OpenBSD 5.9

Posté par  (site web personnel) . Édité par Nils Ratusznik, karchnu, bubar🦥, Benoît Sibaud et ZeroHeure. Modéré par claudex. Licence CC By‑SA.
Étiquettes :
37
11
avr.
2016
OpenBSD

OpenBSD 5.9 est disponible depuis le 29 mars 2016. OpenBSD est un système d'exploitation orienté sécurité et réseau, dont les principaux avantages sont la stabilité, grâce aux audits sur le code source, mais également l'ensemble très large de fonctionnalités réseau qu'il fournit.

Bannière d'OpenBSD 5.9 sur le thème "Doctor Who"

Nouveautés

Pledge

Pledge(2) a été utilisé dans de nombreux programmes du système de base (453 sur 707). Certains ports ont également été adaptés. Pour rappel, ce système permet de limiter les droits d'une application après une phase d'initialisation.

Le principe est simple : un programme a souvent besoin de s'initialiser et d'avoir des droits privilégiés pendant un temps, par exemple en ouvrant un fichier ou une socket, puis il va boucler sur une tâche à faire, sans avoir de nouveau besoin de ces droits. Pledge (anciennement tame(2)) permet de renoncer à ces privilèges (des appels à des fonctions de la libc), de manière simple, en indiquant une chaîne de caractères correspondant aux privilèges souhaités.

Deux exemples de ceci : inet qui permet d'accéder aux droits de création de socket (pour discuter en réseau), et dns qui permet de faire des requêtes DNS.

L'introduction de pledge a permis d'identifier des bugs dans divers programmes, tels que bgpd(8), iked(8), ldapd(8), ntpd(8), et syslogd(8).

Améliorations

UEFI

OpenBSD est maintenant capable d'amorcer avec des systèmes de type UEFI, sans avoir besoin de basculer sur une option de "compatibilité".

Stockage

Les tables de partitions au format GPT sont aujourd'hui mieux prises en compte, y compris par le système d'installation. Cela fonctionne également pour des volumes en softraid.

Virtualisation

La prise en compte des DomU de Xen a été grandement améliorée. OpenBSD peut maintenant être installé sur ce type d'hyperviseur, permettant ainsi son usage sur des offres d'informatique en nuage comme Amazon EC2.

Accélération graphique

La prise en charge des puces de générations Broadwell et BayTrail du fondeur Intel est intégrée. Mesa a également été mis à jour vers la 11.0.9, corrigeant au passage des problèmes avec la bibliothèque clutter. De nombreux correctifs ont été réalisés résolvant divers problèmes, depuis la compilation avec gcc du module dri pour les i965 sur l'architecture x86, jusqu'à des améliorations sur les pilotes r300 & r600 du fondeur AMD.

Pile réseau

Un travail de fond sur la pile réseau améliore son affinité sur les matériels multi-processeurs. Du côté des réseaux sans fil, on notera l'apparition du WiFi n, en support préliminaire mais stable.

Locale

OpenBSD est désormais exclusivement UTF8 et/ou C. Tout le reste a été retiré, et les derniers pans à adapter ont été convertis.

Protection contre la gaffe

Écrire une commande d'effacement de la racine du système n'aura aucun effet : rm -rf / est désormais interdit.

Aller plus loin

  • # Sérieusement ^^

    Posté par  . Évalué à 7.

    Écrire une commande d'effacement de la racine du système n'aura aucun effet : rm -rf / est désormais interdit.

    Ça m'étonne de la part des développeurs d'OpenBSD de voir une telle fonctionnalité. Mais c'est toujours bon à prendre :)

    • [^] # Re: Sérieusement ^^

      Posté par  . Évalué à 4.

      Et pour " rm -rf /* " ?

      ⚓ À g'Auch TOUTE! http://afdgauch.online.fr

      • [^] # Re: Sérieusement ^^

        Posté par  . Évalué à 5.

        J'ai fait le test sur une VM, ça efface efficacement le contenu de ce qu'il y a sous / :)

        • [^] # Re: Sérieusement ^^

          Posté par  . Évalué à 10.

          Mais ça ne supprime pas / ! Donc on est sauf… :)

          Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

    • [^] # Re: Sérieusement ^^

      Posté par  . Évalué à 5.

      C'est surtout une sécurité bizarre. Si j'écris :

      toto='/'
      rm -rf "${toto}"

      ou

      rm -rf /./../../../././../

      Ça donne quoi ?

      zsh a mis ce genre de sécurité, mais en vrai ça ne sécurise pas grand chose.

      Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

    • [^] # Re: Sérieusement ^^

      Posté par  (site web personnel) . Évalué à 5.

      Ça aurait pu servir. Un sysadmin a supprimé les données de 1535 clients(backups compris) à cause d'un rm -rf {foo}/{bar} mal initialisé: https://serverfault.com/questions/769357/recovering-from-a-rm-rf

    • [^] # Re: Sérieusement ^^

      Posté par  . Évalué à 1.

      Ça peut être très utile contre les fautes de frappe.

    • [^] # Re: Sérieusement ^^

      Posté par  (site web personnel) . Évalué à 2.

      En même temps, c'est dans la version gnu de rm depuis un bout de temps, je suppose que ça a fini par être vu comme une bonne chose avec le recul de l'activation de l'option.

      • [^] # Re: Sérieusement ^^

        Posté par  (site web personnel) . Évalué à 6.

        C'est surtout normalisé depuis POSIX 1003.1 (2013 iirc) "if an operand resolves to the root directory, rm shall write a diagnostic message to standard error and do nothing more with such operands."

        Pour la petite histoire OpenBSD a rajouté ce check après avoir vue une interview de Brian Cantrill qui parlait de la fonctionnalité ajoutée dans solaris depuis très longtemps.
        BTW FreeBSD a cette protection depuis très longtemps aussi.

        • [^] # Re: Sérieusement ^^

          Posté par  . Évalué à 4.

          C'est surtout normalisé depuis POSIX 1003.1 (2013 iirc) "if an operand resolves to the root directory, rm shall write a diagnostic message to standard error and do nothing more with such operands."

          Alors ça demande plus que ce qui est fait partout où je l'ai vu (avertir sur /../../., sur les liens symboliques qui pointent vers root,…).

          Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

  • # Toujours pas systemd dans cette version ???

    Posté par  . Évalué à 2.

    Ralalala, ils sont à la bourre !!!!

  • # OpenBSD est désormais exclusivement UTF8 et/ou C.

    Posté par  (Mastodon) . Évalué à 7.

    http://gcu.info/rules ça va chouiner dans les intertubes…

  • # De Linux à UNIX

    Posté par  . Évalué à 3.

    Linux se voulait à la base un clone d'UNIX pour les processeurs x86. Avec le temps, Linux a acquis des fonctionnalités (notamment les cgroups) propres à lui-même.

    Je suis très tenté par l'aventure OpenBSD, mais j'utilise au quotidien des outils conçus pour Linux (et j'utilise Archlinux en l'occurrence) et je me demandais si migrer vers OpenBSD pourrait poser des soucis de compatibilité.

    Le gros avantage d'Archlinux pour moi, c'est le dépôt AUR qui permet d'avoir absolument tous les logiciels portés sous Linux (et qui plus est à jour, ce qui est important quand on fait du développement web). J'ai peur de ne pas retrouver tous mes outils sous OpenBSD.

    Est-ce que vous avez déjà vécu cela ? Si oui, comment vous en êtes-vous sortis ?

    Merci

    • [^] # Re: De Linux à UNIX

      Posté par  . Évalué à 3.

      Ca depend mais apparemment dans votre cas ce serait, peut-être, un IDE qui ne tournerait que sous Linux ? Si oui a quel point … est ce important pour empêcher une migration ? Dans mon cas j'utilise que vi/vim pour tout ce qui est dévelopement partout mais bon :) par contre professionnellement je suis tout de meme oblige de garder un Linux dans un coin parce que la clientele tourne essentiellement dessus, parce que des applis maison lisent dans /proc (et autres linuxismes…) et donc il faudrait trouver le temps de porter (ah ah …) etc etc fort heureusement le nombre d'applications qui sont portes sous OpenBSD continue de grandir.

    • [^] # Re: De Linux à UNIX

      Posté par  . Évalué à 2.

      je suis en train de passer en openbsd pour des serveurs de dev, voire de prod (mais encore un peu tôt) et j'en suis assez content, la config est simple élégante, avec quelques particularités qui semblent évidentes.
      Reste le problème du chroot de certains processus comme le serveur web maison (un bonheur) qui oblige à des circonvolutions pour le connecter à maria db par exemple.
      Mais sinon que du bonheur (en plus de faire überGeek :-) )

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.