Hlavní navigace

Novinky v OpenBSD 4.0

30. 10. 2006
Doba čtení: 7 minut

Sdílet

Půl roku uběhlo a po květnovém vydání OpenBSD verze 3.9 tu máme novou a opět lepší verzi, tentokrát s číselným označením 4.0. Mimo to během uplynulého půlroku OpenBSD projekt oslavil své 11leté trvání - 11 let pro-security orientovaného open-source operačního systému a 11 let problémů a nátlaku na otevření dokumentace k hardware.

Pokud jste si stále OpenBSD 4.0 neobjednali, můžete tak učinit. Objednáním oficiálních médií podpoříte projekt finančně. V případě, že nehodláte objednat oficiální média, můžete přesto podpořit chod projektu dotacemi nebo poskytnutím hardware a k instalaci využít ftp servery.

Co se tedy od květnového vydání 3.9 událo v OpenBSD a co se stihlo do vydání verze 4.0?

Po prohlášení hlavních vývojářů, že se krátí finance na chod projektu, firmy jako GoDaddy.com, Adobe a Mozilla Foundation a mnoho dalších menších uskupení a jednotlivců poskytly finanční částky. Během uplnynulého půlroku se uskutečnilo i několik pracovních srazů předních vývojárů OpenBSD – hackathon, IPSec hackathon a v říjnu se uskutečníl v Maďarsku p2k6 aka portathon.

IPsec should not be an enigma that is only usable by the ultra elite.

Mezi největší vylepšení ve 4.0 je IPSec. Jak jsme informovali v článku Co přinesl poslední hackaton, OpenBSD se nadobro rozloučilo se starým nástrojem na ovládání IPSec ipsecadm a nyní se vše ovládá pomocí ipsecctl. Funguje IPSec přes IPv6, nastavení pro road warriory pomocí USER_FQDN IDs, transport mode či podpora AH. Rovněž se zlepšila podpora pro IPSec failover brány, sasyncd (služba synchronizující SA mezi více IPSec gw) lépe komunikuje s isakmpd  a carp (pseudo-zařízení pro Common Address Redundancy Protocol). Vše jednodušše a s podobnou syntaxí, jako má OpenBSD Packet Filter (PF):

ipsec.conf
# Set up a VPN:
# First between the gateway machines 192.168.3.1 and 192.168.3.2
# Second between the networks 10.1.1.0/24 and 10.1.2.0/24
ike esp from 192.168.3.1 to 192.168.3.2
ike esp from 10.1.1.0/24 to 10.1.2.0/24 peer 192.168.3.2

Pro základní IPSec je to vše, i isakmpd  služba se ovládá via ipsecctl, samozřejmě musíte umístit patřičné certifikáty do správných adresářů na obou stranách IPSec komunikace. Více o nastavení IPSec pomocí ipsecctl informoval Securityfocus­.com.

Mezi další novinky patří vylepšení hostapd (služba původně vytvořená pro implementaci IAPP – Inter Access Point Protocol – roaming 802.11 klientů mezi 802.11 přístupovými body). hostapd byl rozšířen o další funkce a může být využit i k logování 802.11 provozu, nyní zachycující (a reagující na) kvalitu signálu, přenosovou rychlost a frekvenci kanálu.

# Log rogue accesspoints with a strong signal quality on
# channel 3 (2.422GHz) transmitting frames with 1Mb.
hostap handle type management subtype beacon bssid !<myess> \
signal >= 50% txrate 1Mb freq 2.422GHz with log

Vylepšením prošly i dhclient, který nyní podporuje ‚ alias‘ pro další IP adresu a dhcpd, které umí přidávat IP adresy ze „zápůjček“ do speciálních tabulek PF. Samotné PF bylo obohaceno o podporu Unicast Reverse Path Forwarding (uRPF). Při použití uRPF si PF může ověřit, jestli je zdrojová adresa IP paketu, jenž dorazí na ingress rozhraní, dosažitelná dle směrovací tabulky provést patřičné akce.

Nové funkce a opravy byly udělány i na OpenBGPD, OpenOSPFD a OpenNTPD, který nyní podporuje timedelta z GPS přímačů. V OpenBSD 4.0 rovněž nehledejte wicontrol (nástroj na ovládaní 802.11 zařízení) a spppcontrol, protože jejich funkce byly importovány do  ifconfig.

OpenBSD 4.0 bude obsahovat i novou verzi OpenSSH, tedy verzi 4.4. OpenSSH podporuje logování přenosu skrz sftp-server a nově jde více omezovat přístup k ssh serveru pomocí direktivy Match (což potěší ne-PAM systémy).

Match   Introduces a conditional block.  If all of the criteria on the
        Match line are satisfied, the keywords on the following lines
        override those set in the global section of the config file, un-
        til either another Match line or the end of the file.  The argu-
        ments to Match are one or more criteria-pattern pairs.  The
        available criteria are User, Group, Host, and Address.  Only a
        subset of keywords may be used on the lines following a Match
        keyword.  Available keywords are AllowTcpForwarding,
        ForceCommand, GatewayPorts, PermitOpen, X11DisplayOffset,
        X11Forwarding, and X11UseLocalHost.

Můžeme tedy vynutit spuštění určitého příkazu při přihlášení uživatelů různých skupin, nebo můžeme povolit předávání portů určitým uživatelům, atd.

Mezi další vylepšení OpenBSD patří nový detekční speed control kód. Nyní lze tedy ovlivňovat rychlost CPU, i když nejsou známé přesné operační rychlosti pro typ CPU.

V případě, že na OpenBSD spravujete nějaké diskové pole pomocí bioctl (RAID management interface, který umí komunikovat přímo s RAID firmware), pak vězte, že bioctl nyní ukazuje za běhu více informací o RAID poli a nově podporuje skrze bio pseudo-device i další hw, přesněji Areca Technology Corporation SATA RAID controller a Compaq Smart ARRAY 5/6 SAS/SATA/SCSI RAID controller. Nové ovladače mpi (nahrazující dřívější mpt) a mfi (nahrazující ami) rozšiřují podporovu SAS zařízení typu LSI Logic Fusion-MPT Message Passing Interface respektive zařízení rodiny MegaRAID SAS.

Jestliže jste na Linuxu někdy používali prelink, tak nyní OpenBSD rozšířil ldconfig o svou alternativu k tomuto nástroji, který zrychluje spouštění větších binárek. Což s nynější prací v -current na importování novějšího GNOME nebo s použitím OpenOffice bude určitě zajímavá funkce.

PREBINDING
     Prebinding is loosely based on an earlier concept called Prelinking,
     which also accelerated ld.so(1) performance but simultaneously impaired
     address space randomization.  When prebinding information is added to li-
     braries and programs using -P, program startup can be significantly im-
     proved because ld.so(1) can initialize the shared library environment
     much faster.  Prebinding information adds a small amount of data to the
     end of each specified program and associated shared libraries.

Když už jsme nakousli userland, mezi další novinky patří cdio, nástroj na přehrávání, vypalování a mazání cd. Teď už tedy nepotřebujete cdrecord, protože v systému máte nástroj na vypalování. Na vytvoření obrazu můžete již dávno využívat  mkhybrid.

# cdio -v tao -d /mnt/shared/ftp/pub/OpenBSD/openbsd40.iso
No CD device name specified. Defaulting to cd0.
track 01 'd' 00002325/00105226   2%

Díky letošnímu hackathonu se konečně do stromu portů konečně (??) zařadil i OpenOffice. Při portování OpenOffice se našlo pár chyb i v gcc, které jsou již opraveny v verzi 4.x, i když je dost pikantní, že ani samotní vývojáři gcc prý nevěděli, jak se ta chyba opravila. Ovšem lehkotonážní alternativa – abiword – je tam již nějaký pátek. Na hackathonu se také dohodla lepší podpora stable packages, která by měla zahrnovat mimo i386 i amd64.

Nadobrou byl odstraněn GNU RCS a nahrazen OpenRCS jako vlaštovka v budoucím nasazení OpenCVS, na kterém se stále pracuje.

Bezpečnostní revizi získala šifrovací funkce nástroje vnconfig, kterým se ovládají pseudo disky a který nyní podporuje PKCS #5 PBKDF2. Standard PKCS#5 umožňuje využít hašovací funkci k tvorbě „náhodného“ šifrovacího klíče z passwordu. Pro samotné šifrování disku se používá Blowfish.

Samozřejmě se rozšířil i list podporovaných hw, nyní je nově podporován síťový hw jako Marvell/SysKonnect Yukon-2 Gigabit Ethernet, Broadcom NetXtreme II Gigabit Ethernet nebo Neterion Xframe/Xframe II 10Gb Ethernet. Stále je dobrá spolupráce s firmou Ralink, takže jsou podporována bezdrátová USB zařízení II. generace od zmíněné firmy nebo zcela open driver pro Intel PRO/Wireless 3945ABG, kdy OpenBSD je první open source systém podporující toto zařízení. Mezi další nyní podporovaná bezdrátová zařízení jsou Texas Instruments ACX100/ACX111 a Connexant/Intersil Prism GT Full-MAC. Nově běží OpenBSD i na systémech s UltraSPARC III procesory. Kompletní seznam nově podporovaného hw najdete na stráce k release OpenBSD 4.0.

UX DAy - tip 2

OpenBSD 4.0 ukazuje, že i přes všechny možné problémy se komunita a hlavně vyvojáři kolem OpenBSD snaží a že OpenBSD opravdu získává čím dál více na popularitě. Máme tu nově v portech zmíněný OpenOffice a nativně kompilovanou Javu od Sun přes Kaffe. Na nedávném portathonu se pracovalo i na aktualizaci linux emulace a v -current se začal používat jako zdroj Fedora. Co nás tedy bude čekat dál u OpenBSD? Jestliže projekt bude stále odolávat finančním problémům, můžeme se těšit na další propracování síťových funkcí, speciálně IPSec a failover. S rozrůstající se komunitou uživatelů se dá očekávat větší práce i na portech a tím více dostupných aplikací. Snad jen by už mohla vniknout OpenBSD verze k pksgrc-wip, čímž by se usnadnilo testování nových portů. OpenBSD nyní bootuje v Xen jako domU a dají se čekat další vylepšení. Dlouho je vývojáři OpenBSD kritizován návrh X Windows. X.org na macppc používá wsfb (další platformy budou následovat) a tudíž, byť za ztrátu akcelerace, X nemají přímý přístup k hardware, což nás chrání proti potencionálně nebezpečnému kódu. Navíc při použití wsfb nepotřebují X Window vůbec práva superuživatele ani pro start (v OpenBSD jsou X stejně jako mnoho dalším daemonům separována privilegia, i když pro start potřebují práva superuživatele).

Jestliže jste ještě nedali OpenBSD šanci, pak máte nyní ideální čas to napravit.

Byl pro vás článek přínosný?