Состоялся (http://undeadly.org/cgi?action=article&sid=20160901090415) релиз операционной системы OpenBSD 6.0 (http://www.openbsd.org/60.html). Проект OpenBSD был основан Тэо де Раадтом (Theo de Raadt) в 1995 году, после конфликта (http://zeus.theos.com/deraadt/coremail.html) с разработчиками NetBSD, в результате которого для Тэо был закрыт доступ к CVS репозиторию NetBSD. После этого Тэо де Раадт с группой единомышленников создал на базе дерева исходных текстов NetBSD новую открытую операционную систему, главными целями развития которой стали переносимость (поддерживается (http://www.openbsd.org/plat.html) 20 аппаратных платформ), стандартизация, корректная работа, активная безопасность и интегрированные криптографические средства. Размер полного установочного ISO-образа (http://ftp.eu.openbsd.org/pub/OpenBSD/6.0/i386/install60.iso) базовой системы OpenBSD 6.0 составляет 216 Мб.
Кроме непосредственно операционной системы, проект OpenBSD известен своими компонентами, которые получили распространение в других системах и зарекомендовали себя как одни из наиболее безопасных и качественных решений. Среди них: LibreSSL (http://www.libressl.org/) (форк (https://www.opennet.me/opennews/art.shtml?num=39617) OpenSSL), OpenSSH (http://www.openssh.com/), пакетный фильтр PF (http://www.openbsd.org/faq/pf/index.html), демоны маршрутизации OpenBGPD и OpenOSPFD (http://www.openbgpd.org/), NTP-сервер OpenNTPD (http://www.openntpd.org/), почтовый сервер OpenSMTPD (http://www.opensmtpd.org/), мультиплексор текстового терминала (аналог GNU screen) tmux (http://tmux.sourceforge.net/), демон identd (https://www.opennet.me/opennews/art.shtml?num=36442) с реализацией протокола IDENT, BSDL-альтернатива пакету GNU groff - mandoc (http://mdocml.bsd.lv/), протокол для организации отказоустойчивых систем CARP (Common Address Redundancy Protocol), легковесный http-сервер (https://www.opennet.me/opennews/art.shtml?num=40232).Основные улучшения (http://www.openbsd.org/60.html):
- Включён по умолчанию механизм защиты памяти W^X (Write XOR Execute), при котором страницы памяти процесса не могут быть одновременно доступны на запись и исполнение. Таким образом, код может быть исполнен только после запрещения записи, а запись в страницу памяти возможна только после запрета исполнения. Механизм W^X помогает защитить приложения в пространстве пользователя от типовых атак, осуществляемых через переполнение буфера, в том числе от переполнений стека (записанный за пределы буфера код не может быть исполнен).
Традиционная модель "W|X", допускающая одновременно запись и исполнение, переведена в разряд недопустимых. Для обхода запрета требуется монтирование ФС (ffs/nfs) со специальным флагом "wxallowed", который рекомендуется использовать для монтирования /usr/local, так как некоторые порты пока не адаптированы для нормальной поддержки "W^X". Например, наблюдаются проблемы с JDK, GCC, Mono и Chromium. При установке на новую систему опция "wxallowed" будет применена к /usr/local по умолчанию,но при обновлении необходимо уделить этому внимание, чтобы не потерять работоспособность портов.- Самостоятельный загрузчик для ARMv7. Теперь не нужен u-boot с его отдельным FAT-разделом, грузиться можно прямо с FFS.
- Из-за отсутствия рабочего оборудования прекращено поддержка архитектуры VAX, не поддерживавшей разделяемые библиотеки;
- Удалена прослойка для обеспечения совместимости с Linux, которая была доступна только для систем i386 и содержала ряд концептуальных проблем, которые потенциально могли оказывать негативное влияние на безопасность.
- Удалён механизм ограничения системных вызовов systrace, на смену которому пришла технология Pledge (https://www.opennet.me/opennews/art.shtml?num=43295);- Удалена специфичная для OpenBSD возможность монтирования файловых систем непривилегированным пользователем (sysctl kern.usermount=1), которая позволяла не использовать привилегии root для монтирования в произвольную часть дерева vfs. Вместо данной возможности осуществлён возврат к классическому варианту с setuid root mount и ключевым словом "user" в fstab;
- Добавлены настройки sysctl net.inet.tcp.rootonly и net.inet.udp.rootonly, позволяющие выборочно запретить приём соединений по указанным в списке сетевым портам непривилегированными процессами;
- Продолжена работа по распараллеливанию сетевых операций;
- Обновлены порты, добавлены драйверы нового оборудования
- К выходу релиза приурочено 6 новых песен (http://openbsd.org/lyrics.html).Кроме функциональных новшеств, принято решение об изменении процесса подготовки релизов. Долгие годы процесс разработки OpenBSD обеспечивался продажей компакт-дисков. Установочные образы появились только в версии 4.2, но и после этого основным способом установки были компакт-диски. Продажа дисков финансировала работу Тео де Раадта по созданию операционной системы, но на подготовку дисков уходило много времени и после заморозки релиз приходилось ждать ещё полтора месяца - пока диски изготовят, напечатают, доставят.
Релиз 6.0 стал последним, который распространялся таким способом, в дальнейшем все релизы будут публиковаться через Web, и задержка выпуска будет минимальной.
URL: http://undeadly.org/cgi?action=article&sid=20160901090415
Новость: http://www.opennet.me/opennews/art.shtml?num=45062
> Продажа дисков финансировала работу Тео де Раадта по созданию операционной системы, но на подготовку дисков уходило много времени и после заморозки релиз приходилось ждать ещё полтора месяца - пока диски изготовят, напечатают, доставят. Релиз 6.0 стал последним, который распространялся таким способом, в дальнейшем все релизы будут публиковаться через Web, и задержка выпуска будет минимальной.Ну всё, хана опёнку
>> Продажа дисков финансировала работу Тео де Раадта по созданию операционной системы, но на подготовку дисков уходило много времени и после заморозки релиз приходилось ждать ещё полтора месяца - пока диски изготовят, напечатают, доставят. Релиз 6.0 стал последним, который распространялся таким способом, в дальнейшем все релизы будут публиковаться через Web, и задержка выпуска будет минимальной.
> Ну всё, хана опёнкунет, это хана cd-промышленности, Тео был последним, кто их держал
если они ещё и 1.44 mb инсталлятор уберут - то и floppy-промышленность умрёт
Ничё не хана! Патрег слаку до сих пор печатает на дисках и шлёт по почте.
Когда не пьян.
Он часто пьёт?
когда много в карты проигрывает
Не не, хана "дисковой" промышленности настанет только тогда, когда люди в развитых странах перестанут покупать музыку и фильмы на этих носителях. Спад таких продаж наблюдается уже давно, но до настоящего конца этой индустрии ещё далеко. В любом случае, вас это не касается.
> Не не, хана "дисковой" промышленности настанет только тогда, когда люди в развитых
> странах перестанут покупать музыку и фильмы на этих носителях.Не, ну как минимум до недавних пор дискеты тоже выпускались. Пользуйся себе, флоповоды еще даже купить можно, не говоря о сидюках.
настоящие меломаны музыку на флоппи слушают вот так:
Причём здесь дискеты, мистер линукс-демагог?
Слушайте, хоть одна бздя в мире поддерживает FC HBA Emulex?!
Емулекс и в Лине-то не очень поддерживается. А в режиме Цели вообще нигде (либо я не нашёл).
Поэтому QLogic - наше всё! :-)
> Слушайте, хоть одна бздя в мире поддерживает FC HBA Emulex?!Ну сел бы да 5 минут погуглил и выяснил бы что только FreeBSD и только дровами с Emulex'ового сайта.
>Удалена специфичная для OpenBSD возможность монтирования файловых систем непривилегированным пользователем (sysctl kern.usermount=1"специфичная для OpenBSD" тут явно лишнее ;)
Почему? Это был хак на уровне ядра OpenBSD, нигде больше не применяемый.
> нигде больше не применяемый
sysctl -d vfs.usermount && uname
vfs.usermount: Unprivileged users may mount and unmount file systems
FreeBSD
Это из OpenBSD портировано?
> Это из OpenBSD портировано?Вы уж определитесь, применяется оно только в опененке или нет.
>> Это из OpenBSD портировано?
> Вы уж определитесь, применяется оно только в опененке или нет.применяется. но нызенько-нызенько
Ты что, дальтоник, Скрипач? Зелёный цвет (kern.) от оранжевого (vfs.) отличить не можешь? :)
> Ты что, дальтоник, Скрипач? Зелёный цвет (kern.) от оранжевого (vfs.) отличить не
> можешь? :)Хочешь, переделаю в kern.usermount? =)
Ну и на вид, тот же хак в ядре
/usr/src/sys/kern/vfs_mount.c
static int usermount = 0;
SYSCTL_INT(_vfs, OID_AUTO, usermount, CTLFLAG_RW, &usermount, 0,
"Unprivileged users may mount and unmount file systems");
...
static int
vfs_domount( {
...
if (jailed(td->td_ucred) || usermount == 0) {
if ((error = priv_check(td, PRIV_VFS_MOUNT)) != 0)
return (error);
}sys_unmount(struct thread *td, struct unmount_args *uap)
{
...
if (jailed(td->td_ucred) || usermount == 0) {
error = priv_check(td, PRIV_VFS_UNMOUNT);
if (error)
return (error);
http://cvsweb.openbsd.org/cgi-bin/cvsweb/src/sys/kern/vfs_sy...
int usermount = 0; /* sysctl: by default, users may not mount */
int
sys_mount(struct proc *p, void *v, register_t *retval)
{
...
if (usermount == 0 && (error = suser(p, 0)))
return (error);
Ну, как-то тка — как толком искать в вебинтерфейсе этого доисторического VS, я не дотумкал )
DragonFlyBSD: sysctl vfs.usermount=1
gcc=<5.0
Уносите.
Тео писал что-либо по-поводу intel ME и аналогичного зонда от AMD?
Столько было кипиша с secureboot, а тут - молчок.
> Тео писал что-либо по-поводу intel ME и аналогичного зонда от AMD?
> Столько было кипиша с secureboot, а тут - молчок.По этому поводу было далеко не одно обсуждение, ищите на Marc.info и обрящете.
> Удалена прослойка для обеспечения совместимости с LinuxА тот же некрософт - добавил. С чего бы это?
>> Удалена прослойка для обеспечения совместимости с Linux
> А тот же некрософт - добавил. С чего бы это?Наверное, чтобы такие как вы Последователи Истинной Свободы могли теперь гордо подчеркивать, что пользуетесь Свободной Убунтой при этом не являетесь дуалбутчиком? )
Вы ведь даже не задаетесь вопросом, как ЭТО может аукнуться на развитии пингвина.
Хотя прямо напрашиваются сценарии типа постепенного подсаживаня энтырпрайсного (и не очень) софта на WSL, затем "охладевание" МС к портированию новых фишек из ядра -- что как минимум будет дополнительно тормозить нововведения. Это помимо того, что через некоторое время придется тянуть тонну балласта и костылей с легаси, все в лучших традициях МСы.
А ведь когда-то жители Трои тоже праздновали победу и радовались гламурному деревянному коню )
Остынь, вантузятникам типа тебя это уже не грозит.
> Остынь, вантузятникамМимо. Попробуйте еще раз.
> типа тебя это уже не грозит.WSLщик видимо считает, что его это не затронет? Ладно, продолжайте и далее громко нахваливать WSL и МС и гордиться этой коричневой субстанцией, которая отнюдь не шоколад, в красивой обертке )
> Добавлен Самостоятельный загрузчик EFI для ARMv7.Осталось найти хоть один ARMv7 который умеет EFI.
В каком состоянии поддержка графики для крайних hppa систем?
Кто здесь!?
> Кто здесь!?Не твоё дело.
Ну есть у меня hppa с атишной карточкой.... и я этого почти не стесняюсь.
> Ну есть у меня hppa с атишной карточкой.... и я этого почти не стесняюсь.ну так тебе и карта в руки - возьми и проверь
а вообще, всё написано здесь:
http://www.openbsd.org/hppa.html
Там мягко говоря немного не то, что ожидаешь увидеть на месте HCL.
> Ну есть у меня hppa с атишной карточкой.... и я этого почти
> не стесняюсь.кстати, что за железка и какая ось щас стоит?
>> Ну есть у меня hppa с атишной карточкой.... и я этого почти
>> не стесняюсь.
> кстати, что за железка и какая ось щас стоит?HP C8000. Памяти и дисков полный фарш, видео ATI X3. Стоит Лении, только консоль :( не включал уже года два. Я так понял сколь-нибудь годных иксов на этом не будет уже никогда... а жаль.
С со всякими хэпэуиксами и вмсами тоже как-то не айс всё. Вернее, хпуикса у меня просто нет.
> HP C8000. Памяти и дисков полный фарш, видео ATI X3Дык спроси у своего рюсского собрата по не^Wсчастью:
https://lists.debian.org/debian-hppa/2015/03/msg00005.html
"C8000 (2*2*1100Mhz, 32G)"
Песня хороша!
http://www.openbsd.org/lyrics.html#60d
> Песня хороша!
> http://www.openbsd.org/lyrics.html#60dПосле Дэвида Боуи пойдётъ?
А Боуи тут с какой стороны?
> А Боуи тут с какой стороны?Ну, просто я сейчас слушал Боуи. Вот и спросил, стоит ли слушать после него. А сейчас я уже слушаю Игги Попа. После него как будет? Ваш прогноз?
Там флойдовская тема от Comfortably Numb использована. С Игги не сочетается IMO.
Блин, ты таки заставил меня это послушать. Я думал, там опять овечье блеяние аля столлман какое-то, а там чувак поёт даже, пусть и тихонько. Респект.
В этом выпуске у них тема Pink Floyd - The Wall
Их трудно испортить.
> Блин, ты таки заставил меня это послушать. Я думал, там опять овечье
> блеяние аля столлман какое-то, а там чувак поёт даже, пусть и
> тихонько. Респект.Чем тебе так Столлман насолил?
> Чем тебе так Столлман насолил?Он мне отвратителен просто по-человечески. Чухан, одним словом.
>> Чем тебе так Столлман насолил?
> Он мне отвратителен просто по-человечески. Чухан, одним словом.вот и поговорите с Тео :)
black hat баще!
> Для обхода запрета требуется монтирование ФС (ffs/nfs) со специальным флагом "wxallowed", который рекомендуется использовать для монтирования /usr/local, так как некоторые порты пока не адаптированы для нормальной поддержки "W^X". Например, наблюдаются проблемы с JDK, GCC, Mono и ChromiumНу так сделали бы для них отдельную ФС, зачем теперь ценый /usr/local из-за четырёх программ компрометировать?
>> Для обхода запрета требуется монтирование ФС (ffs/nfs) со специальным флагом "wxallowed", который рекомендуется использовать для монтирования /usr/local, так как некоторые порты пока не адаптированы для нормальной поддержки "W^X". Например, наблюдаются проблемы с JDK, GCC, Mono и Chromium
> Ну так сделали бы для них отдельную ФС, зачем теперь ценый /usr/local
> из-за четырёх программ компрометировать?по-моему, те, кто дописывали это в новость - ошиблись, и там как раз 4 программы и работают :)
Написано же внятно: "например". Это слово означает, что эти программы ТОЧНО имеют проблемы с W^X. Но это не означает, что другие их не имеют. Я понимаю, что в школе логику уже давно не преподают, но ведь минимальный здравый смысл должен быть?Насчёт компрометирования /usr/local: это соответствует политике безопасности OpenBSD. Они не отвечают за дыры в софте сторонних производителей. Их цель - сделать безопасную базовую систему, плюс инструменты, позволяющие сделать сторонним производителям свой софт безопасным (например, та же W^X в ядре), так что всё верно.
>> Для обхода запрета требуется монтирование ФС (ffs/nfs) со специальным флагом "wxallowed", который рекомендуется использовать для монтирования /usr/local, так как некоторые порты пока не адаптированы для нормальной поддержки "W^X". Например, наблюдаются проблемы с JDK, GCC, Mono и Chromium
> Ну так сделали бы для них отдельную ФС, зачем теперь ценый /usr/local
> из-за четырёх программ компрометировать?В -CURRENT идея развита: нужно не только чтобы раздел был wxallowed, но и чтобы бинарник был помечен соответствующим образом, иначе W^X всё равно не будет доступно.
К сожалению, из-за проблем с рядом ПО (в первую очередь, Webkit), приходится пока что помечать таким образом почти все runtime-машины: Python, Haskell и т.д.
>Включён по умолчанию механизм защиты памяти W^X (Write XOR Execute), при котором страницы памяти процесса не могут быть одновременно доступны на запись и исполнение.
>Для обхода запрета требуется монтирование ФС (ffs/nfs) со специальным флагом "wxallowed", который рекомендуется использовать для монтирования /usr/localГлобально для всех не хорошо... В Linux лучшие решения, пофайлово, или метить ELF заглавие или лучше на уровне атрибутов самой файловой системы.
>>Включён по умолчанию механизм защиты памяти W^X (Write XOR Execute), при котором страницы памяти процесса не могут быть одновременно доступны на запись и исполнение.
>>Для обхода запрета требуется монтирование ФС (ffs/nfs) со специальным флагом "wxallowed", который рекомендуется использовать для монтирования /usr/local
> Глобально для всех не хорошо... В Linux лучшие решения, пофайлово, или метить
> ELF заглавие или лучше на уровне атрибутов самой файловой системы.Это сделано (и не просто сделано, а включено по умолчанию) в -CURRENT, см. выше.
> В линукс лучшие решениеЛинукс просто ужасен. Все его используют и не понимают насколько он плох (c).
А если я предоставлю Тео доступ к VAX, он вернет поддержку?
> А если я предоставлю Тео доступ к VAX, он вернет поддержку?нет. желания тащить древний gcc и ещё кучу мелочей ради одной платформы - больше нет
>Из находящихся в портах приложений, отмечены:
>KDE 3.5.10А есть какой-нибудь гайд по установке третьих кед на сабж?
>>Из находящихся в портах приложений, отмечены:
>>KDE 3.5.10
> А есть какой-нибудь гайд по установке третьих кед на сабж?http://openbsdsupport.org/KDM.html
там, собственно, единственное нужное - это список пакетов, ибо метапакета почему-то нет :( я несколько лет назад ставил - нормально, а в прошлом году ставил, что-то не заработало, но мне тогда не особо нужно было, разбираться не стал :)
может, сегодня ещё попробую
>>>Из находящихся в портах приложений, отмечены:
>>>KDE 3.5.10
>> А есть какой-нибудь гайд по установке третьих кед на сабж?
> http://openbsdsupport.org/KDM.html
> там, собственно, единственное нужное - это список пакетов, ибо метапакета почему-то нет
> :( я несколько лет назад ставил - нормально, а в прошлом
> году ставил, что-то не заработало, но мне тогда не особо нужно
> было, разбираться не стал :)
> может, сегодня ещё попробуюне, список уже неактуальный, пакетов не хватает
а в 5.5 я нормально ставил kde 3.5
А винамп там есть? И ICQ98.
> А винамп там есть? И ICQ98.только вчера удалили xmms :) и gtk1 до кучи. но это в каренте, в 6.0 ещё есть. торопись, а то в 6.1 уже не будет :)
>>Из находящихся в портах приложений, отмечены:
>>KDE 3.5.10
> А есть какой-нибудь гайд по установке третьих кед на сабж?в общем, в 6.0 удалили всё из kde3, кроме kdebase 3.5 и kdegames 3.5. никаких kdepim и kdeedu и всего остального...
>>Из находящихся в портах приложений, отмечены:
>>KDE 3.5.10
> А есть какой-нибудь гайд по установке третьих кед на сабж?в общем, я поставил kdebase, kdegames, kde-i18n-ru
записал в .xinitrc: startkde
и запустил через startx
и получил вот такое:
>potato guyпрослезился.
>>potato guy
> прослезился.ещё один
>>>potato guy
>> прослезился.
> ещё один
> http://gk11.ru/s/kdefour60.pngи e17, для форсу
А, в елатменте вроде ничего.Но зато он сам..
А зачем подсистему линукса убрали? Во FreeBSD наоборот поддержку х64 сделали, даже стим кто-то запускал.
> прекращено поддержка архитектуры VAXА также sparc! http://www.openbsd.org/sparc.html Добавьте в новость, пожалуйста.
// Просто для справки: из -current еще удален zaurus
