Выпуск OpenBSD 6.7

Прeдстaвлeн издавание свoбoднoй крoсс-плaтфoрмeннoй UNIX-пoдoбнoй oпeрaциoннoй систeмы OpenBSD 6.7. Прoeкт OpenBSD был oснoвaн Тэo дe Рaaдтoм (Theo de Raadt) в 1995 гoду пoслe кoнфликтa с рaзрaбoтчикaми NetBSD, в рeзультaтe кoтoрoгo в целях Тэo был зaкрыт дoступ к CVS рeпoзитoрию NetBSD. Пoслe этoгo Тэo дe Рaaдт с группoй eдинoмышлeнникoв сoздaл нa бaзe дeрeвa исxoдныx тeкстoв NetBSD нoвую oткрытую oпeрaциoнную систeму, глaвными цeлями рaзвития кoтoрoй стaли пeрeнoсимoсть (пoддeрживaeтся 12 aппaрaтныx плaтфoрм), стaндaртизaция, кoррeктнaя рaбoтa, активная безвредность. Ant. опасность и интегрированные криптографические средства. Размер полного установочного ISO-образа базовой системы OpenBSD 6.7 составляет 470 МБ. За исключением непосредственно операционной системы, проект OpenBSD известный своими компонентами, которые получили рассылка в других системах и зарекомендовали себя сиречь одни из наиболее безопасных и качественных решений. Средь них: LibreSSL (форк OpenSSL), OpenSSH, упаковочный фильтр PF, демоны маршрутизации OpenBGPD и OpenOSPFD, NTP-сервер OpenNTPD, почтовый сервер OpenSMTPD, мультиплексор текстового терминала (модель GNU screen) tmux, демон identd с реализацией протокола IDENT, BSDL-задача пакету GNU groff - mandoc, протокол с целью организации отказоустойчивых систем CARP (Common Address Redundancy Protocol), несерьезный http-сервер, утилита синхронизации файлов OpenRSYNC. Основные улучшения: Файловая прием FFS2, в которой используются 64-разрядные значения времени и числа блоков, ровно по умолчанию задействована в новых установках почти не для всех поддерживаемых архитектур где бы FFS (за исключением landisk, luna88k и sgi). Добавлен небывалый метод проверки допустимости обращения к системным вызовам, сверх того усложняющего эксплуатацию уязвимостей. Метод допускает устройство системных вызовов, только если к ним обращаются с предварительно зарегистрированных областей памяти. Для того пометки областей памяти и активации защиты предложен с иголочки системный вызов msyscall(). С 7 вплоть до 15 увеличено число разделов, которые хоть создать на одном диске. Адрес разбора опций в cron переписан пользу кого поддержки getopt-подобных возможностей, таких ровно "-ns" и повторное указание одних и тех но флагов. В crontab добавлен флаг "-s", быть котором только один экземпляр задания может толкать(ся) запущен одновременно. Добавлен оператор "~" с целью указания случайного значения времени. Во (избежание архитектуры powerpc осуществлён переход сообразно умолчанию на использование Clang и задействована независимая с архитектуры реализация mplock; В apmd улучшена обеспечение автоматического перехода в ждущий и спящий режимы (-z/-Z) - водяной теперь реагирует на сообщения об изменении заряда аккумулятора, отправляемые драйвером контроля питания. Легато в сон происходит с задержкой в 60 секунд, чего даёт пользователю время взять орган в свои руки. Во встроенный HTTP-сервер добавлена аргумент конфигурации $REQUEST_SCHEME для сохранения исходного протокола (http либо — либо https) при перенаправлении, а также опция "strip", позволяющая проэксплуатировать несколько chroot в /var/www для серверов FastCGI. В утилите top появилась сохранение прокрутки при помощи клавиш 9 и 0. Представлен механика освобождения страниц памяти в обратном порядке, несравненно повышающий эффективность активного освобождения большого числа страниц. В DNS-сервере unbound в области умолчанию включена проверка DNSSEC; Избавлены с глобальной блокировки системные вызовы __thrsleep(2), __thrwakeup(2), close(2), closefrom(2), dup(2), dup2(2), dup3(2), flock(2), fcntl(2), kqueue(2), pipe(2), pipe2(2) и nanosleep(2), а вот и все базовая часть ioctl(2). Расширена крыша оборудования. Добавлен новый драйвер iwx исполнение) беспроводных чипов Intel AX200, а в драйвере iwm добавлена опора устройств Intel 9260 и 9560. Добавлен парус rge для Realtek 8125 PCI Express 2.5Gb. Предложено видимо-нев новых драйверов для улучшения работы сверху платах arm64 и armv7, в том числе добавлена подмога платы Raspberry Pi 4 и улучшена поддержка Raspberry Pi 2 и 3. Расширена звуковая подсистема sndio. Удалён /dev/mixer, в обмен. Ant. наряду с которого все порты переведены держи sndio вместо интерфейс mixer ядра. В sndiod надежно использование аппаратных механизмов управления громкостью. Для того усиления безопасность запрещён доступ обычных пользователей к /dev/audio* и /dev/rmidi*. В беспроводном стеке прекращено отвод к любой доступной Wi-Fi сети, не поддерживающей кодирование, за исключением явного вызова команды "ifconfig join". Обеспечен пуск фонового сканирования доступных сетей рядом выполнении команды "ifconfig scan" пользователем root. Увеличен кэш результатов сканирования. Пользу кого драйвера bwfm добавлена поддержка режима активного сканирования. Улучшено автоматическое переход между беспроводными сетями через конец приоритета для сетей, к которым приставки не- удалось подключиться. В сетевом стеке появился с иголочки драйвер pppac, в который вынесена воплощение интерфейса PPP Access Concentrator. Настройки npppd.conf переведены нате использование pppac вместо tun. Удалена подмога mobileip. Пользователям без прав root запрещено утилизация ioctl для изменения адреса сетевого интерфейса и изменения параметров интерфейсов pppoe. В sysupgrade обеспечен запускание обновления прошивок (fw_update) до перезагрузки предварительно обновлением. Усовершенствован системный вызов unveil, некоторый обеспечивает изоляцию доступа к файловой системе. Контингент приложений из базовой системы, во (избежание которых реализована защита с использованием unveil, доведено после 82. В том числе на unveil переведены vmstat, iostat и systat. В crypto(3) добавлена помочь RSA-PSS to crypto(3). В DNS резолвер unwind добавлена помощь DoT (DNS over TLS). Значительно модернизирована реализация ipsec. Добавлена подмога автоматического перемещения трафика между rdomain близ шифровании и расшифровке для защиты ото атак по сторонним каналам. В iked добавлена ассистент изменения rdomain, а в iked.conf добавлена опция 'rdomain' В (видах iked и isakmpd по умолчанию выставлен высота IPSEC_LEVEL_REQUIRE, запрещающий обработку незашифрованных пакетов, соответствующих потоку. В настройки группы Diffie-Hellman про IKE SA добавлены алгоритмы curve25519, ecp256, ecp384, ecp521, modp3072 и modp4096. В iked манер аутентификации по умолчанию изменён нате аутентификацию по цифровой подписи (RFC 7427). Добавлены настройки ESN в iked.conf. Расширены внутренние резервы мультиплексора терминалов tmux, добавлено в навал новых опций. Обновлена версия почтового сервера OpenSMTPD. Нет слов встроенных фильтрах реализовано ключевое обещание "bypass" пропуска обработки при заданных условиях. Разрешено контрафакция в фильтрах имени пользователя текущего сеанса smtpd. В smtpd.conf разрешено исчерпание mail-from и rctp-to в параметрах. Обновлён программа OpenSSH 8.2, в котором появилась сохранение токенов двухфакторной аутентификации FIDO/U2F. Исчерпывающий обзор улучшений можно посмотреть в этом месте. Обновлён пакет LibreSSL, в котором доведена поперед готовности реализация TLS 1.3 на базе нового конечного автомата и подсистемы работы с записями. Вдоль умолчанию пока включена лишь клиентская номер TLS 1.3, серверную часть планируют активировать до умолчанию в одном из будущих выпусков. Словник остальных изменений можно увидеть в анонсах выпусков 3.1.0 и 3.1.1. Семьдесят портов для архитектуры AMD64 составило 11268, ради aarch64 - 10848, для i386 - 10715. Обновлены компоненты ото сторонних разработчиков, входящие в состав OpenBSD 6.7: Графичный стек Xenocara на базе X.Org 7.7 with xserver 1.20.8 + патчи, freetype 2.10.1, fontconfig 2.12.4, Mesa 19.2.8, xterm 351, xkeyboard-config 2.20; LLVM/Clang 8.0.1 (с патчами) GCC 4.2.1 (с патчами) и 3.3.6 (с патчами) Perl 5.30.2 (с патчами) NSD 4.2.4 Unbound 1.10.0 Ncurses 5.7 Binutils 2.17 (с патчами) Gdb 6.3 (с патчами) Awk с 20 декабря 2012 г. Expat 2.2.8 Колыбель: http://www.opennet.ru/opennews/art.shtml?num=52986