Небольшой опус, посвященный предстоящему выходу OpenBSD 3.5.

 OpenBSD 3.5 upcomming!
[http://www.openbsd.org/35.html]

Вот и пришло время, чтобы упомянуть, что мы имеем благодаря проекту
OpenBSD. Но для начала, в предверье очередного релиза этой
замечательной операционной системы, хочется сказать о том, что было
сделано до 3.5 и что появится в этой версии.

Не для кого не секрет, что OpenBSD это форк NetBSD, сделанный Theo de
Raadt'ом в 1995 году и с тех пор привнесший в мир opensource много
нового.

ОС OpenBSD выгодно отличает от многих других решений в области
построения операционных систем, то, что усилия разработчиков
направлены на корректность, стандартность операционной системы, на
адекватное поведение системных компонент. Подчас силы, брошенные на
улучшение стабильности работы, во много раз превышают те, что
занимаются нововведениями. Также целью проекта [1] является создание
действительно бесплатной, свободной и безопасной ОС и, поверьте,
редкая ОС является настолько лицензионно чистой как OpenBSD [2].

Сильной стороной OpenBSD является поддержка криптографического
программного интерфейса [3], посредством которого любые
программные компоненты могут использовать сложные крипто-алгоритмы,
полагаясь на реализацию в ядре. Благодаря поддержке аппаратных
крипто-акселераторов [4], можно переложить работу по шифрованию на
устройство, разгрузив тем самым центральный процессор. Подробнее о
криптографии в OpenBSD можно узнать здесь:
http://www.openbsd.org/crypto.html

Усилия разработчиков направлены на усовершенствование стандартных
приложений Unix и на разработку собственных. Так были введены новые
функции в стандартную библиотеку языка C (strlcat, strlcpy) [5],
добавлен механизм разделения привилегий [6] в sshd, syslogd и др.
В 3.5 механизм разделения привилегий также внедрен в isakmpd, named,
pflogd, tcpdump. Благодаря работе Niels Provos'а был внедрен механизм
ограничения вызовов системных примитивов на основе системы ролей --
systrace [7]. Сейчас, стараниями разработчиков, systrace набирает силу
и вскоре будет широко использоваться в системе. Уже с 3.4 порты
собираются под его надзором.

Интеграция технологии проверки границ массивов ProPolice [8] и
механизма неисполнимых страниц памяти W^X позволяет свести риск
переполнения буфера к минимуму. А постоянный аудит кода системы
позволяет уменьшить число потенциальных ошибок и повысить стабильность
системы. Это и есть про-активная безопасность!

Отдельной темой для дискуссии является поддержка IPv6 и IPsec в
стандартном (GENERIC) ядре. Система поставляется со стеком протоколов
KAME IPv6 [9] давно и разработчики уже имеют немалый практический опыт
работы в сетях с IPv6. Поддержка IPsec [10] в OpenBSD это постоянно
развивающаяся и совершенствующаяся подсистема. С OpenBSD поставляется
бесплатная реализация протокола обмена ключами ISAKMP/Oakley, isakmpd
[11], выполненная силами проекта OpenBSD.

Нельзя не упомянуть разработку проекта, ставшего особенно знаменитым и
востребованным -- OpenSSH [12]. Сейчас OpenSSH предоставляет
широчайшие возможности по туннелированию трафика и включается в очень
большое число операционных систем, помимо OpenBSD (различные
дистрибутивы Linux, FreeBSD, NetBSD, IBM AIX и др.). В новом релизе
изменения коснулись GSSAPI, улучшена производительность протокола SSH
2.0. Так же произведен ряд изменений, расширяющий функционал OpenSSH.

В новом релизе OpenBSD введена поддержка нового протокола CARP [13]
(Common Address Redundancy Protocol, общий протокол избыточности
адресов), позволяющий системам, использующим его, подменять друг
друга, в случае останова одной из них. Эта разработка была проведена
проектом OpenBSD из-за частичной закрытости протокола IETF VRRP
(Virtual Router Redundancy Protocol), отдельные части которого
запатентованы CISCO. В связи с разработкой CARP, был расширен и
усовершенствован механизм синхронизации [14] таблицы состояний
пакетного фильтра pf [15] между несколькими машинами, его
использующими.

В 3.5 появляется еще один сервис, еще раз доказывающий
небезосновательность позиционирования разработчиками OpenBSD как
лучшей системы для построения шлюза. Это сервис, реализующий BGP-4
[16] маршрутизацию, bgpd [17].

В плане сетевых возможностей очень интересным решением является
поддержка динамического создания псевдо интерфейсов. То есть, если
раньше мы были вынуждены явно указывать количество, скажем, loopback
интерфейсов, то теперь можно этого не делать, а в работающей системе
набрать ``ifconfig lo2 create'' и вуаля. (Эта возможность
официально названа `interface cloning'.)

Расширена поддержка аппаратных платформ. Теперь OpenBSD можно
использовать на AMD64, Simtec Electronics StrongARM 110 Evaluation
Board и Motorola VME 88k. Также хочется отметить, что OpenBSD это
единственная из BSD систем, полностью поддерживающая новые Pegasos
[18] компьютеры.

В плане поддержки оборудования 3.5 также имеет достаточно много
улучшений, среди них:
 * улучшения в дисковых подсистемах ATA и SATA;
 * использование возможностей аппаратного шифрования в некоторых VIA
   Cyrix III процессорах, что обеспечивает скорость шифрования в
   780Мбайт/с и таким образом является наиболее быстрой  реализацией
   AES шифрования;
 * поддержка Intel 852/855/865 AGP чипсетов;
 * поддержка i835 AGP GART;
 * улучшения в SCSI подсистеме и во многих SCSI контроллерах:
 * убраны ненавистные многим 8Gb ограничения в загрузчике на i386;
 * поддержка LSI Fusion-MPT SCSI и FibreChannel адаптеров;
 * поддержка Broadcom BCM4401 FastEthernet и улучшения в драйверах для
   Intel PRO/1000, Broadcom BCM570x, SysKonnect XMAC II и Marvell GMA
   сетевых адаптеров.
 * для мобильных пользователей OpenBSD добавлена возможность изменения
   быстродействия CPU с помощью параметра hw.setperf.
 * улучшенная поддержка USB флэш-карт и многое другое!

Продолжен долгосрочный проект по замене GNU утилит на соответствующие
с лицензией BSD. В этот раз заменены утилиты bc, dc, nm и size.
Добавлены новые команды и сервисы: sensorsd - мониторинг системных
сенсоров, procmap - для изучения карты памяти процесса, bgpd - уже
упоминавшийся сервис BGP-4 маршрутизации, pkill и pgrep для поиска и
посылки сигнала процессу по его имени (да, в OpenBSD не было аналога
killall).

После небезызвестных тестов на масштабируемость [19], где OpenBSD
проигрывала в ряде тестов, связанных с открытием большого числа
сокетов, команда разработчиков OpenBSD улучшила ситуацию (в ~100 раз
по их словам). Также был добавлен механизм кэширования TCP пакетов с
установленным битом SYN (запрос на подключение), что обеспечивает
меньший расход памяти для не полностью открытых соединений. Также
обещают прирост до 100% в скорости работы отдельных функций OpenSSL
(конкретнее: md5, sha1, blowfish, des, 3des, rsa, dsa и bn) на i386.
Произведенные обновления в коде FFS (Fast File System) повысили
производительность файловой системы использованием механизма
хеширования содержимого директорий (из FreeBSD). Также обещаны
улучшения в библиотеке pthread.

Marc Espie, разработчик OpenBSD, переписал стандартные pkg_* утилиты
на Perl, расширив их гибкость и функциональность.

Изменения между 3.4 и 3.5 доступны здесь [20] (А после официального
выхода здесь [21]).  Полный список изменений доступен здесь [22].

После официального релиза 3.5, велика вероятность того, что основное
дерево исходников будет объединено с веткой SMP, тем самым добавляя в
OpenBSD поддержку многопроцессорных систем. Так же очень перспективным
кажется включение в OpenBSD поддержки зашифрованных разделов [23]
через устройство cgd из NetBSD.

В завершении сего хочу сказать, что если Вы дочитали до сюда, то
пришло время расслабится и насладится творчеством разработчиков
OpenBSD в другой ипостаси, а именно музыке. К каждому выходу OpenBSD,
начиная с 3.0 приурочивается так называемая release song. 3.5 release
song состоит из двух частей: скетча по подобию Monty Python,
названного "CARP License"  и собственно песни "Redundancy must be
free". Приятного прослушивания!
Собственно: http://www.openbsd.org/lyrics.html#35.


Еще хотелось добавить ссылку на интервью Marc Espie:
 http://www.onlamp.com/pub/a/bsd/2004/03/18/marc_espie.html

References:
 1. http://www.openbsd.org/goals.html
 2. http://www.openbsd.org/policy.html
 3. http://www.openbsd.org/cgi-bin/man.cgi?query=crypto&sektion=9
 4. http://www.openbsd.org/cgi-bin/man.cgi?query=crypto&sektion=4
 5. http://www.openbsd.org/cgi-bin/man.cgi?query=strlcat&sektion=3
 6. http://www.citi.umich.edu/u/provos/ssh/privsep.html
 7. http://www.citi.umich.edu/u/provos/systrace/
 8. http://www.research.ibm.com/trl/projects/security/ssp/
 9. http://www.kame.net/
10. http://www.openbsd.org/cgi-bin/man.cgi?query=ipsec&sektion=4
11. http://www.openbsd.org/cgi-bin/man.cgi?query=isakmpd&sektion=8
12. http://www.openssh.org/
13. http://www.openbsd.org/cgi-bin/man.cgi?query=carp&sektion=4
14. http://www.openbsd.org/cgi-bin/man.cgi?query=pfsync&sektion=4
15. http://www.openbsd.org/cgi-bin/man.cgi?query=pf&sektion=4
16. http://www.rfc-editor.org/rfc/rfc1771.txt
17. http://www.openbsd.org/cgi-bin/man.cgi?query=bgpd&sektion=8
18. http://www.pegasosppc.com/
19. http://bulk.fefe.de/scalability/
20. http://www.openbsd.org/35.html
21. http://www.openbsd.org/plus.html
22. http://www.openbsd.org/plus35.html
23. http://www.stanford.edu/~tedu/cgd.html


 Вопросы и предложения всегда приветствуются.
 
Автор Mike Belopuhov [mkb-mall at list dot ru]