20 Jahre: OpenBSD 5.8 feiert

Inhaltsverzeichnis

Etwas ungewöhnlich veröffentlichte OpenBSD-Gründer Theo de Raadt bereits im Oktober das frei verfügbare Unix-Derivat OpenBSD in Version 5.8. Es ist der Zwanzigste Geburtstag des Projektes, der eine Abkehr vom üblichen Veröffentlichungsschema – ein Release jeweils am 1. Mai und am 1. November – um ein paar Tage begründet: Während FreeBSD und NetBSD etwa zeitgleich bereits zwei Jahre zuvor das Licht der Welt erblickten, spaltete sich OpenBSD am 18. Oktober 1995 als Fork von NetBSD ab. Der von de Raadt und Chuck Cranor extra dazu eingerichtete erste komplett öffentliche CVS-Server dokumentiert die Geburtsstunde mit dem Eintrag "initial import of NetBSD tree".

Insbesondere das konsequente Beharren auf korrektem Code und einer sauberen Dokumentation (mandoc), aber auch der Verzicht auf unnötige Funktionen ("Featureritis") und ein regelmäßiges Auditing führten dazu, dass OpenBSD in der Standardinstallation als außerordentlich sicher und stabil gilt ("Only two remote holes in the default install, in a heck of a long time!", wie es auf der Homepage heißt).

root bleibt erstmal draußen

Wie immer ist die Liste der Änderungen von OpenBSD 5.7 nach 5.8 ausgesprochen lang, alle Details sind in den Release-Notes zusammengefasst. Einige neue Treiber vor allem für Realtek-Hardware und weitere Vorbereitungen, den Netzwerk-Stack SMP-fest (Symmetric Multi-Processing) zu bekommen, deuten auf die Netzwerk-Affinität von OpenBSD hin.

Der GPT-Support (GUID Partition Table) bei der Installation wurde verbessert, ebenso wurden die Logik für root-Logins per Secure Shell (Vorgabe nun "no", zusätzlich "prohibit-password", das allerdings ohne aktuellen Patch unsicher ist) und der ntpd-Support (nun automatisch aktiviert) an die Praxis vieler Administratoren angepasst.

Der OpenBSD-eigene Hypervisor hat es übrigens erwartungsgemäß nicht ins Release geschafft und wird mit OpenBSD 5.9 im Mai 2016 erwartet.

Sicherheit durch Korrektheit

In der Paradedisziplin Sicherheit schneidet OpenBSD nicht unüblich alte Zöpfe ab: Das recht umfangreiche "sudo" wandert vom Basissystem in die Ports und wird durch das wesentlich einfachere "doas" von Ted Unangst ersetzt (wie und warum, erklärt er in seinem Blog). Ältere Architekturen werden bei OpenBSD aus Prinzip unterstützt, weil so vor allem auch plattformunabhängige Fehler gefunden werden, die bei einer Konzentration auf beispielsweise nur amd64 nicht erkannt würden. Die SPARC-Plattform erhält "static PIE"-Unterstützung (Position Independent Executables), die Alpha-Architektur wurde auf "secure PLT" (Procedure Linkage Table) umgestellt, und selbst der i386-Port kann nun das NX-Bit und damit die Speicherschutzmethode W^X ("write XOR execute") nutzen, sofern die Hardware es unterstützt.

Mit dem Framework "tame" (dt. zähmen) erhalten Entwickler die Möglichkeit, dem System mitzuteilen, welche Rechte ihre Anwendung im Laufe der Zeit nicht mehr benötigt, vergleichbar also mit dem "privilege dropping" bei Linux. Ein Beispiel: Mail-Server benötigen nur beim Start die Erlaubnis, einen Port zu reservieren, und können anschließend mit stark eingeschränkten Rechten laufen. Versucht ein Programm durch einen Fehler oder einen Exploit aus diesem Verhalten auszubrechen, erkennt der Kernel dies mit tame und beendet den Prozess. Zur Zeit ist das Sicherheitsfeature nur grundlegend implementiert, und auch eine eventuelle Zusammenarbeit mit dem vergleichbar ausgerichteten Framework Capsicum ist noch nicht gegeben.

Verbesserungen am minimalen Webserver

Die veraltete Version 1.3 des Webservers Apache wurde nach 16 Jahren treuer Dienste bereits in OpenBSD 5.5 durch nginx ersetzt, das wiederum in Version 5.7 der Eigenentwicklung httpd weichen musste. Dieser minimale Webserver, der außer FastCGI nur wenige Funktionen bietet, erhielt neben Fixes auch HSTS-Support (HTTP Strict Transport Security) und nutzt standardmäßig TLSv1.2.

Die Liste der Fixes und Erweiterungen ist naturgemäß für die beiden Schwergewichte des OpenBSD-Projekts, OpenSSH 7.0 und LibreSSL 2.2.2, am längsten. Für beide gibt es bereits weitere wichtige Bugfixes. In den Relase-Notes finden sich neben vielen anderen Neuerungen bereits Hinweise auf potenzielle Sicherheitslücken. Der Stand des OpenBSD-5.8-Release (freeze) liegt grundsätzlich ein bis zwei Monate vor der eigentlichen Veröffentlichung, um Zeit zur Herstellung der CDs zu haben, über die sich das Projekt unter anderem finanziert.

Seit Mitte September schreitet die weitere Entwicklung in Richtung OpenBSD 5.9 daher innerhalb von OpenBSD-5.8-current voran. Alle Patches für das Release sind in den Errata dokumentiert. Sie können bei Bedarf manuell in "-release" eingepflegt werden, ein Release mit allen Patches steht als "-stable"-Zweig zur Verfügung, die Entwicklung findet in "-current" statt.

Universell einsetzbar

Neben i386/amd64 läuft OpenBSD 5.8 auf Plattformen wie Alpha, ARM, HPPA, PowerPC, SPARC/SPARC64 und Vax bis hin zu Zaurus. Zusätzlich zum Basissystem, das sich mit dem Paketfilter "pf" als Firewall einrichten lässt, stehen auch Desktops wie GNOME 3.16.2, KDE 3.5.10/4.14.3, Xfce 4.12 oder Fluxbox zur Verfügung. Mit Firefox 38.1-esr/39, Thunderbird 38.1 und LibreOffice 4.4.4 sowie GIMP und VLC ist OpenBSD arbeitsplatztauglich. Für Entwickler und den Servereinsatz bilden die Compiler GCC 4.8.4 und 4.9.3, LLVM/Clang 3.5, PHP 5.4.43, 5.5.27 und 5.6.11, die Datenbanksysteme MariaDB 10.0.20 und PostgreSQL 9.4.4 die Eckpfeiler. Ein minimales ISO-Image (cd58.iso, 8 MByte) für die Installation per HTTP/FTP, ein vollständiges Installationsmedium (install58.iso, 230 MByte) sowie Images für USB-Sticks stehen auf der Website zur Verfügung. Statt wie üblich einen zum Release passenden Song zu veröffentlichen, gibt es zum Jubiläum gleich vier freie Musikstücke samt Songtexten. (tiw)