The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Релиз OpenBSD 4.8

02.11.2010 10:26

Команда разработчиков OpenBSD сообщила о выходе версии 4.8. В отличие от предыдущего релиза, выпуск OpenBSD 4.8 практически не содержит серьёзных изменений, которые могли бы привести к возникновению неудобств при обновлении, но зато имеет немало приятных добавлений.

Ниже следует неполный список основных новшеств по сравнению с версией 4.7. Полная версия списка для желающих доступна на сайте. Следует учесть, что OpenBSD-CURRENT (ветка разработки, которая со временем станет OpenBSD 4.9) содержит ряд изменений, который не успели попасть в релиз; изменения в ней будут освещены отдельно в традиционном ежемесячном отчёте.

Спящий режим (а главное — возвращение из него) работает на большей части компьютеров с графическими адаптерами на базе Intel и ATI. Машины с графическими чипами NVIDIA, к сожалению, не могут «проснуться». Так же в релизе не решён ряд проблем с CardBus/PCMCIA.

Изменения в сервисах маршрутизации:

  • Управляющие сокеты bgpd(8) теперь указываются в конфигурационном файле; параметры командной строки -s и -r убраны.
  • MPLS VPN третьего уровня теперь могут терминироваться на OpenBSD при помощи mpe(4), ldpd(8) и bgpd(8).
  • bgpd теперь поддерживает neighbor-as в фильтрующих директивах AS, а также два новых фильтра: max-as-seq и max-as-len, для ограничения длины отдельной AS или общего набора AS в маршруте. Так же исправлены мультипротокольные дампы MRT и добавлена поддержка 4-байтных номеров AS. Также теперь поддерживается ведение нескольких FIB, которые можно связывать с RIB для дальнейшего распространения. А для пиров, изменяющих RIB, теперь доступно мягкое переконфигурирование (softreconfig).
  • В bgplg(8) и bgplgsh(8) (BGP looking glass) добавлена поддержка ping6 и traceroute6.
  • В ospfd(8) улучшены процесс «обрезки» (pruning) LSA и повторное чтение конфигурационного файла.
  • ospf6d теперь поддерживает LSA с размером больше, чем MTU, лучше работает с другими реализациями OSPFv3, может распространять маршрут по умолчанию и корректно обрабатывает IPv6-префиксы, анонсированные соседями на том же линке, но не сконфигурированные на самом роутере.
  • Множество улучшений в ldpd(8), включая более корректный подсчёт хопов.

Общие улучшения в сетевом стеке:

Улучшения в SCSI-стеке:

  • Завершён переезд на новый SCSI-стек. В числе прочего уменьшено потребление памяти драйверами устройств, улучшен механизм распределения ресурсов шины, убрано множество ставших излишними вызовов splbio/splx.
  • Исправлены проблемы с отключением cd(4).
  • Убраны излишние задержки перед началом проигрывания DVD.
  • Множество других исправлений, в том числе убран ряд проблем с USB-устройствами.

Заметные улучшения в процессе установки:

  • disklabel(8) теперь позволяет настраивать автоматически сгенерированную разбивку диска (при помощи нового ключа командной строки, -R).
  • В файле /etc/pkg.conf записывается адрес зеркала, использовавшегося при установке новой или обновлении имеющейся системы.

Новые сервисы:

iked(8)
IKEv2-демон, дополняющий isakmpd(8) (поддерживает только IKEv1).
ldapd(8)
LDAP-сервер, лёгкая альтернатива OpenLDAP.

Улучшения в OpenSSH в связи с нехваткой места можно посмотреть отдельно.

Новые драйверы:

acpisony(4)
Драйвер для спецкнопок на ноутбуках Sony.
itherm(4)
Драйвер для датчиков Intel 3400.
owctr(4)
Драйвер для счётчиков производства 1-Wire.
pgs(4)
Драйвер для «кнопки программиста» (Programmer's Switch), имеющейся на некоторых PowerMac. Если sysctl-параметр ddb.console выставлен в 1, то при нажатии этой кнопки будет осуществлён вход в ddb(4).
se(4)
Драйвер для сетевых Ethernet-карт 10/100/1000 на базе SiS190.
uguru(4)
Драйвер для датчиков температуры, напряжения и оборотов кулеров производства ABIT.

Были убраны за ненадобностью драйверы ss(4) и usscanner(4), так как предоставляемые ими специальные интерфейсы практически никем не поддерживаются. Вместо этого рекомендуется использовать универсальный комплекс SANE, доступный для установки в пакетах.

Улучшения в существующих драйверах:

agp(4)/inteldrm(4)
Добавлена поддержка встроенных в Intel Core i3/i5 графических решений (Ironlake).
em(4)
Добавлена поддержка чипсетов Intel 82576 (волокно) и 82577/82578 (PCH).
envy(4)
Добавлена поддержка M-audio Audiophile 192k.
Улучшена работа со многими трекпадами.
re(4).
Добавлена поддержка чипсетов Realtek RTL8168E.
uaudio(4)
Добавлена поддержка 24-битного звука и воспроизведения в режиме USB 2.0.
udl(4)
Добавлена поддержка режима 800x480.
wsbio(4)
Добавлена поддержка чипов Winbond/Nuvoton W83627DHG-P.

Была поднята надёжность работы ряда HBA-драйверов, в том числе ciss(4), mpi(4) и mpii(4).

Исправлен ряд проблем с блокировками драйвере NTFS. Поддержка NTFS пока что по-прежнему считается экспериментальной, однако ряд разработчиков сейчас, насколько известно, занимается её кардинальным улучшением.

Для руководств в форматах man(7) и mdoc(7) в базовой системе и Xenocara теперь используется mandoc(1) вместо GNU nroff. Это заметно повысило скорость сборки этих руководств, уменьшило системные требования и, местами, улучшило качество форматирования.

Прочие изменения:

  • Появилась начальная поддержка UTF-8 в libc и консоли.
  • В библиотеку crypto(3) из состава OpenSSL добавлена поддержка AES-NI.
  • В aucat(1) добавлена поддержка MIDI-управления в не-серверном режиме, включая перемещение внутри .wav-файлов. Также появилась возможность записи итогового выводимого звукового потока. Уровень же задержек сведён к минимуму, до одного блока, для нужд соответствующих программ.
  • Платформы amd64, i386, hppa, sparc64, socppc и macppc переведены на сборку с использованием GCC 4.2.1.
  • Улучшена работа с уникальными идентификаторами (UID) дисков, включая поддержку UID в disklabel(8).
  • wsconsctl(8) теперь поддерживает управление несколькими клавиатурами, мышами и дисплеями.
  • fdisk(8) теперь выравнивает раздел с OpenBSD на границу двух блоков для лучшей производительности на устройствах с размером блока 4096 байт.

Небольшие улучшения также имели место быть в dhcpd(8), ftp(1), getdirentries(2), libevent, libpthread, lint(1), make(1), man(1), newfs(8), nfsd(8), od(1), sendbug(1), snmpd(8), smtpd(8),

В составе базовой системы поставляется следующее ПО сторонних разработчиков:

  • Xenocara на базе X.Org 7.5 с xserver 1.8 (+ патчи), freetype 2.3.12, fontconfig 2.8.0, Mesa 7.8.2, xterm 258 и так далее.
  • Gcc 2.95.3 (+ патчи), 3.3.5 (+ патчи) и 4.2.1 (+патчи).
  • Perl 5.10.1 (+ патчи).
  • Улучшенная и защищённая версия Apache 1.3, с поддержкой SSL/TLS и DSO.
  • OpenSSL 0.9.8k (+ патчи).
  • Groff 1.15.
  • Sendmail 8.14.3, с libmilter.
  • Bind 9.4.2-P2 (+ патчи).
  • Lynx 2.8.6rel.5 с поддержкой HTTPS и IPv6 (+ патчи).
  • Sudo 1.7.2.
  • Ncurses 5.7.
  • Последняя версия KAME IPv6.
  • Heimdal 0.7.2 (+ патчи).
  • Arla 0.35.7.
  • Binutils 2.15 (+ патчи).
  • Gdb 6.3 (+ патчи).

Разработчики OpenBSD благодарят всех, кто оказал поддержку в подготовке этого релиза. Тем, кто хочет помочь проекту, могут заказать диски или сделать добровольное пожертвование. Ваши средства помогут разработке OpenBSD и связанных проектов.



  1. Главная ссылка к новости (http://marc.info/?l=openbsd-an...)
Автор новости: PereresusNeVlezaetBuggy
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/28472-BSD
Ключевые слова: BSD, OpenBSD
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (71) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Толя Вихров (ok), 12:55, 02/11/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Уже скачал образ. Скоро буду ставить на десктоп
     
     
  • 2.5, Vitold S (?), 13:14, 02/11/2010 [^] [^^] [^^^] [ответить]  
  • –13 +/
    На Desktop? Странно, что там вообще X11 работает...
     
     
  • 3.27, аноним (?), 17:11, 02/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Чего странного? Система замечательная и в качестве десктопа абсолютно юзабельна.
     
  • 3.46, PereresusNeVlezaetBuggy (ok), 19:39, 02/11/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > На Desktop? Странно, что там вообще X11 работает...

    А вот если бы вы хотя бы новость читали внимательно (молчу про чтение FAQ, например), то знали бы, что там и 3D-акселерация поддерживается, для ATI и Intel.

     
     
  • 4.48, Анонимен (?), 20:20, 02/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Расскажите, что там с автоконфигурацией иксов.
     
     
  • 5.54, yason (?), 23:06, 02/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Работает. Причем даже игры требующие ускорения запускаются. При желании можно сгенерить себе xorg.conf и затюнить его по желанию.
     
  • 3.60, исчо_адын_аноним (?), 07:56, 03/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > На Desktop? Странно, что там вообще X11 работает...

    http://cvs.openbsd.org/cgi-bin/query-pr-wrapper?full=yes&numbers=6496
    почему бы и нет :)

     
  • 2.50, koma (??), 21:27, 02/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    а оно уже поддерживает 4G мозгов?
     
     
  • 3.57, PereresusNeVlezaetBuggy (ok), 00:33, 03/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > а оно уже поддерживает 4G мозгов?

    Четыре-то поддерживает. Детали для i386, например, можно глянуть здесь: http://www.atmnis.com/~proger/openkyiv/openkyiv2009_proger_sys.pdf (поиск по фразе «4G»).

    Вот с bigmem (>4G) на ряде amd64-машин ещё есть нерешённые проблемы. :( Кое-где работает стабильно, можно попробовать включить в ядре после установки на свой страх и риск; лучше для этого, конечно, заюзать -CURRENT.

     

  • 1.7, б.б. (?), 13:23, 02/11/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    А где можно скачать все альбомы песенок быстро и сразу? Хочется ознакомиться с творчеством этой группы. (сам openbsd не интересует)
     
     
  • 2.8, kegf (??), 13:33, 02/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    http://openbsd.org/lyrics.html
     

  • 1.9, б.б. (?), 13:35, 02/11/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    то есть типа

    for n in 'seq 30 48'
    do
    wget -c http://www.openbsd.org/songs/song$n.ogg
    done

    ?

     
  • 1.10, анонимус (??), 13:40, 02/11/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    >Gcc 2.95.3 (+ патчи), 3.3.5 (+ патчи) и 4.2.1 (+патчи).

    Лидеры некрофилии

     
     
  • 2.13, nsk (??), 13:49, 02/11/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    не гоняются за самым свежим.
     
     
  • 3.16, User294 (ok), 14:24, 02/11/2010 [^] [^^] [^^^] [ответить]  
  • –10 +/
    Да уж. В других системах найти такие раритеты как апач 1.3 или GCC 2.x уже проблематично :)
     
     
  • 4.17, PereresusNeVlezaetBuggy (ok), 14:53, 02/11/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Да уж. В других системах найти такие раритеты как апач 1.3 или
    > GCC 2.x уже проблематично :)

    GCC 2.x используется там, где в новых версиях дропнута поддержка соответствующих архитектур (это к слову о кроссплатформенности GCC, ага). А Apache 1.3 в опёнке — это совсем не то же, что стоковый Apache 1.3. Впрочем, для желающих есть и Apache 2 в портах.

     
     
  • 5.34, Michael Shigorin (ok), 17:37, 02/11/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > А Apache 1.3 в опёнке — это совсем не то же, что стоковый Apache 1.3.

    Да, уже загнул мысленно палец -- "когда-нить глянуть, потырить патчей". :)

     
     
  • 6.39, Aleksey Cheusov (?), 18:47, 02/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >> А Apache 1.3 в опёнке — это совсем не то же, что стоковый Apache 1.3.
    > Да, уже загнул мысленно палец -- "когда-нить глянуть, потырить патчей". :)

    Сдается мне, сильно девешле будет взять весь.

    Кстати, к вопросу о...

    http://mova.org/~cheusov/pub/mk-configure/nbawk/

    Легким движением руки, BSD-шный софт превращается в переносимый
    в том числе и на Линукс. В принципе, то же самое применимо, думаю, и к
    OpenBSD-шному apache, если они его на свои mk files перевели,
    лениво проверять.

     
     
  • 7.41, Aleksey Cheusov (?), 18:51, 02/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > Кстати, к вопросу о...
    > http://mova.org/~cheusov/pub/mk-configure/nbawk/

    Само собой то же самое можно сделать с ЛЮБЫМ
    софтом из ЛЮБЫХ BSD систем. mk files более менее
    все похожи. Так что "понатырить" не проблема.

     
  • 7.42, PereresusNeVlezaetBuggy (ok), 18:53, 02/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >>> А Apache 1.3 в опёнке — это совсем не то же, что стоковый Apache 1.3.
    >> Да, уже загнул мысленно палец -- "когда-нить глянуть, потырить патчей". :)
    > Сдается мне, сильно девешле будет взять весь.
    > Кстати, к вопросу о...
    > http://mova.org/~cheusov/pub/mk-configure/nbawk/
    > Легким движением руки, BSD-шный софт превращается в переносимый
    > в том числе и на Линукс. В принципе, то же самое применимо,
    > думаю, и к
    > OpenBSD-шному apache, если они его на свои mk files перевели,
    > лениво проверять.

    Не совсем перевели, сделали обёртку: http://www.openbsd.org/cgi-bin/cvsweb/src/usr.sbin/httpd/Makefile.bsd-wrapper?rev=1.69

    2all: www.openbsd.org уже в строю.

     
     
  • 8.47, Aleksey Cheusov (?), 19:58, 02/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    В таком случае, все еще проще Инфраструктура configure, как я вижу, сохраняет... текст свёрнут, показать
     
     
  • 9.55, Michael Shigorin (ok), 23:22, 02/11/2010 [^] [^^] [^^^] [ответить]  
  • –2 +/
    ну ты понял ... текст свёрнут, показать
     
     
  • 10.59, vle (ok), 01:49, 03/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Миша, не дразни меня, а то ведь я сделаю ... текст свёрнут, показать
     
  • 4.20, nsk (??), 14:58, 02/11/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    апача 1.3.27 входит в поставку и устраивает по лицензии. Хотите свежее - пакеты и порты доступны и свежи. Да и кому в голову придет поднимать на опенке высокопроизводительный вебсервер и на самом свежем apache? за gcc не скажу.
    Важно то, что система стабильна и гонки "вооружений"(свежий софт) в ней не придерживаются.
    А то, что требуется от этой системы, в ней есть из коробки: все что нужно для фильтрации пакетов, маршрутизации и постороения ipsec тунелей. Список можно продолжить.
    Спасибо разработчикам.
     
  • 4.21, тигар (ok), 15:18, 02/11/2010 [^] [^^] [^^^] [ответить]  
  • +3 +/
    прежде чем употреблять слово "раритет" (я об apache) тебе, думаю, стоило бы ознакомиться с предметом обсуждения.
     
     
  • 5.61, Аноним (-), 08:37, 03/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    да зачем ему, у него же очки +200 к интеллекту на черепушке :)
     

  • 1.12, Аноним (-), 13:47, 02/11/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    >Уже скачал образ. Скоро буду ставить на десктоп

    От Вас разит
    >ldapd(8)LDAP-сервер, лёгкая альтернатива OpenLDAP.

    А вот это интересно, а вот это зачем?

     
     
  • 2.18, PereresusNeVlezaetBuggy (ok), 14:55, 02/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >>Уже скачал образ. Скоро буду ставить на десктоп
    > От Вас разит

    На домашнем компе, на ноутбуке, на рабочем компе стоит опёнок. Полёт уже не первый год нормальный. Будете спорить о вкусе устриц с теми, кто их ел?

    >>ldapd(8)LDAP-сервер, лёгкая альтернатива OpenLDAP.
    > А вот это интересно, а вот это зачем?

    Наверное, затем, что это лёгкая альтернатива? Быстрая, компактная и простая в обслуживании. Если её возможностей кому-то будет хватать, почему бы и нет?

     
     
  • 3.25, Vitold S (?), 16:26, 02/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >>> Уже скачал образ. Скоро буду ставить на десктоп
    >> От Вас разит
    > На домашнем компе, на ноутбуке, на рабочем компе стоит опёнок. Полёт уже
    > не первый год нормальный. Будете спорить о вкусе устриц с теми,
    > кто их ел?

    А мне и в QNX нравиться рабочий стол. Хотя по старинке пользуюсь Widnows. Скоро правдо придется серьезно задуматься, так как практически все операции приходиться делать под виртуалками Lunux/FreeBSD.

     

  • 1.14, Аноним (-), 14:00, 02/11/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    сайт лежит
     
     
  • 2.19, PereresusNeVlezaetBuggy (ok), 14:57, 02/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > сайт лежит

    Есть такое. Этот сервер обслуживает несколько проектов, так что трудно сказать, кто там виноват. Сведений пока нет. :(

     

  • 1.15, Аноним (-), 14:12, 02/11/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    все качают
     
     
  • 2.24, Vitold S (?), 16:21, 02/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > все качают

    Когда уже TORRENT будет.

     
     
  • 3.26, PereresusNeVlezaetBuggy (ok), 16:46, 02/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >> все качают
    > Когда уже TORRENT будет.

    Сделайте. Это open source, причём ни разу не коммерческий. А вообще дело не в скачивании, конечно; больше похоже на технические проблемы.

    Пока что можно пользоваться http://openbsd.org/ (без «www.») — но учтите, что это совсем другой сервер, личная машина Тео, с ограниченным каналом.

     
     
  • 4.28, аноним (?), 17:13, 02/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > Сделайте.

    Что значит "сделайте"? Взломать их сервер и поднять там трекер, только чтобы самому скачать? Сделайте сами если это так легко.

     
     
  • 5.33, PereresusNeVlezaetBuggy (ok), 17:33, 02/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >> Сделайте.
    > Что значит "сделайте"? Взломать их сервер и поднять там трекер, только чтобы
    > самому скачать? Сделайте сами если это так легко.

    Никто не говорил, что что-то там легко. Зачем взламывать, не пойму? Можно просто попробовать договориться. Сами разработчики не особо заинтересованы в торрентах, AFAIK, но вряд ли будут иметь что-то против, если вы соответствующую инфраструктуру обеспечите.

     
  • 4.36, PereresusNeVlezaetBuggy (ok), 17:39, 02/11/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >>> все качают
    >> Когда уже TORRENT будет.
    > Сделайте. Это open source, причём ни разу не коммерческий. А вообще дело
    > не в скачивании, конечно; больше похоже на технические проблемы.
    > Пока что можно пользоваться http://openbsd.org/ (без «www.») — но учтите,
    > что это совсем другой сервер, личная машина Тео, с ограниченным каналом.

    А лучше — вот список зеркал:

    http://openbsd.md5.com.ar/
    http://openbsd.das.ufsc.br/
    http://www.openbsd.dk/
    http://openbsd.bsdfrog.org/
    http://openbsd.corebsd.or.id/
    http://www.openbsd.it/
    http://www.openbsdindia.org/
    http://www.jp.openbsd.org/
    http://www.openbsd.org.my/
    http://openbsd.nuug.no/
    http://openbsd.chem.uw.edu.pl/
    http://openbsd.default.rs/
    http://openbsd.alphix.se/
    http://www.obsd.si/
    http://www.tw.openbsd.org/
    http://openbsd.fries.net/

     
  • 3.30, Аноним (-), 17:22, 02/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    кто из торрента будет тянуть, когда есть фтп/хттп?
     
     
  • 4.37, Michael Shigorin (ok), 17:50, 02/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > кто из торрента будет тянуть, когда есть фтп/хттп?

    Очевидно, не успевший взять по ftp/http до захлёбывания дисковых подсистем/каналов и по каким бы то ни было причинам не хотящий откладывать.

     

  • 1.40, ilembitov (?), 18:51, 02/11/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Появилась начальная поддержка UTF-8 в libc и консоли.

    Погодите. То есть в самой консоли тоже появилась? Я считал, что пока что она работает только в эмуляторах терминала, которые умеют юникод. Но сам драйвер консоли (wscons, верно) в OpenBSD юникод не поддерживает, а значит, в текстовом режиме (без иксов) юникода не будет. Я ошибаюсь? Если да, то просто охренительно круто)

    В current вроде уже попала поддержка UTF в ncurses, что еще осталось для полной поддержки юникода?

     
     
  • 2.43, PereresusNeVlezaetBuggy (ok), 19:02, 02/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >>Появилась начальная поддержка UTF-8 в libc и консоли.
    > Погодите. То есть в самой консоли тоже появилась?

    Ключевое слово — начальная.

    > Я считал, что пока
    > что она работает только в эмуляторах терминала, которые умеют юникод. Но
    > сам драйвер консоли (wscons, верно) в OpenBSD юникод не поддерживает, а
    > значит, в текстовом режиме (без иксов) юникода не будет. Я ошибаюсь?
    > Если да, то просто охренительно круто)

    Да обсуждали мы уже это всё, когда эти изменения только-только вносились...

    > В current вроде уже попала поддержка UTF в ncurses, что еще осталось
    > для полной поддержки юникода?

    Решить вопросы со шрифтами и драйвером консоли, как я понимаю. Самый тонкий и трудный момент, в том числе потому, что если с libc можно было ориентироваться как-то на фряху, то wscons-то оттуда давным давно выпилили... Спросите на misc@ , если не боитесь, что отправят лесом. :)

     

  • 1.44, paxuser (ok), 19:11, 02/11/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    http://bsdly.blogspot.com/2010/10/if-it-runs-openbsd-it-has-to-be.html - небольшая заметка от одного из разработчиков OpenBSD. Среди прочих перлов - рекомендации ставить систему, сверяя целостность файлов с нескольких зеркал. :)
     
     
  • 2.45, PereresusNeVlezaetBuggy (ok), 19:29, 02/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > http://bsdly.blogspot.com/2010/10/if-it-runs-openbsd-it-has-to-be.html - небольшая
    > заметка от одного из разработчиков OpenBSD. Среди прочих перлов - рекомендации
    > ставить систему, сверяя целостность файлов с нескольких зеркал. :)

    Перл, не перл, а логика в этом есть. Помните, как появилась в своё время большущая дырка в OpenSSH? А за зеркалами следят далеко не всегда столь же серьёзно, как за основным сервером.

     
     
  • 3.52, paxuser (ok), 21:48, 02/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Конечно логика есть. Уж релизы-то подписывать ЭЦП они могли бы, согласитесь. Я вот всё жду, когда же начнут... Даже давний взлом FTP-сервера проекта их, видимо, ничему не научил. А ведь усилий минимум, и не пришлось бы предлагать ерунду о проверке хэшей с разных зеркал.

    Проблема есть, косвенно признанна, но решение предлагается негодное. Что, если взломщик контролирует канал связи жертвы? В этом случае он может подменить файлы, с каких бы зеркал они запрошены ни были. Но если жертва для проверки целостности файлов применяет настоящий публичный ключ (условимся, что он был успешно получен ранее - например, для проверки файлов предыдущих релизов), то подсадка трояна значительно усложнится.

    О сложности эксплуатации уязвимостей в ядре OpenBSD (по ссылке об этом тоже написано) - неправда. Корректность кода усложняет поиск уязвимостей, поскольку встречаются они реже, но не их экслпуатацию, оцените сами: http://www.securiteam.com/exploits/5JP092KKAM.html

    В последних версиях подобный эксплойт работать не будет, потому что в 2009-ом в OpenBSD ввели запрет на маппинги нулевого адреса (кстати, где-то на год позже, чем в ванильном линуксе). То есть, сработает конкретный механизм защиты от эксплуатации, а не некие последствия от аккуратного написания и аудита кода.

    Ну и вообще, априори склоняться к версии о троянах в установочных файлах - непрофессионально, как минимум. Разработчики OpenBSD не тратят на аудит и толику того времени, которое будет потрачено на поиск уязвимостей взломщиком, который поставит перед собой чёткую цель и не будет стеснён сроками.

     
     
  • 4.56, PereresusNeVlezaetBuggy (ok), 00:14, 03/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Насчёт ЭЦП 8212 AFAIK, дело в первую очередь в том, что для её проверки надо ... большой текст свёрнут, показать
     
     
  • 5.64, paxuser (ok), 13:54, 03/11/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это относится только к образам установочных дискет Есть образы установочных сид... большой текст свёрнут, показать
     
     
  • 6.65, PereresusNeVlezaetBuggy (ok), 17:40, 03/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Ну и как вы это себе представляете Подписывание означает шифрование То есть на... большой текст свёрнут, показать
     
     
  • 7.66, paxuser (ok), 19:14, 03/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Не верю, что вы всерьёз так заблуждаетесь Наверное это какой-то троллинг Но... большой текст свёрнут, показать
     
     
  • 8.68, PereresusNeVlezaetBuggy (ok), 20:49, 03/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Меня тут уже поправили, я чего-то стормозил достаточно подписывать файлы сумм ... большой текст свёрнут, показать
     
     
  • 9.69, paxuser (ok), 22:46, 03/11/2010 [^] [^^] [^^^] [ответить]  
  • –1 +/
    facepalm Тезис о необходимости двух комлпектов файлов С ним уже разобрались ... большой текст свёрнут, показать
     
     
  • 10.71, vle (ok), 16:08, 04/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Ох, как же я с тобой здесь согласен Черт побери - То же самое на самом деле ... большой текст свёрнут, показать
     
     
  • 11.72, paxuser (ok), 18:44, 04/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Я о другом хотел сказать у них всегда находятся отговорки, чтобы не использоват... текст свёрнут, показать
     
     
  • 12.73, vle (ok), 19:43, 04/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Я не могу сказать ничего про OpenBSD Но вот в NetBSD после долгого и кровопроли... большой текст свёрнут, показать
     
     
  • 13.74, vle (ok), 20:21, 04/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Ну еще скорость конечно же По сравнению с Lua жирные Python, Ruby, TCL, PHP и P... текст свёрнут, показать
     
  • 13.75, paxuser (ok), 13:04, 05/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Вот В OpenBSD такие перемены очень сложно представить - прецедентов не было Но... большой текст свёрнут, показать
     
     
  • 14.76, vle (ok), 16:55, 05/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Эту мысль ты уже озвучивал, и я с ней полностью согласен Деза вредна даже не ... большой текст свёрнут, показать
     
     
  • 15.77, paxuser (ok), 19:10, 05/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    А толку от этих патчей, когда их полтора человека используют Пять лет, как есть... большой текст свёрнут, показать
     
     
  • 16.78, vle (ok), 02:23, 06/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    В последних версиях gcc gpl3 gcc 4 3 или когда там gpl-v3 появился включили... большой текст свёрнут, показать
     
     
  • 17.79, paxuser (ok), 14:47, 06/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    А вот не знаю Сейчас посмотрел - нигде он не включён, вплоть до 4 4 Тут либо я... большой текст свёрнут, показать
     
     
  • 18.80, vle (ok), 19:40, 06/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Были приведены примеры лицемерия в OpenBSD, но я что-то не припомню ничего подоб... большой текст свёрнут, показать
     
     
  • 19.81, paxuser (ok), 21:30, 06/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Привожу цитаты отсюда http www freebsd org features html TrustedBSD MAC Fram... большой текст свёрнут, показать
     
     
  • 20.82, vle (ok), 01:42, 07/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    В общем, я думаю, стороны высказались И по делу и не по делу Каждый в меру спо... текст свёрнут, показать
     
  • 12.83, Michael Shigorin (ok), 21:08, 08/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    просыпаясь Оно им надо и вообще -- интересно, какая доля эрлангистов страны ... текст свёрнут, показать
     
  • 8.70, vle (ok), 15:37, 04/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    JFYI Совсем недавно в базовую систему NetBSD внесли Lua, хороший мощный и безоп... текст свёрнут, показать
     
  • 7.67, pavel_simple (ok), 19:19, 03/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну и как вы это себе представляете? Подписывание означает шифрование. То есть
    > надо тогда два комплекта установочных файлов распространять, получается, подписанные
    > и неподписанные? А какой из этих комплектов записывать на оригинальные диски
    > с релизом?..

    ваапщета -- вполне достаточно файлика формата
    имя_файла размер md5hash sha1hash
    имя_файла размер md5hash sha1hash
    имя_файла размер md5hash sha1hash
    ....

    и его подписать -- всего один файл и никакого шифрования

     
  • 2.51, аноним (?), 21:35, 02/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > рекомендации ставить систему, сверяя целостность файлов с нескольких зеркал

    А вы не согласны?

     
     
  • 3.53, paxuser (ok), 21:49, 02/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Не согласен. Эта задача несравнимо надёжнее решается с помощью ЭЦП.
     

  • 1.49, guest (??), 21:26, 02/11/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    glob(3) не патченный, что вообщемто понятно - не успели, а вот чистая errata при этом как-то не комильфо...

     
     
  • 2.58, PereresusNeVlezaetBuggy (ok), 00:35, 03/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > glob(3) не патченный, что вообщемто понятно - не успели, а вот чистая
    > errata при этом как-то не комильфо...

    Проблему с glob(3) не сочли проблемой безопасности...

     
     
  • 3.62, guest (??), 10:38, 03/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > Проблему с glob(3) не сочли проблемой безопасности...

    На RELIABILITY FIX тоже не тянет?

     
     
  • 4.63, PereresusNeVlezaetBuggy (ok), 12:23, 03/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >> Проблему с glob(3) не сочли проблемой безопасности...
    > На RELIABILITY FIX тоже не тянет?

    Угу. Иначе бы давно в errata для 4.6 и 4.7 появилось. Честно говоря, сам не понимаю логику. Насколько я понимаю, дело в том, что для успешной эксплуатации требуется пройти аутентификацию на системе (анонимный вход — тоже аутентификация, со всеми вытекающими рисками), а аутентифицированный пользователь может устроить DoS и с «лимитированным» glob(3). Но это лишь моё предположение. vsftpd рулит. :)

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру