Доступен (http://marc.info/?l=openbsd-announce&m=136741810321132&w=2) релиз операционной системы OpenBSD 5.3 (http://openbsd.org/53.html), тридцать четвёртый выпуск за девятнадцатилетнюю историю существования проекта. При развитии OpenBSD основное внимание уделяется переносимости (поддерживается (http://www.openbsd.org/plat.html) 17 аппаратных архитектур), стандартизации, корректной работе, активной безопасности и интегрированным криптографическим средствам.
Размер установочного iso-образа (http://ftp.eu.openbsd.org/pub/OpenBSD/5.3/i386/install53.iso) 220 Мб.
Кроме непосредственно операционной системы, проект OpenBSD известен своими компонентами, которые получили распространение в других системах и зарекомендовали себя как одни из наиболее безопасных и качественных решений. Среди них: OpenSSH (http://www.openssh.org/), пакетный фильтр PF (http://www.openbsd.org/faq/pf/index.html), демоны маршрутизации OpenBGPD и OpenOSPFD (http://www.openbgpd.org/), NTP-сервер OpenNTPD (http://www.openntpd.org/), почтовый сервер OpenSMTPD (http://www.opensmtpd.org/), мультиплексор текстового терминала (аналог GNU screen) tmux (http://tmux.sourceforge.net/), демон identd (http://www.opennet.me/opennews/art.shtml?num=36442) с реализацией протокола IDENT, BSDL-альтернатива пакету GNU groff - mandoc (http://mdocml.bsd.lv/), протокол для организации отказоустойчивых систем CARP (Common Address Redundancy Protocol).
Из улучшений (http://www.openbsd.org/53.html), добавленных в OpenBSD 5.3, можно отметить:- Для архитектур i386 и amd64 добавлена поддержка процессорных инструкций SMEP (Supervisor Mode Execution Protection) и SMAP (Supervisor Mode Access Prevention), поддерживаемых современными CPU Intel. Использование SMEP не даёт переходить из режима ядра к выполнению кода, находящегося на пользовательском уровне, что позволяет блокировать эксплуатацию многих уязвимостей в ядре (shell-код не будет выполнен, так как он находится в пространстве пользователя). SMAP позволяет блокировать доступ к данным в пространстве пользователя из привилегированного кода, выполняемого в пространстве ядра;
- Задействована инструкция RDRAND (http://en.wikipedia.org/wiki/RdRand), через которую предоставлена возможность обращения к аппаратному генератору случайных чисел, появившемуся в новых моделях процессоров Intel (Core i5 и i7);
- По умолчанию осуществлён переход на использование PIE (http://en.wikipedia.org/wiki/Position-independent_executable) (Position-independent executables) для платформ alpha, amd64, hppa, landisk, loongson, sgi и sparc64;
- NSCAN задействован в качестве алгоритма по умолчанию для сортировки запросов ввода/вывода, что позволило улучшить справедливость выполнения запросов и сократить время отзыва;
- Значительные оптимизации производительности внесены в утилиту make, особенно заметно повышена эффективность сборки с распараллеливанием операций;- В состав базовой системы включён новый демон npppd (http://www.openbsd.org/cgi-bin/man.cgi?query=npppd&sektion=8) с реализацией сервера для организации соединений с использованием протоколов L2TP, L2TP/IPsec, PPTP и PPPoE;
- В разрабатываемом проектом SNMP-сервере snmpd (http://www.openbsd.org/cgi-bin/man.cgi?query=snmpd&sektion=8) (OpenSNMP) добавлена поддержка протокола SNMPv3;
- Существенно переработана реализация DHCP-клиента (dhclient (http://www.openbsd.org/cgi-bin/man.cgi?query=dhclient&sektio... от проекта OpenBSD, в котором представлено около 30 изменений и улучшений. В том числе, ускорен процесс конфигурации интерфейсов, добавлена директива ignore, resolv.conf перезаписывается только при изменении маршрута по умолчанию;- Значительная доработка и стабилизация SMTP-сервера OpenSMTPD. OpenSMTPD 5.3 позиционируется как первый стабильный релиз проекта. С особенностями новой версии (от изменения формата конфигурации до поддержки виртуальных доменов и альтернативных баз пользователей) можно познакомиться в данном анонсе (http://www.opennet.me/opennews/art.shtml?num=36435);
- Улучшение сетевого стека: значительно улучшена совместимость с IPsec v3, в том числе добавлена поддержка расширенных номеров последовательностей в драйвер AES-NI для обеспечения работы режима AES-GCM; в sosplice (http://www.openbsd.org/cgi-bin/man.cgi?manpath=OpenBSD+5.0&f... добавлена поддержка UDP; по умолчанию включен режим автоматической настойки приватности IPv6; в ifconfig hwfeatures теперь выводится максимально поддерживаемый размер MTU для определения поддержки кадров jumbo/baby-jumbo;
- В пакетном фильтре PF для сокета divert обеспечена поддержка опции IP_DIVERTFL для выбора типа потока для перенаправления (входящие пакеты, исходящие пакеты или и те и другие); налажена корректная работа с ICMP в трекере состояний соединений "sloppy state", не привязывающемся при работе к номеру последовательности (sequence number) и используемом для ассиметричных соединений; добавлен контроль соблюдения лимитов на уровень фрагментации для защиты от ошибок конфигурации, которые могут привести к исчерпанию кластеров mbuf;
- В bgpd (http://www.openbsd.org/cgi-bin/man.cgi?query=bgpd&sektion=8)...добавлена поддержка задания фильтров на основе атрибута NEXTHOP; при определении неизвестных параметров сессии теперь выводится предупреждение вместо остановки работы; реализована возможность перезапуска без разрыва сеансов ("graceful restart");
- В ftp-клиент добавлена поддержка basic-аутентификации HTTP (можно использовать "ftp http[s]://user:pass@host/file"), реализована возможность рекурсивной загрузки каталога (mput с опцией -r);
- В IKEv2-демон iked (http://www.openbsd.org/cgi-bin/man.cgi?query=iked&sektion=8) добавлена поддержка NAT-T;
- Добавлен обособленный прокси tftp-proxy (http://www.openbsd.org/cgi-bin/man.cgi?query=tftp-proxy&sekt... который заменил собой сервис, ранее используемый через inetd;- Обновлён пакет OpenSSH 6.2, обзор улучшений можно посмотреть здесь (http://www.opennet.me/opennews/art.shtml?num=36463);
- Улучшение поддержки оборудования:
- Новый драйвер oce для адаптеров Emulex OneConnect 10Gb Ethernet;
- Новый драйвер rtsx для картридеров Realtek RTS5209;
- Новый драйвер mfii для контроллеров LSI Logic MegaRAID SAS Fusion;
- Новый драйвер smsc для Ethernet-адаптеров SMSC LAN95xx с интерфейсом USB;
- Новые драйверы для USB-сенсоров Toradex OAK: uoaklux (освещенность), uoakrh (температура и влажность) и uoakv;
- В драйвер ahd добавлена поддержка SCSI-карт Adaptec 39320LPE;
- В драйвер bge добавлена поддержка Broadcom 5718/5719/5720 Gigabit Ethernet;
- В В драйвер iwn добавлена поддержка беспроводных чипов Centrino Advanced-N 6235 и Centrino Wireless-N 1030;
- В драйвер ix добавлена поддержка Intel X540 10Gb Ethernet;
- В драйвер vr добавлена поддержка миграции TX-прерываний, аппаратной привязки VLAN и аппаратного вычисления контрольных сумм. Ускорение вычисления контрольных сумм также добавлено в драйвер gem;
- В драйверы bnx, gem и jme добавлена поддержка контроля потока;
- В драйвере mpi появилась поддержка эмулируемых в VMware SAS-контроллеров;
- В ulpt добавлена поддержка загрузки прошивки для некоторых принтеров HP LaserJet;
- Улучшение поддержки процессоров Loongson. Поддержка "throttling" (пропуск части циклов для сокращения потребления энергии) для процессоров Loongson 2F;
- Число портов превысило 7800. Для архитектуры i386 подготовлено 7670 бинарных пакетов, для amd64 - 7632, для arm - 4944, для mips64el - 56539, для sparc64 - 6756, для hppa - 6401. Из находящихся в портах приложений, отмечены:
- GNOME 3.6.2
- KDE 3.5.10
- Xfce 4.10
- MySQL 5.1.68
- PostgreSQL 9.2.3
- Postfix 2.9.6
- OpenLDAP 2.3.43 и 2.4.33
- Mozilla Firefox 3.6.28 и 18.0.2
- Mozilla Thunderbird 17.0.2
- GHC 7.4.2
- LibreOffice 3.6.5.2
- Emacs 21.4 и 24.2
- Vim 7.3.154
- PHP 5.2.17 и 5.3.21
- Python 2.5.4, 2.7.3 и 3.2.3
- Ruby 1.8.7.370...URL: http://marc.info/?l=openbsd-announce&m=136741810321132&w=2
Новость: http://www.opennet.me/opennews/art.shtml?num=36841
"По умолчанию осуществлён переход на использование PIE (Position-independent executables) для платформ alpha, amd64, hppa, landisk, loongson, sgi и sparc64..."И это правильно. Процессоры 86 убили позиционно-независимое программирование.
Уже который год хочу попробовать, но не знаю, куда поставить на тестирование. Кто подскажет, через линуксовый kvm нормально заводится (паравиртуальные драйвера есть?)? Поставил бы дома маршрутизировать трафик.
Да, драйвера есть. 5.3 под KVM работает хорошо, а снапшоты - ещё лучше (были фиксы каких-то мелких багов в vio(4), поэтому стабильность должна быть получше). :) Я лично использую снапшоты под KVM, несколько месяцев полёт нормальный под средней неравномерной нагрузкой.
А подскажите, как вы под KVM используете, какие опции?
> А подскажите, как вы под KVM используете, какие опции?На память сейчас точно не скажу... По большей части дефолт, из собственных настроек - помню, что выставлял тип ЦП (при кривом выборе может застрять на этапе инициализации MTRR, спасибо "качественной эмуляции") и отключение лишних кешей дисков (ну, это везде надо, иначе ФС сыпется в момент). Архитектура - amd64. Памяти на виртуалки много не давал, порядка 2 гигов максимум, по-моему.
тонко, тонко
Интересно кто-нибудь знает есть ли крупные проекты которые используют OpenBSD, столько всего хорошего родилось в ее недрах, однако до сих пор не слишком распространена
> Интересно кто-нибудь знает есть ли крупные проекты которые используют OpenBSD, столько
> всего хорошего родилось в ее недрах, однако до сих пор не
> слишком распространенаА на сайт самой ОС зайти? ;) http://www.openbsd.org/users.html
А не распространена она в бСССР, ибо исторически сложилось. За бугром о ней в среднем знают лучше, хотя опять же - где как. Могу сказать, что разработчики OpenBSD - в основном живут в Канаде, Франции, США и Германии. Но бСССР потихоньку подтягивается, есть и парочка из Москвы и окрестностей. ;)
удивлен таким большим списком кто использует
Ну, он, конечно, немного... преувеличен.
> А не распространена она в бСССР, ибо исторически сложилось. За бугром о ней в среднем знают лучше, хотя опять же - где как. Могу сказать, что разработчики OpenBSD - в основном живут в Канаде, Франции, США и Германии. Но бСССР потихоньку подтягивается, есть и парочка из Москвы и окрестностей. ;)Разработчики вообще в обновном живут в США и Канаде. Франция и Германия потихоньку подтягиваются. И да таки есть ещё парочка из Москвы :)
Ну, mikeb@, например, живёт - по крайней мере сейчас - тоже в Германии. :)
> Ну, mikeb@, например, живёт - по крайней мере сейчас - тоже в Германии. :)Хм. Если уж "один разработчик из Германии" == "разработчики в основном живут в Германии" - тол сколько же их всего?
>> Ну, mikeb@, например, живёт - по крайней мере сейчас - тоже в Германии. :)
> Хм. Если уж "один разработчик из Германии" == "разработчики в основном живут
> в Германии" - тол сколько же их всего?Он изначально то ли из Украины, то ли из России - сейчас точно не вспомню, а лезть к нему с расспросами как-то не хочется. :) Но живёт сейчас в Германии. А так - из Германии ещё Филип Гюнтер, Хенинг Бауэр, Александр Блюм, Кристиано Хезбаэрт, Рейк Флотер (надеюсь, я нигде не ошибся в транскрипции) и другие.
Из России он.
Ты ещё забыл Маркуса Фридля, Кристиана Эрхардта, Ханс-Йорга (а вот фамилию не смогу без поллитра на русском написать), Патрика Вильдта ... короче, из GeNUA больше половины народу ты забыл, вот :)))
Постоянно в логах нмапов openbsd появляется.А ещё это одинадцатая по популярности десктопная ОС. :)
А ссылку на статистику можно? А тож внезапно заинтересовался даже.
> А ссылку на статистику можно? А тож внезапно заинтересовался даже.http://stats.wikimedia.org/wikimedia/squids/SquidReportOpera...
>> PHP 5.2.17 и 5.3.21
>> MySQL 5.1.68Это шутка?
>>> PHP 5.2.17 и 5.3.21
>>> MySQL 5.1.68
> Это шутка?Нет, а почему должна быть? Исправления безопасности-то по необходимости бэкпортируются.
Касательно MySQL: сейчас готовится, в духе современности, переезд на свежий MariaDB.
Касательно PHP: в -CURRENT 5.2.17 и 5.3.24. Насчёт 5.4 ничего не знаю, подозреваю, что он просто не был востребован, либо опять проблемы с отсутствием или неработоспособностью suhosin.
suhosin в 5.4 не требуеться
> Нет, а почему должна быть? Исправления безопасности-то по необходимости бэкпортируются.
> Касательно MySQL: сейчас готовится, в духе современности, переезд на свежий MariaDB.А сейчас, надо полагать мускул зияет богатейшим ассортиментом дыр?
(Потому что из того, что в последние годы выпускает оракл, выдернуть фиксы безопасности нереально.)
ну если фаервола нету, капец рулю
удаленный рут
>> Нет, а почему должна быть? Исправления безопасности-то по необходимости бэкпортируются.
>> Касательно MySQL: сейчас готовится, в духе современности, переезд на свежий MariaDB.
> А сейчас, надо полагать мускул зияет богатейшим ассортиментом дыр?
> (Потому что из того, что в последние годы выпускает оракл, выдернуть фиксы
> безопасности нереально.)Фиксы такие же, как у всех - всё, что могу сказать. А 5.1.68 является на данный момент последним в ветке 5.1, которая, AFAIK, поддерживется Ораклом.
Ну вот не интересует меня сейчас MySQL, ибо, слава богу, на всех работах обходится без него. :) Если интересно проследить что-то детальнее - добро пожаловать на CVSWeb: http://www.openbsd.org/cgi-bin/cvsweb/ports/databases/mysql/ .
>>> PHP 5.2.17 и 5.3.21
>>> MySQL 5.1.68
> - Пан гетман, это шутка? Я не верю!- Я не шучу Василий, я от сердца, от искреннего сердца говорю. Отдай Марию за меня, её люблю я всей душою.
- Пан гетман, ты седой старик, а дочь моя в поре весны цветущей.
All hail to OpenBSD!
Совершилось! Отныне Царство Божье силой берётся!Пойду обновляться.
Кстати, почему на образах дата 12 марта?Я ещё вчера на internode заметил, пока основной ftp не отдавал, подумал, что что-то не то.
потому что образы собраны заранее. Хотите посвежее - используйте снапшоты.
> потому что образы собраны заранее. Хотите посвежее - используйте снапшоты.У старых релизов, как я смотрю, даты везде актуальные, близкие к релизу. У меня сейчас везде снапшоты от 23 апреля, но я хочу 5.3. Буду "обновляться" :)
>> потому что образы собраны заранее. Хотите посвежее - используйте снапшоты.
> У старых релизов, как я смотрю, даты везде актуальные, близкие к релизу.
> У меня сейчас везде снапшоты от 23 апреля, но я хочу
> 5.3. Буду "обновляться" :)Не советую. Если только со сносом всех более свежих (с большими номерами) библиотек в /usr/lib.
> потому что образы собраны заранее. Хотите посвежее - используйте снапшоты.И только я порадовался, что asciidoc вместо непонятной версии 8.6.5 стал уже давно актуальной 8.6.8, так оно опять вернулось. :(
> ассиметричных/рукалицо.жпег/
>> ассиметричных
> /рукалицо.жпег/И что здесь не так? Если, по-вашему мнению, терминология - поправьте. А орфография здесь в порядке, уверяю.
>>> ассиметричных
> орфография здесь в порядке, уверяю.два словаря Ожегова этому господину
>>>> ассиметричных
>> орфография здесь в порядке, уверяю.
> два словаря Ожегова этому господинууййя... Опозорилсо знатно. :( Ибо нефиг ночью на форумах сидеть, чо...
Сорцы cvs-ом тянутся... 21-й век на дворе...
А чем порты апдейтятся? Не нашел ничего похожего на фряшные portupgrade/portmaster или pkg_rolling-replace для pkgsrc. Вручную что ли?
> Сорцы cvs-ом тянутся... 21-й век на дворе...Нормально они им тянутся. Сжатие обеспечивается самим SSH. cvsync в XXI веке как раз не особо востребован, тем более что как проект он всё равно сдох.
К слову, релизные деревья выкладывается на FTP: sys.tar.gz (ядро), src.tar.gz (остальная базовая система), xenocara.tar.gz (иксы) и ports.tar.gz (порты).
> А чем порты апдейтятся? Не нашел ничего похожего на фряшные portupgrade/portmaster или
> pkg_rolling-replace для pkgsrc. Вручную что ли?Порты обновляются тем же CVS. Абсолютно одинаково для ОС и портов. Тем более, что в OpenBSD, в отличие от FreeBSD, имеются STABLE-ветки.
А вот бинарные пакеты - pkg_add -ui (см. pkg_add(1)). При установке ОС в последних релизах автоматически записывается /etc/pkg.conf, так что выставлять переменную PKG_PATH (с указанием, откуда брать) не нужно. Никаких других конфигурационных файлов не требуется. Лично я обычно использую зеркало Корбины - http://mirror.corbina.ru/pub/OpenBSD/snapshots/packages/ ... -m` ; из московских оно, похоже, самое вменяемое.
А ещё, для любителей пособирать самостоятельно порты, есть скрипт out-of-date(1) и dpb(1)...
> Задействована инструкция RDRAND, через которую предоставлена возможность обращения к аппаратному генератору случайных чисел, появившемуся в новых моделях процессоров Intel (Core i5 и i7);Выходит, разработчики OpenBSD доверяют закрытому RNG?
>> Задействована инструкция RDRAND, через которую предоставлена возможность обращения к аппаратному генератору случайных чисел, появившемуся в новых моделях процессоров Intel (Core i5 и i7);
> Выходит, разработчики OpenBSD доверяют закрытому RNG?Дискляймер: я не специалист, объясняю на уровне собственного понимания устройства подсистемы ГПСЧ в OpenBSD.
rdrand - лишь один из источников энтропии, используемых для ARC4-генератора. Если я правильно понимаю, то даже если rdrand начнёт выдавать туфту, он не ухудшит конечный поток.
И, да: вы можете предложить что-то лучше? Так или иначе любые источники энтропии не шибко случайны. В OpenBSD делается всё возможное для улучшения этой ситуации - используется максимум источников и потребителей случайных последовательностей, причём всё это идёт через единый ARC4-генератор. Благодаря этому минимизируется паразитное влияние разных потребителей друг на друга, более того, наоборот, их обилие увеличивает качество случайных последовательностей.
> Дискляймер: я не специалист, объясняю на уровне собственного понимания устройства подсистемы
> ГПСЧ в OpenBSD.
> rdrand - лишь один из источников энтропии, используемых для ARC4-генератора. Если я
> правильно понимаю, то даже если rdrand начнёт выдавать туфту, он не
> ухудшит конечный поток.Ясно, спасибо за разъяснение.
Песенка по эмбиенту.
> - В пакетном фильтре PFинтересно бы сравнить с smp-pf из freebsd-current.
>> - В пакетном фильтре PF
> интересно бы сравнить с smp-pf из freebsd-current.И npf из NetBSD
>> - В пакетном фильтре PF
> интересно бы сравнить с smp-pf из freebsd-current.в FreeBSD старый синтаксис PF. По производительности -- Глеб в прошлом году, когда проект представил, приводил цифры -- как и ожидалось, при увеличении количества ядер новый PF рвёт старую реализацию.
Сравнений производительности PF в OpenBSD и FreeBSD лично я не видел, но подозреваю, что опёнок с однопоточным PF вряд ли покажет что-то впечатляющее.