OpenBGPD 6.5p0

Rédigé par PengouinBSD Aucun commentaire
Classé dans : News Mots clés : OpenBGPD, 6.5

La version 6.5p0 d'OpenBGPD est sortie !

Vous la retrouverez dans le répertoire OpenBGPD de votre mirroir d'OpenBSD très prochainement.

OpenBGPD est une implémentation gratuite, fonctionnelle et sécurisée du protocol BGP (BGP-4). Il s’agit d’une implémentation BGP assez complète et louée pour sa facilité d’utilisation ainsi que sa fiabilité. Ceci est la première version portable d'OpenBGPD depuis un certain temps. Depuis, une somme significative de fonctionnalités et d'améliorations de performance ont été ajoutées. Si vous n'avez pas utilisé la version portable d'OpenBGPD depuis un moment, vous serez positivement surpris de ce qui a changé !

Mises en garde : Il n'y a pas actuellement de support pour mettre à jour les tables de routage du noyau / FIB, dans la version portable d'OpenBGPD. Cela signifie qu'elle est adaptée pour les serveurs de route IXP, les collecteurs de route et les réflecteurs de route, mais pas encore pour l'utilisation traditionnelle en tant que routeur. Certaines fonctionnalités spécifiques à OpenBSD ont été désactivées.

La version OpenBGPD est connu pour compiler et fonctionner sur FreeBSD 12.x, les distributions Linux, telles que Debian 9, et Ubuntu 14.04. Nous espérons que des responsables de gestion des paquets seront intéressés et aideront à adapter la version portable d'OpenBGPD pour plus de distributions.

Nous félicitons la communauté des commentaires et des améliorations. Merci à tous les contributeurs qui ont aidé à réaliser cette version possible.

Guide de Migration OpenBSD 6.4 => 6.5

Rédigé par PengouinBSD Aucun commentaire
Classé dans : Migration Mots clés : Migration, 6.5

OpenBSD 6.5 est disponible depuis hier, bien que sa date de sortie officielle sera au 1er Mai 2019. :D

Voyons maintenant comment migrer d'OpenBSD 6.4 vers 6.5 ?!

Des changements à tenir compte

Changements de configuration

Parmi les changements de syntaxe et de configuration à prendre en compte, il y a :

  • un en rapport avec le serveur X, Xorg, à tenir compte : il n'est plus possible d'exécuter startx avec des droits de simple utilisateur. C'est le gestionnaire de session xenodm qui se charge d'exécuter le binaire. Il est donc nécessaire d'activer et de démarrer le service de xenodm.
  • si vous utilisez tmux, la syntaxe a changé de type oneliner... tenez en compte en lisant le manpage 6.5 !
  • et d'autres en rapport avec bgpd, iked, malloc, vlan - veuillez lire le guide de migration officiel ou sa traduction inofficielle (cf, les liens ci-dessous).

Changements dans certains paquets

  • Si vous faites de la bureautique avec la suite LibreOffice, et que vous avez mis des mots de passe à certains de vos fichiers od*, avant de faire la mise à jour, éditez lesdits fichiers pour supprimer les mots de passe, et une fois la mise à jour effectuée, éditez à nouveau pour les protéger encore une fois.
  • si vous utilisez dnscrypt-proxy, vérifiez impérativement votre fichier ''/etc/dnscrypt-proxy.toml'' et assurez-vous de sa configuration !
  • d'autres changements majeurs ont été effectués sur les paquets relatifs à PostgreSQL, OpenDNSSEC, ansible, gitea, goaccess, et concernant le langage chicken. Veuillez lire le guide de migration...
  • concernant Samba, bien que le serveur de fichiers SMB fonctionnent correctement, le serveur AC DC sur les architectures amd64, armv7 et i386 ne s'exécute pas. C'est un bogue connu !

Avant la mise à niveau

Avant la mise à niveau, il est nécessaire de supprimer certains fichiers :

  • le fichier /usr/include/openssl/asn1_mac.h : # rm /usr/include/openssl/asn1_mac.h

  • relatifs à d'ancienne version de Perl : # rm /usr/bin/c2ph \
    	/usr/bin/pstruct \
    	/usr/libdata/perl5/Locale/Codes/API.pod \
    	/usr/libdata/perl5/Module/CoreList/TieHashDelta.pm \
    	/usr/libdata/perl5/Unicode/Collate/Locale/bg.pl \
    	/usr/libdata/perl5/Unicode/Collate/Locale/fr.pl \
    	/usr/libdata/perl5/Unicode/Collate/Locale/ru.pl \
    	/usr/libdata/perl5/unicore/lib/Sc/Cham.pl \
    	/usr/libdata/perl5/unicore/lib/Sc/Ethi.pl \
    	/usr/libdata/perl5/unicore/lib/Sc/Hebr.pl \
    	/usr/libdata/perl5/unicore/lib/Sc/Hmng.pl \
    	/usr/libdata/perl5/unicore/lib/Sc/Khar.pl \
    	/usr/libdata/perl5/unicore/lib/Sc/Khmr.pl \
    	/usr/libdata/perl5/unicore/lib/Sc/Lana.pl \
    	/usr/libdata/perl5/unicore/lib/Sc/Lao.pl \
    	/usr/libdata/perl5/unicore/lib/Sc/Talu.pl \
    	/usr/libdata/perl5/unicore/lib/Sc/Tibt.pl \
    	/usr/libdata/perl5/unicore/lib/Sc/Xsux.pl \
    	/usr/libdata/perl5/unicore/lib/Sc/Zzzz.pl \
    	/usr/share/man/man1/c2ph.1 \
    	/usr/share/man/man1/pstruct.1 \
    	/usr/share/man/man3p/Locale::Codes::API.3p 

Conseils pratiques

Avant de faire la mise-à-niveau, si vous utilisez Gnome3, pensez à désactiver gdm : # rcctl disable gdm
Lors du redémarrage, vous vous retrouverez en terminal texte, mais cela permettra de ne pas avoir de soucis avec l'interface graphique.

Vous pouvez/devez faire de même pour xenodm...

Idem, pour les services serveurs, il est recommandé de les désactiver !

Téléchargement

Maintenant que les précautions d'usage ont été exécutées - n'est-ce pas ?! - occupons-nous de télécharger le nécessaire !

Pour cela, positionnons-nous à la racine du système et téléchargeons le binaire bsd.rd, puis les fichiers de sommes de contrôle, et de signature, pour les vérifier :

$ cd /
# for file in bsd.rd SHA256.sig; do [ -f $file ] && rm -fP $file; ftp -n -m -C "https://cdn.openbsd.org/pub/OpenBSD/6.5/$(arch -s)/$file"; done
$ sha256 -c SHA256.sig 2>&1 | awk '/bsd.rd/ {print $3}'
OK
$ signify -Cp /etc/signify/openbsd-65-base.pub -x SHA256.sig bsd.rd
Signature Verified
bsd.rd: OK

Si les signatures ne sont pas bonnes, essayez de télécharger à nouveau depuis un autre dépôt...

Installations

(Re)démarrons la machine informatique, et lors de l'invite 'boot>', tapez : bsd.rd

Laissez faire, jusqu'à ce que le processus vous demande le choix d'(I)nstaller, d'(U)pgrader, etc … choisissez : ''U''

Puis, tapez ''http'' si vous voulez la faire en étant connecté à Internet...
ou si vous avez le CD ou une clé USB, tapez ''cd'' !

Ensuite, répondez aux questions, tout comme lors de votre première installation… pour finir par redémarrer, si tout s'est bien passé : reboot


Normalement, OpenBSD met-à-jour automatiquement les firmwares, et essaye de fusionner correctement les nouveaux fichiers de configuration avec ceux que vous auriez pu modifier...

  • au cas où, utilisez l'outil ''fw_update'' pour exécuter la mise à jour des micro-logiciels,
  • puis ''sysmerge'' pour fusionner les modifications des fichiers de configuration dans le répertoire ''/etc'' avec vos modifications personnelles. L'usage des options ''m'' pour fusionner (merge en anglais), puis choisissez les informations de colonne que vous désirez retenir, soit ''l'' pour celles de gauche, soit ''r'' pour celles de droits, et au final, l'option ''i'' pour installer le fichier modifié, vous seront utiles !

Puis terminez par la mise-à-niveau des packages !

# pkg_add -iuv

Laissez faire - cette étape peut être très longue, selon le nombre de paquets que vous aviez précédemment installés pour votre usage.
Parfois, il peut être nécessaire de répèter cette commande... plusieurs fois ; s'il vous est demandé de réparer, faites-le en spécifiant 'y'.


et une fois effectuée, exécutez :

# pkg_check

Il vous sera peut-être demandé de réparer certains paquets. Préferez 'y'.

Et si vous avez installé le binaire ''sysclean'', exécutez-le :

# sysclean


Ceci étant dit, étant fait, pensez à réactiver les services que vous auriez désactivé, lors de la phase de préparation de la mise à niveau, puis une fois fait, redémarrez votre machine...


Une fois que vous êtes dans votre session, pensez à lire les fichiers pkg-readmes préparés dans ''/usr/local/share/doc/pkg-readmes/''.

Documentation

La traduction anglais->français (in)officielle du Guide de migration OpenBSD 6.5 est prête !

À moins que vous ne préférez la version officielle en anglais ;)

 

LibreSSL 2.9.1

Rédigé par PengouinBSD Aucun commentaire
Classé dans : News Mots clés : LibreSSL

La version 2.9.1 de LibreSSL est sortie ce matin. Elle sera inclus dans la future version d’OpenBSD 6.5.

 

Voici les changements et améliorations :

 

 * Améliorations de la Documentation et des API :

  • CRYPTO_LOCK est maintenant automatiquement initialisé, avec les callbacks hérités stubbed pour compatibilité

  • Ajout de la fonction de hash SM3 pour la norme Chinoise GB/T 32905-2016

  • Ajout du chiffrement de bloc SM4 pour la norme Chinoise GB/T 32907-2016

  • Ajoute plus de macros OPENSSL_NO_* pour la compatibilité avec OpenSSL

  • Port partiel de l’API EC_KEY_METHOD d’OpenSSL pour l’utiliser avec OpenSSH

  • Implémentation plus complète de l’API OpenSSL 1.1 manquante

  • Ajout du support de XChaCha20 et XChaCha20-Poly1305

  • Ajout du support des constructions enveloppantes de clés AES via l’interface EVP

 

* Changement dans la compatibilité :

  • Ajout du support de dérivation des clés pbkdf2 vers openssl(1) enc

  • Changement du type de hachage par défaut d’openssl(1) enc vers sha256

  • Changement du type de hachage par défaut d’openssl(1) dgst vers sha256

  • Changement du type de hachage par défaut de l’empreinte x509 d’openssl(1) vers sha256

  • Changement du type de hachage par défaut de l’empreinte crl d’openssl(1) vers sha256

 

* Tests et Sécurité Pro-Active :

  • Ajout de tests d'interopérabilité étendus entre LibreSSL et OpenSSL 1.0 et 1.1

  • Ajout des tests additionnels Wycheproof et corrections des bogues relatifs

 

* Améliorations internes :

  • Traitement simplifié de l'option sigalgs et sélection de l'algorithme de signature de négociation

  • Ajoute la capacité d’utilisation de l’algorithme RSA PSS pour la signature de négociation

  • Ajoute la fonction bn_rand_interval() pour l’utiliser dans le code nécessitant des plages de valeurs bn aléatoires

  • Ajout de la fonctionnalité pour dériver les secrets de début, de négociation et l’application conformément à la RFC 8446

  • Ajout de l’état de négociation de la machine conformément à la RFC 8446

  • Suppression de code relatif à ASN.1 de la bibliothèque libcrypto qui n’a pas été utilisé depuis les environs de l’année 2000

  • Symboles internes non exportés et davantage de structures de couche d'enregistrement en interne

  • Suppression des signatures de négociation basées sur SHA224 en considération de l’utilisation des négociations dans TLS 1.2

 

* Améliorations pour la portabilité :

  • Ajout du support pour les optimisations d’assemblage sur les cibles 32 bits ELF ARM

  • Ajout du support pour les optimisations d’assemblage sur les cibles Mingw-w64

  • Amélioration de la compatibilité Android

 

* Corrections de bogues :

  • Amélioration de la protection contre la synchronisation des canaux durant la génération des signatures ECDSA

  • Coordination d’un aveuglement ajouté pour certaines courbes elliptiques. C’est la dernière partie du travail fait par Brumley et al pour se protéger contre la vulnérabilité Portsmash.

  • Assurance que la transcription de la négociation soit libérée dans TLS 1.2

 

Le projet LibreSSL continue d'améliorer la base du code en tenant compte des pratiques modernes pour créer du code sécurisé. Chacun est invité à faire part de commentaires et autres améliorations à la communauté. Merci à tous les contributeurs qui aident à rendre possible cette version du projet.

Fil RSS des articles