Обзор FreeBSD 9.0

Разработчики представили релиз FreeBSD 9.0. Это очень значимый релиз с долгожданными обновлениями, в котором исправлены давние ошибки. Начиная с этой версии, FreeBSD стала гораздо ближе к Linux в плане поддержки оборудования, использования популярных сегодня технологий и общей привлекательности для системных администраторов, производителей серверов и сетевого оборудования.
Одно из главных новшеств FreeBSD – это окончательная интеграция в систему фреймворка динамической трассировки DTrace, изначально созданного для операционной системы Solaris. Работа над интеграцией началась еще в процессе подготовки релиза 7.0, однако до сих пор DTrace можно было использовать только для отладки ядра. Теперь же этот фреймворк позволяет осуществлять и трассировку/отладку процессов пользователя. Благодаря этому нововведению разработчики получат в свое распоряжение мощнейший механизм отладки/исследования приложений, не имеющий аналогов по мощи и универсальности в мире UNIX.

Второе важное изменение – это интеграция в базовую версию инфраструктуры LLVM и компилятора Clang, которые могут заменить GCC при сборке ядра, окружения и большинство портов. В отличие от GCC, новые версии которого выходят под лицензией GPLv3, LLVM/Clang распространяется под лицензией BSD, что должно способствовать распространению FreeBSD в коммерческом секторе. Пока система имеет на борту оба компилятора, но в следующих релизах разработчики планируют полностью перейти с GCC на LLVM/Clang.

Для управления ресурсами, которые выделены под отдельные процессы, пользователей или Jail-окружения, теперь доступен фреймворк RCTL, который позволяет устанавливать ограничения на доступное количество памяти, процессорное время и любые ресурсы, контролируемые системным вызовом setrlimit(). С помощью простой команды rctl можно не только запретить группам процессов выходить за рамки лимита, но и настроить различные события, например оповещение процессов сигналом SIGNHUP или запись сообщения в syslog (которое затем сможет прочитать скрипт, выполняющий определенные ответные действия).

Традиционная модель безопасности мандатного контроля доступа дополнена фреймворком Capsicum, который позволяет изолировать приложения, при этом ограничиваемое приложение выполняет только ранее определенные действия. Capsicum реализует ту же модель управления доступом, что и линуксовые SELinux и AppArmor, но делает это иначе. Приложение должно само устанавливать свои права на те или иные операции с определенными файлами и каталогами, обращаясь к системному вызову cap_new() или с помощью системного вызова cap_enter() заключая себя в песочницу, которая заблокирует все системные вызовы (или способы использования этих системных вызовов), которые могут привести к получению/изменению информации о других процессах и всех системе в целом. Необходимость модификации приложений – слабая сторона фреймворка, но, как показала практика, вносить изменения очень просто (для tcpdump понадобилось добавить около десяти строк, а для chromium – около ста).

Внесено очень много дополнений в ТСР-стек, который по праву считается эталоном для других *пiх-систем: улучшена работа на SМР-системах [с более чем 32 CPUI, реализована группировка ТСР-соединений и их привязка к CPU, в ядро интегрировано пять новых модулей IHTCP, CUBIC, Vegas, НО и CHDI, отвечающих за контроль перегрузки (Coпgestion Contгol) в ТСР. Для более точного измерения параметров ТСР-потока используется модуль ERTT (Enhanced Round Тгiр Time), который позволяет эффективнее
управлять Congestion Contгol.

Старый sysinstall, который многие пользователи упрекали в топорности и ограниченности реализации, наконец заменен на модульный BSDinstall, имеющий ряд полезных возможностей . Например, он позволяет осуществить установку на несколько дисков, на GРТ-диск, в ZFS и в Jail. Благодаря поддержке расширений и скриптов автоматизации, возможности BSDinstall могут быть существенно расширены и дополнены различными интерфейсами (графическим, текстовым, консольным) без изменения самого инсталлятора что имеет огромное значение в обслуживании серверов. Кроме того, BSDinstall способен значительно быстрее установить операционную систему.

Добавлен новый универсальный USВ-драйвер, который обеспечивает поддержку устройств с интерфейсом USB 3.0, соответствующих спецификации XHCI(eXtensible Host Contгolleг lnteгface). Этот интерфейс, совместимый со старыми контроллерами USB 1.0/2.0, в будущем должен заменить драйвера OHCI, UHCI и EHCI.

Механизм журналирования для Soft Updates в UFS теперь активирован по умолчанию. Это значит, что файловая система не только не теряет консистентности при сбоях, но может быть очень быстро восстановлена без обязательного запуска fsck. В UFS также появился режим TRIM, который повышает производительность при работе с 550-накопителями и увеличивает их срок службы.
Подсистема GEOM, на основе которой по строено все управление накопителями , научилась распознавать жесткие диски, имеющие размер сектора 4К, и правильно работать с ними.
Утилита gpaгt теперь корректно распознает такие диски во время разметки и выбирает правильное расположение первого сектора, при создании файловой системы UFS автоматически выбирается размер блока 4/32 Кб.

В ту же подсистему GEOM интегрирован фреймворк, позволяющий привязывать разные планировщики ввода-вывода к разным накопителям, за счет чего можно улучшить производительность при использовании накопителей разных классов. Также добавлен новый упреждающий планировщик gsched_rr, который обеспечивает отличную производительность в задачах с неравномерным доступом к данным.

Реализация алгоритма AES для GЕОМ-класса дискового шифрования GELI теперь использует режим шифрования XTS, который на сегодня имеет максимальную устойчивость к атакам на предсказание содержимого зашифрованных блоков данных .