Freies Unix: OpenBSD 5.8 zähmt das System

Etwas eher als üblich ist OpenBSD auf den Tag genau 20 Jahre nach der Projektgründung erschienen. Für bessere Sicherheit wird das NX-Bit nun auch in der 32-Bit-X86-Architektur genutzt, der Sudo-Befehl ist ersetzt worden und das System kann offiziell gezähmt werden.

Artikel veröffentlicht am ,
Das OpenBSD-Maskottchen als Hommage an die Beatles
Das OpenBSD-Maskottchen als Hommage an die Beatles (Bild: OpenBSD)

Vor 20 Jahren hat der Entwickler Theo de Raadt OpenBSD als Abspaltung von NetBSD begonnen. Um diesen Jahrestag zu feiern, ist nun die Version 5.8 zwei Wochen vor dem eigentlich üblichen Termin am 1. November erschienen. Die Veröffentlichung enthält übliche Aktualisierungen zur Unterstützung von Hardware sowie Softwareupdates. Das auf Sicherheit fokussierte Projekt hat aber auch einige Verbesserungen vorgenommen, um das System noch stärker abzuschotten.

Das System zähmen

Stellenmarkt
  1. Windows und Security Administrator (m/w/d)
    NOVENTI Health SE, Bietigheim-Bissingen, Gefrees, Mannheim, München, Oberhausen
  2. (Junior) IT-Anforderungsmanager (m/w/x) Warenwirtschaftssysteme / Filialhandel - International
    ALDI International Services GmbH & Co. oHG, Mülheim an der Ruhr
Detailsuche

So steht in OpenBSD nun der Systemaufruf tame, wörtlich also zähmen, bereit, der genutzt werden kann, um die Fähigkeiten eines laufenden Programms einzuschränken. Dazu gehört etwa die Möglichkeit zum Zugriff auf das Dateisystem, das Netzwerk oder auch die Speicherverwaltung. Eine Erklärung zu tame bietet der Manual-Eintrag bei OpenBSD sowie ein kurzer Übersichtsartikel des Magazins LWN. In Letzterem wird auch die Machbarkeit einer Reimplementierung dieser Funktion für Linux in seccomp beschrieben. Bis es so weit ist, muss das OpenBSD-Team wohl aber erst noch den Nutzen von tame beweisen.

Zusätzlich zu diesem neuen Systemaufruf hat das Team auch noch den vielfach genutzten Befehl sudo aus der Standardinstallation entfernt. Stattdessen soll nun doas genutzt werden. Entwickler Ted Unangst schreibt dazu in seinem Blog, dass das bisher genutzte sudo zu groß gewesen sei und damit zu viel Code mit weitgehenden Rechten gelaufen sei. Doas ist nun ein kleiner Ersatz, der auch den Zugriff auf eine volle Root-Shell ermöglicht. Nutzer, die weiterhin auf sudo angewiesen sind, können dies aus dem Ports-Zweig nachinstallieren.

Das freie Betriebssystem unterstützt außerdem nun auch das No-Execute-Bit (NX) für die 32-Bit-X86-Architektur (i386). Damit könnte die Richtlinie zur Speicherverwaltung "entweder beschreibbar oder ausführbar" (Write XOR Execute, W^X) viel besser von Userland-Anwendungen genutzt werden, sofern die Hardware das NX-Bit unterstützt. Falls der genutzte Prozessor über diese Funktion verfügt, nutzt OpenBSD W^X für den Adressraum des Kernels in der i386-Portierung.

Golem Akademie
  1. Elastic Stack Fundamentals - Elasticsearch, Logstash, Kibana, Beats
    26. - 28. Oktober 2021, online
  2. PostgreSQL Fundamentals
    14.-17. September 2021, online
  3. Docker & Containers - From Zero to Hero
    5.-7. Oktober 2021, online
Weitere IT-Trainings

Darüber hinaus steht im Webserver nun HSTS bereit und der Server sowie der Relay-Daemon nutzen standardmäßig nur TLS 1.2. Die Veröffentlichung von OpenBSD 5.8 listet auch einige Sicherheitslücken auf, die das Team in seinen Anwendungen gefunden und inzwischen behoben hat. Darunter finden sich auch welche in dem OpenSSL-Fork LibreSSL.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Luftsicherheit
Wenn plötzlich das Foto einer Waffe auf dem iPhone erscheint

Ein Jugendlicher hat ein Foto einer Waffe per Apples Airdrop an mehrere Flugpassagiere gesendet. Das Flugzeug wurde daraufhin evakuiert.

Luftsicherheit: Wenn plötzlich das Foto einer Waffe auf dem iPhone erscheint
Artikel
  1. Black Widow: Scarlett Johansson verklagt Disney
    Black Widow
    Scarlett Johansson verklagt Disney

    Scarlett Johansson hat wegen des Veröffentlichungsmodells von Black Widow Klage eingereicht. Disney nennt das Verhalten "herzlos".

  2. VW ID.4 im Test: Schön brav
    VW ID.4 im Test
    Schön brav

    Eine Rakete ist der ID.4 nicht. Dafür bietet das neue E-Auto von VW viel Platz, hält Spur und Geschwindigkeit - und einmal geht es sogar sportlich in die Kurve.
    Ein Test von Werner Pluta

  3. Kryptowährung: Paar will Ethereum verklagen, weil es nicht an Coins kommt
    Kryptowährung
    Paar will Ethereum verklagen, weil es nicht an Coins kommt

    3.000 Ether kaufte ein Paar 2014. Doch den Schlüssel zum Wallet will es nie erhalten haben. Jetzt sammeln die beiden Geld, um Ethereum zu verklagen.

bstea 19. Okt 2015

Nein, pledge ist vergleichbar mit SELinux oder AppArmor wenn überhaupt.

bstea 19. Okt 2015

heißt jetzt pledge..., sonst ändert sich nix.



Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Mega-Marken-Sparen bei MediaMarkt (u. a. Lenovo & Razer) • Tag der Freundschaft bei Saturn: 1 Produkt zahlen, 2 erhalten • Razer Deathadder V2 Pro Gaming-Maus 95€ • Alternate-Deals (u. a. Kingston 16GB Kit DDR4-3200MHz 81,90€) • Razer Kraken X Gaming-Headset 44€ [Werbung]
    •  /