FreeBSD 11 mit schnellerem Netz und optionalem Sicherheitsplus

FreeBSD 11 verzögert sich im Gegensatz zu den Vorgängern nur um wenige Tage. Die Verbesserungen im Bereich Netzwerk und optionale Sicherheitsfunktionen kommen vor allem Servern zugute.

In Pocket speichern vorlesen Druckansicht 73 Kommentare lesen
FreeBSD 11 mit schnellerem Netz und optionalem Sicherheitsplus
Lesezeit: 4 Min.
Von
  • Michael Plura
Inhaltsverzeichnis

Seit Montag steht auf den FreeBSD-Spiegelservern Version 11 des Betriebssystems zum Download bereit. (Update: Die Version enthält laut den Entwicklern noch Sicherheitslücken, die in einem Patch beseitigt werden. Mehr Infos dazu am Ende des Artikels.) Neben einem CD- und einem DVD-Image gibt es ein "memstick.img", das per dd auf einen USB-Stick kopiert werden kann. Alle Varianten sind zusätzlich als "bootonly"-Variante zur Installation über das Netzwerk oder als Notfallsystem verfügbar. Die Veröffentlichung, ursprünglich für den 9. September geplant, verzögerte sich, weil im letzten Moment noch ein nicht trivial zu beseitigender Fehler bei der Interaktion zwischen dem VFS-Layer und ZFS gefunden wurde.

Verbesserungen des NUMA-Supports verhelfen Servern mit mehreren CPU- und Memory-Subsystemen dazu, effizienter zu arbeiten. Speicherbereiche virtueller Maschinen beispielsweise sollen so nicht mehr über mehrere lokale CPU-Speicher verteilt werden. Mit devctl steht dem Nutzer ein neues Werkzeug zur Verfügung, um einzelne Geräte samt Treiber selbst zu administrieren.

Mac OS X basiert unter der Haube zu großen Teilen auf FreeBSD, und so verwundert es nicht, dass Clang in FreeBSD 11 auf 3.8.0 aktualisiert wurde und auf amd64 und arm64 nun LLDB, der Xcode-Debugger von OS X, standardmäßig aktiviert ist. Auch Apples Block Extension, eine proprietäre Erweiterung zu Clang, wurden von Apples GCC Version 5646 portiert und eingepflegt. AppleTalk hingegen ist weggefallen.

Harte Fragen: Bereits bei der Installation lassen sich wichtige Sicherheitsfunktionen aktivieren, die leider standardmäßig abgeschaltet sind

Naturgemäß hat sich vor allem im Bereich Netzwerk viel geändert: Ein neuer sendfile-Systemaufruf soll asynchrone I/O-Operationen ermöglichen. Die seit 2013 von Nginx und Netflix entwickelte Neuimplementierung soll Webservern wie Nginx oder Apache helfen, große Datenmengen schneller auszuliefern. Das UDP-Lite Protokoll fand Einzug in IPv4 und IPv6. Die pcap-Bibliothek libpcap zum Mitschneiden des Datenverkehrs integriert nun netmap, sodass tcpdump oder wireshark direkt auf netmap-Ports zugreifen können. Wenig Fortschritt gibt es beim Paketfilter "pf" zum Aufbau von Firewalls. Der FreeBSD-Port hinkt dem OpenBSD-Original immer noch um Jahre hinterher, eine Verbesserung des Hash-Algorithmus von Jenkins zu Murmur3 soll immerhin 3 Prozent mehr Paketdurchsatz bringen.

Bei der Virtualisierung kann Bhyve, der von Grund auf neu entwickelte Hypervisor von FreeBSD 11, nun FreeBSD/386-Gäste laufen lassen. Windows-Gäste starten zumindest. Verbesserungen gab es für die Xen-, Hyper-V- und AWS EC2-Integration. Physische Hardware in Form von ARM und PowerPC, teilweise auch SPARC64, erhielt zahlreiche Verbesserungen und neue Treiber - beispielsweise das Samsung Chromebook/Chromebook2.

Auch wenn sich FreeBSD 11 eher für Server-Anwendungen eignet, wird es vermehrt als Desktop eingesetzt. Davon zeugen Treiber für Trackpads in MacBooks, ein AMD Radeon DRM/KMS-Treiber mit 32-Bit-Support (auch in der 64-Bit-Version) und Verbesserungen im Audio-Bereich.

Arbeitstauglich: FreeBSD 11 ist trotz notwendiger Handarbeit recht schnell in einen Arbeitsplatz-PC zu verwandeln, der neben dem MATE-Desktop (im Bild) auch Gnome3, KDE4 oder Xfce4 und weitere Desktops bietet.

Viele Details betreffen die Bereiche Storage und Sicherheit. Das bemerkt man bereits bei der Installation, die seit FreeBSD 10.1 auch auf ZFS-root möglich ist oder dem neuen Menü "System Hardening" bei der Installation von FreeBSD 11: Hier können viele Sicherheitsfunktionen eingeschaltet werden - was vermutlich leider dazu führt, dass etliche Systeme unnötig unsicher laufen werden, da die Funktionen oft von Haus aus deaktiviert sind. Zu den einschaltbaren Optionen gehören beispielsweise zufällig vergebene PIDs oder das Verbergen Prozesse anderer Benutzer.

Die Webseite des FreeBSD-Projekts ist noch nicht auf das FreeBSD 11 Release aktualisiert worden, ein direkter Download ist aber bereits möglich. Die Release Notes und alle Änderungen sind ebenfalls bereits online.

Update, 29.9., 13 Uhr: Offiziell soll FreeBSD 11 nun als "11.0-RELEASE-p1" voraussichtlich am 5. Oktober erscheinen. Grund dafür sind Sicherheits-Updates, die laut Entwicklern für die finale Release zwingend nötig sind. Nutzer, die bereits FreeBSD 11.0-Release von den FTP-Servern des Projekts heruntergeladen und installiert haben, erhalten mit der Ankündigungsmail für 11.0-Release-p1 Informationen über ein Upgrade. Allen anderen wird empfohlen, mit der Installation bis zur offiziellen Ankündigung warten. (jab)