OpenBSD versie 3.5:

Verschenen op 1 mei 2004
Copyright 1997-2004, Theo de Raadt.
ISBN 0-9731791-3-9
3.5 Lied: "CARP License" en "Redundancy must be free"

Wat is er nieuw?
Hoe te installeren
Gebruik van de ports structuur
Een CD-set bestellen

U kunt deze versie krijgen door:

• Een CD-ROM via ons bestelsysteem te bestellen.
• Zie de informatie op de FTP pagina voor een lijst van mirrors.
• Ga naar de pub/OpenBSD/3.5/ directory op één van de mirror sites.
• Lees de rest van van dit document.
• Kijk naar De 3.5 Errata pagina voor een lijst van fouten en hoe u deze kunt oplossen.
• Zie de gedetailleerde log van veranderingen tussen versie 3.4 en 3.5.

Wat is er nieuw

Dit is een gedeeltelijke lijst van nieuwe mogelijkheden en systemen in OpenBSD 3.5. Voor een uitgebreide lijst zie de lijst van veranderingen tot aan 3.5.

• Nieuwe platformen:
  • OpenBSD/amd64
    Ondersteuning voor de AMD64 architectuur, door het platform zelf, met volledige 64-bit ondersteuning, 8 extra registers in de architectuur om de prestatie te verbeteren en een geheugenbeheer "Non-eXecutable" bit die volledige W^X ondersteuning toestaat.
    (Opmerking: De aankomende Intel "ia32e" AMD64-compatibele CPU's zijn ook getest en ze werken. Alhoewel ze de NX bit missen.)
  • OpenBSD/cats
    Onze eerste stap in het ARM-CPU landschap. Het is onze bedoeling om dit te gebruiken als ontwikkelingsplatform voor toekomstige plannen...
  • OpenBSD/mvme88k
    Ondersteuning voor een oudere, maar erg gave CPU architectuur, misschien wel de meest pure RISC CPU ooit.

• Vervangen van de GNU bc(1), dc(1), nm(1) en size(1) commando's door BSD gelicentieerde vervangers.

• Een groot aantal bug fixes, veranderingen en optimalisaties aan onze pakket filter pf(4) inclusief:
  • "Atomic" commits van regelset veranderingen (dit om de kans te verkleinen op een staat van inconsistentie).
  • De grootte van de toestandstabel gegevens is met 30% herleid.
  • De mogelijkheid tot "source-tracking" (het beperken van het aantal clients en toestanden per client).
  • Plakkerig-adres (de flexibiliteit van "round robin" met de voordelen van "source-hash").
  • Keer de socket volgorde om waarop de sockets worden na gelopen afgewerkt als er wordt omgeleid naar localhost (dit voorkomt het potentiële veiligheidsprobleem dat verbindingen op afstand worden gezien als lokale verbindingen.
  • Opmerkelijke verbeteringen in de manier waarop met de interface wordt omgegaan.

• Nieuwe tools voor het filteren van gateway failover:
  • CARP (het Common Address Redundancy Protocol) carp(4) zorgt ervoor dat meerdere machines de verantwoordelijkheid over een bepaald IP adres of adressen delen. Als de eigenaar van het adres faalt, dan zal een ander lid van de groep het overnemen. Een discussie over de geschiedenis van CARP kan hier worden gevonden.
  • Toevoegingen aan de pfsync(4) interface waardoor het mogelijk is dat de toestandstabel gegevens gesynchroniseerd kunnen worden tussen twee of meerdere firewalls die parallel aan elkaar werken. Hierdoor kunnen verbindingen waaraan een toestand is toegekend, doorheen gelijk welke firewall heen ongeacht door welke firewall de toestand werd toegekend.

• Nieuwe functionaliteit:
  • pty(4) devices worden nu aangemaakt op het moment dat dit nodig is, tot een in te stellen limiet.
  • Nieuw ptm device (zie pty(4)) dat toestaat om processen die niet de juiste privileges hebben toch een pty device kunnen alloceren, mits de toegangsrechten op het device in orde zijn.
    Als gevolg hiervan kan ieder proces een pty makkelijk openen, waardoor xterm(1) en xconsole(1) niet langer setuid root zullen zijn. (In 3.4 waren ze dit wel, maar werd er ook gelet op de privileges).
  • De closefrom(2) syscall is toegevoegd.
  • TCP MD5 handtekeningen (worden gebruikt door nc(1) en bgpd(8)).
  • De mogelijkheid voor i386 en amd64 om via het netwerk te booten, dankzij pxeboot(8).
  • De i386 8GB bootloader beperking is opgelost.
  • spamd(8) heeft nu ook ondersteuning voor greylisting. Hierdoor kan greylisting (een erg krachtige techniek om spam te verminderen) ook worden toegepast op de firewall van veel mail hosts, onafhankelijk van de MTA waarvan gebruik wordt gemaakt.
  • Het 'klonen' van interface via de ifconfig(8) commando's create en destroy. Bijvoorbeeld `ifconfig vlan100 create'.
  • ifconfig(8) kan nu, met een standaard interface naam, gebruikt worden om alle als zodanige geconfigureerde interfaces weer te geven. Bijvoorbeeld `ifconfig carp'.
  • De MAKEDEV(8) manual pagina's worden nu gegenereerd en daarom ook nauwkeurig.
  • De package tools zijn volledig herschreven in Perl.
  • syslogd(8) ondersteunt nu de mogelijkheid om te loggen naar de geheugenbuffer, deze kunnen uitgelezen worden door syslogc(8). Dit is makkelijk voor schijfloze of flash-gebaseerde computers.
  • IPsec ESP wordt in UDP gekapseld.
  • "Chunk randomization" en "guard pages" in malloc(3). Hierdoor kunnen "reads" en "writes" buiten de grenzen worden waargenomen.
  • authpf(8) labelt nu het verkeer in pflog(4) hierdoor kunnen gebruikers gebonden blijven aan verkeer, ook al gaat het doorheen een NAT opstelling.
  • De snelheid van veel nieuwe i386 CPU's, kan geregeld worden met hw.setperf sysctl, waardoor de levensduur van batterijen ook verlengd kan worden.
  • Ondersteuning voor XFS is toegevoegd aan de GENERIC kernels waardoor afsd(8) makkelijker gestart kan worden. Tevens hoeft de kernel ook niet gehercompileerd te worden om AFS te gebruiken.
    AFS kan nu anoniem worden gebruikt door het te starten vanuit rc.conf(8) zonder verdere configuratie.
  • De ps, top en w zullen niet langer kapot gaan als er veranderingen worden aangebracht aan "structures" die in de kernel worden gebruikt.
  • Er is een poll interface toegevoegd aan de rpc routines in de standaard C bibliotheek. Het gebruik van poll via select kan leiden tot betere prestaties van programma's met een groot aantal open "file descriptors"
  • dhclient(8) detecteert nu of interface die door hem is geconfigureerd, aangepast is en netjes afsluit. Bijvoorbeeld het regelmatig gebruiken van dhclient(8) op een interface zorgt ervoor dat alleen de laatste instantie actief blijft.

• Privilege seperation werd toegevoegd om complexe handelingen die gebeuren niet-vertrouwde, niet-bevoegde processen gebeuren. Dit zorgt voor een veel grotere veiligheid in de volgende processen:
  • isakmpd(8)
  • named(8) (Dit had eerst "privilege revoking", maar dit leverde wat probleempjes op).
  • pflogd(8)
  • tcpdump(8)

• Nieuwe tools:
  • sensorsd(8), voor het monitoren van hardware sensoren.
  • procmap(1), om het geheugen van een proces te bestuderen.
  • bgpd(8), voor het implementeren van het BGP-4 routing protocol.
  • pkill(1) en pgrep(1), voor het vinden of signaleren van processen op naam.

• Prestatie verbeteringen:
  • Verbeteringen in het zoeken naar verbindingen/sockets - ongeveer 100 keer sneller met 10000 sockets dan 3.4.
  • TCP SYNC cache. Hierdoor wordt het geheugen dat in gebruik is door half geopende TCP verbindingen sterk verminderd.
  • Verbeteringen zijn aangebracht aan TCP zoals wordt aangeraden in RFC3390, en het is regelbaar via sysctl.
  • OpenSSL is flink versnelt op i386. Tot wel 100% met md5, sha1, blowfish, des, 3des, rsa, dsa en bn.
  • OpenSSL gebruikt nu direct de AES instructies die op sommige VIA C3 processoren aanwezig zijn, hierdoor wordt de AES snelheid tot 780MBytes/seconde verhoogd (dus een fan-loze CPU kan tot 10 maal sneller AES uitvoeren dan de snelste CPU die momenteel verkocht wordt).
  • Dankzij het hashen van directories kan het zoeken in grote directories sneller geschieden.
  • Het leeg maken van pagina's met SSE. Dit is sneller en het voorkomt dat de cache verstopt raakt.

• SCSI(4)verbeteringen:
  • Het nalopen van de bussen verloopt sneller dankzij het overslaan van niet-bestaande LUN's.
  • Het nalopen van de bussen verloopt netter door het uitschakelen van valse commando's.
  • Het nalopen van de bussen verloopt veiliger door INQUIRY commando's om alleen om beschikbare gegevens te vragen.
  • Een probleem werd verholpen dat optrad bij bijvoorbeeld het branden van CD's op hoge snelheden.
  • SCSIDEBUG kan nu beperkt worden tot specifieke bussen.
  • ASC/ASCQ diagnostische berichten zijn geüpdatet naar de SCSI-3 standaard.
  • Betere afhandeling van fouten.

• Verbeterde hardware ondersteuning:
  • De hppa architectuur krijgt ondersteuning voor een groot aantal PCI gebaseerde machines, met de toevoeging van de dino(4) GSC-PCI bridge.
  • Nieuw oosiop(4) stuurprogramma voor de NCR 53C700 SCSI host adapters.
  • Sterke verbeteringen in ahc(4), waardoor en nog meer nieuwe modellen worden ondersteund.
  • Nieuw bce(4) stuurprogramma dat de Broadcom BCM4401 FastEthernet chipset ondersteunt.
  • Nieuw mpt(4) stuurprogramma voor de LSI Fusion-MPT SCSI en FibreChannel host adapters.
  • Nieuw snapper(4) audio stuurprogramma voor recente iBook (vanaf mei '02) en PowerBook (vanaf april '02) modellen.
  • Verbeterde stabiliteit van het wi(4) stuurprogramma alsook ondersteuning voor USB-gebaseerde adapters en softwarematige WEP.
  • wi(4) in HostAP modus ondersteunt nu het verbergen van SSID en nieuwe prism firmware revisies.
  • Er zijn een aantal firmware incompatibiliteit problemen opgelost in an(4).
  • Verbeterde ATA en SATA ondersteuning.
  • Ondersteuning voor i835 AGP GART in vga(4).
  • Verbeterde Gigabit Ethernet ondersteuning voor em(4), sk(4) & bge(4).
  • Er zijn enkele problemen in apm(4). opgelost.
  • Ondersteuning voor Intel 852/855/865 AGP chipsets.
  • Veel meer USB flash en andere umass(4) apparaten werken dankzij de SCSI verbeteringen.

• Bij deze versie wordt Firefox meegeleverd voor alle belangrijke architecturen.

• Sterke verbeteringen in pthreads(3).

• Meer dan 2500 ports, 2300 vooraf gebouwde packages.

• Veel verbeteringen in de veiligheid en betrouwbaarheid (let op de rood gekleurde regels in de complete lijst van veranderingen).

• Veel verbeteringen in manual pagina's en andere documentatie.

• Gcc 3.3.2, inclusief lokale toevoegingen als ProPolice ondersteuning voor de OpenBSD/amd64, OpenBSD/cats en, OpenBSD/sparc64 platformen. Andere platformen gebruiken nog steeds gcc 2.95.3 met dezelfde lokale toevoegingen.

• OpenSSH 3.8.1:
  • sshd(8) ondersteunt nu gedwongen veranderingen van verlopen wachtwoorden via passwd(1).
  • ssh(1) gebruikt nu niet-vertrouwde cookies voor "X11-Forwarding". Sommige X11 toepassingen hebben volledige toegang tot de X11 server nodig, zie ForwardX11Trusted in ssh_config(5) en xauth(1).
  • ssh(1) ondersteunt nu het versturen van keep-alive berichten op de applicatielaag. Zie ServerAliveInterval in ssh_config(5).
  • Verbeterde sftp(1) ondersteuning voor het verzenden van bestanden in partijen.
  • Nieuwe KerberosGetAFSToken optie voor sshd(8).
  • Geüpdated /etc/moduli bestand en verbeterde prestaties voor protocol versie 2.
  • Ondersteuning voor host keys in DNS.
  • De experimentele "gssapi" ondersteuning werd vervangen door "gssapi-with-mic" om mogelijke MITM aanvallen te voorkomen. De twee versies zijn niet compatibel.

• Het systeem bevat de volgende belangrijke componenten van externe leveranciers:
  • XFree86 4.4.0 verlichtte versie (+ patches, en i386 bevat 3.3.X servers, dus alle chipsets worden ondersteund)
  • Gcc 2.95.3 (+ patches) en 3.3.2 (+ patches)
  • Perl 5.8.2 (+ patches)
  • Apache 1.3.29, mod_ssl 2.8.16, DSO ondersteuning (+ patches)
  • OpenSSL 0.9.7c (+ patches)
  • Groff 1.15
  • Sendmail 8.12.11
  • Bind 9.2.3 (+ patches)
  • Lynx 2.8.4rel.1 met HTTPS en IPv6 ondersteuning (+ patches)
  • Sudo 1.6.7p5
  • Ncurses 5.2
  • Laatste KAME IPv6
  • Heimdal 0.6rc1 (+ patches)
  • Arla-current

Hoe te installeren

Hierna volgen de instructies die u op een stuk papier zou hebben als u een CDROM set gekocht had in plaats van een alternatieve vorm van installatie te doen. De instructies om een FTP (of andere stijl van) installatie te doen, zijn heel gelijkaardig; de CDROM instructies worden intact gelaten zodat u kan zien hoeveel gemakkelijker het zou geweest zijn als u in de plaats een CDROM gekocht had.

• CD1:3.5/i386/INSTALL.i386
• CD1:3.5/vax/INSTALL.vax

• CD2:3.5/amd64/INSTALL.amd64
• CD2:3.5/macppc/INSTALL.macppc

• CD3:3.5/sparc/INSTALL.sparc
• CD3:3.5/sparc64/INSTALL.sparc64

• FTP:.../OpenBSD/3.5/alpha/INSTALL.alpha
• FTP:.../OpenBSD/3.5/cats/INSTALL.cats
• FTP:.../OpenBSD/3.5/hp300/INSTALL.hp300
• FTP:.../OpenBSD/3.5/hppa/INSTALL.hppa
• FTP:.../OpenBSD/3.5/mac68k/INSTALL.mac68k
• FTP:.../OpenBSD/3.5/mvme68k/INSTALL.mvme68k
• FTP:.../OpenBSD/3.5/mvme88k/INSTALL.mvme88k

Snelle installeerinformatie voor mensen vertrouwd met OpenBSD, en het gebruik van het "disklabel -E" commando. Als u überhaupt in de war geraakt bij het installeren van OpenBSD, lees dan het relevante INSTALL.* bestand zoals hierboven opgesomd!

OpenBSD/i386:

Speel met uw BIOS opties om booten vanaf een CD in te schakelen. De OpenBSD/i386 uitgave staat op CD1. Als uw BIOS booten vanaf CD niet ondersteunt, zal u een bootdiskette moeten maken om van te installeren. Om een bootdiskette te maken schrijft u CD1:3.5/i386/floppy35.fs naar een diskette en boot u via het diskettestation.

Gebruik CD1:3.5/i386/floppyB35.fs in de plaats voor meer SCSI controller ondersteuning, of CD1:3.5/i386/floppyC35.fs voor betere laptop ondersteuning.

Als u niet kan booten vanaf een CD of een diskette, dan kan u installeren over het netwerk met PXE zoals beschreven in het opgenomen INSTALL.i386 document.

Als u van plan bent OpenBSD te dual-booten met een ander besturingssysteem, zal u INSTALL.i386 moeten lezen.

Om een bootdiskette te maken onder MS-DOS, gebruikt u de "rawrite" utility gesitueerd op CD1:3.5/tools/rawrite.exe. Om een bootdiskette te maken onder een Unix besturingssysteem, gebruikt u de dd(1) utility. Het volgende is een voorbeeld-gebruik van dd(1) , waarbij het device "floppy", "rfd0c", of "rfd0a" zou kunnen zijn.

# dd if=<file> of=/dev/<device> bs=32k

Zorg ervoor dat u netjes geformatteerde perfecte diskettes gebruikt ZONDER SLECHTE BLOKKEN of uw installatie zal heel waarschijnlijk mislukken. Voor meer informatie over het maken van een bootdiskette en het installeren van OpenBSD/i386, raadpleeg alstublieft FAQ 4.3.1.

OpenBSD/vax:

Boot over het netwerk via mopbooting zoals beschreven in INSTALL.vax.

OpenBSD/amd64:

De 3.5 uitgave van OpenBSD/amd64 staat op CD2. Boot vanaf de CD om de installatie te beginnen - het zou kunnen dat u eerst uw BIOS opties moet aanpassen. Als u niet kan booten vanaf de CD, kan u een bootdiskette maken om van te installeren. Om dit te doen, schrijft u CD2:3.5/amd64/floppy35.fs naar een diskette, vervolgens boot u van het diskettestation.

Als u niet kan booten vanaf een CD of een diskette, kan u over het netwerk installeren met PXE zoals beschreven in het bijgevoegde INSTALL.amd64 document.

Als u van plan bent OpenBSD te dual-booten met een ander besturingssysteem, zal u INSTALL.amd64 moeten lezen.

OpenBSD/macppc:

Plaats CD2 in uw CDROM station en zet uw machine aan terwijl u de C toetst ingeduwd houdt totdat de display inschakelt en OpenBSD/macppc boot toont.

Als alternatief geeft u op de Open Firmware prompt, boot cd:,ofwboot /3.5/macppc/bsd.rd in.

OpenBSD/sparc:

De 3.5 uitgave van OpenBSD/sparc staat op CD3. Om van deze CD te booten, kan u de twee commando's hieronder gebruiken, afhankelijk van de versie van uw ROM.

ok boot cdrom 3.5/sparc/bsd.rd
of

> b sd(0,6,0)3.5/sparc/bsd.rd

Als uw SPARC systeem geen CDROM station heeft, kan u als alternatief booten vanaf diskette. Om dat te doen, moet u CD3:3.5/sparc/floppy35.fs naar een diskette schrijven. Voor meer informatie, zie FAQ 4.3.1. Om vanaf de diskette te booten, gebruikt u één van de twee commando's hieronder, afhankelijk van de versie van uw ROM.

ok boot floppy
or
> boot fd()

Zorg ervoor dat u een netjes geformatteerde diskette ZONDER SLECHTE BLOKKEN gebruikt of uw installatie zal heel waarschijnlijk mislukken.

Als uw SPARC systeem noch een diskettestation noch een CD-lezer heeft, kan u ofwel een bootable tape instellen, of via het netwerk installeren, zoals gezegd in het INSTALL.sparc bestand.

OpenBSD/sparc64:

Plaats CD3 in uw CDROM-lezer en typ boot cdrom.

Als dit niet werkt of als u geen CDROM-lezer hebt, kan u CD3:3.5/sparc64/floppy35.fs naar een diskette schrijven en deze booten met boot floppy.
Zorg ervoor dat u een netjes geformatteerde diskette ZONDER SLECHTE BLOKKEN gebruikt of uw installatie zal heel waarschijnlijk mislukken.

U kan ook CD3:3.5/sparc64/miniroot35.fs naar de swappartitie op de schijf schrijven en booten met boot disk:b.

Als niets werkt, kan u over het netwerk booten zoals beschreven in INSTALL.sparc64.

OpenBSD/alpha:

Schrijf FTP:3.5/alpha/floppy35.fs of FTP:3.5/alpha/floppyB35.fs (afhankelijk van uw machine) naar een diskette en geef boot dva0 in. Raadpleeg INSTALL.alpha voor meer details.

Zorg ervoor dat u een netjes geformatteerde diskette ZONDER SLECHTE BLOKKEN gebruikt of uw installatie zal heel waarschijnlijk mislukken.

OpenBSD/cats:

Na het updaten van de firmware tot ten minste ABLE 1.95 indien nodig, boot u FTP:3.5/cats/bsd.rd vanaf een ABLE-ondersteund device (zoals een CD-ROM of een bestaande FFS of EXT2FS partitie).

OpenBSD/hp300:

Boot over het netwerk door de instructies in INSTALL.hp300 te volgen.

OpenBSD/hppa:

Boot over het netwerk door de instructies in INSTALL.hppa of de hppa platformpagina te volgen.

OpenBSD/mac68k:

Start MacOS op zoals altijd en en partitioneer uw schijf met de toepasselijke A/UX configuraties. Pak dan de Macside programma's van FTP:3.5/mac68k/utils uit op uw harde schijf. Draai Mkfs om de bestandssystemen te creëren op de A/UX partities die u net heeft aangemaakt. Gebruik dan de "BSD/Mac68k Installer" om alle sets in FTP:3.5/mac68k/ te kopiëren naar uw partities. Uiteindelijk bent u klaar om de "BSD/Mac68k Booter" te configureren met de lokatie van uw kernel en het systeem op te starten.

OpenBSD/mvme68k:

U kan een bootable installatietape aanmaken of over het netwerk booten.
De netwerkboot vereist een MVME68K BUG versie die de NIOT en NBO debugger commando's ondersteunt. Volg de instructies in INSTALL.mvme68k voor meer details.

OpenBSD/mvme88k:

U kan een bootable installatietape aanmaken of over het netwerk booten.
De netwerkboot vereist een MVME88K BUG versie die de NIOT en NBO debugger commando's ondersteunt. Volg de instructies in INSTALL.mvme88k voor meer details.

Opmerkingen over de broncode:

src.tar.gz bevat een bronarchief beginnend op /usr/src. Dit bestand bevat alles wat u nodig hebt behalve de kernelbroncode, die in een afzonderlijk archief zit. Om uit te pakken:

# mkdir -p /usr/src
# cd /usr/src
# tar xvfz /tmp/src.tar.gz

sys.tar.gz bevat een bronarchief beginnend op /usr/src/sys. Dit bestand bevat al de kernelbroncode die u nodig hebt om kernels te bouwen. Om uit te pakken:

# mkdir -p /usr/src/sys
# cd /usr/src
# tar xvfz /tmp/sys.tar.gz

Deze beide trees zijn een reguliere CVS checkout. Met deze trees is het mogelijk om een vliegende start te krijgen met de anoncvs servers zoals hier beschreven. Het gebruik van deze bestanden leidt tot een veel snellere initiële CVS update dan u zou kunnen verwachten van een verse checkout van de volledige OpenBSD source tree.

Ports Tree

Een ports tree archief wordt ook voorzien. Om uit te pakken:

# cd /usr
# tar xvfz /tmp/ports.tar.gz
# cd ports

De ports/ subdirectory is een checkout van de OpenBSD ports tree. Ga de ports pagina lezen als u niets over ports weet op dit ogenblik. Deze tekst is geen handleiding over hoe ports te gebruiken. Het is veeleer een verzameling aantekeningen om de gebruiker een "kickstart" te geven voor het OpenBSD ports systeem.

De ports/ directory vertegenwoordigt een CVS (zie de man pagina voor cvs(1) als u niet vertrouwd bent met CVS) checkout van onze ports. Zoals bij onze volledige source tree, is onze ports tree beschikbaar via anoncvs. Dus, om hem recent te houden, moet u de ports/ tree beschikbaar maken op een lees-schrijf medium en de tree updaten met een commando als:

# cd [portsdir]/; cvs -d anoncvs@server.openbsd.org:/cvs update -Pd -rOPENBSD_3_5

[Natuurlijk moet u de lokale directory en servernaam hier vervangen door de lokatie van uw portsverzameling en een nabijgelegen anoncvs server.]

Merk op dat de meeste ports beschikbaar zijn als packages via FTP. Geüpdated packages voor versie 3.5 zullen ter beschikking gesteld worden als er zich problemen voordoen.

Als u geïnteresseerd bent in een port zien toegevoegd worden, graag zou willen helpen, of gewoon meer zou willen weten, dan is de ports@openbsd.org mailinglijst een goede plek om te kennen.