Увидел свет релиз операционной системы OpenBSD 5.7, тридцать восьмой выпуск за двадцатилетнюю историю существования проекта. При развитии OpenBSD основное внимание уделяется переносимости (поддерживается 21 аппаратная платформа), стандартизации, корректной работе, активной безопасности и интегрированным криптографическим средствам. Размер полного установочного ISO-образа базовой системы составляет 208 Мб.

Кроме непосредственно операционной системы, проект OpenBSD известен своими компонентами, которые получили распространение в других системах и зарекомендовали себя как одни из наиболее безопасных и качественных решений. Среди них: LibreSSL (форк OpenSSL), OpenSSH, пакетный фильтр PF, демоны маршрутизации OpenBGPD и OpenOSPFD, NTP-сервер OpenNTPD, почтовый сервер OpenSMTPD, мультиплексор текстового терминала (аналог GNU screen) tmux, демон identd с реализацией протокола IDENT, BSDL-альтернатива пакету GNU groff - mandoc, протокол для организации отказоустойчивых систем CARP (Common Address Redundancy Protocol), легковесный http-сервер.

Основные улучшения:

• Усиление безопасности:
  • К адресному пространству ядра применён режим защиты памяти W^X (Write XOR Execute), при котором страницы памяти не могут быть доступными и на запись и на исполнение кода (или запись или исполнение, но не одновременно);
  • Удалён код для поддержки загружаемых модулей ядра и procfs;
  • Проведён обстоятельный аудит подсистем на предмет перехода на использование системного вызова reallocarray, позволяющего выделить память для нескольких отличающихся по размеру объектов без дополнительных затрат на очистку памяти, но с сохранением средств борьбы с целочисленными переполнениями;
  • Проведена работа по замене вызовов select на poll;
  • В качестве первого шага для минимизации возможности совершения атаки на раздел /var, директория /var/tmp преобразована в символическую ссылку на /tmp;
  • В реализацию memcpy добавлена защита от перекрытия областей памяти, если факт подобного перекрытия выявлен, то программа принудительно завершается с выводом соответствующего предупреждения в syslog. При необходимости перекрытия областей следует использовать memmove;
  • Вызовы rand, random, drand48, lrand48, mrand48 и srand48 переведены на использование генератора arc4random. Для получения детерминированных случайных чисел введены новые функции srand_deterministic, srandom_deterministic, seed48_deterministic и lcong48_deterministic;
  • При возврате из спящего и ждущего режимов, а также при пробуждении виртуальных машин, задействованы различные методы для сброса генератора случайных чисел;
  • Все архитектуры переведены на статический формат PIE, т.е. все статически собранные исполняемые файлы в /bin и /sbin теперь содержат случайным образом расположенные сегменты "text";
  • Код ядра и ssh для работы с AES синхронизирован с кодом из OpenSSL/LibreSSL.
  • В утилите passwd прекращена поддержка всех методов хэширования, кроме blowfish;
  • В генераторе случайных чисел и при генерации начальных номеров последовательностей в TCP вместо MD5 задействован SHA512;
• Добавлен драйвер xhci, обеспечивающий поддержку устройств с интерфейсом USB 3.0, соответствующих спецификации XHCI (eXtensible Host Controller Interface). Значительно расширена поддержка сетевых устройств, в том числе представлен новый драйвер iwm для беспроводных карт Intel 7260, 7265 и 3160;
• Для управления фоновыми процессами и системными сервисами представлена новая утилита rcctl;
• Из базовой системы удалены nginx и sendmail, вместо которых предлагается http-сервер собственной разработки и OpenSMTPD. Прекращена поддержка DNS-сервера BIND, вместо которого рекомендуется использовать nsd и unbound. Nginx, bind и sendmail могут быть установлены из портов.
• Улучшения в сетевом стеке: Большинство операций с IP-адресами переведены на таблицы маршрутизации, заменившие собой RB-деревья и списки адресов IPv4. Для хэширования в пакетном фильтре PF, сетевых мостах, trunk-интерфейсах и PCB задействован алгоритм SipHash. Настройка CARP теперь требует явного создания родительского интерфейса carpdev. Слой mbuf избавлен от глобальной блокировки и признан mpsafe. Представлены новые структуры mbuf_list и mbuf_queue, а также API для работы с ними;
• Улучшения в инсталляторе: Наборы etc и xetc, в том числе включающие файлы rc и rc.conf, теперь не поставляются отдельно, а включены в состав наборов base и xbase. Улучшено определение файла со сценарием автоматизированной установки, если присутствуют файл /auto_install.conf или /auto_upgrade.conf инсталлятор теперь сразу запускает автоматический режим.
• Системы Syslogd и inetd переведены с select на libevent. В Syslogd добавлена поддержка отправки и приёма сообщений по UDP, TCP и TLS, при том, что для TCP и TLS реализованы средства автоматического восстановления соединения после разрыва канала связи;
• В tftp снято ограничение на размер принимаемых и отправляемых файлов, которые ранее не могли превышать 65536 байт;
• В реализации ряда функций libc для архитектуры amd64 задействованы быстрые ассемблерные оптимизации;
• Расширены возможности http-сервера от проекта OpenBSD. Прекращена поддержка SSLv2/3, улучшена поддержка ECDHE/DHE в TLS. Упрощено создание виртуальных хостов на основе определения псевдонимов по IP и именам хостов. Добавлена поддержка basic-аутентификации, определения своих кодов возврата, перенаправления и макросов для URL. Добавлена опция "root strip" для чистки начала пути для CGI-скриптов. Обеспечена возможность создания лога в директории, отличной от /var/www/logs. Реализация FastCGI доведена до совместимости со многими известными web-приложениями.
• В новой версии почтового сервера OpenSMTPD прекращена поддержка SSLv3, добавлена поддержка новых парсеров сообщений и заголовков, добавлена опция append-domain, обеспечена возможность отправки сообщений локальному пользователю без определения домена.
• Обновлён пакет OpenSSH 6.8, подробный обзор улучшений можно посмотреть здесь;
• Обновлён пакет LibreSSL 2.1.5, подробный обзор улучшений можно посмотреть в анонсах выпусков 2.1.0, 2.1.2, 2.1.4 и 2.1.5.
• Число портов превысило 9000 (полгода назад было 8800). Из находящихся в портах приложений, отмечены:
  • Chromium 40.0.2214.115
  • Emacs 21.4 и 24.4
  • GCC 4.8.4 и 4.9.2
  • GHC 7.8.4
  • GNOME 3.14.2
  • Go 1.4.1
  • Groff 1.22.3
  • JDK 1.7.0.71
  • KDE 3.5.10 и 4.14.3
  • LLVM/Clang 3.5 (20140228)
  • LibreOffice 4.3.5.2
  • MariaDB 10.0.16
  • Mono 3.12.0
  • Mozilla Firefox 31.4.0esr и 35.0.1
  • Mozilla Thunderbird 31.4.0
  • Node.js 0.10.35
  • OpenLDAP 2.3.43 и 2.4.40
  • PHP 5.3.29, 5.4.38, 5.5.22 и 5.6.5
  • Postfix 2.11.4
  • PostgreSQL 9.4.1
  • Python 2.7.9 и 3.4.2
  • R 3.1.2
  • Ruby 1.8.7.374, 1.9.3.551, 2.0.0.598, 2.1.5 и 2.2.0
  • Sendmail 8.15.1
  • Tcl/Tk 8.5.16 и 8.6.2
  • TeX Live 2013
  • Vim 7.4.475
  • Xfce 4.10
  Компоненты от сторонних разработчиков, входящие в состав OpenBSD 5.7:
  • Xenocara, основанная на X.Org 7.7 с xserver 1.16.4 + patches, freetype 2.5.5, fontconfig 2.11.1, Mesa 10.2.9, xterm 314, xkeyboard-config 2.13;
  • GCC 4.2.1 (с патчами) и 3.3.6 (с патчами);
  • Perl 5.20.1 (с патчами)
  • SQLite 3.8.6 (с патчами)
  • Unbound 1.5.2
  • NSD 4.1.1
  • Sudo 1.7.2p8
  • Ncurses 5.7
  • Binutils 2.15 (с патчами)
  • Gdb 6.3 (с патчами)
  • Less 458 (с патчами)
  • Awk в версии от 10 августа 2011 г.

Послушать песню, приуроченную к выходу нового релиза, можно здесь.