LINUX.ORG.RU

71
Всего сообщений: 427

Фонд OpenBSD назвал первого платинового спонсора 2015 года

Группа BSD

Организация The Core Infrastructure Initiative (CII), курируемая Linux Foundation, стала первым платиновым спонсором в 2015 году, оказавшим финансовую поддержку проекту OpenBSD. Платиновыми спонсорами становятся организации или физические лица, оказавшие финансовую поддержку в размере 50-100 тысяч долларов США. Фонд OpenBSD планирует собрать в 2015 году 200 тысяч долларов (уже собранно 195). В 2014 году было собранно 327 тысяч долларов.

The Core Infrastructure Initiative уже второй год является самым крупным спонсором проекта OpenBSD. Среди прочих можно отметить такие организации как Google, Facebook и Microsoft. Большое количество денежных пожертвований исходит от физических лиц.

>>> Подробности

 

vehn ()

Новый системный вызов в OpenBSD — tame(2)

Группа BSD

nicm@ и deraadt@ представили новый системный вызов, позволяющий максимально просто добавить в приложение возможность отказаться от излишних привилегий. Новый механизм призван дополнить недавно портированный и более сложный в использовании capsicum(4), а также ранее существовавший systrace(4).

Самое интересное то, что новый системный вызов позволяет четко отделить фазу инициализации процесса от его основной части, и наложить более строгие ограничения на последнюю. Ведь известно, что во время инициализации используется гораздо больше привилегий. Доступные флаги ограничений выбраны как разумный компромисс между гранулярностью и простотой использования на основе тщательного аудита устройства программного обеспечения из base system а также портов, наборы оптимизированы под наиболее популярные паттерны. Более сложным приложениям стоит посмотреть в сторону вышеупомянутого capsicum.

К объявлению также прилагаются патчи для 29-ти компонентов базовой системы, которые демонстрируют использование tame(2). Вот, например, diff для нового системного вызова для одного из демонов bgpd (он разделен на части по модели privsep, которые общаются между собой с использованием фреймворка imsg):

+#include <sys/tame.h>
…
+	tame(TAME_MALLOC | TAME_UNIX | TAME_CMSG);

Такой подход позволяет разработчикам максимально просто и быстро ограничить потенциальный вред от уязвимостей в своем софте, соответственно, есть шансы что он будет использоваться более часто и широко, чем гораздо более сложные для программиста capsicum и правильный privsep, или в определенном смысле менее гибкие и непростые в администрировании selinux/systrace и co.

>>> Подробности

 ,

val-amart ()

В OpenBSD появилась легковесная замена утилите sudo

Группа BSD

В OpenBSD-current (будущий выпуск 5.8) появилась новая команда — doas(1), позволяющая выполнять команды от имени другого пользователя (в том числе и root). Она используется вместо сторонней утилиты Sudo, которая была удалена из базовой системы, но доступна в портах (таким образом, стало легче ее обновлять и с дополнительными опциями вроде поддержки LDAP собирать). Пример конфигурационного файла doas.conf(5):

permit keepenv user

>>> Подробности

 , , ,

cetjs2 ()

Тео де Раадт подверг критике предложение убрать из OpenBSD поддержку бинарных прошивок

Группа BSD

Тео де Раадт, создатель OpenBSD, выступил с резкой критикой против чистки OpenBSD от бинарных прошивок, предложенной одним из участников рассылки.

По мнению Тео, несвободные бинарные прошивки, поставляемые отдельно от аппаратного обеспечения, ничем не отличаются от случаев, когда эти прошивки находятся в постоянной памяти самих устройств. Более того, подобная практика отчасти полезна, поскольку упрощает обновление прошивок.

Опасения, что эти прошивки могут содержать бэкдоры, не имеет смысла, поскольку если производителю нужно встроить бэкдор, то он встроит его в прошивку, хранящуюся непосредственно в устройстве. Если пользователь желает использовать свободное аппаратное обеспечение, то он должен озаботиться этим на этапе покупки «железа», а если он сознательно выбрал оборудование, требующее загрузки прошивок, то рассчитывает иметь возможность получить эту возможность от операционной системы.

В ответ на предложение заняться реверсингом несвободных прошивок и написанием на их основе свободного кода, Тео охарактеризовал автора нелестным образом («you are quite a persistant idiot») и напомнил, что количество несвободных прошивок приближается к 250 тысячам. Что, очевидно, делает задачу практически невыполнимой.

«Современное железо такое, какое есть. Заявления, что OpenBSD не должна работать на подобном оборудовании, это большая ошибка. Вы подобны детям, требующим свобооооооооооды», - заключил Тео («Fact is, modern hardware simply „is what it is“. Telling people that OpenBSD should not run on such hardware is a gigantic illusion. You come off like a child, demanding freeeeeeedom»).

Вопрос об удалении бинарных прошивок был поднят в рассылке после заявления корпорации Intel о том, что графическим ядрам новых процессоров Skylake потребуются для работы подобные прошивки. Лицензия на них явно запрещает дизассемблирование и реверс-инжиниринг этих прошивок, которые будут поставляться лишь в скомпилированном виде без предоставления исходного кода.

>>> Подробности

 

anonymous ()

Релиз OpenBSD 5.7

Группа BSD

1 мая состоялся релиз операционной системы OpenBSD версии 5.7. Размер полного установочного ISO-образа базовой системы составляет 208Мб.

( Основные особенности новой версии )

>>> Подробности

 ,

USF ()

Команда PMS_RESET устраняет проблемы с клавиатурой в OpenBSD

Группа BSD

Theo de Raadt отписался о совместной работе с joshua stein на s2k15 hackathon (проходившим месяц назад этим летом в Австралии) по поводу проблем с клавиатурой ThinkPad X1, которые возникают при инсталляции OpenBSD. Было выявлено, что проблемы возникают из-за особо большого и чувствительного touchpad'а, и возникают только при инсталляции, т. к. драйвер PMS(4) (производящий сброс мыши) отсутствует в конфигурации ядра RAMDISK. Насильственный сброс мышиного порта командой PMS_RESET устраняет проблемы с контроллером pckbc(4) клавиатуры pckbd(4).

Дополнительно было выявлено, что довольно частые проблемы с использованием boot -c на некоторых других системах коренным образом также проявляются по отсутствию сброса мышиного порта. Так как изменения затрагивают очень трогательную часть системы, необходимо тщательное тестирование данной небольшой заплатки по сбросу порта.

>>> Подробности и заплатка для тестирования

 ,

cnst ()

Захват и автообновление всех ключей узла в known_hosts в OpenSSH 6.8

Группа Безопасность

В предстоящем выпуске OpenSSH 6.8 станет доступной новая функция hostkeys@openssh.com, реализующая высылку, захват и обновление всех доступных ключей доверяемого узла в ~/.ssh/known_hosts.

На стороне сервера sshd будет посылать все имеющиеся открытые ключи узла клиенту. В свою очередь, клиент будет осуществлять замену всех имеющихся ключей доверяемого узла на таким образом новые предоставленные. Для отключения автообновления ключей имеется параметр UpdateHostKeys в ssh_config(5).

Функция была разработана дабы сделать переход с DSA из OpenSSL/LibReSSL на интегрированные ключи Ed25519 более дружелюбным, таким образом продолжая путь избавления от необходимости использования криптографии из библиотеки OpenSSL в пользу криптографии тов. D. J. Bernstein в общественном достоянии. Сам DJB от комментариев воздержался.

>>> Подробности на Slashdot

 , , , ,

cnst ()

Представлен полностью свободный вариант OpenBSD — LibertyBSD

Группа BSD

Райли Бэйрд (Riley Baird) выпустил первую версию LibertyBSD — полностью свободный форк OpenBSD, очищенный от несвободного микрокода (firmware), поставляющегося по умолчанию в OpenBSD, и кроме того, в систему не были включены man-руководства, т.к. в них часто рекомендуется несвободное ПО.

На данный момент в дереве портов присутствуют проприетарные компоненты, и автору необходимы деньги для исправления этого. FSF рассматривает заявку на включение LibertyBSD в список (1, 2) полностью свободных операционных систем.

>>> Подробности

 ,

svobodka_fighter ()

Релиз Bitrig 1.0

Группа BSD

Команда разработчиков представила первый релиз свободной операционной системы Bitrig, основанной на OpenBSD. Разработка проекта шла последние два года с момента анонса ОС в июне 2012 года.
Bitrig - форк OpenBSD, старающийся идти в ногу со временем, при этом следующий основным BSD-тенденциям. Из особенностей и отличий от OpenBSD:

Как говорят сами авторы, им нравится OpenBSD, но они хотели бы ее модернизировать («OpenBSD is an amazing project and has some of the best code around but some of us are of the opinion that it could use a bit of modernization»).
К данному релизу уже готовы:

  • Поддержка ARM
  • Порт libc++
  • Поддержка FUSE/puffs

На данный момент в разработке:

  • Поддержка ARM MP
  • KVM (Kernel Virtual Machine)
  • Поддержка UEFI
  • Порт GNU Binutils
  • Порт elftoolchain

Адрес почтовой рассылки Bitrig - tech@lists.bitrig.org

>>> Подробности

 ,

DeadEye ()

Релиз OpenBSD 5.6

Группа BSD

Как всегда по графику вышел OpenBSD 5.6. Наиболее важные изменения:

  • Миграция на LibreSSL.
  • Наконец-то SCSI Multipathing! Много обновлений в драйверах HBA, особенно QLogic.
  • ALTQ был удален, предпочтение отдается новому нативному механизму шейпинга в pf.
  • Множество вкусных изменений в relayd(8), включая новый механизм фильтрации и значительное увеличение производительности.
  • Добавлен reallocarray(3) и endian.h, удален gets(3).
  • Поддержка read only монтирования ext4.
  • Механизм гибернации существенно улучшен — выход из сна в разы быстрее (сравнимо со свежим Линуксом теперь), плюс появилась поддержка гибернации на разделы зашифрованные softraid(4).
  • Механизм mplock переработан из ticket lock в обычный busy wait спинлок на основных платформах что существенно улучшило производительность всех механизмов блокировок на мультипроцессорных машинах. Существенно. В lock-intensive тестах я вижу выигрыш в 18 раз.
  • Apache httpd удален из базовой системы
  • OpenSSH 6.7 — масса багфиксов.

... а также множество прочих изменений и улучшений, в драйверах и всех прочих подсистемах.

Традиционная песенка (полёт валькирий Вагнера без текста в этот раз).

>>> Подробности

 , ,

val-amart ()

Вышла первая портативная версия LibreSSL

Группа Open Source

Сегодня вышла первая портативная версия LibreSSL, основанная на библиотеке libressl проекта OpenBSD.

Напомним, что несколько месяцев назад, в проекте OpenBSD было принято решение отказаться от дальнейшего сотрудничества с проектом OpenSSL, и начать активный разбор и зачистку кода всей библиотеки OpenSSL своим ходом.

Релиз libressl-2.0.0.tar.gz является предварительным, сборка и работоспособность была протестирована только на Linux, Solaris, Mac OS X и FreeBSD. Подразумевается, что библиотеку можно использовать вместо оригинальной OpenSSL в большинстве случаев («drop-in replacement of OpenSSL»). Совместимость с OpenSSL необходима для коллекции портов OpenBSD, где libressl обеспечивает полную поддержку требуемого функционала SSL для всех приложений рассчитанных на работу с обычной библиотекой OpenSSL.

>>> Подробности на slashdot

 , , , ,

cnst ()

Релиз OpenBSD 5.5

Группа BSD

Сегодня состоялся релиз ОС OpenBSD 5.5.
OpenBSD — свободная многоплатформенная операционная система, основанная на 4.4BSD — BSD-реализации UNIX-системы. Основным отличием OpenBSD от других свободных операционных систем, базирующихся на 4.4BSD (таких, как NetBSD, FreeBSD), является изначальная ориентированность проекта на создание наиболее безопасной, свободной и лицензионно чистой из существующих операционных систем. [1]

Из некоторых нововведений можно отметить:

  • time_t теперь 64-х битный на всех платформах. Таким образом, OpenBSD 5.5 и выше сможет нормально работать и после Tue Jan 19 03:14:07 2038 UTC. Был проведен тщательный и всесторонний аудит всего дерева исходников для поддержки 64-х битного time_t
  • GNOME 3.10.2
  • KDE 3.5.10 и 4.11.5
  • Xfce 4.10
  • MySQL 5.1.73
  • PostgreSQL 9.3.2
  • Postfix 2.11.0
  • OpenLDAP 2.3.43 и 2.4.38
  • Mozilla Firefox 24.3 и 26.0
  • LibreOffice 4.1.4.2
  • PHP 5.3.28 и 5.4.24
  • Python 2.7.6 и 3.3.2
  • Chromium 32.0.1700.102
  • GCC 4.6.4 и 4.8.2
  • и т.д.

Как обычно, новая песня к релизу: http://www.openbsd.org/lyrics.html#55

Информация взята отсюда

Образы

>>> Подробности

 , ,

qzxcvbnm ()

OpenSSH теперь можно собрать без OpenSSL

Группа Безопасность

Разработчики OpenSSH уже давно планировали отказаться от libssl зависимости в ssh, ещё до недавнего обвала OpenSSL.

Благодаря алгоритмам тов. D.J. Bernstein, которые теперь являются частью OpenSSH 6.5 и 6.6, теперь это будет более возможно в предстоящем OpenSSH 6.7.

На днях, в Makefile.inc проекта OpenSSH была добавлена опция OPENSSL (для `make OPENSSL=no`), которая теперь позволит собирать OpenSSH исключительно с поддержкой SSH-2 и минимальным набором из встроенных шифров — AES-CTR и chacha20+poly1305 для шифрования данных, ECDH/curve25519 для обмена ключами и Ed25519 для самих ключей. Изменения скорее всего будут доступны в следующем релизе (т.е. в OpenSSH 6.7).

>>> Подробности на slashdot

 , , , ,

cnst ()

Проект OpenBSD снова избавился от ненужного кода

Группа Безопасность

Ранее, разработчики OpenBSD уже решили окончательно и бесповоротно переписать всю библиотеку OpenSSL, удалив поддержку несуществующих архитектур, неиспользуемых алгоритмов шифрования (GOST) и временно отключив поддержку для платформ, не представляющих интерес для проекта (Mac OS, NetWare, OS/2, VMS).

Теперь же, из кодовой базы удалены компоненты системы аутентификации Kerberos V. Причины те же: низкое качество сложного, запутанного кода и ненужность подавляющему большинству пользователей. Паре пользователей, которым до сих пор нужна поддержка Kerberos V, предлагается создать и поддерживать порт своими силами.

Вдобавок, проект OpenBSD совместно с разработчиками FreeBSD исправил давнюю уязвимость в OpenSSL о которой было известно на протяжении нескольких лет, возникающую из-за cостояния гонки и заключающуюся в освобождении буфера памяти до окончания его использования.

>>> Подробности

 , ,

anonymous ()

OpenBSD производит массовый аудит и переработку OpenSSL — libreSSL

Группа BSD

В свете недавней очень серьёзной уязвимости Heartbleed протокола Heartbeat в сторонней библиотеке OpenSSL, разработчики OpenBSD решили окончательно и бесповоротно переписать всю библиотеку SSL, удалив груду разных кодов совместимости и поддержки несуществующих архитектур (например, big-endian i386/amd64), сохранив лишь API-совместимость с upstream OpenSSL.

Данное начинание некоторые временно называли OpenOpenSSL (т.к. оригинальный OpenSSL разрабатывается вне OpenBSD), но OpenBSD Foundation теперь объявило официальное название — «LibreSSL (the OpenBSD fork of OpenSSL)». Название также можно воспринимать как «lib-re-ssl» — переработка библиотеки ssl.

Что именно принудило проект OpenBSD отказаться от какого-либо сотрудничества с OpenSSL в будущем? Разработчик tedu@openbsd решил описать историю нового libressl на свежую память:

  • Протокол Heartbeat никто до сих пор не использует, однако он был всегда включён с момента поддержки в OpenSSL пару лет назад, и его нельзя было выключить без перекомпиляции с OPENSSL_NO_HEARTBEATS. (Поддержка теперь была полностью удалена из OpenBSD libressl.)
  • Предполагалось, что для избежания Heartbleed на OpenBSD достаточно будет установить опцию J в malloc.conf. Однако разработчики OpenSSL специально позаботились и сделали это невозможным, и поэтому даже на OpenBSD необходимо пересобирать всю библиотеку для устранения серьёзной уязвимости Heartbleed (в 5.3, 5.4 и 5.5, OpenSSL 1.0.0f в 5.2 и ранее не уязвим).
  • В процессе тестирования опции J с OpenSSL была обнаружена старинная ошибка в OpenSSL, о которой уже несколько лет было известно разработчикам OpenSSL, и даже имелось очень простое исправление. Однако разработчики OpenSSL до сих пор не приняли это к сведению. Командам OpenBSD, FreeBSD и Debian пришлось исправлять ошибку без какой-либо помощи от OpenSSL. Пару недель спустя, в upstream CVE-2010-5298 до сих пор исправить не удосужились.

Так как сотрудничество с таким upstream нереально и в дальнейшем не предполагается, было принято решение улучшить читаемость всего кода в соответствии с style(9) — KNF, а также удалить весь неиспользуемый код для упрощения аудита. В будущем планируется выпуск портативной версии, после периода стабилизации.

>>> http://BXR.SU/OpenBSD/lib/libssl/src/ssl/

 , , , ,

cnst ()

Важные изменения в кодовой базе OpenBSD

Группа BSD

В первой половине марта 2014 г. в проекте OpenBSD произошёл ряд важных изменений, большая часть которых войдёт в ожидаемый релиз 5.5.

Так, web-сервер Apache (версии 1.3 с дополнительными патчами) удален из базовой системы. Разработчики предлагают использовать вместо него nginx(8), однако отмечают, что последний не является прямой заменой apache. Пакет с Apache доступен в дереве портов OpenBSD.

Похожая судьба ожидает и sendmail, поскольку по умолчанию в системе теперь используется OpenSMTPd.

И, наконец, в базовую систему OpenBSD добавлена начальная поддержка USB 3.0. Отмечается работоспособность драйверов клавиатуры (ukbd), мыши (ums) и накопителей (umass), при этом для mass storage-устройств указано, что их скорость работы «удовлетворительна».

Вместе с тем, поддержка USB 3.0 требует дальнейшей доработки, в частности, обработки ошибок передачи, поддержки изохронно подключаемых устройств. Код, обеспечивающий первоначальную настройку устройств подлежит переработке с учётом необходимости внесения изменения в стек USB.

>>> Подробности

 , , ,

Lothlorien ()

Список идей фонда OpenBSD для Google Summer of Code 2014

Группа BSD

В 2014 году организация OpenBSD Foundation впервые стала участником спонсорской программы Google Summer of Code.

И вот их список идей для участия Google Summer of Code 2014:

  • Портирование проекта Capsicum для OpenBSD.
  • Внедрение централизованного dhclient демона.
  • Реализация клиента dhcp6.
  • Реализация сервера dhcp6.
  • Реализация поддержки GPT.
  • Портирование проекта Valgrind для OpenBSD.
  • Портирование средства отладки llvm/clang для OpenBSD.
  • Реализация средства маршрутизации FIB для OpenBGPd.
  • Портирование свободного драйвера «nouveau» для OpenBSD.
  • Создание совместимого слоя между компонентом ядра evdev и драйвером wscons.
  • Начальная интеграция файловой системы Hammer2 в OpenBSD.
  • Реализация загрузчика для систем на платформе ARM.
  • Внедрение аппаратной плавающей точки для OpenBSD/armv7.
  • Поддержка асинхронной передачи данных USB.
  • Добавление стека sdmmc в sys/lib/libsa.
  • Исправление для Webkit2 API на *BSD.
  • Правильная интеграция WebRTC в Mozilla.
  • Замена существующих четырех реализаций PPP на усиленную pipex.
  • Поддержка реакции на акселерометр в ноутбуке.
  • Лучшая интеграция псевдо-драйверов в сетевой стек.
  • Модернизация dhcpd демона по стандартам OpenBSD.
  • Разработка демона конфигурации сети.
  • Добавление Java 8 для OpenBSD.

>>> Более подробный список

 

fallout4all ()

В OpenBSD добавлена поддержка запуска X-сервера без root-привилегий

Группа BSD

В OpenBSD-current добавлены изменения, позволяющие запустить X-сервер без необходимости выполнения кода с правами root для конфигураций с видеокартами Intel и AMD, для которых доступны KMS-модули для переключения видеорежимов на уровне ядра. Если у пользователя нет полномочий открытия /dev/pciN в режиме чтения и записи, файл с устройством теперь открывается в режиме только для чтения без вывода ошибки, что позволяет запускать X-сервер при установке опции machdep.allowaperture=0 за счет использования драйверов inteldrm и radeondrm для организации доступа к памяти ядра и взаимодействия с видеокартой.

>>> Подробности

 ,

BMX ()

Вышел OpenSSH 6.5 с криптографией DJB

Группа Open Source

Вышел OpenSSH 6.5, впервые содержащий множество кода  D. J. Bernstein'а: от нового способа обмена ключами на основе Curve25519 (и нового формата ключей), до нового транспортного протокола потокового шифра ChaCha20-Poly1305.

Даже портированная версия не обошлась без добавочного кода Бернштейна — опять используется примитив ChaCha20, теперь для генератора псевдослучайных чисел правильной реализации arc4random() для всех поддерживаемых платформ.

Следует заметить, что новый метод обмена ключами теперь будет использоваться по умолчанию (опция KexAlgorithms в ssh_config(5) и sshd_config(5)). Использование нового поточного шифра — по выбору и необходимости (опция Ciphers).

>>> Подробности на openssh-unix-announce@

 , , , ,

cnst ()

OpenBSD идёт в сторону подписанных пакетов и релизов

Группа BSD

«Мы идём в сторону подписанных пакетов», — заявил Theo de Raadt в списке рассылок misc@openbsd. Чуть позже, в tech@ последовали инструкции о проверке подлинности релизов через signify(1), и призыв к тестированию нововведений.

Данные заявления следуют недавнему внедрению новой утилиты signify, которая была написана из-за слишком большого размера пакета gnupg, так как в OpenBSD до сих пор поддерживается установка системы с одной дискеты.

В качестве системы подписей используется криптосистема с открытым ключом Ed25519, разработанная небезызвестным тов. D. J. Bernstein, и его код был опять добавлен в OpenBSD, всего через пару недель после того, как некоторые другие из его изобретений были интегрированы в близлежащий OpenSSH.

>>> Подробности на slashdot

 ,

cnst ()