La version 3.5 d'OpenBSD :

Sortie le 1er Mai 2004
Copyright 1997-2004, Theo de Raadt.
ISBN 0-9731791-3-9
Musique de 3.5 : "CARP License" et "Redundancy must be free"

Quoi de neuf ?
Comment installer
Comment utiliser l'arborescence des ports
Commander les CDROM

Pour obtenir les fichiers de cette version :

• Commandez un CDROM à partir de notre système de commandes.
• Consultez les informations sur la page FTP pour une liste de machines miroirs.
• Allez dans le répertoire pub/OpenBSD/3.5/ sur l'un des sites miroirs.
• Lisez brièvement le reste de ce document.
• Jetez un oeil sur la page des errata 3.5 pour une liste des bugs et des solutions.
• Regardez la liste détaillée des changements entre les versions 3.4 et 3.5.

Quoi de neuf ?

Ceci est une liste partielle des nouvelles fonctionnalités présentes dans OpenBSD 3.5. Pour une liste complète, voir le journal des changements jusqu'à la version 3.5.

• Nouvelles plates-formes :
  • OpenBSD/amd64
    Support de l'architecture AMD64 de façon native, avec support 64- bit complet, 8 registres supplémentaires dans l'architecture pour améliorer de manière significative les performances, et un bit Non-Executable au niveau de la gestion mémoire permettant un support W^X complet.
    (Note : les futurs CPUs Intel "ia32e" compatibles AMD64 ont aussi été testé. Ils fonctionnent malgré l'absence du bit NX sur ces processeurs).
  • OpenBSD/cats
    Notre première entrée dans le domaine du CPU ARM. Nous comptons en faire une plate-forme de développement pour des évolutions futures...
  • OpenBSD/mvme88k
    Supportant une architecture processeur très intéressante, bien qu'ancienne. Peut-être est-ce le processeur RISC le plus pur !

• Remplacement des commandes GNU bc(1), dc(1), nm(1) et size(1) avec des équivalents sous licence BSD.

• Un grand nombre de corrections de bogues, de modifications, et d'optimisations apportées à notre filtre de paquets pf(4) y compris :
  • Allocations atomiques des changements au niveau des règles (réduit la probabilité d'avoir un état inconsistant).
  • Réduction de 30% de la taille des entrées de la table d'état.
  • Source-tracking (limite le nombre de clients et d'états par client).
  • Sticky-address (la flexibilité du round-robin avec les intérêts de source-hash).
  • Inverse l'ordre de correspondance des sockets lors de la redirection vers localhost (prévient un problème de sécurité potentiel où des connexions distantes peuvent être identifiées comme locales).
  • Améliorations notables au niveau de la gestion des interfaces.

• Nouveaux outils pour la haute-disponibilité des pare-feu :
  • CARP (the Common Address Redundancy Protocol) carp(4) permet à plusieurs machines de partager la responsabilité pour une ou plusieurs adresses IP données. Si le propriétaire de l'adresse a un dysfonctionnement, un autre membre du groupe la prendra. Un discussion de l'histoire de CARP se trouve ici.
  • Des ajouts au niveau de l'interface pfsync(4) lui permet de synchroniser les entrées de la table d'état entre deux ou plusieurs pare-feu fonctionnant en parallèle. Ainsi des connexions "stateful" peuvent traverser n'importe quel pare-feu sans tenir compte du pare-feu sur lequel l'état a été créé.

• Nouvelles fonctionnalités :
  • Les périphériques pty(4) sont alloués à la demande jusqu'à atteindre une limite configurable.
  • Nouveau périphérique ptm (voir pty(4)) qui permet à des processus non privilégiés d'allouer un pty avec des permissions adéquates.
    Par conséquence, n'importe quel processus peut facilement ouvrir un pty, ce qui signifie que xterm(1) et xconsole(1) ne sont plus setuid root. (Dans la version 3.4, ils étaient setuid root mais avec des mécanismes de révocation de privilèges).
  • L'appel système closefrom(2) a été ajouté.
  • Signatures TCP MD5 (utilisées par nc(1) et bgpd(8)).
  • Support du démarrage réseau pour i386 et amd64, en utilisant pxeboot(8).
  • La limitation de 8GB au niveau du chargeur de démarrage i386 a été supprimée.
  • spamd(8) supporte désormais la technique du greylisting. Ceci permet d'utiliser cette technique (une technique très puissante de réduction de spam) sur un pare-feu pour plusieurs serveurs de messagerie, peu importe le MTA utilisé.
  • 'Clonage' des interfaces, accessibles depuis les commandes de ifconfig(8) create et destroy. Par exemple `ifconfig vlan100 create'.
  • ifconfig(8) peut désormais être utilisée avec un nom d'interface générique, pour lister toutes les interfaces configurées d'un même type. Par exemple `ifconfig carp'.
  • Les pages de manuel MAKEDEV(8) sont désormais générées, donc correctes.
  • Réecriture complète des outils de gestion de paquetages en perl.
  • syslogd(8) supporte maintenant l'envoi de logs vers des tampons mémoire, qui peuvent être consultés à l'aide de syslogc(8). Ceci est utile pour les machines sans disque dur ou à base de dispositifs de stockage flash.
  • Encapsulation ESP dans UDP pour IPsec.
  • malloc(3) chunk randomization et guard pages. Ceci facilite la détection des lectures et écritures hors limites.
  • authpf(8) appose des balises sur le trafic dans pflog(4) pour associer des utilisateurs avec leur trafic dans une configuration NAT.
  • Le paramètre sysctl "hw.setperf" permet le contrôle de la vitesse de plusieurs nouveaux processeurs i386. Ce paramètre est particulièrement intéressant pour augmenter le temps d'utilisation des batteries.
  • XFS a été ajouté aux noyaux GENERIC afin que le service afsd(8) puisse être facilement démarré. Ceci élimine la nécessité de recompiler le noyau pour utiliser AFS.
    AFS peut être désormais utilisé de manière anonyme en l'activant dans rc.conf(8) sans configuration supplémentaire.
  • Les utilitaires ps, top et w fonctionnent désormais lorsque des modifications sont effectuées dans les structures noyau.
  • Une interface poll a été ajoutée aux routines rpc dans la bibliothèque C standard. L'utilisation de poll par rapport à select peut améliorer les performances des programmes avec un grand nombre de descripteurs de fichiers ouverts.
  • dhclient(8) détecte désormais les modifications apportées à l'interface qu'il a configuré et s'arrête. Ainsi lorsqu'il est executé de manière répetitive pour configurer la même interface, seule la dernière instance est gardée active.

• Séparation des privilèges ajoutée pour permettre à des opérations complexes d'avoir lieu dans un processus hostile et non privilégié, ce qui se traduit par une meilleure sécurité au niveau des processus suivants :
  • isakmpd(8)
  • named(8) (qui effectuait précédemment de la révocation de privilèges mais ce système avait un petit problème).
  • pflogd(8)
  • tcpdump(8)

• Nouveaux outils :
  • sensorsd(8), pour surveiller les sondes matérielles.
  • procmap(1), pour examiner la cartographie mémoire d'un processus.
  • bgpd(8), implémentant le protocole de routage BGP-4.
  • pkill(1) et pgrep(1), pour trouver ou envoyer des signaux à des processus en utilisant leur nom.

• Améliorations au niveau des performances :
  • Lookup connexion/socket amélioré - à 10000 sockets, il est 100 fois plus rapides que la version utilisée dans OpenBSD 3.4.
  • Cache TCP SYN. Réduit grandement les coûts mémoire des connexions TCP demi-ouvertes.
  • Implémentation des réajustements TCP recommandés par la RFC3390, contrôlables via sysctl.
  • OpenSSL jusqu'à 100% plus rapide sur i386 pour les calculs md5, sha1, blowfish, des, 3des, rsa, dsa et bn.
  • Désormais, OpenSSL utilise directement les nouvelles instructions AES fournies par certains processeurs VIA C3, ce qui a pour effet d'augmenter les performances AES jusqu'à 780Mo/seconde (vous devriez voir l'effet que ça fait d'avoir un processeur sans ventilateur faire de l'AES jusqu'à 10x plus rapidement que le plus rapide des processeurs vendus à l'heure où nous écrivons ces lignes).
  • Le hachage des répertoires rend beaucoup plus rapides les recherches dans les grands répertoires.
  • Mise à zéro des pages avec SSE. Opérations plus rapides et évite la pollution du cache.

• Améliorations SCSI(4) :
  • Sondage du bus rendu plus rapide en sautant les LUNs inexistants.
  • Sondage du bus rendu plus sensé par l'élimination de fausses commandes.
  • Sondage du bus rendu plus sûr en modifiant les commandes INQUIRY pour que celles-ci demandent uniquement les données disponibles.
  • Suppression d'un accès concurrent qui posait problème lors de la gravure de CDs à hautes vitesses.
  • La sortie de SCSIDEBUG peut être restreinte à des bus spécifiques.
  • Messages de diagnostic ASC/ASCQ mis à jour pour respecter les standards SCSI-3.
  • Meilleure gestion des erreurs.

• Support matériel amélioré :
  • L'architecture hppa supporte désormais un nombre important de machines à base PCI avec l'ajout du pont GSC-PCI dino(4)
  • Nouveau pilote oosiop(4) pour les adaptateurs SCSI NCR 53C700.
  • Amélioration significative de ahc(4), ayant pour effet le support de plusieurs nouveaux modèles.
  • Nouveau pilote bce(4), supportant le chipset FastEthernet Broadcom BCM4401.
  • Nouveau pilote mpt(4) supportant les adaptateurs LSI Fusion-MPT SCSI et FibreChannel.
  • Nouveau pilote audio snapper(4) pour les iBook récents (depuis mai 2002) et les PowerBook récents (depuis avril 2002).
  • Amélioration de la stabilité du pilote wi(4) ainsi que du support des cartes USB et du WEP logiciel.
  • Le pilote wi(4) supporte désormais le masquage du SSID en mode HostAP et les révisions les plus récentes du firmware prism.
  • Correction de plusieurs problèmes d'incompatibilité de firmware au niveau du pilote an(4).
  • Amélioration du support ATA et SATA.
  • Support de i835 AGP GART au niveau du pilote vga(4).
  • Support Gigabit Ethernet amélioré au niveau des pilotes em(4), sk(4) et bge(4).
  • Plusieurs corrections apportées à apm(4).
  • Support des chipsets Intel 852/855/865 AGP.
  • Suite aux améliorations SCSI effectuées, plusieurs périphériques umass(4) USB (Flash, ...) sont maintenant supportés.

• Cette version est fournie avec Firefox fonctionnant pour toutes les architectures majeures.

• Améliorations majeures au niveau de pthreads(3).

• Plus de 2500 ports et de 2300 paquetages pré-compilés.

• Plusieurs améliorations sécurité et fiabilité (cherchez les lignes en rouge sur le changelog complet).

• Plusieurs améliorations au niveau des pages du manuel et les autres documentations.

• Gcc 3.3.2, avec des ajouts locaux tels que le support ProPolice pour les plates-formes OpenBSD/amd64, OpenBSD/cats et OpenBSD/sparc64 Les autres architectures utilisent encore gcc 2.95.3 avec les mêmes ajouts locaux.

• OpenSSH 3.8.1:
  • sshd(8) supporte désormais les modifications forcées des mots de passe expirés via passwd(1).
  • ssh(1) utilise désormais des cookies indignes de confiance pour le X11-Forwarding. Certaines applications X11 pourraient nécessiter un accès complet au serveur X11, voir ForwardX11Trusted dans ssh_config(5) et xauth(1).
  • ssh(1) supporte désormais l'envoi de messages keep-alive au niveau de la couche applicative au serveur. Voir ServerAliveInterval dans ssh_config(5).
  • Support du mode batch amélioré au niveau de sftp(1)
  • Nouvelle option KerberosGetAFSToken de sshd(8).
  • Fichier /etc/moduli mis à jour et meilleure performance du protocol version 2.
  • Support des clés de hôtes stockées dans le DNS.
  • Le support expérimental de "gssapi" a été remplacé par "gssapi-with-mic" pour prévenir des attaques MITM potentielles. Les deux versions ne sont pas compatibles.

• Le système comporte les composants majeurs suivants fournis par des entités externes :
  • XFree86 4.4.0 sans licence tordue (+ correctifs, i386 contient aussi des serveurs 3.3.X pour assurer un support de tous les chipsets)
  • Gcc 2.95.3 (+ correctifs) et 3.3.2 (+ patches)
  • Perl 5.8.2 (+ patches)
  • Apache 1.3.29, mod_ssl 2.8.16, support DSO (+ correctifs)
  • OpenSSL 0.9.7c (+ correctifs)
  • Groff 1.15
  • Sendmail 8.12.11
  • Bind 9.2.3 (+ correctifs)
  • Lynx 2.8.4rel.1 avec support HTTPS et IPv6 (+ correctifs)
  • Sudo 1.6.7p5
  • Ncurses 5.2
  • Latest KAME IPv6
  • Heimdal 0.6rc1 (+ correctifs)
  • Arla-current

Comment installer

Vous pouvez consulter ci-dessous les instructions figurant sur le livret accompagnant les CDROM, dont vous disposeriez si vous aviez acheté les CDROMs au lieu d'utiliser une des autres possibilités d'installation. Les instructions pour faire une installation par ftp (ou tout autre type d'installation) sont très similaires ; les instructions du CDROM sont reproduites ici telles quelles, de sorte que vous puissiez voir combien cela aurait été plus facile si vous aviez acheté un CDROM.

• CD1:3.5/i386/INSTALL.i386
• CD1:3.5/vax/INSTALL.vax

• CD2:3.5/amd64/INSTALL.amd64
• CD2:3.5/macppc/INSTALL.macppc

• CD3:3.5/sparc/INSTALL.sparc
• CD3:3.5/sparc64/INSTALL.sparc64

• FTP:.../OpenBSD/3.5/alpha/INSTALL.alpha
• FTP:.../OpenBSD/3.5/cats/INSTALL.cats
• FTP:.../OpenBSD/3.5/hp300/INSTALL.hp300
• FTP:.../OpenBSD/3.5/hppa/INSTALL.hppa
• FTP:.../OpenBSD/3.5/mac68k/INSTALL.mac68k
• FTP:.../OpenBSD/3.5/mvme68k/INSTALL.mvme68k
• FTP:.../OpenBSD/3.5/mvme88k/INSTALL.mvme88k

Informations pour une installation rapide, faites pour les personnes familières avec OpenBSD, et l'utilisation de la commande "disklabel -E". Si vous n'êtes pas à l'aise avec l'installation d'OpenBSD, lisez les fichiers INSTALL.* correspondants cités ci-dessus !

OpenBSD/i386 :

Manipulez les options du BIOS, et voyez si vous pouvez démarrer depuis le CDROM. La version OpenBSD/i386 est sur le CD1. Si votre BIOS ne supporte pas l'amorçage depuis le CDROM, vous devrez créer une disquette de boot pour l'installation. Pour faire une disquette de boot, copiez CD1:3.5/i386/floppy35.fs sur une disquette, et démarrez dessus.

Utilisez CD1:3.5/i386/floppyB35.fs pour un meilleur support des contrôleurs SCSI, ou CD1:3.5/i386/floppyC35.fs pour un meilleur support des ordinateurs portables.

Si vous ne pouvez pas démarrer à partir d'un CD ou d'une disquette, vous pouvez effectuer une installation à partir du réseau en utilisant PXE comme expliqué dans le document INSTALL.i386.

Si vous désirez mélanger OpenBSD avec un autre système d'exploitation, vous aurez sans doute besoin de lire INSTALL.i386.

Pour créer une disquette depuis MS-DOS, utilisez /3.5/tools/rawrite.exe. Sous Unix, utilisez l'utilitaire dd(1). L'exemple suivant est un exemple d'utilisation de dd(1), où le périphérique peut être "floppy", "rfd0c", ou "rfd0a".

# dd if=<file> of=/dev/<device> bs=32k

Utilisez une disquette correctement formatée SANS BLOCS DÉFECTUEUX ou vous n'y arriverez pas. Pour de plus amples informations sur la création d'une disquette de démarrage et sur l'installation d'OpenBSD/i386, veuillez lire la FAQ4.1.

OpenBSD/vax :

Le démarrage à partir du réseau par mopbooting est décrit dans INSTALL.vax.

OpenBSD/amd64:

La version 3.5 d'OpenBSD/amd64 se trouve sur le CD2. Démarrez à partir du CD pour commencer l'installation - vous aurez peut- être à ajuster vos options BIOS d'abord. Si vous ne pouvez pas démarrer à partir du CD, vous pouvez créer une disquette de démarrage pour faire l'installation. Pour faire cela, mettez CD2:3.5/amd64/floppy35.fs sur une disquette qui vous servira alors pour démarrer.

Si vous ne pouvez démarrer ni à partir d'un CD, ni à partir d'une disquette, vous pouvez faire une installation par le réseau en utilisant PXE comme indiqué dans le document INSTALL.amd64 inclus.

Si vous comptez mélanger OpenBSD avec un autre système d'exploitation, vous devez lire INSTALL.amd64.

OpenBSD/macppc :

Placez le CD2 dans votre lecteur de CDROM et allumez votre machine, tout en maintenant la touche C enfoncée jusqu'à ce que l'affichage s'allume et affiche OpenBSD/macppc boot.

Sinon, au prompt Open Firmware, entrez boot cd:,ofwboot/3.5/macppc/bsd.rd

OpenBSD/sparc :

La version 3.5 d'OpenBSD/sparc est située sur le CD3. Pour démarrer à partir du CDROM, vous pouvez utiliser l'une des deux commandes suivantes, en fonction de la version de votre ROM :

> boot cdrom 3.5/sparc/bsd.rd
or
> boot sd(0,6,0)3.5/sparc/bsd.rd

Si votre sparc n'a pas de lecteur de CDROM, vous pouvez démarrer depuis la disquette. Pour ce faire, vous devez copier CD3:3.5/sparc/floppy35.fs sur une disquette. Pour plus d'information, voir FAQ4.1. Pour démarrer depuis la disquette, utilisez l'une des deux commandes listées ci-dessous, selon la version de votre ROM :

> boot floppy
or
> boot fd()

Assurez vous que vous utilisez une disquette correctement formatée et SANS BLOCS DÉFECTUEUX, ou votre installation échouera très probablement.

Si votre sparc n'a pas de lecteur de CDROM ou de lecteur de disquette, vous pouvez soit installer à l'aide d'une bande de démarrage, soit via le réseau, comme indiqué dans le fichier INSTALL.sparc.

OpenBSD/sparc64 :

Placez le CD3 dans votre lecteur de CDROM et tapez boot cdrom.

Si cela ne fonctionne pas ou si vous n'avez pas de lecteur de CDROM, vous pouvez copier CD3:3.5/sparc64/floppy35.fs sur une disquette et la démarrer avec boot floppy.
Assurez vous que vous utilisez une disquette correctement formatée et SANS BLOCS DÉFECTUEUX, ou votre installation échouera très probablement.

Vous pouvez aussi copier CD3:3.5/sparc64/miniroot35.fs sur la partition de swap sur le disque et démarrer avec boot disk:b.

Si rien ne fonctionne, vous pouvez démarrer à partir du réseau, comme décrit dans INSTALL.sparc64.

OpenBSD/alpha :

MettezFTP:3.5/alpha/floppy35.fs ou FTP:3.5/alpha/floppyB35.fs (selon votre machine) sur une disquette et saisissez boot dva0. Veuillez consulter INSTALL.alpha pour de plus amples informations.

Assurez vous que vous utilisez une disquette correctement formatée et SANS BLOCS DÉFECTUEUX, ou votre installation échouera très probablement.

OpenBSD/cats:

Après la mise à jour, si nécessaire, du firmware à la version ABLE 1.95 au minimum, démarrez FTP:3.5/cats/bsd.rd à partir d'un périphérique compatible ABLE (tel qu'un CD-ROM ou une partition existante FFS ou EXT2FS).

OpenBSD/hp300 :

Démarrez via le réseau en suivant les instructions incluses dans INSTALL.hp300.

OpenBSD/hppa :

Démarrez via le réseau en suivant les instructions incluses dans INSTALL.hppa ou sur la page de la plate-forme hppa.

OpenBSD/mac68k :

Démarrez MacOS normalement et partitionner votre disque avec les configurations A/UX appropriées. Ensuite, faites une extraction des utilitaires Macside à partir de FTP:3.5/mac68k/utils vers votre disque dur. Exécutez Mkfs pour créer vos systèmes de fichiers sur les partitions A/UX que vous venez faire. Puis utilisez le "programme d'installation BSD/Mac68k" pour copier tous les ensembles de FTP:3.5/mac68k/ sur vos partitions. Vous serez finalement en mesure de configurer le programme de démarrage BSD/Mac68k avec l'emplacement de votre noyau et de démarrer le système.

OpenBSD/mvme68k :

Vous pouvez créer une bande d'installation initialisable ou démarrer à partir du réseau.
Le démarrage à partir du réseau une version de MVME68K BUG qui supporte les commandes de déboggage NIOT et NBO. Suivez les instructions dans INSTALL.mvme68k pour plus de détails.

OpenBSD/mvme88k :

Vous pouvez créer une bande d'installation initialisable ou démarrer à partir du réseau.
Le démarrage à partir du réseau une version de MVME88K BUG qui supporte les commandes de déboggage NIOT et NBO. Suivez les instructions dans INSTALL.mvme88k pour plus de détails.

Remarques à propos du code source :

src.tar.gz contient une archive des sources se trouvant dans /usr/src. Ce fichier contient tout excepté les sources du noyau, qui sont dans une archive séparée. Pour l'extraire :

# mkdir -p /usr/src
# cd /usr/src
# tar xvfz /tmp/src.tar.gz

sys.tar.gz contient une archive des sources se trouvant dans /usr/src/sys. Ce fichier contient toutes les sources nécessaires pour reconstruire un noyau. Pour l'extraire :

# mkdir -p /usr/src/sys
# cd /usr/src
# tar xvfz /tmp/sys.tar.gz

Ces deux arborescences sont régulièrement mises à jour dans le CVS. En utilisant ces arborescences, il est possible d'utiliser les serveurs anoncvs immédiatement comme décrit ici. Utiliser ces fichiers est beaucoup plus rapide que d'obtenir la totalité des sources depuis un serveur anoncvs.

Arborescence des ports

Une archive de l'arborescence des ports est aussi fournie. Pour l'extraire :

# cd /usr
# tar xvfz /tmp/ports.tar.gz
# cd ports

Le sous-repértoire ports/ est un "checkout" de l'arborescence des ports OpenBSD. Veuillez lire la page http://www.OpenBSD.org/faq/faq15.html si vous ne savez pas de quoi il s'agit. Ce texte n'est pas un manuel pour utiliser les ports. C'est plutôt un ensemble de notes permettant à l'utilisateur de commencer rapidement à utiliser le systèmes de ports OpenBSD.

Le répertoire ports/ représente une version CVS des ports (voir la page du manuel cvs(1) si vous n'êtes pas familier avec CVS). Comme pour l'arborescence des sources, notre arborescence des ports est disponible par anoncvs. Donc pour mettre à jour votre arborescence des ports/ depuis un media en lecture-écriture, il suffit de lancer la commande suivante :

# cd [portsdir]/; cvs -d anoncvs@server.openbsd.org:/cvs update -Pd -rOPENBSD_3_5

[Bien sûr, vous devez remplacer le répertoire local et le nom du serveur ici par l'emplacement de votre collection des ports et le serveur anoncvs le plus proche.]

Remarquez que la plupart des ports sont disponibles en tant que paquetages via ftp. Des mises à jour de paquetages pour la version 3.5 seront disponibles si des problèmes surviennent.

Si vous êtes intéressé par l'ajout d'un port, voulez aider, ou voulez juste en savoir plus, la liste de discussion ports@openbsd.org est la liste à connaître.