Rilis OpenBSD 7.9

 (openbsd.org)
1 poin oleh GN⁺ 19 jam lalu | 2 komentar | Bagikan ke WhatsApp
  • Hibernasi tertunda ditambahkan, sehingga sistem dapat dibangunkan setelah waktu yang ditetapkan saat berada dalam status suspend lalu segera masuk ke hibernate untuk mencegah baterai habis; waktu tunda dalam satuan detik ditetapkan dengan machdep.hibernatedelay
  • Perubahan keamanan mencakup penghapusan bypass BIOCLOCK pada bpf(4) untuk root, penghentian promise tmppath pada pledge(2), serta pengenalan __pledge_open(2) yang mengizinkan akses file internal libc secara terbatas
  • OpenSSH 10.3 memperbaiki masalah keamanan terkait kemungkinan eksekusi perintah pada ekspansi token % untuk nama pengguna di ssh(1), pencocokan principal sertifikat di sshd(8), penanganan setuid/setgid pada legacy scp -O, penerapan pembatasan algoritme ECDSA, dan pemeriksaan mux proxy yang terlewat
  • LibreSSL 4.3.0 menambahkan dukungan untuk keyshare TLS MLKEM768_X25519, sieve starttls, dan pubkey OID RSASSA-PSS, serta memperbaiki kemungkinan overwrite memori heap 4-byte akibat off-by-one pada pemeriksaan depth verifier X.509
  • Stack jaringan membuat veb(4) menjadi bridge yang VLAN-aware, dengan dukungan PVID, bitmap VID yang diizinkan, serta konfigurasi port access/trunk/hybrid, dan menggunakan PVID default 1 demi kompatibilitas dengan konfigurasi sederhana yang sudah ada
  • IPv6 autoconf (SLAAC) kini aktif secara default, dan pflow(4) menambahkan template NAT IPFIX/Netflow v10 yang memuat IP dan port sumber/tujuan setelah NAT
  • pf(4) memperkenalkan source/state limiter dan memungkinkan penentuan action saat batas tercapai, sementara action limiter default pada pfctl(8) berubah dari no-match menjadi block
  • Virtualisasi menambahkan vmboot agar sysupgrade(8) dapat dijalankan di VM vmd(8), serta meningkatkan jalur confidential computing seperti AMD SEV, perilaku Apple Virtualization, dan berbagai masalah race, hang, serta reset jaringan
  • Dukungan perangkat keras menambahkan SoC RK3588/RK3576 pada arm64, GL9755 SDHC pada sebagian laptop Apple Silicon, SoC SpacemiT K1 pada riscv64, nhi(4) untuk USB4, ispi(4) untuk Intel LPSS SPI, dan lainnya
  • Jaringan nirkabel kini mendukung 802.11ax secara default, window 160MHz di 5GHz serta dukungan 160MHz pada iwx(4), menambahkan PMF ke iwm(4), iwx(4), dan qwx(4), serta mengaktifkan powersave iwx(4) secara default
  • Instalasi dan upgrade kini membuat sysupgrade gagal jika filesystem /usr melebihi 90% penggunaan untuk mengurangi kemungkinan kerusakan sistem, dan pada amd64 mendukung pemuatan file kernel dari EFI system partition sehingga boot loader OpenBSD dan bsd.rd dapat ditempatkan di partisi boot EFI
  • Paket dan komponen utama mencakup 13.044 paket untuk amd64, 12.883 untuk aarch64, dan 10.631 untuk i386, termasuk Chromium 147.0.7727.101, Firefox 150.0, Node.js 22.22.2, PostgreSQL 18.3, Rust 1.94.1, serta LLVM/Clang 19.1.7·20.1.8·21.1.8

Bacaan terkait

2 komentar

 
GN⁺ 18 jam lalu
Komentar Hacker News

  • Artwork rilis OpenBSD 7.9 dikerjakan oleh Lyra Henderson
    https://www.openbsd.org/images/PinkPuffy.png
    https://www.openbsd.org/images/puffy79.gif
    Lagu rilisnya adalah "Diamond in the Rough", dikomposisi dan diproduseri oleh Bob Kitella
    https://www.openbsd.org/lyrics.html#79
    Merchandise tampaknya masih didominasi kaus: https://openbsdstore.com/

    • Di PinkPuffy.png yang ditautkan, topi kucingnya bertuliskan "security", tetapi di beberapa kaus di toko OpenBSD topi kucingnya bertuliskan "POLICE", yang cukup menarik
    • Menarik melihat OpenBSD terus menambah dukungan perangkat keras
      Saya menjalankannya di server kecil di rumah untuk DNS/DHCP, dan stabilitasnya mengesankan; akumulasi dari audit yang sudah berlangsung lama benar-benar terasa
    • Saya penasaran apakah Theo akan condong ke AI dan mulai membuat artwork serta lagu rilis dengan AI

  • Masalah keamanan terus ditemukan di sistem operasi lain, dan AI akan mempercepatnya, jadi sekarang saatnya semua orang mempertimbangkan OpenBSD
    Pendekatan yang berfokus pada keamanan selama puluhan tahun itu tak tertandingi; saya sudah sepenuhnya beralih dari Ubuntu/Debian ke OpenBSD dan tidak berniat kembali

    • Sayangnya, di banyak sistem dukungan perangkat keras masih belum memadai
      Jika harus memilih BSD, saya rasa saya tetap akan memilih FreeBSD
    • Saya baru-baru ini mencoba OpenBSD, dan perilakunya cukup berbeda dari sistem operasi lain
      Kode yang sama berjalan baik di Linux/FreeBSD/Windows, tetapi di OpenBSD performa multithread lebih rendah, dan socket asinkron berhenti setelah transfer cepat selama beberapa detik
      Ini bukan berarti OpenBSD salah, hanya terasa berbeda
    • Saya tidak yakin apakah OpenBSD benar-benar lebih aman daripada Linux
      Saya tidak menemukan data yang mendukung itu, hanya kesan-kesan yang samar
    • Jika keamanan penting, mungkin Qubes OS juga layak dipertimbangkan
      Diskusi terkait: https://forum.qubes-os.org/t/qubesos-vs-openbsd-security/790...
    • Kalau dibilang “sekarang saatnya semua orang mempertimbangkan OpenBSD”, rasanya masih meragukan jika fitur yang katanya sangat aman bisa dipatahkan oleh satu symbolic link
      https://x.com/ortegaalfredo/status/2055362910415671459
      Tentu saja sulit juga bilang Linux lebih baik, tetapi berkat pangsa pasarnya ada lebih banyak mata yang bisa memperbaiki masalah

  • Bagi sebagian orang, Exim dihapus dari ports adalah kabar besar
    Ada tulisan bagus tentang migrasi dari Exim ke OpenSMTPD: https://nxdomain.no/~peter/time_for_opensmtpd.html
    Saya pernah mencobanya saat OpenSMTPD masih baru, tetapi saat itu belum cukup stabil; sekarang sepertinya saat yang tepat untuk mencoba lagi

    • Saya puas dengan OpenSMTPD
      Saya sudah menjalankan OpenSMTPD selama bertahun-tahun di OpenBSD maupun Linux dan tidak punya keluhan
    • Cukup mengejutkan Exim hilang dari ports
      Dari awal juga bukan bagian dari sistem dasar, jadi mungkin maintainer-nya memang tidak ingin merawatnya lagi
    • Saya benar-benar suka OpenSMTPD
      Ringkas, tanpa embel-embel, dan cara konfigurasinya terasa cukup modern dibanding gaya konfigurasi lama yang sudah usang
    • OpenSMTPD banyak ditulis ulang pada 6.4, yaitu tahun 2018
      Menurut saya, untuk sebagian besar kasus penggunaan ini adalah server SMTP terbaik
      Sayangnya dukungan portabilitasnya lemah, jadi orang yang belajar betapa bagusnya biasanya terbatas pada pengguna OpenBSD

  • Dulu saya pernah memasangnya di G4 PowerBook dan memakainya sebentar, mungkin sekitar awal 2000-an
    Saya menyukai sikap tanpa kompromi terhadap binary blob dan pendekatan yang berfokus pada keamanan, dan pengalaman keseluruhannya juga sangat baik
    Kode yang sempat saya baca juga ditulis dengan rapi
    Ini selalu sistem yang layak direkomendasikan, dan saya harus memasangnya lagi di suatu tempat dalam waktu dekat
    Ini juga merupakan rilis ke-60, jadi selamat untuk timnya

  • Katanya ada mekanisme yang ditambahkan di scheduler untuk menangani core CPU dengan kecepatan berbeda
    hw.blockcpu menerima urutan empat huruf S untuk SMT, P untuk core performa biasa, E untuk core efisien, dan L untuk yang lebih lambat, dipakai untuk memilih CPU yang akan dikecualikan dari scheduler, dengan nilai bawaan SL
    Saat ini berjalan di amd64 dan arm64
    Namun saya sendiri kurang paham apa keuntungan mempertahankan core lambat di CPU pada arsitektur seperti big.LITTLE
    Rasanya kita tidak ingin tugas dijadwalkan ke core seperti itu, dan bukankah pekerjaan latar belakang juga lebih hemat daya jika selesai lebih cepat?
    Jika fitur tiap core berbeda, saya juga penasaran apa yang terjadi ketika proses yang membutuhkan fitur CPU seperti AVX-512 dijadwalkan ke core yang tidak memilikinya
    OpenBSD memilih pendekatan cepat dan kasar dengan mematikan core lambat, tetapi saya juga tidak tahu apakah ada heuristik yang bagus untuk menjadwalkan pekerjaan ke core seperti itu
    Satu-satunya yang terpikir hanyalah mekanisme rumit untuk memberi tag manual pada executable atau thread seperti “proses ini cocok untuk core lambat”
    Dari mailing list, scheduler sederhana akan menaruh proses di mana saja, dan di beberapa sistem big.LITTLE baru, core kecilnya sangat lambat sehingga kompilasi ulang kode terkena dampak besar

    • race to idle hanya jelas menguntungkan untuk pekerjaan dengan awal dan akhir yang tegas
      Jika pekerjaan latar belakang terus berjalan, merespons kejadian yang tak terduga, atau sering bangun untuk bekerja sedikit demi sedikit, logika boost CPU saja tidak menyelesaikan masalah penggunaan daya
      Dan pada x86-64 maupun ARM, P-core dan E-core memakai instruction set yang sama, jadi tidak ada risiko menjalankan instruksi CPU yang salah
      Instruction set yang benar-benar heterogen mungkin akan muncul lagi di masa depan, jadi tetap perlu waspada

  • Jika ada yang memakai OpenBSD di sini, saya penasaran dipakai untuk apa
    Saya pernah ingin mencoba NetBSD untuk aplikasi pada sistem embedded atau perangkat IoT, tetapi belum sempat

    • Saya memakai OpenBSD di VPS Hetzner, bare metal untuk pelanggan yang fokus pada keamanan, dan perangkat keras lama tapi masih layak pakai di homelab
      OpenBSD juga sangat bagus di perangkat keras Apple lama yang sudah tidak lagi didukung Cupertino
      Saya menjalankan klaster Intel Mac Mini dengan uptime yang nyaris sempurna
      Kalau butuh server yang memerlukan stabilitas dan keamanan seperti web, mail, DNS, NFS, atau database, saya rasa tak perlu mencari lebih jauh
      Ada kurva belajar, tetapi sangat sepadan
    • Saya memakainya di laptop pribadi
      Alasan utamanya karena saya suka struktur yang ringan dan sederhana
      Packaging-nya sederhana, pengembangan kernel dan upgrade juga sederhana
      Kode kernel itu sendiri juga ditulis dengan gaya yang saya suka, fokus pada inti, tanpa abstraksi atau keramaian yang tidak perlu
      Dibanding BSD lain yang pernah saya pakai, termasuk NetBSD serta FreeBSD/DragonFlyBSD, saya lebih menyukainya
      Rasanya menyenangkan bisa memahami sebagian besar sistemnya
      Memang tidak sekaya fitur Linux, tetapi sensasi memahami sistem sendiri itu menyegarkan
      Rasanya seperti liburan ke kota kecil yang cantik lalu hidup biasa dan tenang di sana, meski tentu kesannya bisa berbeda bagi tiap orang
    • Saya menjalankannya untuk firewall rumah, desktop kantor, dan laptop
      Cukup stabil dan sudah terasa akrab
      Kalau kenal Unix, ini benar-benar sederhana
      Saya harap OpenBSD tidak hilang, dan saya juga tidak tahu pengganti yang setara
      Linux sekarang sudah terlalu kompleks sehingga sulit ditangani
    • Saya sedang membangun perusahaan rental pernikahan bersama istri saya
      Saya mengurus sisi digital, membuat aplikasi Ruby on Rails dan mendeploy-nya di OpenBSD
      Seluruh sistem berjalan di satu server Supermicro U1 murah di rak rumah
    • Untuk DNS otoritatif, nsd, dan untuk email, opensmtpd, bisa langsung berjalan dengan konfigurasi minimal bahkan di KVM dengan memori sangat kecil
      Dokumentasinya luar biasa dan pemasangannya mudah
      sysupgrade adalah peningkatan besar, tetapi saya berharap siklus rilisnya sedikit diperlambat

  • Katanya spinlock cas di mutex kernel diganti menjadi parking lock, dan saya penasaran apa itu parking lock serta bagaimana cara kerjanya
    Saya tidak menemukan penjelasannya di halaman manual
    https://man.openbsd.org/OpenBSD-5.5/lock.9
    https://man.openbsd.org/OpenBSD-5.9/mutex.9

    • Lock “parking” merujuk pada tulisan ini
      https://webkit.org/blog/6161/locking-in-webkit/
    • Ini adalah implementasi lock/mutex di mana thread yang terblokir, alih-alih terus melakukan operasi CAS terhadap lock, biasanya akan menyerahkan eksekusi secara kooperatif ke scheduler untuk tidur
      Spinlock bagus untuk performa ketika kontensi rendah dan lock dipegang sebentar, tetapi jika salah satu kondisi itu tidak terpenuhi, thread yang terblokir bisa dengan mudah menghabiskan satu core CPU penuh hanya untuk menunggu

  • Sedikit di luar topik, tetapi saya berharap pihak FreeBSD juga sedikit menjauh dari logo bola kaca bergaya korporat palsu yang hambar dan font seperti kotak mainan pesawat luar angkasa awal 90-an, lalu kembali ke Beastie dan serif yang elegan
    Maksud saya, saya iri, dan artwork OpenBSD memang luar biasa

  • Saya berharap OpenBSD mendukung Bluetooth
    Ketiadaannya sayangnya menjadi batasan yang fatal, padahal saat saya mencobanya di desktop hasilnya bagus

    • https://www.openbsdhandbook.com/multimedia/#bluetooth-audio
      Dihapus pada 2014
    • Satu-satunya headphone berkabel di rumah saya adalah untuk laptop OpenBSD
    • Saya penasaran perangkat Bluetooth seperti apa yang benar-benar tak bisa hidup tanpa itu
    • Bluetooth bisa dibutuhkan untuk keyboard, mouse, headphone/earbud, jadi cukup disayangkan
      OpenBSD kelihatannya bagus, tetapi saat ini terasa lebih terbatas untuk server daripada desktop, meski fokus pada kesederhanaan itu juga bisa jadi kelebihan
      Saya tetap berharap dukungan perangkat kerasnya lebih banyak
      Jika menjalankan OpenBSD di mesin virtual, mungkin kita bisa mendapat dukungan perangkat keras dari Linux/Windows sebagai host sekaligus kelebihan OpenBSD
    • Kalau benar-benar perlu, hampir apa pun bisa dibuat menjadi dongle generik murah untuk dipasangkan
      Misalnya, saya memakai Seeed Studio XIAO nRF52840 untuk keyboard BLE

  • Kebetulan saya sedang penasaran kapan 7.9 akan keluar
    Dan menyenangkan juga ada lagu rilis
    Kalau tidak salah ingat, sudah cukup lama tidak ada lagu baru

    • Saya selalu mengecek lagunya setiap rilis
      Seperti disebut di thread lain, lagu terakhir adalah untuk 7.3
 
GN⁺ 19 jam lalu
Pendapat di Lobste.rs

  • Hari ini baru tahu bahwa OpenBSD punya artwork dan lagu untuk setiap rilis: https://www.openbsd.org/lyrics.html#79

    • Pada awal 2000-an saya pergi ke toko buku dekat kantor dan membeli setiap rilis dalam bentuk media fisik
      Ada tiga alasan: agar toko buku itu terus menyediakan materi terkait OpenBSD, untuk mendukung proyeknya, dan karena saya ingin punya wujud fisik artwork dan lagunya, dan saya merindukan proses yang terasa seperti ritual itu

  • Saya selalu penasaran dengan BSD, tapi sepertinya saya tidak akan bisa meninggalkan Linux karena game

    • Pada 2016 saya penasaran dengan Linux tapi tidak bisa meninggalkan Windows karena game, pada 2026 saya penasaran dengan BSD tapi tidak bisa meninggalkan Linux karena game, dan pada 2036 mungkin saya akan penasaran dengan Hurd tapi tidak bisa meninggalkan BSD karena game
    • Kebetulan saya akhirnya memakai mesin terpisah untuk gaming, dan setelah dipikir-pikir itu benar-benar pilihan yang masuk akal
      Banyak game online punya permukaan serangan kerentanan yang besar, terdiri dari kode proprietari yang tidak pernah diaudit siapa pun, dan kadang dibiarkan begitu saja tanpa pembaruan setelah dirilis
      Menyenangkan rasanya tidak perlu menyimpan informasi perbankan atau dokumen terkait identitas pemerintah di mesin yang sama
    • Dalam situasi serupa, saya menyiasatinya dengan merakit home server kecil dari laptop bekas dengan CPU TDP 7W
      Dengan sedikit usaha untuk mengatur sshd, saya bisa leluasa mencoba fitur-fitur BSD, dan kalau mau ini juga bisa jadi kesempatan untuk berkembang ke self-hosting
      Saat ini saya menjalankan Home Assistant di atas bhyve yang dikelola FreeBSD, dan sedang memikirkan apa lagi yang bisa saya pasang berikutnya agar pemakaian servernya lebih maksimal
      Tentu saja ini juga bisa dilakukan dengan mesin virtual, tetapi setidaknya bagi saya itu tidak sepenuhnya menggantikan sensasi menyentuh sistem sungguhan

  • Saya mencoba OpenBSD 7.9 di QEMU, dan walau instalernya terasa agak kuno serta kombinasi bawaan X11+fvwm2+xterm juga terlihat usang, sistemnya berhasil boot dan berjalan dengan baik
    doas bekerja dengan sangat baik dan saya juga bisa memasang paket dengan pkg_add
    Saya terkejut karena instalasi bawaan tidak menyertakan curl atau wget, tetapi dari sudut pandang keamanan saya menyukai filosofi konfigurasi minimal

    • Menurut saya justru instalernya sangat bagus
      Ia memandu seluruh proses, tetapi tetap memudahkan intervensi manual kapan pun diperlukan
      Bisa saja Anda terus menekan Enter, atau memilih menangani sebagian besar hal sendiri
      Kombinasi bawaan X11+fvwm2+xterm tampaknya dimaksudkan sebagai satu set paket yang masih bisa dipasang dan dijalankan bahkan pada perangkat sangat tua yang terasa seperti sepotong roti berjamur
      Meski begitu, Wayland sudah di-porting ke OpenBSD, dan menyenangkan melihat sesuatu yang pada 2023 masih terasa lebih seperti rencana bisa menjadi begitu konkret secepat ini
      Untuk unduhan, yang diharapkan digunakan adalah ftp(1), yang meskipun namanya begitu, tidak khusus untuk FTP dan juga mendukung pengambilan lewat HTTP(S)

  • Akhirnya saya bisa memasangnya lagi di Yeelong Lemote
    Gara-gara perubahan pledge pada errata sebelumnya, saya hanya mengompilasi ulang kernel 7.8 dan membiarkan userland tetap seperti semula lalu kena masalah, dan tentu saja Loongson juga tidak menyediakan pembaruan biner