Veröffentlichung von OpenBSD 7.9

 (openbsd.org)
1 Punkte von GN⁺ 19 시간 전 | 2 Kommentare | Auf WhatsApp teilen
  • Verzögerter Ruhezustand wurde hinzugefügt, sodass das System im suspend-Zustand nach einer festgelegten Zeit aufgeweckt und sofort in den hibernate-Modus versetzt werden kann, um eine Batterieentladung zu verhindern; die Verzögerungszeit in Sekunden wird mit machdep.hibernatedelay festgelegt
  • Sicherheitsänderungen: Der root-Bypass von bpf(4) BIOCLOCK wurde entfernt, das pledge(2)-Promise tmppath wurde abgeschafft, und mit __pledge_open(2) wurde eine Möglichkeit eingeführt, internen Dateizugriff aus libc eingeschränkt zu erlauben
  • OpenSSH 10.3 behebt Sicherheitsprobleme wie die mögliche Befehlsausführung im Zusammenhang mit der %-Token-Erweiterung von Benutzernamen in ssh(1), das Zertifikats-Principal-Matching in sshd(8), die Behandlung von setuid/setgid im Legacy-scp -O, die Durchsetzung von ECDSA-Algorithmusbeschränkungen sowie eine fehlende Prüfung des mux proxy
  • LibreSSL 4.3.0 ergänzt Unterstützung für TLS-MLKEM768_X25519-Keyshare, sieve starttls und RSASSA-PSS-Pubkey-OID und behebt die Möglichkeit eines 4-Byte-Heap-Speicherüberschreibens durch einen Off-by-one-Fehler bei der Depth-Prüfung des X.509-Verifiers
  • Im Netzwerk-Stack wird veb(4) zu einer VLAN-fähigen Bridge und unterstützt PVID, erlaubte-VID-Bitmaps sowie access-/trunk-/hybrid-Port-Konfigurationen; zur Kompatibilität mit bisherigen einfachen Konfigurationen wird standardmäßig PVID 1 verwendet
  • IPv6 autoconf (SLAAC) ist standardmäßig aktiviert, und pflow(4) ergänzt ein IPFIX-/Netflow-v10-NAT-Template, das Quell- und Ziel-IP sowie Ports nach NAT enthält
  • pf(4) führt source/state limiter ein und kann eine Aktion festlegen, die beim Erreichen des Limits ausgeführt wird; die Standardaktion für limiter in pfctl(8) wurde von no-match auf block geändert
  • Virtualisierung ergänzt vmboot, das sysupgrade(8) in vmd(8)-VMs ermöglicht, und verbessert das Verhalten mit Apple Virtualization, Pfade für confidential computing wie AMD SEV sowie verschiedene Race-, Hang- und Netzwerk-Reset-Probleme
  • Die Hardware-Unterstützung erweitert sich um RK3588-/RK3576-SoCs auf arm64, GL9755 SDHC in einigen Apple-Silicon-Laptops, SpacemiT K1 SoC auf riscv64, nhi(4) für USB4, ispi(4) für Intel LPSS SPI und mehr
  • Im WLAN gibt es standardmäßige Unterstützung für 802.11ax, Unterstützung für 5-GHz-160-MHz-Fenster und 160 MHz in iwx(4), PMF für iwm(4), iwx(4) und qwx(4), und iwx(4) powersave ist standardmäßig aktiviert
  • Bei Installation und Upgrade schlägt sysupgrade nun fehl, wenn das /usr-Dateisystem zu mehr als 90 % belegt ist, um das Risiko von Systembeschädigungen zu verringern; auf amd64 wird außerdem das Laden von Kernel-Dateien aus der EFI System Partition unterstützt, sodass der OpenBSD-Bootloader und bsd.rd auf der EFI-Boot-Partition liegen können
  • Pakete und Hauptkomponenten: Es werden 13.044 Pakete für amd64, 12.883 für aarch64 und 10.631 für i386 bereitgestellt; enthalten sind unter anderem Chromium 147.0.7727.101, Firefox 150.0, Node.js 22.22.2, PostgreSQL 18.3, Rust 1.94.1 sowie LLVM/Clang 19.1.7, 20.1.8 und 21.1.8

Verwandte Beiträge

2 Kommentare

 
GN⁺ 18 시간 전
Hacker-News-Kommentare

  • Das Release-Artwork von OpenBSD 7.9 stammt von Lyra Henderson
    https://www.openbsd.org/images/PinkPuffy.png
    https://www.openbsd.org/images/puffy79.gif
    Der Release-Song ist „Diamond in the Rough“, komponiert und produziert von Bob Kitella
    https://www.openbsd.org/lyrics.html#79
    Beim Merch scheint es bisher vor allem T-Shirts zu geben: https://openbsdstore.com/

    • Interessant ist, dass auf dem verlinkten PinkPuffy.png auf der Katzenmütze „security“ steht, während auf mehreren T-Shirts im OpenBSD-Store auf der Katzenmütze „POLICE“ steht
    • Interessant ist auch, dass OpenBSD seine Hardware-Unterstützung weiter ausbaut
      Ich betreibe es auf meinem kleinen Heimserver für DNS/DHCP, und die Stabilität ist beeindruckend; man merkt deutlich, wie viel langfristige Audit-Arbeit darin steckt
    • Ich frage mich, ob Theo sich irgendwann stärker in Richtung AI bewegt und sogar Release-Artwork und Songs damit erstellen lässt

  • In anderen Betriebssystemen werden weiterhin Sicherheitsprobleme gefunden, und durch AI dürfte das noch schneller gehen, daher ist jetzt wohl der Zeitpunkt, an dem alle OpenBSD in Betracht ziehen sollten
    Der seit Jahrzehnten verfolgte sicherheitszentrierte Ansatz ist kaum zu übertreffen; ich bin komplett von Ubuntu/Debian auf OpenBSD umgestiegen und habe nicht vor, zurückzugehen

    • Leider ist die Hardware-Unterstützung auf vielen Systemen nicht ausreichend
      Wenn ich BSD wählen müsste, würde ich deshalb wohl eher FreeBSD nehmen
    • Ich habe OpenBSD kürzlich ausprobiert, und es verhielt sich recht anders als andere Betriebssysteme
      Derselbe Code läuft unter Linux/FreeBSD/Windows gut, aber unter OpenBSD war die Multithreading-Performance schwach, und asynchrone Sockets stoppten nach ein paar Sekunden mit hoher Übertragungsrate
      Das heißt nicht, dass OpenBSD falsch liegt, nur dass es sich anders anfühlt
    • Ich weiß nicht, ob OpenBSD tatsächlich sicherer als Linux ist
      Ich konnte keine Daten finden, die das belegen, nur vage Eindrücke
    • Wenn einem Sicherheit wichtig ist, könnte auch Qubes OS einen Blick wert sein
      Verwandte Diskussion: https://forum.qubes-os.org/t/qubesos-vs-openbsd-security/790...
    • Für die Aussage „jetzt sollten alle OpenBSD in Betracht ziehen“ ist es noch fraglich, wenn ein angeblich sehr sicheres Feature schon durch einen symbolischen Link ausgehebelt werden kann
      https://x.com/ortegaalfredo/status/2055362910415671459
      Natürlich ist es auch schwer zu behaupten, dass Linux besser dasteht, aber dank seines Marktanteils gibt es immerhin mehr Augen, die Probleme finden und beheben können

  • Für einige ist die Entfernung von Exim aus den ports die große Nachricht
    Es gibt einen guten Artikel über den Umstieg von Exim zu OpenSMTPD: https://nxdomain.no/~peter/time_for_opensmtpd.html
    Ich habe OpenSMTPD damals kurz nach dem Erscheinen ausprobiert, aber es war noch nicht stabil genug; inzwischen scheint es Zeit für einen neuen Versuch zu sein

    • Ich bin mit OpenSMTPD zufrieden
      Ich betreibe OpenSMTPD seit Jahren sowohl auf OpenBSD als auch auf Linux und habe nichts daran auszusetzen
    • Dass Exim aus den ports verschwunden ist, überrascht mich
      Es war ohnehin nie Teil des Basissystems, also wollte der Maintainer es vermutlich einfach nicht mehr weiterpflegen
    • Ich mag OpenSMTPD wirklich sehr
      Es ist schlank, und im Vergleich zu älteren Konfigurationsstilen wirkt auch die Art der Konfiguration ziemlich modern
    • OpenSMTPD wurde in 6.4, also 2018, zu großen Teilen neu geschrieben
      Für die meisten Anwendungsfälle ist es meiner Meinung nach der beste SMTP-Server
      Leider ist die Unterstützung der Ports schwach, sodass meist nur OpenBSD-Nutzer lernen, wie gut es ist

  • Ich hatte es früher eine Weile auf einem G4 PowerBook installiert und ein wenig benutzt, wahrscheinlich irgendwann Anfang der 2000er
    Mir gefiel die kompromisslose Haltung gegenüber binären Blobs und der Fokus auf Sicherheit, und die Gesamterfahrung war sehr gut
    Auch der Code, den ich gelesen habe, war sauber geschrieben
    Es ist immer ein empfehlenswertes System, und ich sollte es in naher Zukunft irgendwo wieder installieren
    Außerdem ist dies die 60. Veröffentlichung, also Glückwunsch an das Team

  • Es heißt, dem Scheduler wurde ein Mechanismus hinzugefügt, um CPU-Kerne mit unterschiedlicher Geschwindigkeit zu verwalten
    hw.blockcpu nimmt eine Sequenz aus den vier Buchstaben S für SMT, P für normale Performance-Kerne, E für Effizienz-Kerne und L für langsamere Kerne an und dient dazu, CPUs auszuwählen, die vom Scheduler ausgeschlossen werden; der Standardwert ist SL
    Derzeit funktioniert das auf amd64 und arm64
    Allerdings erschließt sich mir der Vorteil langsamer Kerne in einer Architektur wie big.LITTLE auf einer CPU nicht wirklich
    Man will Aufgaben kaum solchen Kernen zuweisen, und selbst Hintergrundaufgaben schneller zu beenden dürfte doch oft weniger Energie verbrauchen
    Wenn sich die Fähigkeiten pro Kern unterscheiden, frage ich mich außerdem, was passiert, wenn etwa ein Prozess, der CPU-Features wie AVX-512 benötigt, einem Kern ohne diese Features zugewiesen wird
    OpenBSD hat sich hier für den schnellen und groben Ansatz entschieden, langsame Kerne einfach abzuschalten, aber ich weiß auch nicht, ob es gute Heuristiken dafür gäbe, Arbeit sinnvoll auf solche Kerne zu verteilen
    Mir fällt höchstens ein komplexer Mechanismus ein, bei dem man Binärdateien oder Threads manuell mit etwas wie „dieser Prozess eignet sich für langsame Kerne“ markiert
    Laut Mailingliste setzt ein einfacher Scheduler Prozesse einfach irgendwo hin, und die kleinen Kerne in einigen neueren big.LITTLE-Systemen sind so langsam, dass sie das Neukompilieren von Code stark ausbremsen

    • Race to idle ist nur bei Aufgaben mit klarem Anfang und Ende eindeutig vorteilhaft
      Wenn Hintergrundaufgaben dauerhaft laufen, auf unvorhersehbare Ereignisse reagieren oder häufig aufwachen und nur ein wenig Arbeit erledigen, lösen die Boost-Logiken der CPU das Energieproblem nicht automatisch
      Und auf x86-64 oder ARM verwenden P-Kerne und E-Kerne denselben Befehlssatz, daher besteht kein Risiko, versehentlich eine falsche CPU-Instruktion auszuführen
      Wirklich heterogene Befehlssätze könnten in Zukunft zwar wieder auftauchen, daher ist Vorsicht weiterhin sinnvoll

  • Falls hier jemand OpenBSD nutzt, würde mich interessieren, wofür
    Ich wollte NetBSD schon einmal für Anwendungen auf Embedded-Systemen oder IoT-Geräten ausprobieren, hatte aber noch keine Gelegenheit dazu

    • Ich nutze OpenBSD auf VPS von Hetzner, auf Bare-Metal-Systemen für sicherheitsorientierte Kunden und auf alter, aber noch brauchbarer Hardware im Homelab
      OpenBSD ist auch auf älterer Apple-Hardware, die Cupertino längst nicht mehr unterstützt, hervorragend
      Ich betreibe ein Intel-Mac-Mini-Cluster mit nahezu perfekter Uptime
      Für Server wie Web, Mail, DNS, NFS oder Datenbanken, bei denen Stabilität und Sicherheit zählen, muss man nicht weiter suchen
      Es gibt eine Lernkurve, aber es lohnt sich definitiv
    • Ich nutze es auf meinem privaten Laptop
      Der Hauptgrund ist, dass mir die leichte und einfache Struktur gefällt
      Auch das Packaging ist einfach, ebenso Kernel-Entwicklung und Upgrades
      Der Kernel-Code selbst ist in einem Stil geschrieben, den ich mag: fokussiert auf das Wesentliche, ohne unnötige Abstraktionen oder Lärm
      Ich bevorzuge es auch gegenüber anderen BSDs, die ich ausprobiert habe, also NetBSD sowie FreeBSD/DragonFlyBSD
      Es gefällt mir, das Gefühl zu haben, den Großteil des Systems verstehen zu können
      Es ist nicht so funktionsreich wie Linux, aber dieses Gefühl, das eigene System zu verstehen, ist erfrischend
      Es ist eher wie Urlaub in einer kleinen, hübschen Stadt, in der alles ruhig und bodenständig ist; natürlich kann sich das für andere ganz anders anfühlen
    • Ich nutze es für die Heim-Firewall sowie auf Desktop und Laptop im Büro
      Es ist ziemlich stabil und vertraut
      Wenn man Unix kennt, ist es wirklich simpel
      Ich hoffe, OpenBSD verschwindet nie, und ich kenne auch keinen echten Ersatz
      Linux ist inzwischen so komplex geworden, dass es schwer zu handhaben ist
    • Meine Frau und ich bauen ein Hochzeitsverleih-Unternehmen auf
      Ich kümmere mich um den digitalen Teil, entwickle eine Ruby on Rails-App und deploye sie auf OpenBSD
      Das gesamte System läuft auf einem einzigen günstigen Supermicro-U1-Server im Rack zu Hause
    • Autoritative DNS laufen mit nsd, E-Mail mit opensmtpd, und das funktioniert sogar auf KVMs mit sehr wenig Speicher direkt mit Minimal-Setup
      Die Dokumentation ist hervorragend, und die Installation ist einfach
      sysupgrade war eine große Verbesserung, aber den Release-Zyklus hätte ich gern etwas langsamer

  • Offenbar wurden die cas-Spinlocks in Kernel-Mutexen durch Parking Locks ersetzt; ich frage mich, was ein Parking Lock ist und wie er funktioniert
    In den Manpages konnte ich dazu nichts finden
    https://man.openbsd.org/OpenBSD-5.5/lock.9
    https://man.openbsd.org/OpenBSD-5.9/mutex.9

    • Mit „Parking“-Lock ist dieses Konzept aus dem folgenden Artikel gemeint
      https://webkit.org/blog/6161/locking-in-webkit/
    • Es ist eine Lock-/Mutex-Implementierung, bei der ein blockierter Thread nicht weiter CAS-Operationen auf dem Lock ausführt, sondern normalerweise kooperativ an den Scheduler abgibt und schlafen geht
      Spinlocks sind performant, wenn es wenig Konkurrenz gibt und Locks nur kurz gehalten werden, aber wenn eines davon nicht zutrifft, verbrennt ein blockierter Thread im Warten leicht einen ganzen CPU-Kern

  • Etwas abseits des Themas, aber auch FreeBSD dürfte sich ruhig ein Stück weit von dem seelenlosen pseudo-unternehmerischen Glaskugel-Logo und den Schriften lösen, die wie aus einer Spielzeug-Raumschiffpackung der frühen 90er wirken, und lieber wieder zu Beastie und eleganten Serifenschriften zurückkehren
    Anders gesagt: Ich bin neidisch, und das OpenBSD-Artwork ist wirklich großartig

  • Ich wünschte, OpenBSD würde Bluetooth unterstützen
    Dass es das nicht tut, ist leider ein entscheidender Nachteil, denn als Desktop-System fand ich es großartig

    • https://www.openbsdhandbook.com/multimedia/#bluetooth-audio
      Wurde 2014 entfernt
    • Die einzigen kabelgebundenen Kopfhörer bei mir zu Hause sind für das OpenBSD-Laptop
    • Ich frage mich, welches Bluetooth-Gerät so unverzichtbar ist, dass man ohne nicht auskommt
    • Man kann Bluetooth für Tastaturen, Mäuse, Kopfhörer/Earbuds usw. brauchen, daher ist das schon schade
      OpenBSD wirkt zwar großartig, ist derzeit aber eher auf Server als auf Desktops beschränkt; das kann wegen des Fokus auf Einfachheit auch ein Vorteil sein
      Trotzdem wäre mehr Hardware-Unterstützung wünschenswert
      Wenn man OpenBSD in einer virtuellen Maschine betreibt, bekommt man vielleicht sowohl die Hardware-Unterstützung des Host-Betriebssystems Linux/Windows als auch die Vorteile von OpenBSD
    • Wenn man es wirklich braucht, kann man für fast alles günstig einen universellen Dongle bauen und anschließen
      Für eine BLE-Tastatur nutze ich zum Beispiel ein Seeed Studio XIAO nRF52840

  • Ich hatte mich gerade gefragt, wann 7.9 wohl erscheint
    Schön, dass es außerdem wieder einen Release-Song gibt
    Wenn ich mich richtig erinnere, gab es eine Zeit lang keine neuen Songs

    • Ich höre bei jedem Release immer den Song an
      Wie auch in einem anderen Thread erwähnt, war der letzte Song der zu 7.3
 
GN⁺ 19 시간 전
Lobste.rs-Kommentare

  • Ich habe heute erst erfahren, dass OpenBSD zu jeder Veröffentlichung Artwork und einen Song hat: https://www.openbsd.org/lyrics.html#79

    • Anfang der 2000er bin ich in die Buchhandlung in der Nähe des Büros gegangen und habe jede Veröffentlichung auf physischem Medium gekauft
      Dafür gab es drei Gründe: damit die Buchhandlung weiter OpenBSD-bezogenes Material führt, um das Projekt zu unterstützen und um Artwork und Song als greifbares Exemplar zu besitzen; ich vermisse diesen fast schon rituellen Ablauf

  • BSD interessiert mich schon immer, aber wegen Gaming werde ich Linux wohl nicht verlassen können

    • 2016 war ich neugierig auf Linux, konnte aber wegen Gaming Windows nicht verlassen; 2026 bin ich vielleicht neugierig auf BSD, kann aber wegen Gaming Linux nicht verlassen, und 2036 bin ich womöglich neugierig auf Hurd, kann aber wegen Gaming BSD nicht verlassen
    • Ich bin eher zufällig bei einer separaten Maschine fürs Spielen gelandet, und rückblickend war das wirklich eine vernünftige Entscheidung
      Viele Online-Spiele haben eine große Angriffsfläche für Schwachstellen, bestehen aus proprietärem Code, den niemand auditiert, und werden nach der Veröffentlichung manchmal ohne Updates sich selbst überlassen
      Es ist angenehm, Bankdaten oder Unterlagen rund um staatliche Ausweise nicht auf derselben Maschine haben zu müssen
    • In einer ähnlichen Situation habe ich das mit einem kleinen Home-Server auf einem übrig gebliebenen Laptop mit 7W-TDP-CPU gelöst
      Mit etwas Aufwand richtet man sshd ein und kann dann nach Belieben mit BSD-spezifischen Funktionen herumspielen; wenn man möchte, ist das auch eine Gelegenheit, auf Self-Hosting auszuweiten
      Im Moment betreibe ich Home Assistant auf bhyve, das von FreeBSD verwaltet wird, und überlege, was ich als Nächstes darauf laufen lassen soll, um den Server besser auszulasten
      Natürlich geht das auch mit einer virtuellen Maschine, aber zumindest für mich ersetzt das nicht vollständig das Gefühl, an einem echten System zu arbeiten

  • Ich habe OpenBSD 7.9 in QEMU ausprobiert; das Installationsprogramm wirkt etwas altmodisch und die Standardkombination aus X11+fvwm2+xterm sieht ebenfalls veraltet aus, aber es bootete und funktionierte gut
    doas funktionierte hervorragend, und mit pkg_add konnte ich auch Pakete installieren
    Ich war überrascht, dass eine Standardinstallation weder curl noch wget enthält, aber aus Sicherheitssicht gefällt mir die Philosophie einer Minimal-Konfiguration

    • Ich finde den Installer eher hervorragend
      Er führt einen durch den gesamten Prozess, macht aber auch manuelle Eingriffe jederzeit einfach, wenn man sie braucht
      Man kann einfach immer wieder Enter drücken oder den größten Teil selbst erledigen
      Die Standardkombination aus X11+fvwm2+xterm wirkt wie ein bewusst gewähltes Paketset, das auch auf uralter Hardware laufen soll, die sich anfühlt wie ein verschimmeltes Stück Brot
      Trotzdem wurde Wayland nach OpenBSD portiert, und es freut mich zu sehen, dass etwas, das 2023 noch eher nach einem Plan aussah, so schnell konkret geworden ist
      Für Downloads wird erwartet, dass man ftp(1) verwendet; entgegen dem Namen ist es nicht nur für FTP da, sondern unterstützt auch HTTP(S)-Abrufe

  • Endlich kann ich es wieder auf dem Yeelong Lemote installieren
    Wegen der pledge-Änderung im letzten Erratum hatte ich nur den 7.8-Kernel neu kompiliert und den Userland unverändert gelassen, was mir dann zum Verhängnis wurde; für Loongson gibt es natürlich auch keine Binär-Updates