Phát hành OpenBSD 7.9

 (openbsd.org)
1 điểm bởi GN⁺ 19 giờ trước | 2 bình luận | Chia sẻ qua WhatsApp
  • Bổ sung chế độ ngủ đông trì hoãn, cho phép hệ thống tự đánh thức sau khoảng thời gian đã cấu hình trong trạng thái suspend rồi ngay lập tức chuyển sang hibernate để tránh pin bị cạn; có thể chỉ định thời gian trì hoãn theo giây bằng machdep.hibernatedelay
  • Thay đổi bảo mật gồm loại bỏ cơ chế bỏ qua BIOCLOCK của bpf(4) dành cho root, loại bỏ promise tmppath của pledge(2), và giới thiệu __pledge_open(2) để cho phép truy cập tệp nội bộ của libc một cách hạn chế
  • OpenSSH 10.3 sửa các vấn đề bảo mật liên quan đến khả năng thực thi lệnh qua mở rộng token % trong tên người dùng của ssh(1), đối sánh principal của chứng chỉ trong sshd(8), xử lý setuid/setgid của legacy scp -O, áp dụng giới hạn thuật toán ECDSA, và thiếu kiểm tra mux proxy
  • LibreSSL 4.3.0 bổ sung hỗ trợ keyshare TLS MLKEM768_X25519, sieve starttls, và pubkey OID RSASSA-PSS, đồng thời sửa lỗi kiểm tra độ sâu verifier X.509 dạng off-by-one có thể dẫn đến ghi đè 4 byte bộ nhớ heap
  • Trong network stack, veb(4) trở thành bridge có nhận biết VLAN, hỗ trợ PVID, bitmap VID được phép, cấu hình cổng access/trunk/hybrid, và dùng PVID mặc định là 1 để tương thích với cấu hình đơn giản hiện có
  • IPv6 autoconf(SLAAC) được bật mặc định, còn pflow(4) bổ sung NAT template cho IPFIX/Netflow v10 chứa IP và cổng nguồn/đích sau NAT
  • pf(4) giới thiệu source/state limiter và cho phép chỉ định action sẽ chạy khi chạm ngưỡng; action limiter mặc định của pfctl(8) được đổi từ no-match sang block
  • Ảo hóa bổ sung vmboot để cho phép dùng sysupgrade(8) trong VM của vmd(8), đồng thời cải thiện hoạt động với Apple Virtualization, các đường dẫn confidential computing như AMD SEV, và nhiều vấn đề race, treo, reset mạng
  • Hỗ trợ phần cứng bổ sung SoC RK3588/RK3576 trên arm64, GL9755 SDHC trên một số laptop Apple Silicon, SoC SpacemiT K1 trên riscv64, nhi(4) cho USB4, ispi(4) cho Intel LPSS SPI, cùng nhiều thành phần khác
  • Mạng không dây hỗ trợ 802.11ax mặc định, cửa sổ 5GHz 160MHz và hỗ trợ 160MHz cho iwx(4), thêm PMF cho iwm(4), iwx(4), qwx(4), và bật mặc định powersave cho iwx(4)
  • Cài đặt và nâng cấp được thay đổi để sysupgrade thất bại nếu hệ thống tệp /usr vượt quá 90%, giúp giảm nguy cơ hỏng hệ thống; trên amd64, hệ thống cũng hỗ trợ nạp tệp kernel từ EFI system partition để có thể đặt OpenBSD boot loader và bsd.rd trên EFI boot partition
  • Gói phần mềm và thành phần chính cung cấp 13.044 gói cho amd64, 12.883 gói cho aarch64, 10.631 gói cho i386, bao gồm Chromium 147.0.7727.101, Firefox 150.0, Node.js 22.22.2, PostgreSQL 18.3, Rust 1.94.1, cùng LLVM/Clang 19.1.7·20.1.8·21.1.8

Bài viết liên quan

2 bình luận

 
GN⁺ 18 giờ trước
Ý kiến Hacker News

  • Artwork phát hành OpenBSD 7.9 do Lyra Henderson thực hiện
    https://www.openbsd.org/images/PinkPuffy.png
    https://www.openbsd.org/images/puffy79.gif
    Ca khúc phát hành là "Diamond in the Rough" do Bob Kitella sáng tác và sản xuất
    https://www.openbsd.org/lyrics.html#79
    Đồ lưu niệm hiện vẫn chủ yếu là áo thun: https://openbsdstore.com/

    • Trong PinkPuffy.png được liên kết, trên chiếc mũ mèo có chữ "security", nhưng trên nhiều áo thun trong cửa hàng OpenBSD thì mũ mèo lại ghi "POLICE", khá thú vị
    • Thật thú vị khi OpenBSD tiếp tục mở rộng hỗ trợ phần cứng
      Tôi đang chạy nó trên máy chủ nhỏ ở nhà để làm DNS/DHCP, độ ổn định rất ấn tượng và có thể thấy rõ thành quả tích lũy từ quá trình audit kéo dài nhiều năm
    • Tôi tự hỏi liệu Theo có nghiêng về phía AI đến mức bắt đầu dùng AI để làm cả artwork phát hành lẫn bài hát hay không

  • Các vấn đề bảo mật vẫn liên tục được phát hiện ở những hệ điều hành khác, và với AI thì tốc độ đó còn sẽ nhanh hơn, nên tôi nghĩ giờ là lúc mọi người cân nhắc OpenBSD
    Cách tiếp cận tập trung vào bảo mật trong suốt hàng chục năm là không nơi nào theo kịp, và tôi đã chuyển hoàn toàn từ Ubuntu/Debian sang OpenBSD, không có ý định quay lại

    • Đáng tiếc là trên nhiều hệ thống, hỗ trợ phần cứng vẫn chưa đủ tốt
      Nếu phải chọn một BSD thì có lẽ tôi vẫn sẽ chọn FreeBSD
    • Tôi đã thử OpenBSD gần đây và nó hoạt động khá khác so với các hệ điều hành khác
      Cùng một đoạn mã chạy tốt trên Linux/FreeBSD/Windows, nhưng trên OpenBSD thì hiệu năng đa luồng thấp hơn, và socket bất đồng bộ cũng dừng lại sau vài giây truyền tốc độ cao
      Không có nghĩa là OpenBSD sai, chỉ là cảm giác nó khác biệt
    • Tôi không rõ OpenBSD có thực sự an toàn hơn Linux hay không
      Tôi chưa tìm được dữ liệu nào chứng minh điều đó, chỉ thấy những ấn tượng mơ hồ
    • Nếu coi trọng bảo mật thì có lẽ cũng nên cân nhắc Qubes OS
      Thảo luận liên quan: https://forum.qubes-os.org/t/qubesos-vs-openbsd-security/790...
    • Nếu nói rằng “giờ là lúc mọi người cân nhắc OpenBSD”, thì sẽ vẫn hơi mơ hồ nếu một tính năng được cho là rất an toàn lại có thể bị vô hiệu hóa chỉ bởi một symbolic link
      https://x.com/ortegaalfredo/status/2055362910415671459
      Tất nhiên cũng khó nói phía Linux tốt hơn, nhưng nhờ thị phần lớn nên họ có lợi thế là có nhiều người soi lỗi hơn

  • Với một số người, việc Exim bị gỡ khỏi ports là tin lớn
    Có một bài viết hay về việc chuyển từ Exim sang OpenSMTPD: https://nxdomain.no/~peter/time_for_opensmtpd.html
    Trước đây tôi từng thử OpenSMTPD khi nó mới ra mắt chưa lâu nhưng khi đó chưa đủ ổn định, có lẽ giờ là lúc thử lại

    • Tôi hài lòng với OpenSMTPD
      Tôi đã chạy OpenSMTPD nhiều năm trên cả OpenBSD lẫn Linux và không có gì để phàn nàn
    • Khá bất ngờ khi Exim bị loại khỏi ports
      Vốn dĩ nó cũng không nằm trong hệ thống cơ bản, nên có lẽ chỉ là maintainer không còn muốn duy trì nữa
    • Tôi thực sự thích OpenSMTPD
      Nó gọn gàng, không rườm rà, và cách cấu hình cũng cho cảm giác khá hiện đại so với những kiểu cấu hình cũ kỹ trước đây
    • OpenSMTPD đã được viết lại đáng kể ở bản 6.4, tức vào năm 2018
      Tôi cho rằng với hầu hết trường hợp sử dụng, đây là máy chủ SMTP tốt nhất
      Đáng tiếc là hỗ trợ cho các bản port còn yếu, nên những người được trải nghiệm nó tốt đến mức nào thường chỉ giới hạn ở người dùng OpenBSD

  • Trước đây tôi từng cài nó lên một chiếc G4 PowerBook và dùng một thời gian, chắc là vào đầu những năm 2000
    Tôi thích thái độ không thỏa hiệp với binary blob và cách tiếp cận lấy bảo mật làm trung tâm, và trải nghiệm tổng thể cũng rất tuyệt
    Mã nguồn mà tôi từng đọc cũng được viết rất sạch sẽ
    Đây luôn là một hệ thống đáng để giới thiệu, và sắp tới tôi nên cài lại nó ở đâu đó
    Đây cũng là bản phát hành thứ 60, nên xin chúc mừng đội ngũ

  • Có vẻ họ đã thêm cơ chế trong scheduler để xử lý các lõi CPU có tốc độ khác nhau
    hw.blockcpu nhận một chuỗi gồm bốn ký tự S cho SMT, P cho lõi hiệu năng thông thường, E cho lõi tiết kiệm điện, và L cho lõi chậm hơn, dùng để chọn CPU bị loại khỏi scheduler; mặc định là SL
    Hiện tại nó hoạt động trên amd64 và arm64
    Dù vậy, tôi vẫn chưa thật sự bị thuyết phục về lợi ích của việc có các lõi chậm trong những kiến trúc kiểu big.LITTLE
    Bạn sẽ không muốn công việc bị gán vào những lõi đó, và ngay cả tác vụ nền thì chẳng phải hoàn thành nhanh hơn rồi nhàn rỗi sẽ tiết kiệm điện hơn sao
    Nếu tính năng giữa các lõi khác nhau, chẳng hạn khi một tiến trình cần tính năng CPU như AVX-512 mà lại bị gán vào lõi không hỗ trợ, thì chuyện gì sẽ xảy ra cũng là điều đáng hỏi
    Ở đây OpenBSD chọn cách tiếp cận nhanh và thô là tắt các lõi chậm đi, nhưng tôi cũng không biết liệu có heuristic tốt nào để gán công việc vào những lõi như vậy không
    Điều duy nhất tôi nghĩ ra là một cơ chế phức tạp cho phép gắn thẻ thủ công vào file thực thi hoặc thread kiểu “tiến trình này phù hợp với lõi chậm”
    Đọc mailing list thì có vẻ scheduler đơn giản sẽ đặt tiến trình vào bất cứ đâu, còn các lõi nhỏ trên một số hệ thống big.LITTLE mới thì rất chậm, gây ảnh hưởng lớn đến việc biên dịch lại mã

    • race to idle chỉ thực sự có lợi rõ ràng với những công việc có điểm bắt đầu và kết thúc rõ rệt
      Nếu tác vụ nền chạy liên tục, phản ứng với các sự kiện khó đoán, hoặc thường xuyên thức dậy để làm chút việc, thì logic boost của CPU thôi không thể giải quyết vấn đề tiêu thụ điện năng
      Và trên x86-64 hay ARM, lõi P và lõi E dùng cùng một tập lệnh, nên không có rủi ro thực thi sai lệnh CPU
      Những tập lệnh dị chủng thực sự có thể sẽ quay lại trong tương lai, nên vẫn cần lưu ý

  • Nếu có ai ở đây dùng OpenBSD, tôi tò mò không biết mọi người dùng nó cho mục đích gì
    Tôi từng muốn thử NetBSD cho ứng dụng trên hệ thống nhúng hay thiết bị IoT nhưng vẫn chưa có dịp

    • Tôi dùng OpenBSD trên VPS của Hetzner, trên bare metal cho khách hàng coi trọng bảo mật, và trên phần cứng cũ nhưng vẫn dùng tốt trong homelab
      OpenBSD chạy rất tốt cả trên phần cứng Apple cũ mà Cupertino không còn hỗ trợ nữa
      Tôi đang vận hành một cụm Intel Mac Mini với thời gian hoạt động gần như hoàn hảo
      Nếu là máy chủ cần độ ổn định và bảo mật như web, mail, DNS, NFS hay cơ sở dữ liệu thì không cần tìm đâu xa
      Có đường cong học tập, nhưng hoàn toàn xứng đáng
    • Tôi dùng nó trên laptop cá nhân
      Lý do chính là tôi thích kiến trúc nhẹ và đơn giản của nó
      Việc đóng gói cũng đơn giản, phát triển kernel và nâng cấp cũng đơn giản
      Bản thân mã kernel cũng được viết theo phong cách tôi thích, đi vào cốt lõi và không có những tầng trừu tượng hay sự ồn ào không cần thiết
      Trong số các BSD khác tôi từng dùng, giữa NetBSD và FreeBSD/DragonFlyBSD, tôi vẫn thích nó hơn
      Tôi thích cảm giác có thể hiểu được phần lớn hệ thống
      Nó không nhiều tính năng như Linux, nhưng cảm giác thực sự hiểu hệ thống của mình rất mới mẻ
      Nó giống như đi nghỉ ở một thị trấn nhỏ xinh rồi sống một cách bình thường, yên ả; tất nhiên cảm nhận này có thể khác nhau tùy người
    • Tôi chạy nó trên firewall ở nhà, trên desktop và laptop ở văn phòng
      Khá ổn định và quen thuộc
      Nếu biết Unix thì nó thực sự đơn giản
      Tôi mong OpenBSD đừng biến mất, và cũng không rõ có gì thay thế được
      Linux giờ đã quá phức tạp đến mức khó mà kham nổi
    • Tôi đang cùng vợ lập một công ty cho thuê đồ cưới
      Tôi phụ trách phần số hóa, xây dựng ứng dụng Ruby on Rails và triển khai trên OpenBSD
      Toàn bộ hệ thống chạy trên một máy chủ Supermicro U1 giá rẻ đặt trong rack tại nhà
    • DNS authoritative với nsd, email với opensmtpd đều chạy ngay với cấu hình tối thiểu ngay cả trên KVM rất ít bộ nhớ
      Tài liệu rất tốt và việc cài đặt cũng dễ
      sysupgrade là một cải tiến lớn, nhưng tôi vẫn muốn chu kỳ phát hành chậm lại một chút

  • Họ nói đã thay spinlock cas trong mutex của kernel bằng parking lock, tôi tò mò parking lock là gì và nó hoạt động như thế nào
    Tôi không tìm thấy nội dung liên quan trong man page
    https://man.openbsd.org/OpenBSD-5.5/lock.9
    https://man.openbsd.org/OpenBSD-5.9/mutex.9

    • “parking” lock là cách gọi để chỉ bài viết này
      https://webkit.org/blog/6161/locking-in-webkit/
    • Đây là cách triển khai lock/mutex mà trong đó thread bị chặn, thay vì liên tục thực hiện phép toán CAS với lock, sẽ thường hợp tác nhường cho scheduler và đi ngủ
      Spinlock cho hiệu năng tốt khi mức độ tranh chấp không cao và thời gian giữ lock ngắn, nhưng nếu một trong hai điều đó không đúng thì thread bị chặn rất dễ chiếm trọn một lõi CPU chỉ để chờ

  • Hơi lạc đề một chút, nhưng phía FreeBSD cũng nên bớt phong cách logo quả cầu kính giả corporate vô hồn cùng kiểu chữ như hộp đồ chơi tàu vũ trụ đầu thập niên 90, mà quay lại với Beastie và kiểu serif tinh tế
    Nói cách khác là tôi ghen tị thôi, vì artwork của OpenBSD thực sự rất xuất sắc

  • Tôi ước OpenBSD hỗ trợ Bluetooth
    Việc không có nó đáng tiếc là một hạn chế mang tính quyết định, vì khi dùng thử trên desktop tôi thấy nó rất tuyệt

    • https://www.openbsdhandbook.com/multimedia/#bluetooth-audio
      Nó đã bị gỡ từ năm 2014
    • Chiếc tai nghe có dây duy nhất trong nhà tôi là dành cho laptop OpenBSD
    • Tôi tò mò không biết thiết bị Bluetooth nào là thứ không thể sống thiếu
    • Có thể sẽ cần Bluetooth cho bàn phím, chuột, tai nghe/headphone hoặc earbud, nên khá đáng tiếc
      OpenBSD trông rất hay nhưng hiện tại có cảm giác vẫn bị giới hạn cho mục đích máy chủ hơn là desktop, và việc tập trung vào sự đơn giản cũng có thể là một điểm mạnh
      Dù vậy tôi vẫn mong có thêm hỗ trợ phần cứng
      Nếu chạy OpenBSD trong máy ảo, biết đâu có thể tận dụng cả hỗ trợ phần cứng của Linux/Windows trên máy chủ lẫn ưu điểm của OpenBSD
    • Nếu thực sự cần thì gần như thứ gì cũng có thể gắn thêm bằng dongle phổ thông giá rẻ
      Ví dụ, tôi đang dùng Seeed Studio XIAO nRF52840 cho bàn phím BLE

  • Đúng lúc tôi đang tự hỏi 7.9 sẽ ra khi nào
    Lại còn có cả ca khúc phát hành, thật tuyệt
    Nếu tôi nhớ không nhầm thì đã khá lâu rồi không có bài mới

    • Tôi luôn nghe bài hát vào mỗi dịp phát hành
      Như đã nhắc ở thread khác, bài gần nhất là của 7.3
 
GN⁺ 19 giờ trước
Ý kiến trên Lobste.rs

  • Hôm nay mới biết OpenBSD có artwork và bài hát cho mỗi lần phát hành: https://www.openbsd.org/lyrics.html#79

    • Hồi đầu những năm 2000, tôi thường ghé hiệu sách gần văn phòng để mua từng bản phát hành dưới dạng phương tiện vật lý
      Có ba lý do: để hiệu sách tiếp tục nhập tài liệu về OpenBSD, để ủng hộ dự án, và vì tôi muốn sở hữu bản vật lý của artwork cùng bài hát; tôi nhớ cái cảm giác mang tính nghi thức đó

  • Tôi lúc nào cũng tò mò về BSD, nhưng có lẽ sẽ không thể rời Linux vì game

    • Năm 2016 thì tôi tò mò về Linux nhưng không thể rời Windows vì game, năm 2026 thì tò mò về BSD nhưng không thể rời Linux vì game, và đến năm 2036 có khi lại tò mò về Hurd nhưng không thể rời BSD vì game
    • Tình cờ tôi dùng một máy riêng cho game, và nhìn lại thì đó thực sự là một lựa chọn hợp lý
      Nhiều game online có bề mặt tấn công lỗ hổng rất lớn, được viết bằng mã độc quyền mà không ai kiểm toán, và đôi khi sau khi phát hành thì bị bỏ mặc không cập nhật nữa
      Thật tốt khi không phải để thông tin ngân hàng hay giấy tờ định danh của chính phủ trên cùng một máy
    • Trong hoàn cảnh tương tự, tôi đã giải quyết bằng cách dựng một home server nhỏ từ chiếc laptop dư với CPU TDP 7W
      Chỉ cần bỏ ra chút công sức cấu hình sshd, rồi có thể thoải mái vọc các tính năng liên quan đến BSD, và nếu muốn thì cũng là cơ hội để mở rộng sang self-hosting
      Hiện tại tôi đang chạy Home Assistant trên bhyve do FreeBSD quản lý, và đang nghĩ xem tiếp theo nên triển khai gì để tận dụng máy chủ tốt hơn
      Tất nhiên cũng có thể làm bằng máy ảo, nhưng ít nhất với tôi thì nó không thay thế hoàn toàn được cảm giác chạm vào một hệ thống thật

  • Tôi đã thử OpenBSD 7.9 trên QEMU; trình cài đặt có hơi cũ và bộ X11+fvwm2+xterm mặc định cũng trông lỗi thời, nhưng máy khởi động lên và hoạt động tốt
    doas hoạt động rất tuyệt, và tôi cũng cài được gói bằng pkg_add
    Tôi khá ngạc nhiên vì bản cài mặc định không có curl hay wget, nhưng xét về góc độ bảo mật thì tôi thích triết lý cấu hình tối thiểu này

    • Theo tôi thì trình cài đặt ngược lại là rất tuyệt
      Nó dẫn bạn đi qua toàn bộ quá trình, nhưng bất cứ lúc nào cần can thiệp thủ công thì cũng rất dễ làm
      Bạn có thể cứ nhấn Enter liên tục, hoặc tự xử lý hầu hết mọi thứ cũng được
      Bộ X11+fvwm2+xterm mặc định có vẻ như được chủ đích để có một tập gói vẫn cài được và chạy được trên những cỗ máy cũ kỹ như một mẩu bánh mì mốc
      Dù vậy, Wayland đã được port sang OpenBSD, và thật vui khi thấy thứ mà vào năm 2023 vẫn còn gần như chỉ là kế hoạch nay đã nhanh chóng trở nên cụ thể như vậy
      Với việc tải xuống, người ta kỳ vọng dùng ftp(1); trái với tên gọi, nó không chỉ dành riêng cho FTP mà còn hỗ trợ lấy dữ liệu qua HTTP(S)

  • Cuối cùng thì tôi cũng có thể cài lại lên Yeelong Lemote
    Do thay đổi pledge trong errata trước đó, tôi chỉ biên dịch lại kernel 7.8 còn userland thì giữ nguyên, nên đã tự chuốc họa; mà tất nhiên Loongson cũng không có cập nhật nhị phân