Menü
iX Magazin

OpenBSD 6.0: Das letzte Mal auf CD

Das OpenBSD-Team um Theo de Raadt hat die nächste Major-Release 6.0 des freien UNIX-Clone freigegeben. In seiner Ankündigung verweist de Raadt auf bislang nur zwei aus der Ferne ausnutzbare Lücken in der Standardinstallation.

Von
vorlesen Drucken Kommentare lesen 74 Beiträge
OpenBSD 6.0 ist fertig

Da sich OpenBSD mit seinem Fokus auf größtmögliche Sicherheit bekanntermaßen vor über 20 Jahren von NetBSD abgespalten hat ist, besteht der Großteil der Entwicklung daher darin, Code zu auditieren, zu verbessern und eher zu entfernen anstatt neue Features einzubauen. Da sich OpenBSD unter anderem als Entwicklungsplattform für zukünftige Betriebssysteme sieht, nimmt das Entwicklerteam dabei steinige Wege in Kauf: So ist im jetzt freigegebenen OpenBSD 6.0 der Sicherheitsmechnismus W^X (Write XOR Execute) standardmäßig für das gesamte Basissystem aktiv und verhindert so, dass modifizierter Code ausgeführt werden kann. Die Funktion lässt sich nur umgehen, wenn ein Programm mit PT_OPENBSD_WXNEEDED markiert ist und es auf einem Dateisystem liegt, das mit der neuen Option wxallowed eingebunden wurde. Bei der Installation hängt OpenBSD beispielsweise das Verzeichnis /usr/local derart ein, weil es hier Software von Drittanbietern (ports) installiert. Wegen zu vieler Sicherheitsprobleme bei gleichzeitig für OpenBSD-Nutzer geringem Nutzen wurden die Linux-Emulation und Usermounts komplett aus OpenBSD 6.0 entfernt.

Vor allem im Bereich SMP (Multiprocessing), der bisherigen Achillesferse von OpenBSD, geht es deutlich voran. Der Netzwerk-Stack wurde mittlerweile fast komplett erneuert. Auch der Scheduler, wichtig insbesondere für Desktop-Anwender, verteilt Last besser auf mehrere Kerne, wodurch sich das System so deutlich flinker anfühlt. Die auch in anderen Betriebssystemen verwendeten Open*-Projekte weisen ebenfalls lange Listen von Verbesserungen auf, wie beispielsweise: OpenSSH (ProxyJump), OpenSMTPD (fork+exec), OpenNTPD (hardened TLS constraints) oder LibreSSL (IETF ChaCha20-Poly1305).

ARMv7 könnte zu einer wichtigen Plattform für OpenBSD werden. Alle neueren Architekturen wurden auf einen EFI+Bootloader-Mechanismus umgestellt, der dem von AMD64 ähnlich ist und so die Entwicklung vereinfacht. Geräte und andere externe Komponenten auf ARM-Boards soll das Betriebssystem Dank eines "Flat Device Tree" (FDT) leichter erkennen. In den Mailinglisten tauchen sogar positive Meldungen zum Raspberry Pi 2 und 3 auf, die Theo de Raadt lange Zeit regelrecht verflucht hat.

Leider keine Neuigkeiten gibt es beim OpenBSD-Hypervisor vmm, und Nostalgiker müssen von der VAX als Plattform Abschied nehmen. Die 32bittige SPARC-Architektur (sun4, sun4c/e/m) ist in OpenBSD 6.0 ein letztes Mal enthalten, SPARC64 bleibt neben AMD64, ARM und i386 eine der wichtigsten Plattformen.

OpenBSD 6.0 eignet sich nicht nur als pf-Firewall oder sicherer Server, sondern macht durchaus auch als Desktop oder auf dem Notebook eine gute Figur (hier Xfce 4.12).

OpenBSD 6.0 bietet für AMD64 immerhin 9433 pre-built Installationspakete, darunter Xfce 4.12, KDE 3.5.10 und 4.13.3, Gnome 3.20.2, Firefox 45.2-ESR und 47, Thunderbird 45.2, Chromium 51, LibreOffice 5.1.4.2 sowie GIMP 2.8.16. Entwickler können unter anderem GCC 4.9.3 oder LLVM/Clang 3.8 verwenden, PorstgreSQL liegt als 9.5.2, MariaDB als 10.0.25 vor. PHP 5.5.37, 5.6.23 und 7.0.8 sowie Python 2.7.12, 3.4.5 und 3.5.2 sind enthalten. TeX Live für selbst umfangreichste Dokumentationsaufgaben ist immerhin in der 2015-Edition dabei.

Der Freeze von OpenBSD 6.0 fand Ende Juli statt, und so darf es nicht verwundern, dass es bereits vier wichtige Sicherheitsfixes auf der Errata-Seite gibt. Ärgerlich ist dabei gleich der erste Fix, denn er betrifft das UVM Virtual Memory System, ist damit wirklich wichtig und erfordert ein Neuübersetzen des Kernels. Auf den Installationsmedien ist der Fix, da nach dem Freeze gefunden, nicht enthalten.

Wie üblich lässt sich OpenBSD kostenlos von der Projektseite herunterladen. Dort finden sich auch Dokumentation und FAQs. Kleiner Tipp für OpenBSD-Fans: Das 3-CD-Set für OpenBSD 6.0 wird das letzte seiner Art sein, zukünftige Versionen soll es offiziell nur noch als Download geben. Sie anthalten zusätzlich wie üblich die auch ansonsten frei herunterladbaren Songs zum Release, diesmal sogar derer sechs – als Hommage an Pink Floyd. Der sechste Song, "Goodbye", wird als Premiere und wohl mit einem Augenzwinkern von Theo de Raadt selbst gesungen... und lässt inständig hoffen, dass er sich fortan voll auf das Programmieren konzentriert. (Michael Plura) / (avr)