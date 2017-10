Podpora pro Arm a Octeon

Pokud používáte armová zařízení, měli byste zaznamenat výrazné zlepšení podpory. Nově tu jsou ofladače pro Rockchipové sensory, powermanagement a podobně, dále ovladače pro zařízení Synopsis Design Ware (SD/MMC, ethernet, timer), Marvel ARMADA (SD, interupt, pins), TexasInstruments (LCD) atd., takže toto vydání je tak trochu pro milovníky Raspberry, Pine64 a podobných potvůrek.

Octeon dostal nové drivery pro SATA/USB3/sběrnici přerušení a další.

Bezpečnost: KARL a vyprázdněná nula

OpenBSD už dlouho pracuje na zabezpečení té oblasti, která je zranitelná velmi často (např. při přetečení bufferu), a tou je operační paměť. V podstatě jde o to, že pokud se program nějakou chybou dostane k přečtení stránek paměti, které mu nepatří, může se útočník probojovat k hromadě informací dokonce i těch aplikací, které jsou korektně naprogramované. Po změnách v posledních třech vydáních OpenBSD máme hlídače přístupu do paměti, jako je pledge, (která dovolí aplikacím sahat jen tam, kam mají), potom je tu mprotect, (ten existuje i na Linuxu, ale otázka je, kolik distribucí ho má zapnutý ve výchozím stavu) dále je tu realokace knihoven i kernelu po nahrání do paměti.

Asi zásadní novinkou je implementace technologie KARL. Stejně jako známější ochrana ASLR a její implementace pro kernel KASLR, i KARL se stará o to, aby jádro systému nebylo v RAM snadno dostupné, ovšem randomizace jde u KARL ještě dál. Kromě náhodné adresace v paměti má při bootu generovat vždy novou binárku kernelu s náhodnou vnitřní strukturou, takže využití potenciálních exploitů by mělo být zase složitější. Jedná se o technologii přímo z rukou Theo de Raadta, o kterou už projevilo zájem několik dalších projektů, mezi nimi i Linux.

Další bezpečnostní novinkou je zavedení funkce freezero() . Zjednodušeně řečeno je tato funkce podobná funkci free() , uvolni, která uvolní paměť po použití. Ovšem v některých případech, není jisté, že uvolněná paměť bude skutečně prázdná. V těchto případech freezero() po uvolnění skutečně zajistí vymazání původního obsahu, takže není možné ho při realokaci paměti omylem (nebo úmyslem) znovu přečíst.

Různé systémové procesy nyní získaly ochranu pledge a v ssh byla opravena chyba, která dělala problémy s pledge. Stejně tak nyní přibyl report o pokusech narušit pledge do denního bezpečnostního reportu systému.

OpenSSH dostalo opravu pro SFTP, kdy při read-only přístupu bylo původně možno zapsat prázdné soubory. OpenSSH dostalo vůbec všelijaká malá vylepšení a drobné ladění, které by mělo zvýšit průtok dat i pohodlnost práce s tímto programem/daemonem.

LibreSSL se těší také mnoha drobným vylepšením a opatřením pro zvýšení bezpečnosti, kupříkladu byla odebrána podpora pro DSS/DSA, dále bylo přidáno rozlišování mezi self-signed a self-issued certifikáty, zlepšená výměna klíčů mezi servery, zapracování CRL do libtls, vylepšena podpora standardů RFC 5280(při generování certifikátů) a RFC 6125 (při verifikaci), lepší komunikace přes IPv6 a hromada dalších.

Síť a PF

Wi-Fi – intelová zařízení nyní chytřeji navazují ztracenou komunikaci, automaticky se vybírá rychlejší APN a v n-kovém modu byly opraveny chyby u Aetherosu.

IP má vylepšený výkon díky tomu, že z forwarding/incoming paketů byl sňat KERNEL_LOCK. IPv6 stack je vyčištěn a jsou aplikována drobná vylepšení. PF nyní prohlíží AH pakety tak, že IPv4 autentizační hlavičky fungují jako v IPv6.

V PF je nyní nově volba allow-opts , která odfiltruje exotické pakety, jenž mají hop-by-hop option header a destination option header (mají tyhle hlavičky český název?).

DHCP klient a server

Server – vylepšena podpora pro čtení z bpf, přidána funkcionalita pro echo-client-id statement a opravena inkonzistence v předávání dhcprelay přes zařízení typu CARP.

Klient – tady to je lepší podpora routování, vylepšené využití dhclient.conf, bezpečnější IPv6, zvýšena kontrola dhcp zápůjčky a v neposlední řadě i zefektivněné a vyčištěné logování. Těch malých oprav dhcp klienta je tam skutečně asi padesát…

Virtualizace o krok dál

Virtuální stroj VMM, kterému jsme tu na Rootu už věnovali dva články, přináší výrazná zlepšení na více úrovních. Praktická je například funkce pauznout stroj a migrovat ho včetně načtené paměti na jiný server, při spouštění po pauze dojde nově k synchronizaci času přes VM RTC.

Virtualizovaní hosté mohou nyní použít až 32 GB RAM, lepší emulace některých prvků, síťová karta virtio má nyní dvojnásobný průtok zásobníkem a CPU virtualizovaných strojů mohou nyní využívat vlastnosti AVX/AVX2, což může výrazně zvýšit výkon při určitých operacích.

Porty a balíčky

Porty a balíčky, čili software třetích stran, se na zářijovém hackatonu stalo tématem a vývojáři skutečně věnovali spoustu energie tomu, aby opravili problémy při kompilaci s clangem. Kromě jiného byla omezena podpora gtk1, takže třeba původní minimalistické a hackery oblíbené xmms už si tak snadno nenainstalujete. Dále padlo zajímavé rozhodnutí, že se zjednoduší podpora bezpečnostních záplat pro každé jedno vydání, ovšem kromě balíčků pro amd64 a i386 přibudou balíky a binární opravy pro následující architektury: alpha, arm,hppa, mips64, mips64el, powerpc a sparc64 (dříve se muselo pro tyto architektury individuálně kompilovat updaty).

V tuto chvíli je počet dostupných binárních balíků softwaru třetích stran mezi 9 000 a 10 000 v závislosti na architektuře (pro srovnání, třeba Debian má podle zapnutých repozitářů cca 16 000 – 26 000). Tady ale stojí zato dodat, že v případě Debianu je to počet balíků i včetně kernelu a základního systému, kdežto v případě OpenBSD se jedná jen o počet balíčků třetích stran, jelikož hromada programů a kernel je už přímo v systému. Ten není v balíčcích, ale je distribuován jako součást vydání nebalíčkově, takže porovnání kulhá.

Jaké verze balíků jsou aktuálně v OpenBSD? Jen pro zajímavost například:

Chromium 61.0.3163.100

GCC 4.9.4

Gimp 2.8.22

GNOME 3.24.2

LLVM/Clang 5.0.0

MariaDB 10.0.32

Mozilla Firefox 56.0.0

PHP 5.6.31 a 7.0.23

PostgreSQL 9.6.5

Postfix 3.2.2 and 3.3–20170910

Xfce 4.12

Různé

Clang se stal výchozím kompilátorem pro architektury i386 a amd64.

Ksh má opět vylepšenou podporu UTF-8 při práci s editory Emacs a Vim.

Soubor historie v ksh je nyní v textovém formátu (býval binárkou).

Od píky je přepsaná implementace locale striktně podle POSIXu.

Automatická hibernace se aktivuje při velmi nízkém stavu baterie.

Ovladače audio pro azalia přestaly šumět.

ddb má spoustu vylepšení, například ctf importované ze Solarisu.

A také ještě spoustu dalších.