Всего две ошибки сетевой безопасности в стандартной установке за все время существования системы!В рамках проекта OpenBSD разрабатывается
СВОБОДНАЯ, мультиплатформенная UNIX-подобная операционная система, основанная на коде 4.4BSD. Мы акцентируем свое внимание на переносимости, стандартизации, корректности,
безопасности и
интегрированной криптографии.
OpenBSD бесплатно доступна на наших FTP-серверах, а также за небольшую плату в виде набора из 3х CD.
Последний релиз
OpenBSD 5.2 вышел 1 ноября 2012 года.
OpenBSD разрабатывается добровольцами. Проект оплачивает разработку, а также
встречи разработчиков, продавая через сеть магазинов компакт-диски,
футболки и
постеры, и принимая
пожертвования от организаций и частных лиц. Эти деньги гарантируют продолжение развития OpenBSD, оставаясь
свободной для всех.
Релиз OpenBSD 5.2:Вышел 1 ноября 2012 г.
Copyright 1997-2012, Theo de Raadt.
ISBN 978-0-9881561-0-4Песня 5.2: "Aquarela do Linux"Что новогоУстановкаКак обновиться до версии 5.2Использование дерева портовЗаказ установочных CD Для того, чтобы получить эту версию OpenBSD, можно: Примечание: Вся информация о правах интеллектуальной собственности и составе разработчиков находится в файлах в src.tar.gz, sys.tar.gz, xenocara.tar.gz, или файлах, полученных при использовании ports.tar.gz. Файлы, используемые для сборки пакетов из ports.tar.gz, не включены в CDROM по причине экономии места.
Что новогоНиже приведен неполный перечень новых возможностей и поддерживаемых систем в OpenBSD 5.2. Для получения исчерпывающей информации по этому вопросу, ознакомьтесь со <a href="
http://www.openbsd.o...2.html">списком изменений к выпуску 5.2.
- Поддержка pthreads(3):
- Наиболее значительным изменением в этом выпуске является замена uthreads (потоки пользовательского пространства) на rthreads (потоки на уровне ядра), что позволяет многопоточным приложениям использовать вычислительные ресурсы множества процессоров/процессорных ядер.
- Используется PTHREAD_MUTEX_STRICT_NP как значение mutex по умолчанию.
- Добавлена блокировка потоковой и барьерных процедур.
- Добавлены pthread_mutex_timedlock(3) и sem_timedwait(3).
- Добавлена pthread_condattr_setclock(3).
- Добавлена поддержка "живой" многопоточной отладки в gdb(1).
- Улучшена обработка rusage и interval timers в threaded процессах.
- Изменены RLIMIT_NPROC rlimit расчета процессов вместо потоков.
- Добавлен новый системный лимит максимального количества потоков kern.maxthread.
- Прекращена конкуренция при создании потоков с помощью fork(2) и open(2).
- Улучшена обработка потоковых процессов в ps(1), top(1), и fstat(1).
- Изменен принцип рекурсивной блокировки dlopen() как и в других функциях dl*() из atexit().
- Много исправлений в работе pthread, проверок mutex-ошибок и отмены обработки.
- Улучшена поддержка аппаратных средств:
- Добавлена поддержка спящего режима (hibernation) для архитектуры i386. Это работает пока только при использовании pciide(4) и wd(4) драйверов.
- Улучшена поддержка ALPS тачпадов при использовании wsmouse(4) и synaptics(4) X.Org драйверов.
- Улучшена производительность ix(4) Intel 10Gb Ethernet NICs.
- Поддержка i350 устройств (драйвер em(4)).
- Поддержка управления потоком передачи данных в драйвере bnx(4).
- Аппаратный watchdog и поддержка HPET для tcpcib(4) (Intel Atom E600), который используется в некоторых embedded x86 системах.
- urndis(4) теперь поддерживает устройства с Android.
- Добавлена поддержка Winbond W83627UHG в wbsio(4).
- SMBus контроллеры: добавлена поддержка AMD CS5536 в glxpcib(4) и NVIDIA MCP89 в nviic(4).
- Добавлена поддержка AX88772B устройств драйвером axe(4).
- Добавлена поддержка MCS7832 устройств драйвером mos(4).
- Добавлена поддержка Roland UM-ONE драйвером umidi(4).
- Добавлена поддержка чипсета AMD Hudson-2 драйверами azalia(4) и piixpm(4).
- Добавлена поддержка карт NetMos NM9820 драйвером com(4).
- Добавлена поддержка Huawei Mobile E303 драйвером umsm(4).
- Порт sgi сейчас поддерживает семейства процессоров R4000 Indigo (IP20), Indy (IP22), R4000 Indigo2 (IP24) и POWER Indigo2 R10000 (IP28).
- Основные улучшения сетевого стека:
- Увеличение TCP Initial Window до 14600 байтов как предлагалось в draft-ietf-tcpm-initcwnd.
- Очистка обработки sockaddrs в случаях порчи.
- Улучшенная обработка ошибок и ограничение передачи файловых дескрипторов.
- Улучшенная обработка socketbuffer для AF_UNIX сокетов.
- Исправлена еще одна утечка файловых дескрипторов в передаче сообщений.
- Улучшена обработка ошибок в socket splicing.
- Частные адреса IPv6 уже появляются вместе с SLAAC адресами.
- Поддержка Расширенных Порядковых Номеров была добавлена в стек IPsec и iked(8).
- Стало возможным установление моста между двумя IPv4 сетями через IPv6 соединение при использовании gif(4) тунеля.
- Маршрутизация демонов и другие улучшения пользовательских сетевых возможностей:
- sndiod(1), bgpd(8), dvmrpd(8), ftp-proxy(8), iked(8), iscsid(8), ldapd(8), ldpd(8), nsd(8), ospf6d(8), ospfd(8), relayd(8), ripd(8), snmpd(8), spamd(8), sshd(8), tcpbench(1) и tmux(1) сейчас ограничивают создание новых подключений при истощении файловых дескрипторов.
- route(8) допускает синтаксис destination/prefixlen для маршрутов IPv6.
- tcpdump(8) теперь поддерживает дамп ASCII пакетов.
- Улучшена поддержка etherip и BGP протокола в tcpdump(8).
- isakmpd(8) и tcpdump(8) научились распознавать групповой Internet Key Exchange DH.
- Различные улучшения в iked(8), включая поддержу для повторной передачи.
- ipsecctl(8) сейчас позволяет устанавливать время жизни SA в файле ipsec.conf(5).
- Переписан tftpd(8) как устойчивый и неблокируемый демон.
- tftp(1) клиент теперь поддерживает IPv6.
- snmpd(8) теперь поддерживает PF-MIB, UCD-DISKIO-MIB, и дополнительно OID в HOST-RESOURCES-MIB.
- bgpd(8) теперь более устойчив, если встречаются проблемы в работе сети.
- В bgpd(8) отрегулирован код выбора маршрутов для выполнения необходимых проверок за счет отражения маршрутов.
- Различные исправления для улучшения отчетов об ошибках в bgpd(8) (включая поддержку RFC 6608).
- С целью отладки bgpctl(8) может загружать MRT дампы в bgpd(8).
- Исправлено распределение маршрутов MPLS VPN в bgpd(8).
- Добавлена новая опция "selected" для команды "show rib" (bgpctl(8)), с помощью которой выводятся только выбранные маршруты.
- Корректная поддержка LSA_TYPE_AREA_OPAQ и LSA_TYPE_AS_OPAQ в ospfd(8).
- relayd(8) теперь может обрабатывать транзакции размером больше 2 Гб.
- Различные исправления и улучшения в части соответствия стандарту HTTP в relayd(8).
- rtadvd(8) теперь может распространять DNS серверы и искать пути в объявлениях маршрутизатора.
- При использовании опции noifprefix, rtadvd(8) теперь может отправлять сообщения маршрутизатора без информационного префикса.
- ftp(1) клиент теперь позволяет указывать IP адрес источника соединения.
- ypldap(8) теперь поддерживает работу с большими каталогми, а так же стал более "толерантным" при обрабатке групп.
- Добавлена поддержка AF_INET6 в inet_net_pton(3) и inet_net_ntop(3).
- Улучшения pf(4):
- pf(4) теперь игнорирует/сохраняет нижние 2 бита TOS-заголовка (используется для явного уведомления о перегрузке (Explicit Congestion Notification)).
- Допускает более 16 pflog(4) интерфейсов.
- pf(4) теперь поддерживает взвешенную least-states балансировку нагрузки.
- Опции prio и tos теперь являются частью блока "set { }". Более подробно об этом в pf.conf(5).
- Разрешает устанавливать tos в IPv6 пакетах.
- Улучшена обработка pfsync(4) предотвращения сбоев без наличия полной таблицы состояний.
- Исправлена печать шаблона якоря в pfctl(8).
- Различные улучшения:
- Добавлен nginx(8), как HTTP сервер, обратный прокси сервер и почтовый прокси сервер.
- Добавлен SQLite 3.7.13, самостоятельное приложение баз данных SQL.
- Был обновлен libpcap с различными основными функциями из libpcap-1.2.0 API (tcpdump.org).
- Отключен SSLv2 в OpenSSL.
- libtool(1) перемещен в базовую систему. Многое еще предстоит сделать.
- Удален lint(1).
- Удален raid(4) драйвер RAIDframe и связанные с ним утилиты raidctl(8). RAIDframe заменен на softraid(4).
- Добавлен posix_spawn(3).
- Добавлены mbsnrtowcs(3) и wcsnrtombs(3).
- Добавлены getdelim(3) и getline(3).
- Увеличено количество переменных конфигурации sysconf(3) и pathconf(2).
- dirfd(3) теперь функция вместо макроса.
- posix_memalign(3) поддерживает какие угодно большие выравнивания.
- Улучшена производительность realloc(3).
- ld.so(1) распознает флаг DF_1_NOOPEN и отказывает dlopen(3) выделять объекты связанные "-z nodlopen".
- Повышен уровень соответствия и/или чистоты заголовочных файлов, в частности, <dirent.h>, <time.h>, <sys/time.h>, <limits.h>, <arpa/inet.h>, <netinet/in.h>, и <sys/param.h>.
- Улучшено распределение памяти uvm ядра.
- Добавлена поддержка использования AMT для обеспечения console-over-Ethernet (см. пакет amtterm).
- Улучшена поддержка amd64-систем с многими уровнями памяти.
- Улучшения в compat_linux(8): исправлены TLS-vs-clone и futex, добавлена поддержка statfs64(), tgkill(), gettid(), SOCK_CLOEXEC, и SOCK_NONBLOCK.
- Улучшен kdump(1): показ ID потоков и дамп timespec, timeval, sigaction, rlimit, sigset, clockid, и fdset аргументов и результатов.
- Различные улучшения smtpd(8): надежность исправлений, новый MTA клиент, новый планировщик и улучшение логики очередей, упрощен синтаксис smtpd.conf(5), улучшено соответствие RFC и ряд косметических изменений.
- Emacs-подобный редактор mg(1) теперь поддерживает функциональность cscope. Также, резервные копии файлов могут сохраняться в домашний каталог пользователя дополнительно к сохранению их в рабочем каталоге.
- Исправлена работа kvm_getfile2() (и, соответственно, fstat(1) и pstat(8)) в дампах ядра.
- Улучшен emacs-стиль клавиш и обработка больших массивов в ksh(1).
- halt(8) отключает "suspend-on-lid-close", так что, вы случайно не приостановите вместо выключения.
- Улучшена параллельность make(1): добавлены специальные цели .CHEAP и .EXPENSIVE и исправлены глюки в логике already-rebuilt.
- Пакет libusb имеет для некоторых операций доступ к не-ugen(4) устройствам, что позволяет, например, программирование YubiKeys со стандартным ядром.
- Различные улучшения в tmux(1): новое унифицированное представление дерева для выбора сеанса или окна, новые команды перемещения панели и перенумерования окон, история макетов панели, упрощено ограничение скорость вывода и были расширены пользовательские форматы (-F) и в настоящее время принимается больше команд.
- fsck_msdos(8) сейчас работает с устройствами, использующими секторы не 512 байт.
- quotacheck(8) сейчас работает с DUID fstab(5) файлами.
- Многочисленные незначительные улучшения fdisk(8), в том числе, более вменяемая проверка, а также улучшена разбивка по умолчанию больших дисков.
- dhclient(8) теперь отбрасывает тянущиеся NUL в вариантах данных и более пристально анализирует данные.
- Различные улучшения в обработке запуска и ожидания dhclient(8).
- disklabel(8) лучше выполняет определение физической памяти разделов при автораспределении на устройствах с не-512 битовыми секторами.
- Ошибки SCSI теперь корректно передаются в пространство пользователя, например mount(2) будет передавать специфические ошибки, такие как попытка монтирования с правами чтения и записи файловой системы на RO устройствах.
- Улучшена работка с файловой системой FAT: автоопределение таких накопителей происходит даже при отсутствии метки 0x55aa, а также предотвращает запись OpenBSD disklabel в структуру FAT.
- В реализации файловой системы MS-DOS FAT значительно ускорена запись больших файлов (практически в два раза).
- OpenSSH 6.1:
- Новые возможности:
- sshd(8): при указании UsePrivilegeSeparation=sandbox в sshd_config для новых подключений по умолчанию sshd будет запускаться в песочнице (sandbox).
- sshd-keygen(1): добавлены опции для определения начального номера строки, а также число линий для обработки при отборе модулей кандидатов, позволяя параллельную обработку различных частей файла модуля кандидата.
- sshd(8): директива Match теперь поддерживает согласование на локальном (прослушиваемом) адресе и порту входящих соединений, перенаправленных через LocalAddress и LocalPort.
- sshd(8): расширена директива Match sshd_config, позволяя устанавливать AcceptEnv в {Allow,Deny}{Users,Groups}.
- Добавлена поддержка RFC6594 SSHFP DNS записей для типов ключей ECDSA. (bz#1978)
- sshd-keygen(1): позволяет преобразование RSA1 ключей в публичные PEM и PKCS8.
- sshd(8): позволяет в sshd_config использовать директивы PermitOpen для использования "none" в качестве аргумента для отклонения всех запросов переадресации.
- sshd(8): поддерживает "none" в качестве аргумента для AuthorizedPrincipalsFile.
- sshd-keyscan(1): по умолчанию ожидает ECDSA ключи. (bz#1971)
- sshd(8): в файл sshd_config добавлена "VersionAddendum", разрешающая операторам сервера добавлять произвольный текст в баннер протокола SSH сервера.
- В этом выпуске были исправлены следующие важные ошибки:
- sshd(8) и ssh(1): не находится в accept() в ситуациях при истощении файловых дескрипторов вместо возвращения.
- sshd(8) и ssh(1): удален hmac-sha2-256-96 и hmac-sha2-512-96 MACs в связи с удалением из спецификации. (bz#2023)
- sshd(8): обработчики длинных комментариев в конфигурационных файлах стали лучше. (bz#2025)
- ssh(1): установка задержки tty_flag опции RequestTTY работает корректно. (bz#1995)
- sshd(8): исправлена обработка /etc/nologin, неправильно применяемая к корню на платформах, использующих login_cap.
- Более 7600 портов, значительно улучшена производительность и стабильность в процессе сборки пакетов:
- dpb становиться проще и быстрее. Регулировки дистрибутивных файлов работают без каких-либо опций.
- Стал более простым и менее подвержен ошибкам механизм различных настроек MD.
- dpb сейчас используется для зеркалирования дистрибутивных файлов ftp://ftp.openbsd.org/pub/OpenBSD/distfiles/
- Полные базы данных всех портов доступны в виде пакетов:
- pkglocatedb - locate(1) база данных с информацией о файлах в пакетах
- sqlports - sqlite3(1) база данных, содержащая мета-информацию о пакетах
- ports-readmes - дерево html-файлов для просмотра доступных пактов