офигеют))

Clayman ★★
()
Внесены улучшения в гипервизор VMM.

Хорошая новость. А вот VGA в виртуалку уже завезли?

Infra_HDC ★★★★★
()
Ответ на: комментарий от Clayman

Надо чувакам в Чекпоинт заслать, пусть офигеют))

«Чуваки в Чекпоинте» довольно долго использовали форк FreeBSD на своём security appliance IPSO - сначала делали это для Nokia, потом Checkpoint этот бизнес выкупила. Им не надо рассказывать, они сами в курсе.

ivlad ★★★★★
()
Ответ на: комментарий от Clayman

Надо чувакам в Чекпоинт заслать, пусть офигеют))

Изучи вопрос сначала.

sbu_shpigun
()
Ответ на: комментарий от Udacha

Использую openbsd уже какое-то время, меня устраивает, dragonfly bsd не видел.

Seifulla
()
Ответ на: комментарий от ivlad

довольно долго использовали форк FreeBSD на своём security appliance IPSO

а было ли это вызвано «невероятной» производительностью или таки более либеральной лицензией?

https://forums.freebsd.org/threads/ipfw-not-sharing-load.56452/

Packet filters like IPFW, PF, and IPF are generally single-threaded, and making them multi-threaded is not an easy thing. Things have improved with IPFW and PF in recent versions of FreeBSD, where some tasks are done in a separate thread, but you generally won’t get more than 2 CPUs doing anything in a packet filtering firewall. There’s nothing you can do about that.

If you are using a lot of CPU, then you will need to go through your ruleset and optimise things. The fewer rules you use, the faster things will be, especially with IPFW (3000 rules will run a CPU at 100% all the time; 600 rules will run the same CPU at less than 25%). Use the in-kernel NAT (ipfw nat) instead of userland NAT daemon (ipfw divert). Enable single-pass filtering via sysctl (net.inet.ip.fw.one_pass or something along those lines). Use tables to combine similar rules. Use skipto to separate the ruleset into sections and limit the number of rules individual packets need to go through. Etc.

borisych ★★★★★
()
Ответ на: комментарий от sbu_shpigun

Насчет файрволов - да, соглашусь. Насчет  high-perfomance - спасибо, поржал

alphaer
()

«Конфликт разработчиков» - это типичная, но недостойная причина фрагментации линуксов в частности и опенсорса в общем. 😑

raspopov
()
Ответ на: комментарий от yu-boot

Когда BSD тыкал веточкой, там для использования pf вместо встроенного недоразумения надо было перекомпилять ядро.

Видимо ты что-то не то тыкал, ну или может это было релизов 30-40 тому назад.

ssh2 ★★★★★
()
Ответ на: комментарий от raspopov

«Конфликт разработчиков»

Я не понимаю, почему этот факт тащат из новости в новость, было это так давно, проекты уже настолько далеки друг от друга, что этот факт может быть интересен разве что историкам. :)

ssh2 ★★★★★
()
Ответ на: комментарий от ssh2

А что за проблема с wg?

я проморгал, думал они отстают, а они оказались быстрее FreeBSD

Turbid ★★★★★
()
Ответ на: комментарий от R_He_Po6oT

Это хорошо. Чем больше систем, и чем больше разных лицензий, тем лучше видно, что взлетает, и в каком виде, и тем больше путей отхода, если разработка одной из систем зайдет не туда.

seiken ★★★★★
()
Ответ на: комментарий от sbu_shpigun

Через линукслятор то? Странно почему же драйвер именно линуксовый, а не бздуняшный, если она такая поддерживаемая и перформансная?

steemandlinux ★★★★★
()
Последнее исправление: steemandlinux (всего исправлений: 1)
Ответ на: комментарий от steemandlinux

Под бсд драйвер нативный, скомпилированый специально для БСД, это не линуксовый драйвер, это просто драйвер, который портировали под все ос. Драйвера впринципе через линуксулятор не работают. Изучи вопрос, перед тем как бред писать.

sbu_shpigun
()
Последнее исправление: sbu_shpigun (всего исправлений: 1)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.