LINUX.ORG.RU

OpenBSD 6.5

 


4

5

Вышла версия OpenBSD 6.5. Вот какие изменения изменения есть в системе:
1. Добавлена поддержка новых устройств:

  • 1. Компилятор clang теперь доступен на mips64
  • 2. Добавлена поддержка OCTEON GPIO контроллера.
  • 3. Добавлен драйвер паравиртуальных часов в системе виртуализации KVM.
  • 4. В драйвер ix(4) добавлена поддержка Intel Ethernet 700 series.

2. Изменения в сетевой подсистеме:

  • 1. Добавлена поддержка протокола PBB(PBE).
  • 2. Добавлен драйвер, MPLS-IP L2.
  • 3. Также для MPLS-интерфейсов добавлена возможность настройки маршрутных доменов, отличных от основного.

3. Доступен следующий софт:

  • 1. OpenSSH до 8.0
  • 2. GCC 4.9.4 и 8.3.0
  • 3. Go 1.12.1
  • 4. Lua 5.1.5, 5.2.4 и 5.3.5
  • 5. Suricata 4.1.3
  • 6. Node.js 10.15.0
  • 7. Mono 5.18.1.0
  • 8. MariaDB 10.0.38

Подробности вы можете посмотреть на сайте проекта.

>>> Подробности

★★★★★

Проверено: Shaman007 ()

Ответ на: комментарий от anonymous

Так опенбзде нет закрытых прошивок на видеокарты, потому видеокарта не задействуется, всё работает на проце и потому багов не видно.

чё? на каком проце? покрути на проце, который был лоуендом в 2012 году, новый Xonotic. Ладно, уговорил - покрути его на ЛЮБОМ проце.

нет закрытых прошивок? правда, что ли? а что тогда http://firmware.openbsd.org делает или утилита fw_update?

buratino ★★★★★
()
Ответ на: комментарий от buratino

а что тогда http://firmware.openbsd.org делает или утилита fw_update?

Судя по irc чату там нет закрытых прошивок и любого закрытого кода только в ядре в отличии от стокового ядра того же Devuan к примеру.

Но для Debian совместимых линупсов можно задействовать Libre ядро, например, из репы: linux-libre.fsfla.org/

Установил в Devuan Ascii 4.19.36-gnu, даже ZFS нормально собрался, ляпота ...

Теперь придется BSDю изучить, не могу никак определиться OpenBSD или HardenedBSD. Я так понял Open secure by ideal code и Hardaned by Grsecurity like примочки к обычному месиву кода фрюхи.

А где-то можно подешевле прикупить слив свеженького GRsecurity?

anonymous
()
Ответ на: комментарий от CryNet

Как это взаимосвязано?

Это связано через отсутствие безопасности внутри блобов

и проверить блобы очень затруднительно

anonymous
()
Ответ на: комментарий от CryNet

Из транзистров состоит asic с полной реализацией чего угодно. Чтобы чип что-то делал ему не нужен «дух машины» в виде софта

anonymous
()
Ответ на: комментарий от anonymous

Даже транзисторы нынче предлагают делать открытыми:

https://libresilicon.com/

После выхода партии с ЗОГ фабрики часть из них можно раскурочить на предмет, а не вставили ли туда бэкдору.

anonymous
()
Ответ на: комментарий от anonymous

Может, хоть Talos подешевеет, когда люди поймут, что в его текущей реализации затруднительно проверить, а не добавили ли в OpenPower closed закладки прямо на заводе.

anonymous
()
Ответ на: комментарий от buratino

В OpenBSD любой битности такого не бывало просто никогда.

Я рад за тебя. Нет, серьезно. Держи и дальше в курсе.

Odalist ★★★★★
()
Ответ на: комментарий от Odalist

Вообще-то как раз в OpenBSD изначально сделали сброс привилегий для X-сервера. Он запускается с правами рута, чтобы получить доступ к определённым ресурсам (например, к видеопамяти), после чего меняет текущий UID на не привилегированный.

Проблема же в том, что пользователи всегда хотели запускать Иксы от своего имени, поэтому исполняемый файл X-сервера везде по жизни SUID.

Очередная уязвимость в Иксах достала Тео, поэтому теперь официально рекомендуемый вариант запуска Иксов — через xenodm (фирменный форк xdm, с использованием уже устоявшихся наработок проекта OpenBSD в целом по части обеспечения безопасности кода).

anonymous
()
Ответ на: комментарий от Odalist

А кто вам дал право указывать, что делать разработчикам? Вам не хватает nouveau в OpenBSD — так портируйте, исходники открыты, всё для вас. Или вы только на форуме языком молоть умеете?

anonymous
()
Ответ на: комментарий от hobbit

А что они его, принципиально отказываются добавлять? Или там несовместимость лицензий?

Что значит «отказываются добавлять»? Вы так говорите, как будто драйвер для кучи современных навороченных (читай: очень нЭжных) видеочипов можно легко взять и собрать под другой ОС. Да ещё и поддерживать в актуальном состоянии, то есть, проходить этот путь (пусть уже немного знакомый) каждые полгода минимум. Вы будете это делать? Нет? А почему кто-то ещё должен?

Оплатите эту работу? — без проблем. Если не в базовой системе, так в портах где-нибудь через полгода получите искомое.

И если там нет Nouveau — как осуществляется работа с картами Nvidia? Во фре, ЕМНИП, даже блоб можно поставить...

Можно, т.к. NVIDIA компилирует эти самые драйвера для фряхи. А для остальных не компилирует. Ну и хрен с ними.

anonymous
()
Ответ на: комментарий от anonymous

Странно, и как только люди умудряются ставить рабочие станции на OpenBSD в крупных фирмах... Неужели есть такие люди, которым не важно отсутствие драйверов для видеокарт NVIDIA и Bluetooth на десктопе, а важно легко управлять предсказуемой системой с чётким релизным циклом?

anonymous
()
Ответ на: комментарий от anonymous

Я задал два вполне конкретных вопроса, на разработчиков ОС не наезжал. В ответ получил простыню в стиле «Нет, ты», но без ответов на заданные вопросы. Всё как всегда, в общем.

hobbit ★★★★★
()
Ответ на: комментарий от hobbit

Похоже, придётся признать себя виноватым в излишней агрессии. :( Я отвечал на ваш комментарий между ответами куда более агрессивному человеку (Odalist), и в том момент ваши слова показались тоже более агрессивными.

По сути — nouveau требует заметных усилий как для первоначального портирования, так и для дальнейшей поддержки. Учитывая крайне свинское отношение NVIDIA к миру open source, в рядах разработчиков OpenBSD, никто желанием выполнять эту работу не горит — но и против никто не будет.

А чтобы был бинарный драйвер — это уж точно не к OpenBSD вопрос.

anonymous
()
Ответ на: комментарий от anonymous

Не путайте прошивки (код, работающий на железе, по сути — часть железа) и драйверы (код, работающий на CPU и входящий в состав операционной системы).

OpenBSD не приемлет закрытые драйверы, но допускает закрытые прошивки: последние по сути ничем не отличаются, с точки зрения последствий, от закрытых аппаратных решений — а они практически все закрытые. Использовать эти прошивки вас, впрочем, не принуждают. :)

anonymous
()
Ответ на: комментарий от anonymous

А кто вам дал право указывать, что делать разработчикам?

Я не указываю, тем более, что этот форум никак не связан с разработкой OpenBSD. Тут главный сектан не тусует.

Вам не хватает nouveau в OpenBSD — так портируйте, исходники открыты, всё для вас.

Звучит, как сперва добейся сам. Как-то банально...

Odalist ★★★★★
()
Ответ на: комментарий от anonymous

Бред какой-то. Эти прошивки исполняются на устройствах, которые имеют полный dma доступ ко всей памяти. В чём смысл тогда, если никакой секурности там с таким раскладом нет?

anonymous
()
Ответ на: комментарий от anonymous

OpenBSD не приемлет закрытые драйверы, но допускает закрытые прошивки: последние по сути ничем не отличаются, с точки зрения последствий, от закрытых аппаратных решений — а они практически все закрытые. Использовать эти прошивки вас, впрочем, не принуждают. :)

А какая железяка самая свободная и открытая под OBSD?

Говорят очень хороша BBB (Beaglebone Black), врутъ ?

anonymous
()
Ответ на: комментарий от anonymous

Бред какой-то. Эти прошивки исполняются на устройствах, которые имеют полный dma доступ ко всей памяти. В чём смысл тогда, если никакой секурности там с таким раскладом нет?

Наиболее вероятно, что часть железа, под которое существует OBSD, кое для кого открыто в отличии от всех остальных. Вот они и используют community в качестве тестового полигона, хотя держат всех пользователей на крючке аппаратных закладок. Себе же любимым они выдают полностью открытое железо, фот такой фокус-покус.

anonymous
()
Ответ на: комментарий от anonymous

Бред какой-то. Эти прошивки исполняются на устройствах, которые имеют полный dma доступ ко всей памяти. В чём смысл тогда, если никакой секурности там с таким раскладом нет?

Так ведь от атак на DMA центральной системы легко защититься по сетевым протоколам типа NFS/NBD/iSCSI для HDD и по usbip для шины USB на дополнительных вспомогательных хостах.

А соединить их можно со стороны центральной системы полностью открытой реализацией Ethernet, а на вспомогательных хостах какая разница какую говнятину пихать в качестве Ethernet, все равно там диски с DMA, неведомые USB прошивки и т.п. закрытый трэш?

anonymous
()
Ответ на: комментарий от Odalist

Лучще бы, эти страдальцы, добавили бы Nouveau.

Если это не указание разработчикам системы, что им следует делать, то что это?

Тут главный сектан не тусует.

Действительно, мудрая смелость: указывать что делать там, где адресат наверняка не прочтёт.

Звучит, как сперва добейся сам. Как-то банально...

Нет, звучит как «разработчики системы вам ничего не обещали и ничем не обязаны». Если вы хотите, чтобы в OpenBSD работал драйвер nouveau, сделайте для этого что-нибудь — сами возьмите в руки компилятор, или оплатите кому-то работу. OpenBSD — проект не для вечно чего-то хотящих, а для готовых что-то делать. Впрочем, как и значительная часть open source. Давайте, сходите в LKML и скажите, что лучше бы они нормальную звуковую подсистему сделали. Если матерными будут меньше половины ответов, считайте, что вам повезло.

anonymous
()
Ответ на: комментарий от anonymous

прошивки исполняются на устройствах, которые имеют полный dma доступ ко всей памяти.

Не совсем корректно, но в целом, да, имеют. Но устройству совсем не нужны для этого прошивка, вся «интересная» логика может жить и в железе. Без доступа к проектной документации на железо и средств аудита бороться с бинарными прошивками, в общем-то, бессмысленно.

anonymous
()
Ответ на: комментарий от anonymous

Ну да, именно поэтому Intel продолжает политику игнорирования в отношении уведомлений OpenBSD о багах в процессорах Intel (работы после недавних новостей идут полным ходом, если что).

Не, мне понравилась теория, спасибо. :)

anonymous
()
Ответ на: комментарий от anonymous

Китайские MIPS были интересные, которые loongson... Пошукайте в архивах misc@openbsd.org, там подобные вопросы регулярно задают, и ответы дают охотно.

anonymous
()
Ответ на: комментарий от anonymous

вся «интересная» логика может жить и в железе.

как это понимать? ведь даже внутри X86 есть микрокодовая прошивка. хотя внутри ARM ее почти как бы нет, но ведь все равно немного есть?

а что значит чисто железо без прошивки?

anonymous
()
Ответ на: комментарий от anonymous

а что значит чисто железо без прошивки?

Ну вот и выросло поколение...

Прошивка — это способ менять поведение железа, реализовывать произвольную (в неких рамках, конечно) логику. Прошивка позволяет что-то поменять в железке без замены собственно железки. В частности, микрокод в CPU нужен в первую очередь для исправления/обхода ошибок. А ошибки в современных CPU исчисляются десятками и сотнями. Найдите errata по Intel Core 2 и ужаснитесь.

Изредка прошивки используют для собственно полезной деятельности — кто помнит так называемые Win-модемы, поймёт, о чем я. Но суть не меняется: прошивка лишь дополняет железо, и сама по себе не обязана существовать.

anonymous
()
Ответ на: комментарий от anonymous

А можно пример чисто «железной» закладки без микрокода и прошивок? Что такая закладка может предоставить? Упрощенное рутование? Что-то еще?

Полноценный троян может существовать в железе без прошивок? Способно ли железо без прошивки дернуть за некий урл и качнуть троян на компьютер?

anonymous
()
Ответ на: комментарий от anonymous

А почему оно не может этого делать? Если штатно какая-нибудь Intel AMT позволяет много интересных вещей делать, то кто запретит делать то же самое нештатно?

Я больше скажу, вот пример подхода к борьбе с изначально заложенными в железо «недокументированными возможностями»: https://www.itweek.ru/security/article/detail.php?ID=187789

anonymous
()
Ответ на: комментарий от anonymous

А вообще, зачем качать что-то на компьютер, если у вас есть доступ ко всей передаваемой информации, со всеми ключами и содержимым открытых файлов? :)

anonymous
()
Ответ на: комментарий от anonymous

А вообще, зачем качать что-то на компьютер, если у вас есть доступ ко всей передаваемой

информации, со всеми ключами и содержимым открытых файлов? :)

Предположим, возмем Beaglebone black или либребутнутую материнку в качестве рабочей станции. Не будем к ней напрямую подключать ничего кроме open source Ethernet, а все нужные устройства подключим по IP (iSCSI/usbip и т.п.). Содержимое дисков зашифруем на рабочей станции, чтобы контроллеры дисков ничего не могли достать даже при полном доступе к RAM через DMA.

Получается, на рабочей станции не будет известного жучка? MBR сектор тоже защитим загрузкой с очень древней флэшки и/или libreboot payload. Остаются только доисторические неведомые уязвимости в неведомых ROM?

anonymous
()
Ответ на: комментарий от anonymous

OBSD Workstation encryption -> ethernet -> device server with USB, HDD, etc.

anonymous
()
Ответ на: комментарий от anonymous

А почему оно не может этого делать? Если штатно какая-нибудь Intel AMT позволяет много интересных вещей делать, то кто запретит делать то же самое нештатно?

А разве это чисто железо без прошивки (программы)? Там ЦЕЛАЯ софтовая ОСЬ! Minix с кучей зондов, если ее mecleaner-ом убрать, то как железо само без проги в ROM будет чегой-то наблюйдать например в RAM?

anonymous
()
Ответ на: комментарий от anonymous

ASIC чип ведь можно определить по маркировке?

Или их тайно встраивают на тот же кристал, который преподносится как чип другого назначения (не ASIC) ?

anonymous
()
Ответ на: комментарий от anonymous

Ничто не мешает не лепить его очевидным анклавом рядом, а интегрировать в основную схему.

anonymous
()
Ответ на: комментарий от kostyarin_

Ниасилили. Ведь нуво не нужны даже закрытые прошивки для карт до 9xx серии.

anonymous
()
Ответ на: комментарий от anonymous

Китайские MIPS были интересные, которые loongson... Пошукайте в архивах misc@openbsd.org, там подобные вопросы регулярно задают, и ответы дают охотно.

Lemote тяжело найти даже на китайских барахолках.

anonymous
()
Ответ на: комментарий от anonymous

А Столман свой кому-то уже отдал? :) В музей имени себя поди сдал.

anonymous
()
Ответ на: комментарий от anonymous

Я больше скажу, вот пример подхода к борьбе с изначально заложенными в железо «недокументированными возможностями»: https://www.itweek.ru/security/article/detail.php?ID=187789

Если я правильно понял, то с закладками типа:

https://www.eecs.umich.edu/cse/awards/pdfs/A2_SP_2016.pdf

т.е. теми, которых изначально не было в спецификации разработчика (закладки, добавленные тайно на заводе по инициативе диверсантов на заводе либо даже самих заводчан) можно бороться с помощью техпроцесса типа Libre Silicon, который позволяет раскурочить часть экземпляров, выбранных случайным образом и сделать вывод о наличии в них новых закладок, а на основании этого сделать предположение об остальных целых чипах из этой партии.

anonymous
()
Ответ на: комментарий от anonymous

А почему нет сабжа для N900?

В N900 мало закладок?

Как закладки N900 реагируют на новое ядро типа 4.19 и неожиданно новую неизвестную для них файловую систему?

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.