FreeBSD 10.4-RELEASE 追加情報
FreeBSDプロジェクトは2017年10月3日(協定世界時)にFreeBSD 10.4-RELEASEの公開を発表しました。FreeBSD 10.4-RELEASEに関しては、本連載にて前回ある程度まとめましたので、そちらもご覧ください。今回は前回説明しなかった部分を追加で紹介します。
まず、セキュリティサポートが通常の1年間で2018年10月31日と発表されました。慣例的にこれまでのリリースではブランチ最後のリリースでは2年間のセキュリティサポートを提供していますが、FreeBSDプロジェクトはもともと10.3-RELEASEで10系最後のリリースにするつもりでいました。10.4-RELEASEは要望を受けて設けた追加のリリースですので、エクステンデッドサポートではなく通常の1年サポートになったものと見られます。10.4-RELEASEで10系は最後のリリースになる予定です。
前回の10.3-RELEASEのサポート期限は2018年4月30日です。今回の10.4-RELEASEのサポート期限が2018年10月31日ですので、6ヶ月間EoLが延びたことになります。10系を利用している場合には10.4-RELEASEへアップグレードして半年間期限を延ばすことができますが、それでも延長する期限は半年間だけですので、早期に11系以降へアップグレードするパスを考えた方がよいのではないかと思います。
10.4-RELEASEの主な注目ポイントは次のとおりです。
- eMMCストレージのフルサポート(eMMCパーティション、TRIM、バススピードモード(最大HS400)など)
- GTPディスクラベル使用時におけるfsck_ffs(8)ユーティリティオルタネートスーパーブロック利用のサポート
- em(4)ドライバへKaby Lake世代Intel i219(4)およびi219(5)デバイスサポートの追加
- Intel i217/i218/i219チップに対するWake On LAN機能をem(4)ドライバへ追加
- igb(4)ドライバに対するWake On LAN機能の追加
- ユーザランドコアダンプにヒューマンリーダブルなクラッシュレポートを出力する機能を追加。devd(8)経由で利用可能。デフォルトでは無効化
- glxgbe(4)ドライバのファームウェアをアップデート(いくつかのTSOバグの修正、ロック回り処理の改善、パフォーマンスの向上、統計データの出力対応などを含む)
- Mellanox ConnectX-4シリーズをmlx5ib(4)ドライバでサポート
- OpenSSHバージョン7.3p1へアップデート
- GNOMEバージョン3.18へアップデート
- X.orgサーババージョン1.18.4へアップデート
- aesni(4)ドライバの改良
セキュリティ脆弱性の修正、バグの修正のほかに前述したようにいくつかデバイスドライバやサードパーティ製ソフトウェアのバージョンが上がっています。しかし、10.3-RELEASEを随時アップデートしていて(ドライバは変わりませんけども)もかなり似たような状況になります。特にアップグレードする必要がなければ、サポートが終了するまで10.3-RELEASEを使い、そこから11.1-RELEASEまたは11.2-RELEASEへアップグレードするというのは悪くない選択肢だとも思います。
10系と11系でセキュリティサポートモデルが変更になっている点に注意してください。10系まではリリースバージョンごとに半年、1年、2年といったセキュリティサポートが設けられていました。11系からはブランチベースで最低5年間というサポートモデルです。11系では常に最新のリリースがサポートの対象となりますので、常に最新版へバージョンアップしていくことになります。
FreeBSD勉強会
10月26日(木) 19:00~ 第67回 FreeBSD勉強会:blacklistd(8)でsshd/ftpd DoS攻撃を防止する方法 基礎から応用まで - ドワンゴ セミナールーム
FreeBSD 11.0-RELEASEにはblacklistd(8)と呼ばれるデーモンが取り込まれました。これはNetBSDのblacklistd(8)をマージしたもので、設定に従ってサーバに対するDoS攻撃とみられるアクセスに対し、自動的にアクセスを閉じるといった処理をしてくれます。
FreeBSD 11.1-RELEASEからはシステムのsshd(8)がblacklistd(8)に対応するようになりました。ftpd(8)にもすでに同様の機能が取り込まれています。ログインに何回か失敗したら何時間の間アクセスをブロックするといった設定を行うことができます。ホワイトリスト的な設定も追加することでき、全体としてのブロック設定をおこないつつ、特定のホストからのアクセスは許可したり、特定のホストからのアクセスは規制を緩くしておくといったことも可能です。
blacklistd(8)と類似した機能を提供するソフトウェアにはsshguard、fail2ban、denyhostsなどがあります。これらソフトウェアと比較したblasklistd(8)の特徴は処理の軽快さにあります。また、ipfw、pf、ipfilterというFreeBSDが提供しているすべてのファイアウォール機能に対応しているほか、もちろんNetBSD npfに対応しています。
blacklistd(8)はライブラリとしてlibblacklistを提供しているため、sshdに限らずほかのさまざまなソフトウェアからも利用できる汎用的な機能です。いくらかのコードの書き換えでblacklistd(8)を利用できるようにすることができます。
今回の勉強会ではblacklistd(8)がどのように動作しているのか紹介するとともに、設定方法などの基本的な方法から、既存のソフトウェアをblacklistd(8)に対応させる場合にどのように開発を行えばよいかなどを紹介します。
参加登録はこちらから
FreeBSD勉強会 発表者募集
FreeBSD勉強会では発表者を募集しています。FreeBSDに関して発表を行いたい場合、@daichigotoまでメッセージをお願いします。30分~1時間ほどの発表資料を作成していただき発表をお願いできればと思います。