OpenBSD 7.4 橫幅
這 OpenBSD 7.4新版本發布, 這是 7.x 分支開發的第四部分,其中在支援部分以及安全性、連接埠等方面都進行了重大改進。
對於那些不了解 OpenBSD 的人來說,你應該知道 它是一個免費、開源的類 Unix 作業系統。 專注於安全的軟體,屬於 BSD 作業系統系列,以其組件而聞名,這些組件已在其他系統中廣泛使用,並已被證明是最安全和最高品質的解決方案之一。
OpenBSD 7.4 的主要新特性
在這個新版本中 對新硬體的支援改進脫穎而出, 由於包含了新的驅動程序,安裝程序改進了對軟體 RAID 的支持,以及將根分區放置在 riscv64 和 arm64 系統上的 softraid 中的能力,以及對引導磁碟加密的支援。
也脫穎而出 對 TSO 的初步支持 和 LRO 用於分段處理和 NIC 端的封包聚合,使用 pfctl 公用程式加速從核心載入 pf 封包過濾規則,並啟用對透過 ICMP 傳回的訊息錯誤訊息的「keep state」和「nat-to」操作的處理。
對於建築 AMD64 和 i386,加入元件以更新微代碼 適用於 AMD 處理器。 新版的微碼 下載後它們會自動安裝。 連接埠「ports/sysutils/firmware/amd」已準備好分髮帶有微碼的二進位檔案。 新微代碼的安裝是使用標準 fw_update 實用程式完成的。 此外,對於 AMD64 和 i386,還實現了對 dt 偽設備的支持,以組織系統和應用程式的動態監控。 新增了 utrace 系統呼叫以將使用者條目插入 ktrace 日誌中。
在核心和使用者空間方面,在這個新版本的 OpenBSD 7.4 中,框架的實現 drm與Linux核心6.1.55同步,提高了採用基於 Alder Lake 和 Raptor Lake 微架構的英特爾處理器的系統的性能。 我啟用 IBT 和 BTI 保護機制以阻止控制流違規 由於使用修改儲存在記憶體中的函數指標的漏洞而導致(所實現的保護不允許惡意程式碼跳到函數的中心)。
VMM 虛擬機器管理程序已得到改進。 vmd 實現了對網路和區塊 virtio 設備的多線程模型的支持,並且在區塊 virtio 設備中添加了對零拷貝模式下向量輸入/輸出的支援。 來賓系統對 AMD 處理器 p 狀態模式的存取受到限制。 虛擬機器擁有者可以使用 vmctl 覆蓋啟動核心。
在系統中 arm64,啟用指標認證,保護使用者空間。 該技術允許使用專門的 ARM64 指令來使用儲存在指標的高位元未使用位元中的數位簽章來驗證返回位址。
除此之外,也強調的是 clang 系統編譯器設定以及 clang 和 gcc 連接埠已更改以應用先前的保護機制, 這顯著加強了對所有基礎應用程式和大多數連接埠應用程式的保護,以防止使用面向返回的程式設計方法的攻擊。
還值得注意的是, 新的系統呼叫 kqueue1,與 kqueue 的不同之處在於標誌傳遞。 目前,kqueue1 僅支援 O_CLOEXEC 標誌 呼叫 exec() 後自動關閉子進程中的檔案描述子。
, 其他變化 脫穎而出:
- wsconsctl 實用程式新增了在控制面板上指定用兩根或三根手指按下的按鈕的功能。
- 新增了對基於路由的 IPsec VPN 的初始支援。
- rpki-client 的效能提高了 30-50%。
- 新增了對 gzip 和 deflate 壓縮的支援。
- 改進了在具有armv7和arm64處理器的系統上的安裝。
- 新增了對從 EFI 系統分割區載入檔案的支援。
- 新增了 malloc 函數來檢查惰性記憶體釋放清單中的所有區塊,以識別已釋放記憶體區域的寫入情況。
- shutdown 命令現在要求將使用者新增至「_shutdown」群組,從而允許將關閉權限與磁碟裝置的直接讀取權限分開。
- 使用 Reveal 系統呼叫時,補丁實用程式僅限於存取目前目錄、包含暫存檔案的目錄以及命令列上列出的檔案。
- 在網路介面上設定 IPv6 位址時,會使用多重播放位址向相鄰路由器傳送通告。
- 已從 FreeBSD 移植修復程式以解決使用 MS-DOS 檔案系統時未定義的行為。
- 用於寫回捆綁元資料的 softdep 掛載選項已停用。
- 使用 Reveal 系統呼叫保護的程式可以將核心轉儲儲存到目前工作目錄。
- ARM64 架構利用 Apple M1/M2 晶片上提供的進入深度閒置狀態的功能來節省功耗並實現待機模式。
- 增加了針對 AMD 處理器上的 Zenbleed 漏洞的替代保護。
- 環回介面停用 IP、TCP 和 UDP 校驗和計算。
最後,如果您有興趣能夠了解更多,可以在 以下鏈接。