Hlavní navigace

OpenBSD 6.5: nový projekt OpenRsync a bezpečný RETGUARD

Petr Topiarz

OpenBSD 6.5 vyšlo 24. dubna – o týden dříve, než bylo ohlášeno. Přináší zajímavé novinky, především vylepšený unveil a zbrusu nový RETGUARD a OpenRsync. Samozřejmostí je vylepšená podpora hardware, především Wi-Fi.

Doba čtení: 3 minuty

Sdílet

OpenBSD 6.5 vyšlo proti plánu o týden dřív a přineslo řadu zajímavých novinek. Nečekejte nic revolučního, jde spíše o klasické evoluční vydání, které věci posouvá zase o něco kupředu. Pojďme si společně ukázat ty nejzajímavější změny.

Jako vždy – bezpečnost především

Bezpečnostní mechanismus RETGUARD přichází, aby nahradil starý stack protector, prostě protože je v mnoha ohledech lepší. RETGUARD funguje na platformě AMD64 a ARM64 a zajišťuje lepší zabezpečení než tradiční stack protector.

Unveil byl vylepšen, takže spousty procesů nyní mohou používat unveil("/", "r"), protože unveil chápe, ve kterém adresáři pracuje daný program a dokáže používat relativní cesty.

CLang lépe spolupracuje s REGUARDEM a je rychlejší a bezpečnější, protože ukládá data do registrů místo stacku, tam, kde to jde.

pfctl je nyní upraven tak, aby ignoroval neplatné netmasks při plnění tabulek.

LibreSSL 2.9.1 přináší spoustu drobných vylepšení, zvyšuje bezpečnost a zlepšuje interoperabilitu s OpenSSL.

OpenSSH 8.0 má tolik vylepšení, že to je na celý článek, vylepšen je ssh-keygen, scp, sftp, ssh-agent, ssh-add, sftp-server, a kromě toho je vyřešeno asi 15 dost zásadních bugů.

OpenRsync

Začaly práce na novém programu, který je licencován pod licencí ISC, má být plně kompatibilní s rsyncem a bude součástí základní části OpenBSD. Pro tuto chvíli jsou k dispozici volby -a a --delete, ale chybí  --exclude.

Na domovské stránce si toho v tuto chvíli moc nepočtete, ale chlapci asi napřed vyvíjejí, a pak budou psát eseje. Pokud někoho zajímá zmíněná licence ISC, tak je to něco od OpenBSD, co se podobá MIT od FreeBSD. Zkrátka je to druh BSD licence, která více méně povoluje vše, ale je dost vágní. Přesněji to říkají na Wikipedii.

Instalátor o krok vpřed

Instalátor nyní při upgradu nejen nahrává nové verze programů, ale také čistí staré nepotřebné adresáře a soubory. Dříve toto bylo nutno dělat ručně podle popisu na internetu.

Zajímavé je, že při autokonfiguraci vytvoří disklabel nově oddíl /usr větší než dříve. Z původních 920 MB vzrostla na 1300 MB.

Síť a routing

Wi-Fi celkově zlepšuje propustnost díky tomu, že se snížilo použití RTS framů. Ovladač iwm nově výrazně zvyšuje propustnost, athn zase zlepšuje kalibraci a twfm poskytuje přesnější informace o zařízení.

Sympatická vlastnost je, že nově auto-join dovoluje, aby se Wi-Fi připojovala pouze ke známým sítím. Drobná vylepšení zaznamenávají ovladače iwn a iwm pro intelí karty.

Nově je uveden ovladač pbe (Backbone provider edge) a mpip pro MPLS IP layer 2, obojí pseudo deivces, a bpf filter vylepšuje mechanismus pro dropování paketů za použití tcpdumpu.

OpenBGPD přináší také velkou hromadu vylepšení, jako Adj-RIB-Out, který snižuje náročnost paměti, je zapracován optimizer pro pravidla filtru, nebo například je přidána podpora pro IPv6 u BGP MPLS VPN. Určitá vylepšení zaznamenaly i příkazy bgpctl a bgplgsh, což potěší zejména poskytovatele používající OpenBSD.

Utilita ifconfig disponuje nově módy ssf a ssfdump, které ukazují diagnostické informace z optických nosičů a podobných modulů. Nástrojpcap-filter  zase umí nově filtrovat MPLS pakety.

Použití validujícího DNS resolveru unwind usnadňuje uživatelům notebooků život při přesunu mezi různými sítěmi.

Vývoj

Clang je nyní k disposici i pro platformu MIPS64.

Závěr

Toto vydání OpenBSD není ani přelomové, ani úplná šedivá nuda. Kromě běžných aktualizací a oprav přináší hlavně RETGUARD a novou implementaci OpenRsync. Další vylepšení jsou především na bázi sítí, což pěkně odráží reálné použití OpenBSD. To je oblíbené nejen pro své zaměření na bezpečnost, ale také pro svou implementaci packet filteru, OpenSSH a OpenBGPD.

Odkazy