Еженедельный обзор новостей развития FreeBSD (18.04-26.04)

27.04.2004 11:04

Новое:

  • исправлена генерация номеров TCP-последовательностей для быстрых сетей, использование случайно выбранных портов вместо временных (код из OpenBSD) для затруднения атак на TCP. Случайный выбор порта для исходящего соединения может быть выключен, используя sysctl net.inet.ip.portrange.randomized. Патч сразу внесен в -stable
  • OpenSSH 3.8.1p1
  • драйвер acpi_asus
  • опция ipfw versrcreach для проверки доступности отправителя пакета, как и ip verify unicast source reachable-via any на Cisco. Используется как ipfw add 1000 deny ip from any to any not versrcreach. Обратите внимание, что при использовании данной опции default route игнорируется, так что имеет смысл это использовать только на BGP-маршрутизаторах.
  • в jail можно использовать raw socket, контролируется через sysctl security.jail.allow_raw_sockets. Использование данного патча позволяет пользоваться ping и traceroute из jail, но также позволяет и подменять ip-адрес.
  • израильская локаль на иврите he_IL.UTF-8
  • код Руслана Ермилова для поддержки поинтерфейсного polling'а и поддержка polling'а для драйвера vr перенесены в -stable, но в 4.10 еще не появятся

    Изменения:

  • убрана бинарная совместимость для функции callout_stop, которая прерывала отложенный вызов функции, необходимо перекомпилировать ядро

    Обсуждения:

  • Luigi Rizzo добавил пачку фиксов в код маршрутизации BGP, при этом код стал тяжелым для сравнения с кодом предыдущих версий. В итоге развернулась дискуссия относительно качества этого кода в целом, включая вопросы его расширяемости. Пошли примеры того, что Cisco для BGP использует 320 байт на запись, а OpenBSD - 234, перешли на тему того, почему bgpd был внесен в OpenBSD, но не во FreeBSD, и что, скорее всего, сделают порт bgpd для FreeBSD, но в базовую систему вносить не будут.

    Багфиксы:

  • улучшена обработка TCP reset-пакетов
  • убрана возможность недопустимого чтения файлов в памяти
  • скрипт в rc.d, запускавший ipmon, часто приводил к остановке ipmon сразу после запуска