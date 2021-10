Mit OpenBSD 7.0 haben die Entwickler rund um Theo de Raadt die 51. Version ihres auf Sicherheit und korrekten Code bedachten Open-Source-Betriebssystems veröffentlicht. Wie immer betrifft mehr als die Hälfte der Neuerungen und Verbesserungen den Bereich Netzwerk und Routing sowie die OpenBSD-Projekte OpenSMTPD (jetzt 7.0.0), OpenSSH (8.8) und LibreSSL (3.4.1).

Verbessert wurden auch die OpenBSD-eigenen Sicherheitsfunktionen wie KARL (Kernel Address Randomized Link), bei dem der Kernel bei jeden Neustart neu gelinkt wird, und unveil(2), mit dessen Hilfe Anwendungen eine nur auf das absolute Minimum eingeschränkte Sicht auf das Dateisystem erhalten. An vielen Stellen wurde eine alte Schwachstelle von OpenBSD, der SMP-Betrieb, weiter optimiert.

iX Newsletter: Monatlich spannende Hintergründe zur neuen Ausgabe Kennen Sie schon den kostenlosen iX-Newsletter? Jetzt anmelden und monatlich zum Erscheinungsdatum nichts verpassen: heise.de/s/NY1E In der nächsten Ausgabe geht's ums Titelthema der November-iX: Angriffe rechtzeitig erkennen und abwehren.

Der minimalistische und auf Sicherheit ausgerichtete OpenBSD-Hypervisor VMM/VMD erhielt ein theoretisches Limit von 512 vCPUs sowie viele kleine Verbesserungen. Für den Anwender gibt es das von NetBSD importierte timeout(1)-Tool, mit dem die Laufzeit von Befehlen zeitlich begrenzt werden kann. GNU/Linux-Benutzer kennen den Befehl seit den GNU Coreutils 7.0.

doas(1), der moderne Ersatz für sudo(1), fragt jetzt bis zu dreimal nach dem korrekten Passwort. Auffällig viele Aktualisierungen gab es bei fdisk(8) und tmux(1), dem Terminal Multiplexer. Wie immer wurde auch ein besonderes Augenmerk darauf gelegt, selbst winzigste Fehler in der Dokumentation auszumerzen.

Mehr Hilfe beim Debugging

Der mit OpenBSD 6.7 eingeführte Dynamic Trace Mechanism, bei dem System- und Applikation-Debugging mithilfe des Pseudo-Gerätes /dev/dt möglich ist, wurde bei OpenBSD 7.0 auf den amd64/i386, arm64, sparc64 und der powerpc64-Plattformen standardmäßig aktiviert.

Lästige Probleme mit den TPM 2.0-Modulen vor allem auf ThinkPads, die ein Aufwachen aus dem S3-Suspend-Modus verhinderten, wurden behoben. Über einen Patch, den Theo de Raadt, Mark Kettenis und Mike Larkin am 30. August einreichten, gehen Systeme mit viel RAM deutlich schneller in den Tiefschlaf (Hibernate). Durch die optimierte Handhabung von unbenutztem Arbeitsspeicher reduziert sich laut Entwickler der Wechsel in den Hibernate-Modus bei 16 GByte RAM von 100 auf 9 Sekunden und bei 40 GByte RAM von 325 auf 28 Sekunden – de Raadt kommentiert das mit "increase hibernate writeout speed a little".

Der Direct Rendering Manager für die hardwarebeschleunigte Grafikausgabe (DRI) entspricht mit OpenBSD 7.0 dem von Linux 5.10.65. Intels DRM kommt nun besser mit TigerLake-GPUs klar, bei AMD werden "Sienna Cichlid", "Arcturus" und die Cezanne "Green Sardine" Ryzen 5000 APUs unterstützt. Im Gegensatz zu manch aktueller GNU/Linux-Distribution bleiben Nutzer von OpenBSD von schwarzen Bildschirmen bei einigen neuen Ryzen-APUs verschont.

RISC-V kommt, SGI geht…

Nachdem mit OpenBSD 6.1 ARM und mit 6.9 PowerPC64 zu den unterstützten Hardware-Plattformen hinzugekommen sind, portieren einige Entwickler OpenBSD nun auf die langsam aus dem Dornröschenschlaf aufwachende RISC-V-Architektur. Die Entwicklung findet primär auf SiFive Unmatched statt: Das Board im Mini-ITX-Formfaktor ist mit einer 1,2 GHz schnellen Quadcore-CPU, 16 GByte RAM, viermal USB 3.2 Gen 1, einem x16 PCIe-Slot (8 Lanes) und zwei M.2-Steckplätzen für knapp 600 Euro erhältlich. Zurzeit ist es für Entwickler, aber kaum für Endanwender interessant.

Unterstützt wird grundlegend auch das Microsemi PolarFire SoC Icicle Kit, bei dem es sich um einen Ultra Low-Power SoC FPGA handelt, der sich später einmal gut für Netzwerk- und Firewall-Appliances oder IoT-Geräte eignen könnte.

Für Besitzer der schicken SGI Indy, Indigo2, Octane, O2, Origin und Onyx auf Basis der klassischen 64-Bit-MIPS-Prozessoren ist bei OpenBSD 6.9 Schluss, denn mit OpenBSD 7.0 wird der sgi-Port nicht mehr weiterentwickelt. Das kommt nicht unbedingt unerwartet, wenn man die Hintergründe der MIPS-Entwicklung kennt: MIPS wurde in der ersten Hälfte der 80er Jahre von Forschern an der Stanford-Universität in den USA entwickelt und war die Basis für SGI-Workstation und -Server, frühere DEC-Rechner (die später Alpha-Prozessoren verwendeten) und einige Spielekonsolen. Selbst Microsoft portierte Windows NT auf MIPS. Nachdem 2010 ARM das Rennen um die CPU-Vorherrschaft in Smartphones gewann und um 2013 immer mehr Teile von MIPS ausverkauft wurden, war es um die Marktbedeutung von MIPS geschehen. Im März dieses Jahres verkündete MIPS Technologies, dass die aktuelle Generation 8 von MIPS-CPUs auf der RISV-V-Architektur basieren wird – ein etwas merkwürdiger, aber vielleicht überlebenswichtiger Schritt: MIPS8-Prozessoren sind fortan RISC-V-CPUs.

Apple M1 fast vollständig, Raspberry Pi 4 problematisch

Die ARM-Plattform bekam mit OpenBSD einige kleine Verbesserungen wie eine korrekte Ansteuerung der LEDs bei dem nue(4)-Treiber (z.B. LAN7800 auf Raspberry PI 3B+). Beim Raspberry Pi 4 mit seiner etwas schrulligen Hardware hingegen klemmt es: Eine neue U-Boot-Version sendet beim Start einen Reset-Befehl an den PCIe-Controller, der allerdings durch den bcmpcie(4)-Treiber nicht neu initialisiert wird. Das hat Auswirkungen auch auf USB-Geräte und dürfte in Kürze durch einen Fix beseitigt werden.

Apple-Rechner mit der M1-ARM-CPU erhielten einige neue Treiber, die für einen kompletten Betrieb aber noch nicht ausreichen. Immerhin lassen sich über den aplpinctrl(4)-Treiber für das "Apple Pin Multiplexing" der GPIO-Controller ansprechen, um so vielleicht die Systeme um interessante Hardware zu erweitern.

Alle Neuerungen und Verbesserungen sind detailliert in den Release Notes zu OpenBSD 7.0 dokumentiert. Einzigartig ist die (fast) immer künstlerische Begleitung eines jeden Releases: Der Song "The Style Hymn" beschreibt in einer Art Sprechgesang die Style-Guides für OpenBSD-Enwtwickler, dazu gibt es eine schicke OpenBSD-7.0-Illustration von Natasha Allegri im van Gogh-Stil. ISO-Dateien und USB-Stick-Images liegen auf den Spiegelservern des Projektes kostenlos für diverse Hardware-Architekturen bereit.

(fo)