Lanzamiento de OpenBSD 7.9

 (openbsd.org)
1 puntos por GN⁺ 19 시간 전 | 2 comentarios | Compartir por WhatsApp
  • Se agregó la hibernación diferida, que permite despertar el sistema después de un tiempo configurado mientras está en estado suspend para hibernarlo de inmediato y así evitar la descarga de la batería; el tiempo de espera en segundos se especifica con machdep.hibernatedelay
  • Como cambios de seguridad, se eliminó la omisión de BIOCLOCK de bpf(4) para root, se retiró la promise tmppath de pledge(2) y se introdujo __pledge_open(2), que permite de forma limitada el acceso a archivos internos de libc
  • OpenSSH 10.3 corrige problemas de seguridad relacionados con la posible ejecución de comandos en ssh(1) por la expansión del token % en nombres de usuario, la coincidencia de principals en certificados de sshd(8), el manejo de setuid/setgid en el legado scp -O, la aplicación de restricciones a algoritmos ECDSA y la falta de verificación del mux proxy, entre otros
  • LibreSSL 4.3.0 agrega soporte para TLS MLKEM768_X25519 keyshare, sieve starttls y el OID de pubkey RSASSA-PSS, y corrige una posible sobrescritura de 4 bytes de memoria heap causada por un error off-by-one en la verificación de profundidad del verificador X.509
  • En el stack de red, veb(4) ahora es un bridge con reconocimiento de VLAN, compatible con PVID, bitmap de VID permitidos y configuración de puertos access/trunk/hybrid, y usa PVID 1 por defecto para mantener compatibilidad con configuraciones simples existentes
  • IPv6 autoconf (SLAAC) ahora está activado por defecto, y pflow(4) agrega una plantilla NAT de IPFIX/Netflow v10 que incluye IP y puertos de origen y destino después de NAT
  • pf(4) incorpora un limiter de source/state y permite especificar la action que se ejecutará al alcanzar el límite; la action predeterminada del limiter en pfctl(8) cambió de no-match a block
  • En virtualización, vmd(8) agrega vmboot, que permite usar sysupgrade(8) dentro de VM, y mejora el funcionamiento con Apple Virtualization, rutas de confidential computing como AMD SEV, y varios problemas de race, cuelgues y resets de red
  • En soporte de hardware, se agregan el SoC RK3588/RK3576 en arm64, el GL9755 SDHC de algunas laptops con Apple Silicon, el SoC SpacemiT K1 en riscv64, nhi(4) para USB4, ispi(4) para Intel LPSS SPI y más
  • En redes inalámbricas, se habilita soporte base para 802.11ax, soporte para ventana de 160MHz en 5GHz y 160MHz en iwx(4), se agrega PMF a iwm(4), iwx(4) y qwx(4), y iwx(4) activa powersave por defecto
  • En instalación y actualización, sysupgrade ahora falla si el sistema de archivos /usr supera el 90%, lo que reduce la posibilidad de dañar el sistema, y en amd64 se admite cargar archivos del kernel desde la EFI system partition, por lo que el boot loader de OpenBSD y bsd.rd pueden colocarse en la partición de arranque EFI
  • En paquetes y componentes principales, se ofrecen 13,044 paquetes para amd64, 12,883 para aarch64 y 10,631 para i386, e incluye Chromium 147.0.7727.101, Firefox 150.0, Node.js 22.22.2, PostgreSQL 18.3, Rust 1.94.1 y LLVM/Clang 19.1.7·20.1.8·21.1.8

Lecturas relacionadas

2 comentarios

 
GN⁺ 18 시간 전
Comentarios de Hacker News

  • El arte del lanzamiento de OpenBSD 7.9 fue realizado por Lyra Henderson
    https://www.openbsd.org/images/PinkPuffy.png
    https://www.openbsd.org/images/puffy79.gif
    La canción del lanzamiento es "Diamond in the Rough", compuesta y producida por Bob Kitella
    https://www.openbsd.org/lyrics.html#79
    La ropa todavía parece centrarse sobre todo en camisetas: https://openbsdstore.com/

    • Es curioso que en el PinkPuffy.png enlazado diga "security" en el sombrero de gato, mientras que en varias camisetas de la tienda de OpenBSD el sombrero de gato dice "POLICE"
    • Es interesante ver que OpenBSD sigue ampliando su soporte de hardware
      Lo ejecuto en un pequeño servidor en casa para DNS/DHCP, y su estabilidad impresiona; se nota claramente la acumulación de muchos años de trabajo de auditoría
    • Me pregunto si Theo se inclinará hacia la IA y empezará a hacer con IA hasta el arte y las canciones de los lanzamientos

  • Siguen apareciendo problemas de seguridad en otros sistemas operativos, y con la IA eso se acelerará aún más, así que creo que ya es momento de que todos consideren OpenBSD
    Su enfoque centrado en la seguridad durante décadas no tiene comparación, y me cambié por completo de Ubuntu/Debian a OpenBSD sin intención de volver

    • Por desgracia, en muchos sistemas el soporte de hardware no es suficiente
      Si tuviera que elegir un BSD, probablemente aun así escogería FreeBSD
    • Probé OpenBSD recientemente y funcionó de manera bastante distinta a otros sistemas operativos
      El mismo código corre bien en Linux/FreeBSD/Windows, pero en OpenBSD el rendimiento multihilo fue bajo, y los sockets asíncronos se detenían tras unos segundos de transferencia rápida
      No digo que OpenBSD esté mal, solo que se siente diferente
    • No estoy seguro de si OpenBSD realmente es más seguro que Linux
      No he encontrado datos que lo respalden, solo impresiones vagas
    • Si la seguridad es importante, quizá también valga la pena considerar Qubes OS
      Discusión relacionada: https://forum.qubes-os.org/t/qubesos-vs-openbsd-security/790...
    • Decir que “ya es momento de que todos consideren OpenBSD” todavía suena dudoso si una función supuestamente muy segura puede neutralizarse con un solo enlace simbólico
      https://x.com/ortegaalfredo/status/2055362910415671459
      Claro, tampoco es fácil decir que Linux esté mejor, pero sí tiene la ventaja de que, por su cuota de mercado, hay más ojos para corregir problemas

  • Para algunos, la gran noticia es que Exim fue eliminado de ports
    Hay un buen artículo sobre migrar de Exim a OpenSMTPD: https://nxdomain.no/~peter/time_for_opensmtpd.html
    Probé OpenSMTPD hace tiempo, poco después de que apareciera, pero no me pareció lo bastante estable; ahora parece buen momento para volver a intentarlo

    • Estoy satisfecho con OpenSMTPD
      Llevo varios años ejecutando OpenSMTPD tanto en OpenBSD como en Linux y no tengo quejas
    • Me sorprende que Exim haya salido de ports
      Después de todo, nunca estuvo en el sistema base, así que probablemente el mantenedor ya no quiso seguir haciéndose cargo
    • Me gusta mucho OpenSMTPD
      Es limpio, y su forma de configuración se siente bastante moderna en comparación con los viejos estilos de configuración heredados
    • OpenSMTPD fue reescrito en buena parte en la 6.4, es decir, en 2018
      Para la mayoría de los casos de uso, me parece el mejor servidor SMTP
      Por desgracia, el soporte para ports es débil, así que quienes aprenden lo bueno que es suelen limitarse a usuarios de OpenBSD

  • Lo instalé y usé un poco en una G4 PowerBook hace tiempo, quizá a principios de los 2000
    Me gustó su postura inflexible frente a los blobs binarios y su enfoque centrado en la seguridad, y toda la experiencia fue muy buena
    El código que leí también estaba escrito con limpieza
    Siempre ha sido un sistema recomendable, y debería volver a instalarlo en algún lado pronto
    Además, este es su lanzamiento número 60, así que felicidades al equipo

  • Dicen que se añadió un mecanismo en el scheduler para manejar núcleos de CPU con distintas velocidades
    hw.blockcpu recibe una secuencia de cuatro letras: S para SMT, P para núcleos de rendimiento general, E para núcleos de eficiencia y L para núcleos más lentos; se usa para elegir qué CPU excluir del scheduler, y el valor predeterminado es SL
    Actualmente funciona en amd64 y arm64
    Aun así, no termino de ver la ventaja de tener núcleos lentos disponibles para la CPU en arquitecturas como big.LITTLE
    Uno no querría que las tareas se asignen a esos núcleos, y hasta las tareas en segundo plano quizá consuman menos energía si terminan rápido, ¿no?
    Si cada núcleo tiene capacidades distintas, también me pregunto qué pasa cuando un proceso que requiere funciones de CPU como AVX-512 se asigna a un núcleo que no las tiene
    OpenBSD eligió aquí el enfoque rápido y tosco de simplemente apagar los núcleos lentos, aunque no sé si exista una buena heurística para asignarles trabajo
    Lo único que se me ocurre es algún mecanismo complejo para poner etiquetas manuales a ejecutables o hilos, algo como “este proceso es apto para núcleos lentos”
    Según la lista de correo, un scheduler simple pone procesos en cualquier lado, y en algunos sistemas big.LITTLE nuevos los núcleos pequeños son tan lentos que afectan mucho la recompilación de código

    • race to idle solo tiene una ventaja clara en tareas con un inicio y un final bien definidos
      Si el trabajo en segundo plano se ejecuta continuamente, responde a eventos impredecibles o se despierta seguido para hacer pequeñas porciones de trabajo, la lógica de boost del CPU por sí sola no resuelve el problema del consumo energético
      Y en x86-64 o ARM, los núcleos P y E usan el mismo conjunto de instrucciones, así que no existe el riesgo de ejecutar una instrucción de CPU incorrecta
      Los conjuntos de instrucciones verdaderamente heterogéneos podrían volver a aparecer en el futuro, así que conviene estar atentos

  • Si hay gente aquí que use OpenBSD, me da curiosidad saber para qué lo usan
    Me habría gustado probar NetBSD para aplicaciones en sistemas embebidos o dispositivos IoT, pero todavía no se me ha dado la oportunidad

    • Uso OpenBSD en VPS de Hetzner, bare metal para clientes enfocados en seguridad y hardware viejo pero todavía útil en mi homelab
      OpenBSD también va de maravilla en hardware Apple antiguo que Cupertino ya no soporta
      Tengo un clúster de Intel Mac Mini funcionando con un tiempo de actividad casi perfecto
      Si se trata de servidores donde importan la estabilidad y la seguridad, como web, correo, DNS, NFS o bases de datos, no hace falta buscar más
      Tiene curva de aprendizaje, pero vale totalmente la pena
    • Lo uso en mi laptop personal
      La razón principal es que me gusta su estructura ligera y simple
      El empaquetado es simple, y también lo son el desarrollo del kernel y las actualizaciones
      El propio código del kernel está escrito en un estilo que me gusta, con lo esencial y sin abstracciones innecesarias ni ruido
      Incluso entre otros BSD que he usado, entre NetBSD y FreeBSD/DragonFlyBSD, lo prefiero más
      Se siente bien poder entender la mayor parte del sistema
      No tiene tantas funciones como Linux, pero esa sensación de entender tu propio sistema es refrescante
      Se parece más a irte de vacaciones a un pueblo pequeño y bonito para vivir tranquilo y sin sobresaltos, aunque claro, cada quien lo sentirá distinto
    • Lo ejecuto en el firewall de casa y en los desktops y laptops de la oficina
      Es bastante estable y familiar
      Si conoces Unix, es realmente simple
      Espero que OpenBSD no desaparezca, y no conozco bien con qué podría reemplazarse
      Linux ya se volvió demasiado complejo y cuesta manejarlo
    • Mi esposa y yo estamos creando una empresa de renta para bodas
      Yo me encargo de la parte digital, hago la app en Ruby on Rails y la despliego en OpenBSD
      Todo el sistema corre en un solo servidor barato Supermicro U1 en un rack en casa
    • El DNS autoritativo con nsd y el correo con opensmtpd funcionan de inmediato con configuración mínima, incluso en KVM con muy poca memoria
      La documentación es excelente y la instalación es fácil
      sysupgrade fue una gran mejora, aunque me gustaría que el ciclo de lanzamientos fuera un poco más lento

  • Leí que en los mutex del kernel cambiaron el spinlock de cas por un parking lock, y me da curiosidad qué es exactamente y cómo funciona
    No encontré nada al respecto en las páginas del manual
    https://man.openbsd.org/OpenBSD-5.5/lock.9
    https://man.openbsd.org/OpenBSD-5.9/mutex.9

    • “parking” lock se refiere a este artículo
      https://webkit.org/blog/6161/locking-in-webkit/
    • Es una implementación de lock/mutex en la que un hilo bloqueado, en lugar de seguir haciendo operaciones CAS sobre el lock, normalmente cede el control de forma cooperativa al scheduler para dormir
      Los spinlocks rinden bien cuando no hay mucha contención y el tiempo de retención del lock es corto, pero si una de esas condiciones no se cumple, es fácil que un hilo bloqueado consuma un núcleo entero de CPU mientras espera

  • Un poco fuera del tema, pero ojalá FreeBSD también dejara un poco atrás ese logo de esfera de vidrio corporativo y sin alma, junto con esa tipografía que parece caja de juguete espacial de principios de los 90, y volviera a Beastie y a una serif elegante
    En otras palabras, es envidia: el arte de OpenBSD es realmente excelente

  • Ojalá OpenBSD soportara Bluetooth
    Que no lo tenga es, lamentablemente, una limitación decisiva, y cuando lo probé en desktop me pareció excelente

    • https://www.openbsdhandbook.com/multimedia/#bluetooth-audio
      Se eliminó en 2014
    • Los únicos audífonos con cable que tengo en casa son para la laptop con OpenBSD
    • Me da curiosidad qué dispositivo Bluetooth hay que sea realmente indispensable
    • Puede hacer falta Bluetooth para teclado, mouse, audífonos/earbuds y similares, así que sí se extraña
      OpenBSD se ve bien, pero ahora mismo da la impresión de estar más limitado a uso de servidor que de desktop, aunque eso también puede ser una ventaja si su enfoque es la simplicidad
      Aun así, me gustaría que tuviera más soporte de hardware
      Si corres OpenBSD en una máquina virtual, quizá puedas tener tanto el soporte de hardware de Linux/Windows como las ventajas de OpenBSD
    • Si de verdad lo necesitas, se puede hacer un dongle genérico barato para casi cualquier cosa
      Por ejemplo, para un teclado BLE uso un Seeed Studio XIAO nRF52840

  • Justo me estaba preguntando cuándo saldría la 7.9
    Además, está bueno que también haya canción de lanzamiento
    Si recuerdo bien, hacía un tiempo que no había una nueva

    • Siempre reviso la canción en cada lanzamiento
      Como ya se mencionó en otro hilo, la última fue la de 7.3
 
GN⁺ 19 시간 전
Opiniones en Lobste.rs

  • Hoy me enteré de que OpenBSD tiene arte y canciones para cada lanzamiento: https://www.openbsd.org/lyrics.html#79

    • A principios de los 2000 iba a la librería cerca de la oficina y compraba cada lanzamiento en medio físico
      Lo hacía por tres razones: que la librería siguiera trayendo material relacionado con OpenBSD, apoyar el proyecto y tener una copia física del arte y las canciones; extraño ese proceso casi ritual

  • BSD siempre me ha dado curiosidad, pero no creo poder dejar Linux por culpa de los juegos

    • En 2016 tenía curiosidad por Linux, pero no podía dejar Windows por los juegos; en 2026 podría tener curiosidad por BSD, pero no poder dejar Linux por los juegos; y en 2036 quizá tenga curiosidad por Hurd, pero no pueda dejar BSD por los juegos
    • Por casualidad terminé usando una máquina separada para jugar y, viéndolo en retrospectiva, fue una decisión muy razonable
      Muchos juegos en línea tienen una gran superficie de ataque para exploits, están hechos con código privativo que nadie audita y a veces quedan abandonados sin actualizaciones poco después de salir
      Me gusta no tener la información bancaria ni documentos relacionados con mi identificación gubernamental en la misma máquina
    • En una situación parecida lo resolví armando un pequeño servidor casero con una laptop vieja y un CPU de 7W TDP
      Con un poco de esfuerzo configuré sshd y pude empezar a trastear con funciones de BSD a gusto, con la posibilidad de ampliar eso a self-hosting si quiero
      Ahora mismo estoy ejecutando Home Assistant sobre bhyve, administrado por FreeBSD, y estoy pensando qué subir después para aprovechar mejor el servidor
      Claro que también se puede hacer con una máquina virtual, pero al menos para mí no reemplaza por completo la sensación de tocar un sistema real

  • Probé OpenBSD 7.9 en QEMU; el instalador se siente un poco anticuado y la combinación predeterminada de X11+fvwm2+xterm también se ve vieja, pero arrancó y funcionó bien
    doas funcionó de maravilla y también pude instalar paquetes con pkg_add
    Me sorprendió que la instalación base no incluyera curl ni wget, pero desde la perspectiva de seguridad me gusta esa filosofía de configuración mínima

    • De hecho, el instalador me parece excelente
      Te guía por todo el proceso y, aun así, te deja intervenir manualmente con facilidad cuando hace falta
      Puedes simplemente seguir presionando Enter, o también encargarte tú mismo de la mayor parte
      La combinación base de X11+fvwm2+xterm parece pensada para tener un conjunto de paquetes que pueda instalarse y funcionar incluso en hardware antiquísimo, como un pedazo de pan enmohecido
      Aun así, Wayland ya fue porteado a OpenBSD, y da gusto ver que algo que en 2023 todavía estaba más cerca de ser un plan se haya concretado tan rápido
      Para las descargas se espera que uses ftp(1), que a pesar del nombre no es exclusivo de FTP, sino que también soporta descargas por HTTP(S)

  • Por fin voy a poder reinstalarlo en una Yeelong Lemote
    Con el cambio de pledge del errata anterior me pasó factura haber recompilado solo el kernel de 7.8 y dejar intacto el espacio de usuario, y para Loongson, por supuesto, ni siquiera hay actualizaciones binarias