Как всегда по графику вышел OpenBSD 5.6. Наиболее важные изменения:

• Миграция на LibreSSL.
• Наконец-то SCSI Multipathing! Много обновлений в драйверах HBA, особенно QLogic.
• ALTQ был удален, предпочтение отдается новому нативному механизму шейпинга в pf.
• Множество вкусных изменений в relayd(8), включая новый механизм фильтрации и значительное увеличение производительности.
• Добавлен reallocarray(3) и endian.h, удален gets(3).
• Поддержка read only монтирования ext4.
• Механизм гибернации существенно улучшен — выход из сна в разы быстрее (сравнимо со свежим Линуксом теперь), плюс появилась поддержка гибернации на разделы зашифрованные softraid(4).
• Механизм mplock переработан из ticket lock в обычный busy wait спинлок на основных платформах что существенно улучшило производительность всех механизмов блокировок на мультипроцессорных машинах. Существенно. В lock-intensive тестах я вижу выигрыш в 18 раз.
• Apache httpd удален из базовой системы
• OpenSSH 6.7 — масса багфиксов.

... а также множество прочих изменений и улучшений, в драйверах и всех прочих подсистемах.

Традиционная песенка (полёт валькирий Вагнера без текста в этот раз).

>>> Подробности

Сегодня вышла первая портативная версия LibreSSL, основанная на библиотеке libressl проекта OpenBSD.

Напомним, что несколько месяцев назад, в проекте OpenBSD было принято решение отказаться от дальнейшего сотрудничества с проектом OpenSSL, и начать активный разбор и зачистку кода всей библиотеки OpenSSL своим ходом.

Релиз libressl-2.0.0.tar.gz является предварительным, сборка и работоспособность была протестирована только на Linux, Solaris, Mac OS X и FreeBSD. Подразумевается, что библиотеку можно использовать вместо оригинальной OpenSSL в большинстве случаев («drop-in replacement of OpenSSL»). Совместимость с OpenSSL необходима для коллекции портов OpenBSD, где libressl обеспечивает полную поддержку требуемого функционала SSL для всех приложений рассчитанных на работу с обычной библиотекой OpenSSL.

>>> Подробности на slashdot

Сегодня состоялся релиз ОС OpenBSD 5.5.
OpenBSD — свободная многоплатформенная операционная система, основанная на 4.4BSD — BSD-реализации UNIX-системы. Основным отличием OpenBSD от других свободных операционных систем, базирующихся на 4.4BSD (таких, как NetBSD, FreeBSD), является изначальная ориентированность проекта на создание наиболее безопасной, свободной и лицензионно чистой из существующих операционных систем. [1]

Из некоторых нововведений можно отметить:

• time_t теперь 64-х битный на всех платформах. Таким образом, OpenBSD 5.5 и выше сможет нормально работать и после Tue Jan 19 03:14:07 2038 UTC. Был проведен тщательный и всесторонний аудит всего дерева исходников для поддержки 64-х битного time_t
• GNOME 3.10.2
• KDE 3.5.10 и 4.11.5
• Xfce 4.10
• MySQL 5.1.73
• PostgreSQL 9.3.2
• Postfix 2.11.0
• OpenLDAP 2.3.43 и 2.4.38
• Mozilla Firefox 24.3 и 26.0
• LibreOffice 4.1.4.2
• PHP 5.3.28 и 5.4.24
• Python 2.7.6 и 3.3.2
• Chromium 32.0.1700.102
• GCC 4.6.4 и 4.8.2
• и т.д.

Как обычно, новая песня к релизу: http://www.openbsd.org/lyrics.html#55

Информация взята отсюда

Образы

>>> Подробности

Разработчики OpenSSH уже давно планировали отказаться от libssl зависимости в ssh, ещё до недавнего обвала OpenSSL.

Благодаря алгоритмам тов. D.J. Bernstein, которые теперь являются частью OpenSSH 6.5 и 6.6, теперь это будет более возможно в предстоящем OpenSSH 6.7.

На днях, в Makefile.inc проекта OpenSSH была добавлена опция OPENSSL (для `make OPENSSL=no`), которая теперь позволит собирать OpenSSH исключительно с поддержкой SSH-2 и минимальным набором из встроенных шифров — AES-CTR и chacha20+poly1305 для шифрования данных, ECDH/curve25519 для обмена ключами и Ed25519 для самих ключей. Изменения скорее всего будут доступны в следующем релизе (т.е. в OpenSSH 6.7).

>>> Подробности на slashdot

Ранее, разработчики OpenBSD уже решили окончательно и бесповоротно переписать всю библиотеку OpenSSL, удалив поддержку несуществующих архитектур, неиспользуемых алгоритмов шифрования (GOST) и временно отключив поддержку для платформ, не представляющих интерес для проекта (Mac OS, NetWare, OS/2, VMS).

Теперь же, из кодовой базы удалены компоненты системы аутентификации Kerberos V. Причины те же: низкое качество сложного, запутанного кода и ненужность подавляющему большинству пользователей. Паре пользователей, которым до сих пор нужна поддержка Kerberos V, предлагается создать и поддерживать порт своими силами.

Вдобавок, проект OpenBSD совместно с разработчиками FreeBSD исправил давнюю уязвимость в OpenSSL о которой было известно на протяжении нескольких лет, возникающую из-за cостояния гонки и заключающуюся в освобождении буфера памяти до окончания его использования.

>>> Подробности

В свете недавней очень серьёзной уязвимости Heartbleed протокола Heartbeat в сторонней библиотеке OpenSSL, разработчики OpenBSD решили окончательно и бесповоротно переписать всю библиотеку SSL, удалив груду разных кодов совместимости и поддержки несуществующих архитектур (например, big-endian i386/amd64), сохранив лишь API-совместимость с upstream OpenSSL.

Данное начинание некоторые временно называли OpenOpenSSL (т.к. оригинальный OpenSSL разрабатывается вне OpenBSD), но OpenBSD Foundation теперь объявило официальное название — «LibreSSL (the OpenBSD fork of OpenSSL)». Название также можно воспринимать как «lib-re-ssl» — переработка библиотеки ssl.

Что именно принудило проект OpenBSD отказаться от какого-либо сотрудничества с OpenSSL в будущем? Разработчик tedu@openbsd решил описать историю нового libressl на свежую память:

• Протокол Heartbeat никто до сих пор не использует, однако он был всегда включён с момента поддержки в OpenSSL пару лет назад, и его нельзя было выключить без перекомпиляции с OPENSSL_NO_HEARTBEATS. (Поддержка теперь была полностью удалена из OpenBSD libressl.)
• Предполагалось, что для избежания Heartbleed на OpenBSD достаточно будет установить опцию J в malloc.conf. Однако разработчики OpenSSL специально позаботились и сделали это невозможным, и поэтому даже на OpenBSD необходимо пересобирать всю библиотеку для устранения серьёзной уязвимости Heartbleed (в 5.3, 5.4 и 5.5, OpenSSL 1.0.0f в 5.2 и ранее не уязвим).
• В процессе тестирования опции J с OpenSSL была обнаружена старинная ошибка в OpenSSL, о которой уже несколько лет было известно разработчикам OpenSSL, и даже имелось очень простое исправление. Однако разработчики OpenSSL до сих пор не приняли это к сведению. Командам OpenBSD, FreeBSD и Debian пришлось исправлять ошибку без какой-либо помощи от OpenSSL. Пару недель спустя, в upstream CVE-2010-5298 до сих пор исправить не удосужились.

Так как сотрудничество с таким upstream нереально и в дальнейшем не предполагается, было принято решение улучшить читаемость всего кода в соответствии с style(9) — KNF, а также удалить весь неиспользуемый код для упрощения аудита. В будущем планируется выпуск портативной версии, после периода стабилизации.

>>> http://BXR.SU/OpenBSD/lib/libssl/src/ssl/

В первой половине марта 2014 г. в проекте OpenBSD произошёл ряд важных изменений, большая часть которых войдёт в ожидаемый релиз 5.5.

Так, web-сервер Apache (версии 1.3 с дополнительными патчами) удален из базовой системы. Разработчики предлагают использовать вместо него nginx(8), однако отмечают, что последний не является прямой заменой apache. Пакет с Apache доступен в дереве портов OpenBSD.

Похожая судьба ожидает и sendmail, поскольку по умолчанию в системе теперь используется OpenSMTPd.

И, наконец, в базовую систему OpenBSD добавлена начальная поддержка USB 3.0. Отмечается работоспособность драйверов клавиатуры (ukbd), мыши (ums) и накопителей (umass), при этом для mass storage-устройств указано, что их скорость работы «удовлетворительна».

Вместе с тем, поддержка USB 3.0 требует дальнейшей доработки, в частности, обработки ошибок передачи, поддержки изохронно подключаемых устройств. Код, обеспечивающий первоначальную настройку устройств подлежит переработке с учётом необходимости внесения изменения в стек USB.

>>> Подробности

В 2014 году организация OpenBSD Foundation впервые стала участником спонсорской программы Google Summer of Code.

И вот их список идей для участия Google Summer of Code 2014:

• Портирование проекта Capsicum для OpenBSD.
• Внедрение централизованного dhclient демона.
• Реализация клиента dhcp6.
• Реализация сервера dhcp6.
• Реализация поддержки GPT.
• Портирование проекта Valgrind для OpenBSD.
• Портирование средства отладки llvm/clang для OpenBSD.
• Реализация средства маршрутизации FIB для OpenBGPd.
• Портирование свободного драйвера «nouveau» для OpenBSD.
• Создание совместимого слоя между компонентом ядра evdev и драйвером wscons.
• Начальная интеграция файловой системы Hammer2 в OpenBSD.
• Реализация загрузчика для систем на платформе ARM.
• Внедрение аппаратной плавающей точки для OpenBSD/armv7.
• Поддержка асинхронной передачи данных USB.
• Добавление стека sdmmc в sys/lib/libsa.
• Исправление для Webkit2 API на *BSD.
• Правильная интеграция WebRTC в Mozilla.
• Замена существующих четырех реализаций PPP на усиленную pipex.
• Поддержка реакции на акселерометр в ноутбуке.
• Лучшая интеграция псевдо-драйверов в сетевой стек.
• Модернизация dhcpd демона по стандартам OpenBSD.
• Разработка демона конфигурации сети.
• Добавление Java 8 для OpenBSD.

>>> Более подробный список

В OpenBSD-current добавлены изменения, позволяющие запустить X-сервер без необходимости выполнения кода с правами root для конфигураций с видеокартами Intel и AMD, для которых доступны KMS-модули для переключения видеорежимов на уровне ядра. Если у пользователя нет полномочий открытия /dev/pciN в режиме чтения и записи, файл с устройством теперь открывается в режиме только для чтения без вывода ошибки, что позволяет запускать X-сервер при установке опции machdep.allowaperture=0 за счет использования драйверов inteldrm и radeondrm для организации доступа к памяти ядра и взаимодействия с видеокартой.

>>> Подробности

Вышел OpenSSH 6.5, впервые содержащий множество кода  D. J. Bernstein'а: от нового способа обмена ключами на основе Curve25519 (и нового формата ключей), до нового транспортного протокола потокового шифра ChaCha20-Poly1305.

Даже портированная версия не обошлась без добавочного кода Бернштейна — опять используется примитив ChaCha20, теперь для генератора псевдослучайных чисел правильной реализации arc4random() для всех поддерживаемых платформ.

Следует заметить, что новый метод обмена ключами теперь будет использоваться по умолчанию (опция KexAlgorithms в ssh_config(5) и sshd_config(5)). Использование нового поточного шифра — по выбору и необходимости (опция Ciphers).

>>> Подробности на openssh-unix-announce@

«Мы идём в сторону подписанных пакетов», — заявил Theo de Raadt в списке рассылок misc@openbsd. Чуть позже, в tech@ последовали инструкции о проверке подлинности релизов через signify(1), и призыв к тестированию нововведений.

Данные заявления следуют недавнему внедрению новой утилиты signify, которая была написана из-за слишком большого размера пакета gnupg, так как в OpenBSD до сих пор поддерживается установка системы с одной дискеты.

В качестве системы подписей используется криптосистема с открытым ключом Ed25519, разработанная небезызвестным тов. D. J. Bernstein, и его код был опять добавлен в OpenBSD, всего через пару недель после того, как некоторые другие из его изобретений были интегрированы в близлежащий OpenSSH.

>>> Подробности на slashdot

Тео де Раадт обратился к сообществу с просьбой о финансовой помощи: требуются средства для оплаты электричества, потребляемого используемыми в разработке OpenBSD компьютерами.

OpenBSD является сфокусированной на безопасности и переносимости операционной системой, а также примечательна своими дочерними проектами: широко используемым в открытых операционных системах инструментарием OpenSSH, межсетевым экраном Packet Filter, демоном синхронизации времени OpenNTPD, и другими.

Фотография главного потребителя электроэнергии

>>> Подробности

Разработчик OpenBSD/OpenSSH, тов. Damien Miller (djm), добавил в ssh новый протокол на основе алгоритмов шифрования потоков ChaCha20 и аутентификации сообщений Poly1305-AES, разработанных небезызвестным тов. D. J. Bernstein.

Зачем нужен новый шифр и код аутентичности сообщений? Данные алгоритмы были разработаны специально для обеспечение наивысшей безопасности при наименьших вычислительных затратах и без необходимости специальной реализации в железе для работы в постоянное время, а вдохновение на их поддержку в ssh идёт из их недавнего внедрения в протокол TLS со стороны Google.

Подробности протокола доступны в PROTOCOL.chacha20poly1305 в OpenSSH, а сам код шифра на основе примитив ChaCha и Poly1305 — в cipher-chachapoly.c. Сигнатурой протокола является строка chacha20-poly1305@openssh.com.

>>> Подробности на undeadly

Как всегда по расписанию, 1 ноября 2013 года вышло очередное обновление OpenBSD версии 5.4.

Среди значимых улучшений:

• добавлены архитектуры octeon (MIPS, поддерживаются машины Portwell CAM-0100 и Ubiquiti Networks EdgeRouter LITE) и beagle (ARM Cortex-A8/Cortex-A9, поддерживаются BeagleBoard C4 / xM, BeagleBone, BeagleBone Black, PandaBoard и PandaBoard ES);
• VAX переведен на формат файлов ELF;
• переработан драйвер inteldrm(4), включая поддержку KMS, полную поддержку архитектуры Sandy Bridge (и новее), а также framebuffer в консоли;
• добавлен драйвер vmx(4) для поддержки карт VmWare VMXNET3;
• улучшения в сетевом стеке, включая переработку расчётов контрольных сумм сетевых протоколов, а также перерасчёт контрольной суммы при инъекции пакета через интерфейс divert(4);
• обновления сетевых утилит, включая ldpd(8) (демон MPLS), dhcpd(8) и dhclient(8);
• inetd(8) больше не запускается по умолчанию;
• включены OpenSMTPD 5.3.3, OpenSSH 6.3;
• добавлена утилита locale(1);
• реализована экспериментальная поддержка fuse(4) (последней из триады BSD-систем);
• новая песня "Our favorite hacks" (mp3, ogg).

В релизе доступно более 7800 портов, для i386 собрано 7976 пакетов, для amd64 — 7941.

В частности, имеются в наличии:

• GNOME 3.8.3;
• KDE 3.5.10;
• Xfce 4.10;
• LibreOffice 4.0.4.2;
• Chromium 28.0.1500.45.

Система доступна на официальном ftp и многочисленных зеркалах по всему миру.

>>> Подробности

Тихо и незаметно, в свет вышел сайт для быстрого запроса системных страниц помощи всех популярных BSD систем по короткому веб-адресу.

Например, для просмотра или ссылки на man(1) FreeBSD, теперь можно использовать адрес http://mdoc.su/f/man.1 (указание раздела — необязательно). Имеется поддержка версий ОС, например, /f91/ или /FreeBSD-9.1/. Сайт поддерживает man'ы FreeBSD, OpenBSD, NetBSD и DragonFly BSD; есть возможность ссылаться сразу на руководства нескольких систем одновременно (http://mdoc.su/f,d/ifnet.9) — в таком случае, будет выдана страница со статусом 300 Multiple Choices; и можно даже указывать необходимые версии систем (http://mdoc.su/f91,n60,o52,d/mdoc).

Весь сайт написан исключительно на языке nginx.conf стандартной конфигурации (без каких-либо внешних файлов), и исходники доступны по лицензии BSD на самом сайте и на ГитХабе.

>>> mdoc.su — короткие веб-адреса системных руководств БСД

Несколько лет назад появился первый сайт о пакетах OpenBSD — ports.openbsd.nu, ныне известный как OpenPorts.se. У OpenPorts.se есть одна проблема: поиск очень часто не выдаёт никаких результатов (т.к. по-умолчанию идёт исключительно по названию пакетов, не включая описания), а поиск через все поисковые системы заблокирован через robots.txt.

Представляем вашему вниманию ports.su. Проект является статическим сайтом на базе ports-readmes, и, в отличии от OpenPorts.se, обладает полнотекстовым поиском через Google (проиндексированы почти все 8 тыс страниц). Так как используются оригинальные интерпретаторы и официальная база данных OpenBSD ports тов. Marc Espie — sqlports — то у ports.su отсутствуют ошибки интерпретации, и каждый пакет может быть представлен сразу в нескольких категориях, и дополнительно имеет список всех зависимостей от других пакетов. Исходные скрипты сайта доступны на GitHub.

Подробности на undeadly.org

>>> http://ports.su/

Точно по расписанию, 01.05.2013 г. вышла очередная версия OpenBSD под номером 5.3.

Среди ключевых изменений следует отметить:

• доработки драйверов, в том числе для работы в виртуальных средах (добавлена подсистема virtio(4) для поддержки паравиртуализированных устройств в bhyve, KVM, QEMU и VirtualBox, а также модифицирован драйвер mpi(4) для поддержки эмулируемых SAS-адаптеров VMWare);
• для архитектур i386 и amd64 добавлена поддержка процессорных инструкций SMEP (Supervisor Mode Execution Protection) и SMAP (Supervisor Mode Access Prevention), доступных на новых процессорах Intel и препятствующих доступу к данным в пользовательском кольце из режима ядра;
• улучшения сетевого стека, включая существенные доработки dhclient(8);
• проведён переход на использование PIE (Position-independent executables) по умолчанию для платформ alpha, amd64, hppa, landisk, loongson, sgi и sparc64;
• новый серверный демон npppd(8), работающий по протоколам L2TP, L2TP/IPsec, PPTP и PPPoE (для клиента L2TP в портах наконец-то появился xl2tpd);
• поддержка загрузки с зеркалируемых (RAID1) и шифрованных томов в подсистеме softraid(4) для архитектур i386 и amd64;
• OpenSMTPD 5.3 и OpenSSH 6.2.

Система предлагает более 7800 портов, для архитектуры i386 доступно 7670 пакетов, для amd64 7632. Из них можно отметить GNOME 3.6.2, KDE 3.5.10, Xfce 4.10, Chromium 24.0.1312.68.

Как всегда, к релизу подготовлена песенка «Blade Swimmer», слова к которой на сей раз написал сам Тео.

Скачать образы можно на официальном ftp-сервере, в скором времени система будет доступна и на официальных зеркалах.

>>> Подробности

Сегодня Константин Александрович Муренин (cnst++@FreeBSD) анонсировал запуск нового проекта, BXR.SU — BSD Cross Reference, составляющего из себя модифицированный и улучшенный сервис OpenGrok, переписанный на основе nginx.

Проект запущен в режиме открыто-закрытого тестирования, и в данный момент доступ доступен только по приглашениям; все пользователи, имеющие IPv6, настоящим сообщением приглашаются к тестированию.

В день IPv4, 2013-04-04, у домена будет опубликован адрес IPv4 на один день, в качестве эксперимента. На постоянной основе запись типа A будет опубликована 2013-04-14, а IPv4 glue-records будут опубликованы 2013-04-24. Автор очень волнуется, что у некоторых ISP неправильно настроен IPv4 и NAT, и некоторому проценту посетителей доступ будет проблематичен при преждевременной поддержке IPv4.

Проект отличается от предыдущих установок OpenGrok тем, что поиск работает в 200 раз быстрее (например, чем code.metager.de), а адреса индивидуальных файлов и поисковых запросов являются намного более короткими, понятными и лаконичными.

>>> bxr.su (IPv6)

Со вчерашнего дня ядро OpenBSD поддерживает KMS (kernel modesetting) для графических карт Intel.

Commit в Xenocara

>>> Commit в ядро

Представлен стабильный релиз проекта NSH 1.0. Целью проекта является создание сетевых устройств на базе OpenBSD и предоставления унифицированного интерфейса для конфигурирования и управления ими.

Демоны и сервисы, инкапсулированные в nsh: pf, ospfd, ospf6d, bgpd, ripd, ldpd, relayd, ipsecctl, iked, rtadvd, dvmrpd, sasyncd, dhcpd, snmpd, sshd, ntpd, ifstated, tftp-proxy, ftp-proxy, tftpd, npppd, resolv.conf, inetd, smtpd, ldapd, ifstated.

В качестве примеров поставляются готовые конфигурации BGP и OSPF маршрутизатора, корпоративного шлюза (NAT, DHCP, SNMP) и т. д.

>>> Подробности