Релиз OpenBSD 4.8

02.11.2010 10:26

Команда разработчиков OpenBSD сообщила о выходе версии 4.8. В отличие от предыдущего релиза, выпуск OpenBSD 4.8 практически не содержит серьёзных изменений, которые могли бы привести к возникновению неудобств при обновлении, но зато имеет немало приятных добавлений.

Ниже следует неполный список основных новшеств по сравнению с версией 4.7. Полная версия списка для желающих доступна на сайте. Следует учесть, что OpenBSD-CURRENT (ветка разработки, которая со временем станет OpenBSD 4.9) содержит ряд изменений, который не успели попасть в релиз; изменения в ней будут освещены отдельно в традиционном ежемесячном отчёте.

Спящий режим (а главное — возвращение из него) работает на большей части компьютеров с графическими адаптерами на базе Intel и ATI. Машины с графическими чипами NVIDIA, к сожалению, не могут «проснуться». Так же в релизе не решён ряд проблем с CardBus/PCMCIA.

Изменения в сервисах маршрутизации:

Управляющие сокеты bgpd(8) теперь указываются в конфигурационном файле; параметры командной строки -s и -r убраны.
MPLS VPN третьего уровня теперь могут терминироваться на OpenBSD при помощи mpe(4), ldpd(8) и bgpd(8).
bgpd теперь поддерживает neighbor-as в фильтрующих директивах AS, а также два новых фильтра: max-as-seq и max-as-len, для ограничения длины отдельной AS или общего набора AS в маршруте. Так же исправлены мультипротокольные дампы MRT и добавлена поддержка 4-байтных номеров AS. Также теперь поддерживается ведение нескольких FIB, которые можно связывать с RIB для дальнейшего распространения. А для пиров, изменяющих RIB, теперь доступно мягкое переконфигурирование (softreconfig).
В bgplg(8) и bgplgsh(8) (BGP looking glass) добавлена поддержка ping6 и traceroute6.
В ospfd(8) улучшены процесс «обрезки» (pruning) LSA и повторное чтение конфигурационного файла.
ospf6d теперь поддерживает LSA с размером больше, чем MTU, лучше работает с другими реализациями OSPFv3, может распространять маршрут по умолчанию и корректно обрабатывает IPv6-префиксы, анонсированные соседями на том же линке, но не сконфигурированные на самом роутере.
Множество улучшений в ldpd(8), включая более корректный подсчёт хопов.

Общие улучшения в сетевом стеке:

Улучшена поддержка MPLS в ifconfig(8) и route(8), а теперь поддерживает расширенные ICMP-заголовки, позволяющие выводить MPLS-метки. Так же поддержка MPLS добавлена в gre(4) и gif(4).
Поддержка RFC 4941 добавлена в IPv6-стек и может быть включена посредством ifconfig(8). Так же ifconfig(8) теперь позволяет генерировать MAC-адрес случайным образом.
enc(4) и ipsec(4), dhcpd(8) и dhclient(8) теперь поддерживают домены маршрутизации.
Для реализации QinQ VLAN (802.1ad) теперь есть специальный псевдоинтерфейс svlan(4) (от Service VLAN).

Улучшения в SCSI-стеке:

Завершён переезд на новый SCSI-стек. В числе прочего уменьшено потребление памяти драйверами устройств, улучшен механизм распределения ресурсов шины, убрано множество ставших излишними вызовов splbio/splx.
Исправлены проблемы с отключением cd(4).
Убраны излишние задержки перед началом проигрывания DVD.
Множество других исправлений, в том числе убран ряд проблем с USB-устройствами.

Заметные улучшения в процессе установки:

disklabel(8) теперь позволяет настраивать автоматически сгенерированную разбивку диска (при помощи нового ключа командной строки, -R).
В файле /etc/pkg.conf записывается адрес зеркала, использовавшегося при установке новой или обновлении имеющейся системы.


Новые сервисы:



iked(8)
IKEv2-демон, дополняющий isakmpd(8) (поддерживает только IKEv1).

ldapd(8)
LDAP-сервер, лёгкая альтернатива OpenLDAP.



Улучшения в OpenSSH в связи с нехваткой места можно посмотреть отдельно.

Новые драйверы:



acpisony(4)
Драйвер для спецкнопок на ноутбуках Sony.

itherm(4)
Драйвер для датчиков Intel 3400.

owctr(4)
Драйвер для счётчиков производства 1-Wire.

pgs(4)
Драйвер для «кнопки программиста» (Programmer's Switch), имеющейся на некоторых PowerMac. Если sysctl-параметр ddb.console выставлен в 1, то при нажатии этой кнопки будет осуществлён вход в ddb(4).

se(4)
Драйвер для сетевых Ethernet-карт 10/100/1000 на базе SiS190.

uguru(4)
Драйвер для датчиков температуры, напряжения и оборотов кулеров производства ABIT.




Были убраны за ненадобностью драйверы ss(4) и usscanner(4), так как предоставляемые ими специальные интерфейсы практически никем не поддерживаются. Вместо этого рекомендуется использовать универсальный комплекс SANE, доступный для установки в пакетах.

Улучшения в существующих драйверах:


agp(4)/inteldrm(4)
Добавлена поддержка встроенных в Intel Core i3/i5 графических решений (Ironlake).

em(4)
Добавлена поддержка чипсетов Intel 82576 (волокно) и 82577/82578 (PCH).

envy(4)
Добавлена поддержка M-audio Audiophile 192k.


Улучшена работа со многими трекпадами.

re(4).
Добавлена поддержка чипсетов Realtek RTL8168E.

uaudio(4)
Добавлена поддержка 24-битного звука и воспроизведения в режиме USB 2.0.

udl(4)
Добавлена поддержка режима 800x480.

wsbio(4)
Добавлена поддержка чипов Winbond/Nuvoton W83627DHG-P.



Была поднята надёжность работы ряда HBA-драйверов, в том числе ciss(4), mpi(4) и mpii(4).

Исправлен ряд проблем с блокировками драйвере NTFS. Поддержка NTFS пока что по-прежнему считается экспериментальной, однако ряд разработчиков сейчас, насколько известно, занимается её кардинальным улучшением.

Для руководств в форматах man(7) и mdoc(7) в базовой системе и Xenocara теперь используется mandoc(1) вместо GNU nroff. Это заметно повысило скорость сборки этих руководств, уменьшило системные требования и, местами, улучшило качество форматирования.

Прочие изменения:


 Появилась начальная поддержка UTF-8 в libc и консоли.

 В библиотеку crypto(3) из состава OpenSSL добавлена поддержка AES-NI.

 В aucat(1) добавлена поддержка MIDI-управления в не-серверном режиме, включая перемещение внутри .wav-файлов. Также появилась возможность записи итогового выводимого звукового потока. Уровень же задержек сведён к минимуму, до одного блока, для нужд соответствующих программ.

 Платформы amd64, i386, hppa, sparc64, socppc и macppc переведены на сборку с использованием GCC 4.2.1.

 Улучшена работа с уникальными идентификаторами (UID) дисков, включая поддержку UID в disklabel(8).

 wsconsctl(8) теперь поддерживает управление несколькими клавиатурами, мышами и дисплеями.

 fdisk(8) теперь выравнивает раздел с OpenBSD на границу двух блоков для лучшей производительности на устройствах с размером блока 4096 байт.



Небольшие улучшения также имели место быть в dhcpd(8), ftp(1), getdirentries(2), libevent, libpthread, lint(1), make(1), man(1), newfs(8), nfsd(8), od(1), sendbug(1), snmpd(8), smtpd(8),

В составе базовой системы поставляется следующее ПО сторонних разработчиков:

Xenocara на базе X.Org 7.5 с xserver 1.8 (+ патчи), freetype 2.3.12, fontconfig 2.8.0, Mesa 7.8.2, xterm 258 и так далее.
Gcc 2.95.3 (+ патчи), 3.3.5 (+ патчи) и 4.2.1 (+патчи).
Perl 5.10.1 (+ патчи).
Улучшенная и защищённая версия Apache 1.3, с поддержкой SSL/TLS и DSO.
OpenSSL 0.9.8k (+ патчи).
Groff 1.15.
Sendmail 8.14.3, с libmilter.
Bind 9.4.2-P2 (+ патчи).
Lynx 2.8.6rel.5 с поддержкой HTTPS и IPv6 (+ патчи).
Sudo 1.7.2.
Ncurses 5.7.
Последняя версия KAME IPv6.
Heimdal 0.7.2 (+ патчи).
Arla 0.35.7.
Binutils 2.15 (+ патчи).
Gdb 6.3 (+ патчи).


Разработчики OpenBSD благодарят всех, кто оказал поддержку в подготовке этого релиза. Тем, кто хочет помочь проекту, могут заказать диски или сделать добровольное пожертвование. Ваши средства помогут разработке OpenBSD и связанных проектов.

исправить +15 +/–

Главная ссылка к новости (http://marc.info/?l=openbsd-an...)

Автор новости: PereresusNeVlezaetBuggy

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/28472-BSD

Ключевые слова: BSD, OpenBSD

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (71)

1.1, Толя Вихров (ok), 12:55, 02/11/2010 [ответить] [﹢﹢﹢] [ · · · ]	+3 +/–
Уже скачал образ. Скоро буду ставить на десктоп

2.5, Vitold S (?), 13:14, 02/11/2010 [^] [^^] [^^^] [ответить]	–13 +/–
На Desktop? Странно, что там вообще X11 работает...

3.27, аноним (?), 17:11, 02/11/2010 [^] [^^] [^^^] [ответить]	+/–
Чего странного? Система замечательная и в качестве десктопа абсолютно юзабельна.

3.46, PereresusNeVlezaetBuggy (ok), 19:39, 02/11/2010 [^] [^^] [^^^] [ответить]	+1 +/–
> На Desktop? Странно, что там вообще X11 работает... А вот если бы вы хотя бы новость читали внимательно (молчу про чтение FAQ, например), то знали бы, что там и 3D-акселерация поддерживается, для ATI и Intel.

4.48, Анонимен (?), 20:20, 02/11/2010 [^] [^^] [^^^] [ответить]	+/–
Расскажите, что там с автоконфигурацией иксов.

5.54, yason (?), 23:06, 02/11/2010 [^] [^^] [^^^] [ответить]	+/–
Работает. Причем даже игры требующие ускорения запускаются. При желании можно сгенерить себе xorg.conf и затюнить его по желанию.

3.60, исчо_адын_аноним (?), 07:56, 03/11/2010 [^] [^^] [^^^] [ответить]	+/–
> На Desktop? Странно, что там вообще X11 работает... http://cvs.openbsd.org/cgi-bin/query-pr-wrapper?full=yes&numbers=6496 почему бы и нет :)

2.50, koma (??), 21:27, 02/11/2010 [^] [^^] [^^^] [ответить]	+/–
а оно уже поддерживает 4G мозгов?

3.57, PereresusNeVlezaetBuggy (ok), 00:33, 03/11/2010 [^] [^^] [^^^] [ответить]

+/–

> а оно уже поддерживает 4G мозгов?

Четыре-то поддерживает. Детали для i386, например, можно глянуть здесь: http://www.atmnis.com/~proger/openkyiv/openkyiv2009_proger_sys.pdf (поиск по фразе «4G»).

Вот с bigmem (>4G) на ряде amd64-машин ещё есть нерешённые проблемы. :( Кое-где работает стабильно, можно попробовать включить в ядре после установки на свой страх и риск; лучше для этого, конечно, заюзать -CURRENT.

1.7, б.б. (?), 13:23, 02/11/2010 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
А где можно скачать все альбомы песенок быстро и сразу? Хочется ознакомиться с творчеством этой группы. (сам openbsd не интересует)

2.8, kegf (??), 13:33, 02/11/2010 [^] [^^] [^^^] [ответить]	+/–
http://openbsd.org/lyrics.html

1.9, б.б. (?), 13:35, 02/11/2010 [ответить] [﹢﹢﹢] [ · · · ]

+/–

то есть типа

for n in 'seq 30 48'
do
wget -c http://www.openbsd.org/songs/song$n.ogg
done

1.10, анонимус (??), 13:40, 02/11/2010 [ответить] [﹢﹢﹢] [ · · · ]	–4 +/–
>Gcc 2.95.3 (+ патчи), 3.3.5 (+ патчи) и 4.2.1 (+патчи). Лидеры некрофилии

2.13, nsk (??), 13:49, 02/11/2010 [^] [^^] [^^^] [ответить]	+1 +/–
не гоняются за самым свежим.

3.16, User294 (ok), 14:24, 02/11/2010 [^] [^^] [^^^] [ответить]	–10 +/–
Да уж. В других системах найти такие раритеты как апач 1.3 или GCC 2.x уже проблематично :)

4.17, PereresusNeVlezaetBuggy (ok), 14:53, 02/11/2010 [^] [^^] [^^^] [ответить]	+1 +/–
> Да уж. В других системах найти такие раритеты как апач 1.3 или > GCC 2.x уже проблематично :) GCC 2.x используется там, где в новых версиях дропнута поддержка соответствующих архитектур (это к слову о кроссплатформенности GCC, ага). А Apache 1.3 в опёнке — это совсем не то же, что стоковый Apache 1.3. Впрочем, для желающих есть и Apache 2 в портах.

5.34, Michael Shigorin (ok), 17:37, 02/11/2010 [^] [^^] [^^^] [ответить]	+1 +/–
> А Apache 1.3 в опёнке — это совсем не то же, что стоковый Apache 1.3. Да, уже загнул мысленно палец -- "когда-нить глянуть, потырить патчей". :)

6.39, Aleksey Cheusov (?), 18:47, 02/11/2010 [^] [^^] [^^^] [ответить]

+/–

>> А Apache 1.3 в опёнке — это совсем не то же, что стоковый Apache 1.3.
> Да, уже загнул мысленно палец -- "когда-нить глянуть, потырить патчей". :)

Сдается мне, сильно девешле будет взять весь.

Кстати, к вопросу о...

http://mova.org/~cheusov/pub/mk-configure/nbawk/

Легким движением руки, BSD-шный софт превращается в переносимый
в том числе и на Линукс. В принципе, то же самое применимо, думаю, и к
OpenBSD-шному apache, если они его на свои mk files перевели,
лениво проверять.

7.41, Aleksey Cheusov (?), 18:51, 02/11/2010 [^] [^^] [^^^] [ответить]	+/–
> Кстати, к вопросу о... > http://mova.org/~cheusov/pub/mk-configure/nbawk/ Само собой то же самое можно сделать с ЛЮБЫМ софтом из ЛЮБЫХ BSD систем. mk files более менее все похожи. Так что "понатырить" не проблема.

7.42, PereresusNeVlezaetBuggy (ok), 18:53, 02/11/2010 [^] [^^] [^^^] [ответить]

+/–

>>> А Apache 1.3 в опёнке — это совсем не то же, что стоковый Apache 1.3.
>> Да, уже загнул мысленно палец -- "когда-нить глянуть, потырить патчей". :)
> Сдается мне, сильно девешле будет взять весь.
> Кстати, к вопросу о...
> http://mova.org/~cheusov/pub/mk-configure/nbawk/
> Легким движением руки, BSD-шный софт превращается в переносимый
> в том числе и на Линукс. В принципе, то же самое применимо,
> думаю, и к
> OpenBSD-шному apache, если они его на свои mk files перевели,
> лениво проверять.

Не совсем перевели, сделали обёртку: http://www.openbsd.org/cgi-bin/cvsweb/src/usr.sbin/httpd/Makefile.bsd-wrapper?rev=1.69

2all: www.openbsd.org уже в строю.

8.47, Aleksey Cheusov (?), 19:58, 02/11/2010 [^] [^^] [^^^] [ответить]	+/–
В таком случае, все еще проще Инфраструктура configure, как я вижу, сохраняет... текст свёрнут, показать

9.55, Michael Shigorin (ok), 23:22, 02/11/2010 [^] [^^] [^^^] [ответить]	–2 +/–
ну ты понял ... текст свёрнут, показать

10.59, vle (ok), 01:49, 03/11/2010 [^] [^^] [^^^] [ответить]	+/–
Миша, не дразни меня, а то ведь я сделаю ... текст свёрнут, показать

4.20, nsk (??), 14:58, 02/11/2010 [^] [^^] [^^^] [ответить]	+1 +/–
апача 1.3.27 входит в поставку и устраивает по лицензии. Хотите свежее - пакеты и порты доступны и свежи. Да и кому в голову придет поднимать на опенке высокопроизводительный вебсервер и на самом свежем apache? за gcc не скажу. Важно то, что система стабильна и гонки "вооружений"(свежий софт) в ней не придерживаются. А то, что требуется от этой системы, в ней есть из коробки: все что нужно для фильтрации пакетов, маршрутизации и постороения ipsec тунелей. Список можно продолжить. Спасибо разработчикам.

4.21, тигар (ok), 15:18, 02/11/2010 [^] [^^] [^^^] [ответить]	+3 +/–
прежде чем употреблять слово "раритет" (я об apache) тебе, думаю, стоило бы ознакомиться с предметом обсуждения.

5.61, Аноним (-), 08:37, 03/11/2010 [^] [^^] [^^^] [ответить]	+/–
да зачем ему, у него же очки +200 к интеллекту на черепушке :)

1.12, Аноним (-), 13:47, 02/11/2010 [ответить] [﹢﹢﹢] [ · · · ]

–4 +/–

>Уже скачал образ. Скоро буду ставить на десктоп

От Вас разит
>ldapd(8)LDAP-сервер, лёгкая альтернатива OpenLDAP.

А вот это интересно, а вот это зачем?

2.18, PereresusNeVlezaetBuggy (ok), 14:55, 02/11/2010 [^] [^^] [^^^] [ответить]

+/–

>>Уже скачал образ. Скоро буду ставить на десктоп
> От Вас разит

На домашнем компе, на ноутбуке, на рабочем компе стоит опёнок. Полёт уже не первый год нормальный. Будете спорить о вкусе устриц с теми, кто их ел?

>>ldapd(8)LDAP-сервер, лёгкая альтернатива OpenLDAP.
> А вот это интересно, а вот это зачем?

Наверное, затем, что это лёгкая альтернатива? Быстрая, компактная и простая в обслуживании. Если её возможностей кому-то будет хватать, почему бы и нет?

3.25, Vitold S (?), 16:26, 02/11/2010 [^] [^^] [^^^] [ответить]	+/–
>>> Уже скачал образ. Скоро буду ставить на десктоп >> От Вас разит > На домашнем компе, на ноутбуке, на рабочем компе стоит опёнок. Полёт уже > не первый год нормальный. Будете спорить о вкусе устриц с теми, > кто их ел? А мне и в QNX нравиться рабочий стол. Хотя по старинке пользуюсь Widnows. Скоро правдо придется серьезно задуматься, так как практически все операции приходиться делать под виртуалками Lunux/FreeBSD.

1.14, Аноним (-), 14:00, 02/11/2010 [ответить] [﹢﹢﹢] [ · · · ]	+/–
сайт лежит

2.19, PereresusNeVlezaetBuggy (ok), 14:57, 02/11/2010 [^] [^^] [^^^] [ответить]	+/–
> сайт лежит Есть такое. Этот сервер обслуживает несколько проектов, так что трудно сказать, кто там виноват. Сведений пока нет. :(

1.15, Аноним (-), 14:12, 02/11/2010 [ответить] [﹢﹢﹢] [ · · · ]	+/–
все качают

2.24, Vitold S (?), 16:21, 02/11/2010 [^] [^^] [^^^] [ответить]	+/–
> все качают Когда уже TORRENT будет.

3.26, PereresusNeVlezaetBuggy (ok), 16:46, 02/11/2010 [^] [^^] [^^^] [ответить]

+/–

>> все качают
> Когда уже TORRENT будет.

Сделайте. Это open source, причём ни разу не коммерческий. А вообще дело не в скачивании, конечно; больше похоже на технические проблемы.

Пока что можно пользоваться http://openbsd.org/ (без «www.») — но учтите, что это совсем другой сервер, личная машина Тео, с ограниченным каналом.

4.28, аноним (?), 17:13, 02/11/2010 [^] [^^] [^^^] [ответить]	+/–
> Сделайте. Что значит "сделайте"? Взломать их сервер и поднять там трекер, только чтобы самому скачать? Сделайте сами если это так легко.

5.33, PereresusNeVlezaetBuggy (ok), 17:33, 02/11/2010 [^] [^^] [^^^] [ответить]	+/–
>> Сделайте. > Что значит "сделайте"? Взломать их сервер и поднять там трекер, только чтобы > самому скачать? Сделайте сами если это так легко. Никто не говорил, что что-то там легко. Зачем взламывать, не пойму? Можно просто попробовать договориться. Сами разработчики не особо заинтересованы в торрентах, AFAIK, но вряд ли будут иметь что-то против, если вы соответствующую инфраструктуру обеспечите.

4.36, PereresusNeVlezaetBuggy (ok), 17:39, 02/11/2010 [^] [^^] [^^^] [ответить]

+1 +/–

>>> все качают
>> Когда уже TORRENT будет.
> Сделайте. Это open source, причём ни разу не коммерческий. А вообще дело
> не в скачивании, конечно; больше похоже на технические проблемы.
> Пока что можно пользоваться http://openbsd.org/ (без «www.») — но учтите,
> что это совсем другой сервер, личная машина Тео, с ограниченным каналом.

А лучше — вот список зеркал:

http://openbsd.md5.com.ar/
http://openbsd.das.ufsc.br/
http://www.openbsd.dk/
http://openbsd.bsdfrog.org/
http://openbsd.corebsd.or.id/
http://www.openbsd.it/
http://www.openbsdindia.org/
http://www.jp.openbsd.org/
http://www.openbsd.org.my/
http://openbsd.nuug.no/
http://openbsd.chem.uw.edu.pl/
http://openbsd.default.rs/
http://openbsd.alphix.se/
http://www.obsd.si/
http://www.tw.openbsd.org/
http://openbsd.fries.net/

3.30, Аноним (-), 17:22, 02/11/2010 [^] [^^] [^^^] [ответить]	+/–
кто из торрента будет тянуть, когда есть фтп/хттп?

4.37, Michael Shigorin (ok), 17:50, 02/11/2010 [^] [^^] [^^^] [ответить]	+/–
> кто из торрента будет тянуть, когда есть фтп/хттп? Очевидно, не успевший взять по ftp/http до захлёбывания дисковых подсистем/каналов и по каким бы то ни было причинам не хотящий откладывать.

1.40, ilembitov (?), 18:51, 02/11/2010 [ответить] [﹢﹢﹢] [ · · · ]

+/–

>Появилась начальная поддержка UTF-8 в libc и консоли.

Погодите. То есть в самой консоли тоже появилась? Я считал, что пока что она работает только в эмуляторах терминала, которые умеют юникод. Но сам драйвер консоли (wscons, верно) в OpenBSD юникод не поддерживает, а значит, в текстовом режиме (без иксов) юникода не будет. Я ошибаюсь? Если да, то просто охренительно круто)

В current вроде уже попала поддержка UTF в ncurses, что еще осталось для полной поддержки юникода?

2.43, PereresusNeVlezaetBuggy (ok), 19:02, 02/11/2010 [^] [^^] [^^^] [ответить]

+/–

>>Появилась начальная поддержка UTF-8 в libc и консоли.
> Погодите. То есть в самой консоли тоже появилась?

Ключевое слово — начальная.

> Я считал, что пока
> что она работает только в эмуляторах терминала, которые умеют юникод. Но
> сам драйвер консоли (wscons, верно) в OpenBSD юникод не поддерживает, а
> значит, в текстовом режиме (без иксов) юникода не будет. Я ошибаюсь?
> Если да, то просто охренительно круто)

Да обсуждали мы уже это всё, когда эти изменения только-только вносились...

> В current вроде уже попала поддержка UTF в ncurses, что еще осталось
> для полной поддержки юникода?

Решить вопросы со шрифтами и драйвером консоли, как я понимаю. Самый тонкий и трудный момент, в том числе потому, что если с libc можно было ориентироваться как-то на фряху, то wscons-то оттуда давным давно выпилили... Спросите на misc@ , если не боитесь, что отправят лесом. :)

1.44, paxuser (ok), 19:11, 02/11/2010 [ответить] [﹢﹢﹢] [ · · · ]	+/–
http://bsdly.blogspot.com/2010/10/if-it-runs-openbsd-it-has-to-be.html - небольшая заметка от одного из разработчиков OpenBSD. Среди прочих перлов - рекомендации ставить систему, сверяя целостность файлов с нескольких зеркал. :)

2.45, PereresusNeVlezaetBuggy (ok), 19:29, 02/11/2010 [^] [^^] [^^^] [ответить]	+/–
> http://bsdly.blogspot.com/2010/10/if-it-runs-openbsd-it-has-to-be.html - небольшая > заметка от одного из разработчиков OpenBSD. Среди прочих перлов - рекомендации > ставить систему, сверяя целостность файлов с нескольких зеркал. :) Перл, не перл, а логика в этом есть. Помните, как появилась в своё время большущая дырка в OpenSSH? А за зеркалами следят далеко не всегда столь же серьёзно, как за основным сервером.

3.52, paxuser (ok), 21:48, 02/11/2010 [^] [^^] [^^^] [ответить]

+/–

Конечно логика есть. Уж релизы-то подписывать ЭЦП они могли бы, согласитесь. Я вот всё жду, когда же начнут... Даже давний взлом FTP-сервера проекта их, видимо, ничему не научил. А ведь усилий минимум, и не пришлось бы предлагать ерунду о проверке хэшей с разных зеркал.

Проблема есть, косвенно признанна, но решение предлагается негодное. Что, если взломщик контролирует канал связи жертвы? В этом случае он может подменить файлы, с каких бы зеркал они запрошены ни были. Но если жертва для проверки целостности файлов применяет настоящий публичный ключ (условимся, что он был успешно получен ранее - например, для проверки файлов предыдущих релизов), то подсадка трояна значительно усложнится.

О сложности эксплуатации уязвимостей в ядре OpenBSD (по ссылке об этом тоже написано) - неправда. Корректность кода усложняет поиск уязвимостей, поскольку встречаются они реже, но не их экслпуатацию, оцените сами: http://www.securiteam.com/exploits/5JP092KKAM.html

В последних версиях подобный эксплойт работать не будет, потому что в 2009-ом в OpenBSD ввели запрет на маппинги нулевого адреса (кстати, где-то на год позже, чем в ванильном линуксе). То есть, сработает конкретный механизм защиты от эксплуатации, а не некие последствия от аккуратного написания и аудита кода.

Ну и вообще, априори склоняться к версии о троянах в установочных файлах - непрофессионально, как минимум. Разработчики OpenBSD не тратят на аудит и толику того времени, которое будет потрачено на поиск уязвимостей взломщиком, который поставит перед собой чёткую цель и не будет стеснён сроками.

4.56, PereresusNeVlezaetBuggy (ok), 00:14, 03/11/2010 [^] [^^] [^^^] [ответить]	+/–
Насчёт ЭЦП 8212 AFAIK, дело в первую очередь в том, что для её проверки надо ... большой текст свёрнут, показать

5.64, paxuser (ok), 13:54, 03/11/2010 [^] [^^] [^^^] [ответить]	+1 +/–
Это относится только к образам установочных дискет Есть образы установочных сид... большой текст свёрнут, показать

6.65, PereresusNeVlezaetBuggy (ok), 17:40, 03/11/2010 [^] [^^] [^^^] [ответить]	+/–
Ну и как вы это себе представляете Подписывание означает шифрование То есть на... большой текст свёрнут, показать

7.66, paxuser (ok), 19:14, 03/11/2010 [^] [^^] [^^^] [ответить]	+/–
Не верю, что вы всерьёз так заблуждаетесь Наверное это какой-то троллинг Но... большой текст свёрнут, показать

8.68, PereresusNeVlezaetBuggy (ok), 20:49, 03/11/2010 [^] [^^] [^^^] [ответить]	+/–
Меня тут уже поправили, я чего-то стормозил достаточно подписывать файлы сумм ... большой текст свёрнут, показать

9.69, paxuser (ok), 22:46, 03/11/2010 [^] [^^] [^^^] [ответить]	–1 +/–
facepalm Тезис о необходимости двух комлпектов файлов С ним уже разобрались ... большой текст свёрнут, показать

10.71, vle (ok), 16:08, 04/11/2010 [^] [^^] [^^^] [ответить]	+/–
Ох, как же я с тобой здесь согласен Черт побери - То же самое на самом деле ... большой текст свёрнут, показать

11.72, paxuser (ok), 18:44, 04/11/2010 [^] [^^] [^^^] [ответить]	+/–
Я о другом хотел сказать у них всегда находятся отговорки, чтобы не использоват... текст свёрнут, показать

12.73, vle (ok), 19:43, 04/11/2010 [^] [^^] [^^^] [ответить]	+/–
Я не могу сказать ничего про OpenBSD Но вот в NetBSD после долгого и кровопроли... большой текст свёрнут, показать

13.74, vle (ok), 20:21, 04/11/2010 [^] [^^] [^^^] [ответить]	+/–
Ну еще скорость конечно же По сравнению с Lua жирные Python, Ruby, TCL, PHP и P... текст свёрнут, показать

13.75, paxuser (ok), 13:04, 05/11/2010 [^] [^^] [^^^] [ответить]	+/–
Вот В OpenBSD такие перемены очень сложно представить - прецедентов не было Но... большой текст свёрнут, показать

14.76, vle (ok), 16:55, 05/11/2010 [^] [^^] [^^^] [ответить]	+/–
Эту мысль ты уже озвучивал, и я с ней полностью согласен Деза вредна даже не ... большой текст свёрнут, показать

15.77, paxuser (ok), 19:10, 05/11/2010 [^] [^^] [^^^] [ответить]	+/–
А толку от этих патчей, когда их полтора человека используют Пять лет, как есть... большой текст свёрнут, показать

16.78, vle (ok), 02:23, 06/11/2010 [^] [^^] [^^^] [ответить]	+/–
В последних версиях gcc gpl3 gcc 4 3 или когда там gpl-v3 появился включили... большой текст свёрнут, показать

17.79, paxuser (ok), 14:47, 06/11/2010 [^] [^^] [^^^] [ответить]	+/–
А вот не знаю Сейчас посмотрел - нигде он не включён, вплоть до 4 4 Тут либо я... большой текст свёрнут, показать

18.80, vle (ok), 19:40, 06/11/2010 [^] [^^] [^^^] [ответить]	+/–
Были приведены примеры лицемерия в OpenBSD, но я что-то не припомню ничего подоб... большой текст свёрнут, показать

19.81, paxuser (ok), 21:30, 06/11/2010 [^] [^^] [^^^] [ответить]	+/–
Привожу цитаты отсюда http www freebsd org features html TrustedBSD MAC Fram... большой текст свёрнут, показать

20.82, vle (ok), 01:42, 07/11/2010 [^] [^^] [^^^] [ответить]	+/–
В общем, я думаю, стороны высказались И по делу и не по делу Каждый в меру спо... текст свёрнут, показать

12.83, Michael Shigorin (ok), 21:08, 08/11/2010 [^] [^^] [^^^] [ответить]	+/–
просыпаясь Оно им надо и вообще -- интересно, какая доля эрлангистов страны ... текст свёрнут, показать

8.70, vle (ok), 15:37, 04/11/2010 [^] [^^] [^^^] [ответить]	+/–
JFYI Совсем недавно в базовую систему NetBSD внесли Lua, хороший мощный и безоп... текст свёрнут, показать

7.67, pavel_simple (ok), 19:19, 03/11/2010 [^] [^^] [^^^] [ответить]

+/–

> Ну и как вы это себе представляете? Подписывание означает шифрование. То есть
> надо тогда два комплекта установочных файлов распространять, получается, подписанные
> и неподписанные? А какой из этих комплектов записывать на оригинальные диски
> с релизом?..

ваапщета -- вполне достаточно файлика формата
имя_файла размер md5hash sha1hash
имя_файла размер md5hash sha1hash
имя_файла размер md5hash sha1hash
....

и его подписать -- всего один файл и никакого шифрования

2.51, аноним (?), 21:35, 02/11/2010 [^] [^^] [^^^] [ответить]	+/–
> рекомендации ставить систему, сверяя целостность файлов с нескольких зеркал А вы не согласны?

3.53, paxuser (ok), 21:49, 02/11/2010 [^] [^^] [^^^] [ответить]	+/–
Не согласен. Эта задача несравнимо надёжнее решается с помощью ЭЦП.

1.49, guest (??), 21:26, 02/11/2010 [ответить] [﹢﹢﹢] [ · · · ]	+/–
glob(3) не патченный, что вообщемто понятно - не успели, а вот чистая errata при этом как-то не комильфо...

2.58, PereresusNeVlezaetBuggy (ok), 00:35, 03/11/2010 [^] [^^] [^^^] [ответить]	+/–
> glob(3) не патченный, что вообщемто понятно - не успели, а вот чистая > errata при этом как-то не комильфо... Проблему с glob(3) не сочли проблемой безопасности...

3.62, guest (??), 10:38, 03/11/2010 [^] [^^] [^^^] [ответить]

+/–

> Проблему с glob(3) не сочли проблемой безопасности...

На RELIABILITY FIX тоже не тянет?

4.63, PereresusNeVlezaetBuggy (ok), 12:23, 03/11/2010 [^] [^^] [^^^] [ответить]	+/–
>> Проблему с glob(3) не сочли проблемой безопасности... > На RELIABILITY FIX тоже не тянет? Угу. Иначе бы давно в errata для 4.6 и 4.7 появилось. Честно говоря, сам не понимаю логику. Насколько я понимаю, дело в том, что для успешной эксплуатации требуется пройти аутентификацию на системе (анонимный вход — тоже аутентификация, со всеми вытекающими рисками), а аутентифицированный пользователь может устроить DoS и с «лимитированным» glob(3). Но это лишь моё предположение. vsftpd рулит. :)

игнорирование участников | лог модерирования

Добавить комментарий

Текст: