Далее...

]]> Организация FreeBSD Foundation объявила о выделении Pawel Jakub Dawidek денежного гранта для проведения работы по улучшению фреймворка Capsicum. Грант предоставлен при финансовом участии компании Google. Работу планируется завершить в июне 2013 года.

В качестве ключевой цели проекта отмечен перевод на использование Capsicum приложений и библиотек из состава FreeBSD, требующих повышенной безопасности. Среди намеченных для реализации задач также упомянута работа по улучшение демона Casper Capsicum и развитию программного интерфейса, упрощающего задействование Capsicum разработчиками конечных приложений.

Capsicum представляет собой фреймворк для организации изолированного выполнения приложений и ограничения использования приложениями определённых функций. Capsicum расширяет POSIX API и предоставляет несколько новых системных примитивов, нацеленных на поддержку модели безопасности через управление возможностями объектов ("object-capability") для Unix-систем. Capsicum нацелен на дополнение традиционного централизованного мандатного контроля доступа средствами для защиты отдельных приложений и активируется на стороне самого приложения. Используя Capsicum приложение можно запустить в режиме повышенной изоляции (sandbox), при котором программа сможет выполнять только ранее специфицированные штатные действия.

Одновременно организация FreeBSD Foundation опубликовала план по использованию собранных в конце прошлого года пожертвований для продвижения инноваций во FreeBSD. Из собранных 770 тысяч долларов 600 тысяч планируется потратить на поддержание проектов по разработке новых возможностей для FreeBSD. В связи с этим принимаются предложения и заявки на финансирование тех или иных разработок. Кроме того, до конца года планируется принять на работу 5 инженеров в режиме полного рабочего дня и обеспечить оплату работы участников групп, отвечающих за выпуск релизов и подготовку обновлений с устранением уязвимостей. Среди целей на нынешний год организация FreeBSD Foundation назвала желание довести размер собранных в 2013 году средств до миллиона долларов.

Источник: http://www.opennet.ru/opennews/art.shtml?num=36724

Далее...

]]> Представлен отчёт о развитии проекта FreeBSD с января по март 2013 года. В указанный период наиболее важными событиями стали подготовка выпуска 8.4-RELEASE, восстановление сборки бинарных пакетов, обеспечение поддержки плат Cubieboard и Hackberry, прогресс в портировании новых выпусков X.Org, GNOME, KDE и Xfce, разработка поддержки GPU AMD, увеличение производительности UFS/FFS, реализация поддержки multipath TCP в сетевом стеке.

Одновременно сообщается о возобновлении доступа к бинарным пакетам, которые полгода назад были убраны из публичного доступа в связи с обнаружением следов взлома двух серверов, участвующих в сборке пакетов.

Основные достижения:

• Сетевая подсистема
  • Доступны первые три выпуска реализации MPTCP (Multipath TCP) для ядра FreeBSD. MPTCP позволяет организовать работу TCP-соединения с доставкой пакетов одновременно по нескольким маршрутам, что может использоваться как для увеличении надёжности, так и для расширения пропускной способности. Код отмечен как имеющий качество альфа-выпуска, готового для начальных экспериментов и тестирования. В дальнейшем разработчики намерены обеспечить полную совместимость с реализацией MPTCP, развиваемой для ядра Linux. Основной целью проекта является создание платформы для исследования особенностей передачи данных с мультиплексированием нескольких маршрутов (multipath) в плане применения различных алгоритмов управления перегрузкой, стратегий повторной отправки пакетов и выработки правил планирования отправки пакетов. В настоящее время ведётся работа по перемещению разработки в SVN репозиторий FreeBSD и ежедневному формированию готовых тестовых iso-образов с преднастроенной для работы MPTCP сборкой FreeBSD;

  • Поддержка расширения TCP-AO (TCP Authentication Option, RFC5925, RFC5926), позволяющего использовать цифровые подписи TCP-MD5 для аутентификации сеанса, например, для защиты от спуффинга сеансов BGP на маршрутизаторах;
• Системы хранения и файловые системы
  • Выполнена работа по оптимизации производительности файловых систем UFS/FFS. Наиболее заметным улучшение стало значительное ускорение выполнения полной проверки целостности ФС утилитой fsck, а также ускорение случайного доступа к большим файлам и увеличение скорости прохождения по дереву директорий. Ускорение достигнуто за счёт более активного кэширования и оптимизации размещения метаданных на диске (метаданные размещаются рядом со связанными с ними блоками inode). Наработки уже интегрированы в ветку HEAD и в течение мая запланированы для включения в ветки 9-STABLE и 8-STABLE.

  • Проект по созданию нативного iSCSI стека расширен и помимо iSCSI Target теперь включает новую реализацию iSCSI Initiator. По сравнению с ранее поставляемым iSCSI Initiator, новый вариант отличается более высокой надёжностью и производительностью, он также гораздо проще в администрировании. Для упрощения миграции со старого iSCSI Initiator в новом обеспечена совместимость на уровне файлов конфигурации. Что касается реализации iSCSI Target, то она проверена на совместимость со многими iSCSI Initiator, доступными для FreeBSD, Linux, Solaris, Windows и VMWare ESX. Из планов на будущее отмечается проведение оптимизации производительности и реализация поддержки RDMA;
  • Для FreeBSD портирована реализация файловой системы UDF, развиваемая проектом NetBSD. Возможности порта пока ограничены доступом только на чтение. ФС UDF обычно используется на дисках CD, DVD и Blu-Ray. В отличие от ранее доступной во FreeBSD реализации UDF, новый порт поддерживает версию UDF 2.60 вместо устаревшего UDF 1.5, обеспечивает возможность переопределения прав доступа, владельца и группы для всех файлов/директорий через указание опции монтирования;
• Изолированные окружения, эмуляторы, безопасность и ограничения ресурсов
  • Представлен рабочий прототип реализации поддержки аккаунтинга ввода/вывода блочных устройств, выполненной на базе фреймфорка RACCT, используемого для аккаунтинга и лимитирования потребления ресурсов;

• Система
  • В core-файлы, создаваемые при крахе пользовательских процессов, обеспечено помещение дополнительной информации от ядра системы, которую для работающего процесса можно посмотреть через команду procstat. Например, теперь сохраняется список открытых дескрипторов и состояние лимитов на ресурсы. В дальнейшем возможность извлечения из core-файла сохранённого во время краха среза состояния будет добавлена в libprocstat и доступна для просмотра через procstat. Связанные с указанной возможностью изменения уже добавлены в HEAD и ожидают помещения в stable/9;
  • Реализация атомарной установки флага "close-on-exec" для предотвращения утечки файловых дескрипторов в дочерние процессы при вызове fork() и exec() в нитях и обработчиках сигналов. В настоящее время флаг уже атомарно устанавливается в функциях recvmsg(), socket(), socketpair() и posix_openpt();
  • Реализован новый программный интерфейс callout_*(), который предлагается использовать в ядре вместо timeout()/untimeout() для организации вызова функций в определённый момент в будущем. Новая реализация решает проблемы с вызовом событий с высокой точностью и устраняет зависимость от периодических структур, приводящих к лишним пробуждениям процессора, которые приводят к повышению энергопотребления. Более точный вызов событий актуален для таких применений, как VoIP, приложения режима реального времени и высокопроизводительные сетевые операции;
• Поддержка оборудования
  • Продолжается активная разработка проекта по добавлению во FreeBSD поддержки переключения видео-режимов на уровне ядра (Kernel Mode Setting) для видеокарт AMD. В целом драйвер уже более-менее работоспособен, позволяет запустить X-сессию, управлять параметрами мониторов через xrandr, обеспечивает работу большинства не использующих OpenGL приложений, в том числе даёт возможность просматривать видео. В ветку FreeBSD 10-CURRENT принят код с реализацией механизма управления видеопамятью TTM (Translation Table Maps), значительно улучшена поддержка Video BIOS, устранены проблемы при подключении монитора через DVI и HDMI и чтения параметров EDID, ведётся работа по бэкпортированию драйвера для ветки 9-STABLE. Областью ещё не готовой для тестирования, в которой остаются нерешённые проблемы, является поддержка OpenGL;

  • Началась работа по реализации во FreeBSD/arm поддержки средств для манипуляции страницами памяти большого размера (SuperPages), поддерживаемыми процессорами ARMv7. Необходимость поддержки SuperPages обусловлена тенденциями выхода ARM-систем на серверный рынок. Поддержка данной технологии позволит увеличить эффективность и производительность работы FreeBSD на серверных ARM-системах, благодаря обеспечению средств трансляции TLB для динамического покрытия больших областей памяти;
  • Осуществлён переход на Clang в качестве компилятра по умолчанию для порта FreeBSD/ARM. Выявленные в процессе адаптации clang проблемы переданы вместе с патчами для исправления в upstream.
  • В состав FreeBSD CURRENT включён начальный порт для Allwinner A10 SoC, позволяющий запустить FreeBSD на таких платах, как Cubieboard и Hackberry. Из периферии поддерживается USB EHCI и GPIO, в ближайшее время планируется обеспечить работу EMAC Ethernet и других драйверов;
• Приложения и система портов
  • Добавлен новый порт i386-wine, обеспечивающий возможность запуска 32-разрядной версии Wine (и 32-разрядных программ для Microsoft Windows) на 64-разрядной системе FreeBSD/amd64;

  • Дерево портов FreeBSD преодолело отметку в 24,300 портов, число незакрытых PR держится на уровне 1600. После завершения аудита последствий инцидента нарушения безопасности, возвращён к работе сайт redports.org и сервис Tinderbox. Официально прекращено распространение дерева портов через CVS, оставлен только доступ через систему контроля версий Subversion;
  • Выпущено обновление FreeNAS 8.3.1, которое базируется на FreeBSD 8.3 и поддерживает ZFSv28. Из наиболее важных изменений по сравнению с прошлым выпуском отмечается реализация поддержки шифрования разделов ZFS. Кроме того, в новом выпуске проведена работа по увеличению удобства работы в web-интерфейсе, обновлена реализация iscsi target, в поставку включены драйверы Virtio, обновлена версия пакета Samba, добавлена функция инициализации дисков c заполнением случайным набором данных. Версия FreeNAS 8.3.1 является последним выпуском на базе FreeBSD 8.x. В настоящее время ведётся работа по миграции на ветку FreeBSD 9.X, обеспечению поддержки NFSv4, добавлению средств для настройки HAST в web-интерфейс, интеграции новой реализации iSCSI target;
  • Проведена адаптация новых версий десктоп-оболочки KDE и фреймворка Qt для FreeBSD. В порты помещены релизы KDE SC 4.9.5, 4.10.1, Qt: 5.0.0 (area51) и 4.8.4, KDevelop 4.4.1, Calligra 2.6.2, Amarok 2.7.0,
    Digikam (+ KIPI-plugins) 3.1.0 (area51), QtCreator 4.6.1 и KDE Telepathy 0.6.0 (area51). По данным сервиса PortScout доступен 431 связанный с KDE порт, из которых 93.5% портов содержат свежие версии приложений;

  • В портах обновлены компоненты элементами десктоп-окружения Xfce: tumbler 0.1.27, Parole 0.5.0, xfdesktop 4.10.2, Midori 0.4.9/0.5.0, Orage 4.8.4 и xfce4-terminal 0.6.1;
  • В порты интегрированы новые версии библиотек Glib 2.34, Gtk+ 2.24.17 и Gtk+ 3.6.4. Обновлены связанные с GNOME компоненты, такие как libsoup, gobject-introspection, atk, vala, telepathy stack и empathy. Началась работа по обновлению порта GNOME до версии 3.6. Подготовлен порт с окружением Mate 1.6, который в скором времени будет включён в составе штатного дерева портов;
  • Добавлен порт с графическим стеком на базе X.Org 7.7. Ведётся работа по переносу в порты новых версий MESA и xorg-server. В долгосрочной перспективе планируется обеспечение поддержки Wayland;
  • Добавлен порт с PyPy 2.0, высокопроизводительной реализацией языка Python, написанной на языке Python.
• Разное
  • Введена в строй новая поисковая система по исходным текстам FreeBSD, OpenBSD, NetBSD и DragonFly BSD - bxr.su (BSD Cross Reference). Сервис представляет собой модифицированный и улучшенный движок OpenGrok, переписанный для работы с nginx. Проект отличается от предыдущих установок OpenGrok тем, что поиск работает в 200 раз быстрее (например, чем code.metager.de), а адреса индивидуальных файлов и поисковых запросов являются намного более короткими, понятными и лаконичными;

  • Запущен сайт mdoc.su для быстрого проброса на системные руководства FreeBSD, NetBSD, OpenBSD и DragonFly через Web. Формат запроса - "mdoc.su/система/имя[.раздел]", например, "http://mdoc.su/f/ls" для просмотра "man ls" из состава FreeBSD. Логика работы сайта целиком определена средствами nginx (см. файл конфигурации).
  • Обновлена инфраструктура проекта по подготовке документации. Осуществлён переход на DocBook 4.5, для генерации вывода XHTML задействован XSLT вместо DSSSL, обеспечена генерация PDF;
  • Рассматривается вопрос внедрения альтернативной системы обработки информации об ошибках. В качестве основных кандидатов называются системы Bugzilla и roundup.

Источник: http://www.opennet.ru/opennews/art.shtml?num=36931

Далее...

]]> Проект PC-BSD объявил о создании дополнительного репозитория пакетов для использования с пакетным менеджером pkgng. В репозитории представлен набор постоянно обновляемых бинарных пакетов со свежими версиями всех приложений, доступных через дерево портов FreeBSD. Как правило, обновление пакетов производится два раза в неделю. Указанный репозиторий будет использован для постоянно обновляемой rolling-ветки PC-BSD, но может быть задействован и в обычных выпусках PC-BSD и FreeBSD 9.1, а также пригоден для установки обновлений в изолированных окружениях Jail и TrueOS.

Источник: http://www.opennet.ru/opennews/art.shtml?num=36730

Далее...

]]> Разработчики NetBSD продолжили эксперименты с подсистемой
RUMP (Runnable Userspace Meta Program), позволяющей организовать выполнение частей ядра NetBSD на сторонних платформах и в обособленных окружениях. Новым достижением является портирование гипервизора RUMP для работы на уровне ядра Linux, что позволяет обеспечить поддержку прямой загрузки ядром Linux частей ядра NetBSD.

Представленные наработки позволяют загружать ядром Linux немодифицированные драйверы, написанные для ядра NetBSD. Запускаемые компоненты NetBSD выполняются в виде RUMP-ядер, работающих поверх гипервизора RUMP, который предоставляет высокоуровневый интерфейс к возможностям хост-системы, таким как распределение памяти и создание нитей. В данном случае хост-системой является ядро Linux, а запуск rump-ядра осуществляется через загрузку специально подготовленного модуля для ядра Linux.

Для демонстрации возможностей rump-гипервизора в Linux-окружении осуществлен запуск TCP/IP-стека NetBSD, что позволило организовать функцинирование отдельного TCP/IP стека NetBSD параллельно с TCP/IP-стеком Linux. Аналогичным образом могут быть запущены и другие подсистемы ядра NetBSD, такие как драйверы файловых систем. В качестве возможных применений представленной разработки называется возможность использования немодифицированных драйверов NetBSD во встраиваемых прошивках, для чего достаточно интегрировать в прошивки компоненты с реализацией легковесной прослойки для обеспечения работы гипервизора RUMP.

Pежим RUMP также даёт возможность организовать выполнение частей ядра NetBSD в адресном пространстве пользователя. В частности, RUMP позволяет в виде оформленного в стиле микроядра серверного процесса выполнять в пространстве пользователя драйверы, изначально работающие на уровне монолитного ядра системы. По сути rump-ядро является частично паравиртуализированным ядром, запускаемым поверх высокоуровневного гипервизора. Указанная возможность позволяет легко портировать NetBSD под различные системы, так как для обеспечения работы rump-ядра достаточно подготовить для платформы только соответствующий небольшой гипервизор.

Напомним, что ранее уже была обеспечена возможность использования модулей ядра NetBSD в Linux (например, можно было использовать драйверы с реализацией поддержки файловой системы FFS), но при этом RUMP-компоненты запускались в форме пользовательских процессов. Также ядро и драйверы NetBSD были адаптированы для запуска в web-браузере, путём их компиляции в JavaScript при помощи пакета Emscripten.

Источник: http://www.opennet.ru/opennews/art.shtml?num=36768

Далее...

]]> После шести месяцев разработки представлен релиз DragonFlyBSD 3.4, операционной системы с гибридным ядром, созданной в 2003 году с целью альтернативного развития ветки FreeBSD 4.x. Из особенностей DragonFly BSD можно выделить распределённую версионную файловую систему HAMMER, поддержку загрузки "виртуальных" ядер системы как пользовательских процессов, возможность кэширования данных и мета-данных ФС на SSD-накопителях. Среди ключевых улучшений выпуска DragonFly BSD 3.4 отмечается интеграция системы портов DPorts и инструментария pkgng, переход на GCC 4.7, новый USB-стек, оптимизация производительности при работе на высоконагруженных системах.

Для загрузки доступны 32- и 64-разрядные установочные образы размером 221 Мб для CD и USB Flash, а также расширенные образы размером 1 Гб с десктоп-окружением для установки на DVD и USB Flash. Все доступные образы могут работать в Live-режиме, что позволяет оценить работу DragonFly BSD без установки на диск. Репозиторий pkgsrc в DragonFlyBSD 3.4 обновлён до версии 2013Q1 и включает в себя около 10 тысяч предкомпилированных пакетов. Для поддерживаемого проектом NetBSD CVS-репозитория pkgsrc разработчиками DragonFly BSD поддерживается активное GIT-зеркало.

Основные улучшения, добавленные в DragonFlyBSD 3.4:

• Интеграция системы сборки пакетов DPorts (DragonFly Ports), в рамках которой поддерживается вариант портов из FreeBSD, адаптированных для сборки в DragonFly BSD. Для управления бинарными пакетами задействована новая утилита из FreeBSD - pkg (утилиты pkg_* не требуются), развиваемая в рамках проекта pkgng, предоставляющая интерфейс в стиле пакетного менеджера APT и обеспечивающая поддержку таких функций, как обновление пакетов, работа с репозиториями бинарных пакетов, учёт зависимостей и полноценные средства для работы с метаданными. DPorts пока позиционируется как экспериментальная система, по умолчанию по прежнему предлагается pkgsrc. DPorts и pkgsrc не могут использоваться одновременно, поэтому пользователи, желающие перейти на DPorts, должны отключить pkgsrc.

• Проведена работа по увеличению производительности системы в условиях повышенной нагрузки на CPU и дисковую подсистему. Внесённые изменения позволили увеличить производительность выполнения инструментария для тестирования сборки портов poudriere, увеличить скорость работы с разделами tmpfs, увеличить эффективность функционирования планировщика задач. Попутно устранены проявляющиеся на системах с большим числом процессорных ядер проблемы со стабильностью при многочисленных монтированиях и отмонтированиях разделов tmpfs.

  На приведённом ниже графике представлена статистика нагрузки на сервере сборки и тестирования пакетов до и после перехода на новое ядро Dragonfly BSD:

  

  Результаты тестирования производительности:

  
  
  

• Переход на GCC 4.7 в качестве используемого по умолчанию набора компиляторов, применяемого в том числе для сборки базовой системы. Появившаяся в GCC 4.7 поддержка технологии параллельного программирования OpenMP может быть задействована в Dragonfly BSD при использовании бибилиотеки libgomp, интегрированные средства защиты от переполнения стека через libssp. Поддержка ранее используемой ветки GCC 4.4 будет сохранена и предложена в качестве опции. Кроме того, GCC 4.4 остаётся первичным компилятором для сборки портов в системе DPorts.
• Новый USB-стек usb4bsd, обеспечивающий поддержку хост-контроллеров xhci (USB 3.0) и расширяющий совместимость с USB-устройствами. Новый стек создан на основе портирования кода поддержки USB из FreeBSD 8. Так как подсистема достаточно новая, она пока не включена по умолчанию и требует для активации пересборки ядра (в /etc/make.conf следует установить "WANT_USB4BSD=yes" и в конфигурации ядра заменить "device usb" на "device usb4bsd"). Usb4bsd доступен для экспериментов начиная с прошлого выпуска, в Dragonfly BSD 3.4 увеличена стабильность, добавлены библиотеки libusbhid и usbhidctl, добавлены драйверы usb, ehci, ohci, uhci, xhci, umass, usfs, uaudio, uep, uhid, ukbd, ums, uether, udav, и axe, расширены возможности стека. Тем не менее, разработка по прежнему позиционируется как экспериментальная.
• Включение в состав начальных наработок, связанных реализацией переработанной редакции ФС - HAMMER2, в которой появятся такие функции, как отдельное монтирование снапшотов, доступные на запись снапшоты, квоты на уровне директорий, инкрементальное зеркалирование, поддержка различных алгоритмов сжатия данных, multi-master зеркалирование с распределением данных на несколько хостов. В текущем виде ФС HAMMER2 пока не пригодна для тестирования, даже разработчиками;
• Изменение пользовательских утилит: в качестве утилиты для сборки системы задействован bmake; в libfetch, cp, mv и mktemp портированы улучшения из FreeBSD; добавлен /usr/Makefile для автоматической установки портов; реализовано автоматическое резервного копирования перед выполнением installworld;
• По умолчанию включена поддержка режима SMP, решены многие проблемы при работе на многоядерных системах;
• Улучшен алгоритм работы с разделом подкачки;
• Расширена поддержка оборудования: обновлены многие драйверы, добавлена поддержка инструкций AVX для 64-разрядных процессоров;
• Добавлены драйверы virtio и virtio-blk, позволяющие увеличить производительность при работе в режиме гостевой ОС;
• Обновление сторонних приложений, поставляемых в базовой системе: flex 2.5.37, bmake 20121010, OpenSSH 6.1p1, byacc 20121003, OpenSSL 1.0.1e, dialog 1.2-20121230, libarchive 3.1.2.

Источник: http://www.opennet.ru/opennews/art.shtml?num=36827

Далее...

]]> Несколько недавно обнаруженных уязвимостей:

• В реализации NFS-сервера из состава FreeBSD выявлена уязвимость, позволяющая злоумышленнику организовать выполнение своего кода на стороне NFS-сервера через формирование специального READDIR-обращения к примонтированному NFS-разделу на стороне клиента. При экспорте данных с ZFS-разделов уязвимость может привести к организации записи произвольных данных в стек, при отдаче данных с UFS не исключено переполнение кучи. Теоретически не исключён сценарий выполнения кода в пространстве ядра при успешной эксплуатации уязвимости. Проблема проявляется во всех поддерживаемых ветках FreeBSD, но затрагивает только новую реализацию NFS-сервера, которая используется по умолчанию во FreeBSD 9 и доступна в качестве опции для FreeBSD 8;

• В выпущенной на днях серии обновлений ядра Linux 3.8.10, 3.2.44, 3.4.42 и 3.0.75 устранено несколько уязвимостей:
  • Проблема CVE-2013-1959 связана с некорректной проверкой привилегий при организации доступа к файлу /proc/pid/uid_map, что может быть использовано для получения прав пользователя root. Для проверки наличия уязвимости подготовлен прототип эксплоита (PoC).
  • Проблема CVE-2013-1979 проявляется в коде сокетов из-за передачи euid вместо uid, что также может быть использовано для поднятия своих привилегий до прав пользователя root. Для указанной уязвимости уже имеется готовый прототип эксплоита (PoC).
  • Уязвимость, позволяющая изменить маппинг идентификаторов пользователей для пространств имён, без наличия привилегий;
  • Несколько проблем в гипервизоре KVM, позволяющих вызвать отказ в обслуживании хост-системы или повысить свои привилегии через выполнение операций в гостевой системе;
• В свободном сервере для создания VPN-соединений tinc 1.0.21 устранена уязвимость, позволяющая выполнить код на сервере, отправив специально оформленный TCP-пакет на номер привязанного к tinc сетевого порта;
• В memcached выявлена проблема безопасности, позволяющая инициировать крах рабочего процесса через отправку специально оформленного запроса. Исправление пока недоступно.
• В системе управления web-контентом Joomla 2.5.10 и 3.1.0 устранено 7 уязвимостей, среди которых присутствуют проблемы, позволяющие без аутентификации удалить приватные сообщения и осуществить подстановку на сайт JavaScript-кода;
• В плагинах к системе управления контентом WordPress WP Super Cache 1.3.2 и W3 Total Cache 0.9.2.9 устранены критические уязвимости, позволяющие выполнить произвольный PHP-код на сервере путём подстановки команд через теги mfunc и mclude. Проблема усугубляется тем, что плагин WP Super Cache пользуется большой популярностью (загружено более 6 млн копий) для организации кэширования динамических web-страниц WordPress.

Источник: http://www.opennet.ru/opennews/art.shtml?num=36829

Далее...

]]> Эдвард Томаш Наперала (Edward Tomasz Napierala) стал вторым техническим сотрудником FreeBSD Foundation, оплачиваемым в режиме полного рабочего дня. Напомним, что до конца года планируется принять на работу 5 инженеров, которые будут заниматься поддержанием инфраструктуры и разработкой проекта FreeBSD. Первым на постоянную работу во FreeBSD Foundation был принят Константин Белоусов.

Эдвард является коммитером FreeBSD с 2007 года и уже успел проявить себя в проектах по реализации поддержки ACL для NFS, расширению функциональности Jail и изменению размера ФС на лету. Трудоустройство во FreeBSD Foundation позволит Эдварду посвятить всё своё время поддержке и развитию FreeBSD. В настоящее время Эдвард уже приступил к работе над созданием высокопроизводительного и надёжного iSCSI-стека (target и initiator) для ядра FreeBSD. Работу над данным проектом планируется завершить в октябре. Кроме того, в число выполняемых на новом рабочем месте задач будет входить участие в работе группы FreeBSD Security Team, координирующей устранение проблем безопасности.

Кроме того, стала доступна из IPv4-сетей новая поисковая система по исходным текстам FreeBSD, OpenBSD, NetBSD и DragonFly BSD - bxr.su (BSD Cross Reference). Сервис был представлен 1 апреля Константином Александровичем Мурениным (cnst@), но был ограничен доступом только из IPv6-сетей. Bxr.su представляет собой модифицированный и улучшенный сервис OpenGrok, переписанный на основе nginx. Проект отличается от предыдущих установок OpenGrok тем, что поиск работает в 200 раз быстрее (например, чем code.metager.de), а адреса индивидуальных файлов и поисковых запросов являются намного более короткими, понятными и лаконичными.

Дополнительно можно отметить выход апрельского номера журнала "BSD Magazine" (PDF, 9 Мб, тема номера - FreeNAS).

Источник: http://www.opennet.ru/opennews/art.shtml?num=36832

Далее...

]]> Доступен релиз операционной системы OpenBSD 5.3, тридцать четвёртый выпуск за девятнадцатилетнюю историю существования проекта. При развитии OpenBSD основное внимание уделяется переносимости (поддерживается 17 аппаратных архитектур), стандартизации, корректной работе, активной безопасности и интегрированным криптографическим средствам.
Размер установочного iso-образа 220 Мб.

Кроме непосредственно операционной системы, проект OpenBSD известен своими компонентами, которые получили распространение в других системах и зарекомендовали себя как одни из наиболее безопасных и качественных решений. Среди них: OpenSSH, пакетный фильтр PF, демоны маршрутизации OpenBGPD и OpenOSPFD, NTP-сервер OpenNTPD, почтовый сервер OpenSMTPD, мультиплексор текстового терминала (аналог GNU screen) tmux, демон identd с реализацией протокола IDENT, BSDL-альтернатива пакету GNU groff - mandoc, протокол для организации отказоустойчивых систем CARP (Common Address Redundancy Protocol).

Из улучшений, добавленных в OpenBSD 5.3, можно отметить:

• Для архитектур i386 и amd64 добавлена поддержка процессорных инструкций SMEP (Supervisor Mode Execution Protection) и SMAP (Supervisor Mode Access Prevention), поддерживаемых современными CPU Intel. Использование SMEP не даёт переходить из режима ядра к выполнению кода, находящегося на пользовательском уровне, что позволяет блокировать эксплуатацию многих уязвимостей в ядре (shell-код не будет выполнен, так как он находится в пространстве пользователя). SMAP позволяет блокировать доступ к данным в пространстве пользователя из привилегированного кода, выполняемого в пространстве ядра;

• Задействована инструкция RDRAND, через которую предоставлена возможность обращения к аппаратному генератору случайных чисел, появившемуся в новых моделях процессоров Intel (Core i5 и i7);
• По умолчанию осуществлён переход на использование PIE (Position-independent executables) для платформ alpha, amd64, hppa, landisk, loongson, sgi и sparc64;
• NSCAN задействован в качестве алгоритма по умолчанию для сортировки запросов ввода/вывода, что позволило улучшить справедливость выполнения запросов и сократить время отзыва;
• Значительные оптимизации производительности внесены в утилиту make, особенно заметно повышена эффективность сборки с распараллеливанием операций;
• В состав базовой системы включён новый демон npppd с реализацией сервера для организации соединений с использованием протоколов L2TP, L2TP/IPsec, PPTP и PPPoE;
• В разрабатываемом проектом SNMP-сервере snmpd (OpenSNMP) добавлена поддержка протокола SNMPv3;
• Существенно переработана реализация DHCP-клиента (dhclient) от проекта OpenBSD, в котором представлено около 30 изменений и улучшений. В том числе, ускорен процесс конфигурации интерфейсов, добавлена директива ignore, resolv.conf перезаписывается только при изменении маршрута по умолчанию;
• Значительная доработка и стабилизация SMTP-сервера OpenSMTPD. OpenSMTPD 5.3 позиционируется как первый стабильный релиз проекта. С особенностями новой версии (от изменения формата конфигурации до поддержки виртуальных доменов и альтернативных баз пользователей) можно познакомиться в данном анонсе;
• Улучшение сетевого стека: значительно улучшена совместимость с IPsec v3, в том числе добавлена поддержка расширенных номеров последовательностей в драйвер AES-NI для обеспечения работы режима AES-GCM; в sosplice добавлена поддержка UDP; по умолчанию включен режим автоматической настойки приватности IPv6; в ifconfig hwfeatures теперь выводится максимально поддерживаемый размер MTU для определения поддержки кадров jumbo/baby-jumbo;
• В пакетном фильтре PF для сокета divert обеспечена поддержка опции IP_DIVERTFL для выбора типа потока для перенаправления (входящие пакеты, исходящие пакеты или и те и другие); налажена корректная работа с ICMP в трекере состояний соединений "sloppy state", не привязывающемся при работе к номеру последовательности (sequence number) и используемом для асиметричных соединений; добавлен контроль соблюдения лимитов на уровень фрагментации для защиты от ошибок конфигурации, которые могут привести к исчерпанию кластеров mbuf;
• В bgpd добавлена поддержка задания фильтров на основе атрибута NEXTHOP; при определении неизвестных параметров сессии теперь выводится предупреждение вместо остановки работы; реализована возможность перезапуска без разрыва сеансов ("graceful restart");
• В ftp-клиент добавлена поддержка basic-аутентификации HTTP (можно использовать "ftp http[s]://user:pass@host/file"), реализована возможность рекурсивной загрузки каталога (mput с опцией -r);
• В IKEv2-демон iked добавлена поддержка NAT-T;
• Добавлен обособленный прокси tftp-proxy, который заменил собой сервис, ранее используемый через inetd;
• Обновлён пакет OpenSSH 6.2, обзор улучшений можно посмотреть здесь;
• Улучшение поддержки оборудования:
  • Новый драйвер oce для адаптеров Emulex OneConnect 10Gb Ethernet;
  • Новый драйвер rtsx для кардридеров Realtek RTS5209;
  • Новый драйвер mfii для контроллеров LSI Logic MegaRAID SAS Fusion;
  • Новый драйвер smsc для Ethernet-адаптеров SMSC LAN95xx с интерфейсом USB;
  • Новые драйверы для USB-сенсоров Toradex OAK: uoaklux (освещенность), uoakrh (температура и влажность) и uoakv;
  • В драйвер ahd добавлена поддержка SCSI-карт Adaptec 39320LPE;
  • В драйвер bge добавлена поддержка Broadcom 5718/5719/5720 Gigabit Ethernet;
  • В В драйвер iwn добавлена поддержка беспроводных чипов Centrino Advanced-N 6235 и Centrino Wireless-N 1030;
  • В драйвер ix добавлена поддержка Intel X540 10Gb Ethernet;
  • В драйвер vr добавлена поддержка миграции TX-прерываний, аппаратной привязки VLAN и аппаратного вычисления контрольных сумм. Ускорение вычисления контрольных сумм также добавлено в драйвер gem;
  • В драйверы bnx, gem и jme добавлена поддержка контроля потока;
  • В драйвере mpi появилась поддержка эмулируемых в VMware SAS-контроллеров;
  • В ulpt добавлена поддержка загрузки прошивки для некоторых принтеров HP LaserJet;
  • Улучшение поддержки процессоров Loongson. Поддержка "throttling" (пропуск части циклов для сокращения потребления энергии) для процессоров Loongson 2F;
• Число портов превысило 7800. Для архитектуры i386 подготовлено 7670 бинарных пакетов, для amd64 - 7632, для arm - 4944, для mips64el - 56539, для sparc64 - 6756, для hppa - 6401. Из находящихся в портах приложений, отмечены:
  • GNOME 3.6.2
  • KDE 3.5.10
  • Xfce 4.10
  • MySQL 5.1.68
  • PostgreSQL 9.2.3
  • Postfix 2.9.6
  • OpenLDAP 2.3.43 и 2.4.33
  • Mozilla Firefox 3.6.28 и 18.0.2
  • Mozilla Thunderbird 17.0.2
  • GHC 7.4.2
  • LibreOffice 3.6.5.2
  • Emacs 21.4 и 24.2
  • Vim 7.3.154
  • PHP 5.2.17 и 5.3.21
  • Python 2.5.4, 2.7.3 и 3.2.3
  • Ruby 1.8.7.370 и 1.9.3.392
  • Tcl/Tk 8.5.13 и 8.6.0
  • Jdk 1.6.0.32 и 1.7.0.11
  • Mono 2.10.9
  • Chromium 24.0.1312.68
  • Groff 1.21
  • Go 1.0.3
  • GCC 4.6.3 и 4.7.2
  • LLVM/Clang 3.2

  Компоненты от сторонних разработчиков, входящие в состав OpenBSD 5.2:

  • Xenocara (основанная на X.Org 7.7 с xserver 1.12.3, freetype 2.4.11, fontconfig 2.8.0, Mesa 7.11.2, xterm 287, xkeyboard-config 2.7).
  • GСС 4.2.1 с патчами, 3.3.6 с патчами и 2.95.3 с патчами;
  • Perl 5.12.2 (с патчами)
  • Улучшенная и более защищённая версия Apache 1.3, с поддержкой SSL/TLS и DSO
  • nginx 1.2.6(с патчами)
  • OpenSSL 1.0.1c (с патчами)
  • Sendmail 8.14.6, с libmilter
  • Bind 9.4.2-P2 (с патчами)
  • Lynx 2.8.7rel.2 с поддержкой HTTPS и IPv6
  • Sudo 1.7.2p8
  • Ncurses 5.7
  • SQLite 3.7.14.1
  • Heimdal 0.7.2 (с патчами)
  • Binutils 2.15 (с патчами)
  • Gdb 6.3 (с патчами)
  • Less 444 (с патчами)
  • Awk, версия от 10 августа 2011 г.

Послушать песню, приуроченную к выходу нового релиза, можно здесь.

Источник: http://www.opennet.ru/opennews/art.shtml?num=36841

Далее...

]]> Началось тестирование кандидата в релизы FreeBSD 8.4. FreeBSD 8.4 продолжает развитие прошлой стабильной ветки и позиционируется для обновления систем уже использующих FreeBSD 8.x и пользователей, желающих сохранить максимальный уровень совместимости с текущей конфигурацией. Тестовая версия доступна для платформ amd64, i386 и pc98. Установочные сборки доступны в виде образов bootonly, DVD, CD, LiveFS и Memstick. Релиз ожидается в начале мая.

Источник: http://www.opennet.ru/opennews/art.shtml?num=36660