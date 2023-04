Mit OpenBSD 7.3 veröffentlicht das Entwicklerteam rund um Theo de Raadt die mittlerweile 54. Version des BSD-Betriebssystems. OpenBSD-Anwender sind es gewohnt, sich bei der Veröffentlichung durch eine recht lange Liste an Detailverbesserungen, Optimierungen und vor allem die ein oder andere neue – anfangs noch experimentelle – Sicherheitsfunktion arbeiten zu müssen. Das Update auf 7.3 legt hier nochmal nach und gehört damit zu den eher großen Schritten nach vorne.

Neue Systemaufrufe für mehr Sicherheit

Der Kernel erhält beispielsweise die neuen Systemaufrufe waitid(2), der Prozesse so lange anhält, bis sich ein zuvor definierter Status für einen Sub-Prozess ändert oder ein Signal empfangen wird. Mit pinsyscall(2) lässt sich ein Bereich von meistens bis zu 80 Byte ab der Startadresse eines Systemaufrufs festlegen, sodass "umgebogene" Aufrufe zu Fehlern führen. Schließlich vereinfachen getthrname(2) und setthrname(2) die Vergabe von Namen für einzelne Prozesse.

Der früher einmal schwächelnde Bereich des Multiprocessings (SMP) wurde weiter verbessert, indem KERNEL_LOCK() für die Systemaufrufe mmap(2), munmap(2) und mprotect(2) nicht mehr nötig sind. Das dürfte vor allem für Benutzeranwendungen wie Webbrowser mehr Geschwindigkeit bringen. Außerdem gibt es reichlich verbesserten Hardware-Support, einschließlich neuer ARM64-Varianten und zahlreicher Netzwerk- und Grafiktreiber-Updates.

OpenBSD 7.3 randomisiert sshd(8)

Version 7.3 bietet mehr Unterstützung für verschiedene neue ARM-SoCs wie den Rockchip RK3566 / RK3568 bei gleichzeitiger Verbesserung bestehender Treiber für beispielsweise den Apple M1. Angriffe auf Hardware-Unzulänglichkeiten der verschiedenen CPUs wie Spectre-BHB für ARM64 wurden unterbunden, zusätzlich wurde die ARM64 "Data Independent Timing-Funktion" aktiviert.

OpenBSDs Direct Rendering Manager (DRM), also der Grafik-/Display-Treiber im Kernel, ist nun auf dem Stand von Linux 6.1 und unterstützt AMDs aktuelle RDNA3-GPUs sowie die in die Ryzen-7000-Prozessoren integrierte Grafikeinheit bei den Mendocino- und Dragon-Baureihen.

Seit Langem macht es OpenBSD Angreifern extrem schwer, ins System einzudringen, indem Kernel und Bibliotheken bei jedem Systemstart neu gelinkt werden. Ab OpenBSD 7.3 wird nun auch auf sshd(8) in Teilen randomisiert, was die Hürde für Exploits auf den verschlüsselten Standardzugang zu entfernten Systemen noch einmal drastisch erhöhen dürfte.

Hilfe bei der verschlüsselten Installation

Bislang konnten Nutzer OpenBSD natürlich auch auf komplett und transparent verschlüsselte Laufwerke installieren – allerdings mussten sie dazu den Installer verlassen und in der eingeschränkten Shell diese Verschlüsselung von Hand einrichten. Mit OpenBSD 7.3 kann der Installer dies erledigen.

Eine OpenBSD-Installation können Nutzer ab sofort ohne händisches Eingreifen direkt den Installer heraus verschlüsseln lassen.

Dazu muss man bei der Auswahl der "root disk" statt der Vorgabe "no" den Namen des Laufwerks angeben – zum Beispiel wd0 oder sd0. Nach der Eingabe einer Passphrase wird die Installation dann wie zuvor, allerdings auf dem darauf aufgesetzten sd0-Gerät fortgesetzt. Per autoinstall(8) ist die Funktion nicht verfügbar. Als Hardware-Plattformen unterstützt OpenBSD bislang i386, amd64, sparc64 und in Kürze vermutlich auch arm64.

Aktuelle Anwendungen und kostenloser Download

OpenBSD steht unter der MIT-Lizenz und ist als Open-Source-Software frei verfügbar. Über die Paketverwaltung pgk_add lassen sich über 11.000 Anwendungen installieren. Xenocara – OpenBSDs sichere Interpretation von Xorg – liegt nach wie vor in Version 7.7 vor und läuft mit verschiedenen Desktops wie MATE, Xfce 4.18, GNOME 43.3 oder KDE 5.103.0. Dazu gibt es einen Chromium 111 oder Mozilla Firefox 111/ESR 102.9 und ein LibreOffice 7.5.1.2, ferner einen emacs 28.2 oder vim 9.0.

Vor allem jedoch gibt es bei OpenBSD 7.3 nach einer Pause wieder den traditionellen Song zum Release: The Wizard and the Fish. Installation-Images und -Anleitungen für 14 Hardware-Plattformen liegen zusammen mit dem ausführlichen Changelog auf der Projektseite kostenlos zum Download bereit.

(fo)