Cron ve yeni pfsync’te “yaklaşık” seçeneğiyle OpenBSD 7.4
Kurucu Theo de Raadt’ın etrafında küresel olarak dağıtılan geliştirme ekibi, açık kaynaklı işletim sisteminin güvenlik ve doğruluk için optimize edilmiş 55. sürümü olan OpenBSD 7.4’ü piyasaya sürdü. Kullanıcı alanında birçok küçük detaylı iyileştirme ve bir takım yeniliklerin yanı sıra ağırlıklı olarak güvenlik alanında güncellemeler mevcut. Bunun için IBT (amd64) veya BTI (arm64) gibi dahili işlemci fonksiyonları etkinleştirilir ancak AMD’nin Zenbleed hatası da düzeltilir.
Duyuru
OpenBSD 7.4: arm64 ve Apple M1/M2’deki en uygun yükleyici
Yükleyici ve önyükleyici, esas olarak Apple’ın M1/M2 işlemcileri için uzantıları ve bunların donanım yazılımının yönetimini içeriyordu. Kurulum sırasında, APFSISC (arm64 Apple M1/M2) bölümlerine sahip sistemlerde mevcut EFI sistem bölümleri korunur. arm64 ve armv7 sektörlerindeki sayısız yenilik sayesinde iki platform da kullanım açısından klasik mimarilere daha yakın. Raspberry Pi 4, Pinebook Pro veya SolidRun CEX7 gibi bilgisayarlar artık root bölümü ile softraid üzerine kurulabiliyor.
OpenBSD’deki Softraid aslında fiziksel sürücülere ek olarak çeşitli RAID düzeyleri ve G/Ç hizmetleri sunan sanal bir Ana Bilgisayar Veri Yolu Adaptörüdür (HBA). Bunlar arasında iyi bilinen RAID0/1/5 düzeylerinin yanı sıra CRYPTO (gerçek zamanlı şifreleme) veya CONCAT düzeyi (RAID0/Striping kadar yedekli değildir, ancak sıralı olarak yazar ve tüm veri taşıyıcılarına dağıtılmaz) ve şifrelenir. yansıtma seviyeleri ( RAID1C). Geliştiriciye göre bu aynı zamanda RISC-V (riscv64) için de çalışmalıdır. OpenBSD prensip olarak sıra dışı mimarilere de dikkat ediyor: SCSI sabit disklerini işlerken önyükleyicide meydana gelen bir hata da luna88k için düzeltildi.
Modern bilgisayarlarda uzun süredir disket sürücüleri bulunmuyor, ancak prensip olarak OpenBSD tarafından desteklenen eski mimarilerde bazen “disketlere” ihtiyaç duyuluyor. Umass sürücüsü bunu dikkate alır ve OpenBSD 7.4’ten itibaren USB aracılığıyla bağlanan disket sürücülerini doğru şekilde tanır.
Mikrokod güncellemeleri artık AMD için de geçerli
Bazen diğer işletim sistemleri tarafından da benimsenen yenilikçi yeni güvenlik özelliklerini sunan genellikle OpenBSD’dir. OpenBSD’de geliştiriciler, bu özelliği destekleyen işlemciler için amd64’te Dolaylı Dal İzlemeyi (IBT) ve arm64’te Dal Hedef Tanımlayıcısını (BTI) etkinleştirir. Theo de Raadt bu özelliği taahhüt mesajında açıklıyor ve her zamanki gibi bunu diğer işletim sistemleriyle, bu durumda GNU/Linux ile de paylaşıyor. Intel, geliştirici belgelerinde IBT’nin veya Dolaylı Dal Kısıtlı Spekülasyonun (IBRS) tam olarak ne olduğunu açıklıyor.
Jonathan Gray sayesinde sadece Intel işlemciler (2018’den beri) değil, aynı zamanda OpenBSD 7.4’e sahip AMD CPU’lar da mikrokod güncellemeleri ile güncellenebiliyor ve hatalar düzeltilebiliyor. Bu özellikle AMD CPU’lardaki “Zenbleed” sorunuyla ilgili olarak önemlidir. OpenBSD, Windows veya GNU/Linux’tan farklı olarak çok az sayıda AVX (Gelişmiş Vektör Uzantıları) işlevi kullandığından, şu ana kadar istismarlara karşı tamamen bağışıktır. Ancak sorun OpenBSD 7.4’te esasen ortadan kaldırılmıştır. OpenBSD 7.2 veya 7.3’ü yüklediğinizde düzeltmeleri yalnızca sistemi 7.4 sürümüne yükselterek alabilirsiniz. Gerekli ürün yazılımının önyükleme bloğunda bulunması ve bunun sistem paketi tarafından işlenmemesi nedeniyle sistem paketi aracılığıyla yapılan düzeltmeler yeterli değildir. Veri taşıyıcının türüne bağlı olarak bu durum bir sistem paketi gerçekleştirildikten sonra giderilebilir.
installboot -v sd0
VEYA
installboot -v wd0
Utrace içeren Dynamic Tracer dt artık amd64 ve i386’da desteklenerek hata ayıklamayı kolaylaştırıyor. Çekirdek hata ayıklayıcısı ddb de genişletildi ve geliştirildi. Malloc’un yeni “D” işlevi, ktrace ve kdump’ın OpenBSD 7.4’teki bellek sızıntılarını kolayca tespit etmesine olanak tanır. SMP çalışmasını iyileştirmek için ARP giriş yolu ve IPv6 komşu keşfi gibi ağ yığını genelinde ek çekirdek blokları kaldırıldı. drm doğrudan işleme yöneticisi Linux 6.1.55’e güncellendi.
cron’u “etrafında” işleviyle kullanın.
Todd Miller sayesinde cron ve onun crontab’ı artık zamanlara rastgele bir sapma ekleme yeteneğine sahip. Bir aralık belirtmeye benzer şekilde – “8-10”, 8, 9 ve 10 anlamına gelir – rastgele değerlerin aralığı yaklaşık işaretiyle tanımlanır. “8~10”, 8 ile 10 arasında tek bir rastgele değeri belirtir. Zamandaki kesin noktayı rastgele hale getirerek, “gümbürdeyen sürü” sorunu hafifletilebilir. Bu durum, ağdaki çok sayıda bilgisayarın her saat başı bir sunucuyla iletişim kurması durumunda ortaya çıkar.
Kullanıcının kapatma veya yeniden başlatma için ait olması gereken yeni _shutdown grubu da daha fazla güvenlik sunuyor. Root’a ek olarak bu işlem genellikle operatör grubunun üyeleri tarafından da yapılabilir. Ancak aynı zamanda sürücü görüntüleri oluşturabilir ve bunları kasete kaydedip ardından tüm dosyaları okuyabilirler. Theo de Raadt bunun çok kapsamlı olduğunu düşündü ve bu nedenle _shutdown grubunu tanıttı. Masaüstü ortamları gibi yazılımlar küçük değişiklikler gerektirir. Xfce zaten _shutdown’ı işleyebiliyor.
sıfırdan pfsync
OpenBSD, güvenlik duvarı uygulamaları için en iyi paket filtrelerinden birine sahiptir, pf. Yedekli güvenlik duvarı kurulumları pfsync kullanılarak senkronize edilir. Pfsync, ağ bağlantılarına ilişkin durum tablolarının ilgili tüm paket filtreleri arasında senkronize edilmesini sağlar. David Gwynne, birçok küçük sorun nedeniyle birkaç yıl önce pfsync’i büyük ölçüde yeniden programlamaya başladı. OpenBSD 7.4 ile pfsync artık üretime hazır olacak ve iyileştirmeler ve yeni işlevlere ek olarak her şeyden önce çok daha hızlı çalışacak. Bu durumda çekirdek ve ağ kilitleri de kaldırılmıştır; pfsync’in ayrıca dahili veri yapılarını tutarlı tutmak için kendi kilitleme mekanizması vardır.
Ed25519 ile LibreSSL ve OpenSSH
OpenBSD 7.4, sonunda TLSv1.0 ve TLSv 1.1’den ayrılan LibreSSL 3.8.2’yi içeriyor. Ed25519 sertifikaları artık bu amaçla kullanılabilecek. Ed25519 (veya Curve25519), şekli zamana dayalı yan kanal saldırılarına karşı dayanıklı algoritmaların kullanımına izin verdiği için özellikle güvenli kabul edilir. OpenSSH 9.5, bu Ed25519 anahtarlarını varsayılan olarak OpenBSD 7.4’teki ssh-keygen aracılığıyla oluşturur.
Yeni kurulan bir sistemi ilk kez başlattığınızda, SSH oturumları için Ed25519 anahtar parmak izini göreceksiniz.
(Resim: ekran görüntüsü / Michael Plura)
ssh ayrıca Damien Miller tarafından tuş vuruş sürelerinin gizlenmesini içerecek şekilde genişletildi. Bu özellik, küçük miktarlardaki veriler için sabit aralıklarla (varsayılan olarak 20 ms) göndererek tuşlara basma arasındaki zaman aralıklarını maskelemeye çalışır. Son tuş vuruşundan sonra, rastgele bir süre boyunca ek “sahte tuş vuruşları” gönderilir.
İş parçacıklı VirtIO aygıtlarına sahip hipervizör
OpenBSD 5.9 için sıfırdan geliştirilen OpenBSD hipervizörü veya sanal makine arka plan programı vmd, çekirdeğin ayrılmaz bir parçası olan Sanal Makine Monitörü (VMM) ile birlikte çalışır. vmd, vmctl aracılığıyla kontrol edilir. Vmd zaten başından beri çok işlemcili uyumluyken, OpenBSD 7.4 ile öykünülmüş cihazlar da SMP uyumlu hale geldi. Bu amaçla sanal ağ ve blok cihazları kendi süreçlerine çatallanır. Bu, vCPU iş parçacıklarının artık cihaz emülasyonları tarafından engellenememesi nedeniyle hızı artırır. Ayrıca, VMM alt sistemi daha güvenli hale gelir çünkü sanal cihazlar çok daha spesifik olarak taahhütler yoluyla minimum erişim haklarıyla sınırlandırılabilir.
Son olarak Joshua Stein’ın viogpu’suyla, wscons gibi sanal konsollar oluşturabilmek için QEMU tarafından sağlanana benzer Virtio tabanlı GPU arayüzüne yönelik ilk ışık desteği de mevcut.
14 platform için güvenli yazılım
OpenBSD, Free MIT Lisansı kapsamında lisanslanmıştır ve açık kaynaklı yazılım olarak ücretsiz olarak mevcuttur. OpenBSD 7.4, paket yöneticisi aracılığıyla kurulabilen 11.000’den fazla uygulama sunar. OpenBSD’nin Xenocara’sı Xorg 7.7’yi temel alıyor. Üzerinde cwm, dwm, MATE, Xfce 4.18, GNOME 44 ve KDE 5.110.0 gibi çeşitli pencere yöneticileri ve masaüstü ortamları çalışmaktadır. Ayrıca Chromium 117 veya Mozilla Firefox 118/ESR 115.31 ve LibreOffice 7.6.2.1 veya zevkinize bağlı olarak Emacs 29.1 veya Vim 9.0.1897/Neovim 0.9.1 de mevcuttur.
14 donanım platformuna ait ücretsiz kurulum görselleri ve talimatları proje sayfasından indirilebilir. Burada ayrıca tüm değişikliklerin ayrıntılı bir özetini içeren OpenBSD 7.4 sürüm bilgisini de bulabilirsiniz.
En önemli Unix ve Linux dağıtımlarının güncel durumu:
(Bilmiyorum)
Haberin Sonu