OpenBSD 7.7 erschienen!

CommanderZed

CommanderZed

OpenBSD User
Teammitglied
Moin zusammen,

das OpenBSD Team hat Version 7.7 herausgebracht.

Viele Verbesserungen wurden eingepflegt. Die wichtigsten gibt es wie immer auf der Release-Seite 7.7 und die Details im 7.7 Changelog.

Dieses Release bietet eine große Vielzahl an oft kleineren Neuerungen und Verbesserungen, hier die wichtigsten die mir ins Auge gefallen sind:

-> Große Menge an verbesserten Treibern, neue Treibern und den Plattformen / Architekturen generell
-> Eine große Menge an relevanten Treibern, Programmen und anderen Bestandteilen wurde "geunlocked" - auf SMP Systemen sollte dies größere Geschwindigkeitsvorteile bieten. Das kann sich z.B. bei der Behandlung von TCP oder UDP Paketen bemerkbar machen, aber auch wenn man unter einer vm mit einem virtio interface unterwegs ist.
-> Das neue AMD SEV psp(4) ermöglicht ein automatisches Laden der AMD SEV Firmware beim Starten eines vmd Gastes.
-> Es gibt nun wieder mehr Einstellmöglichkeiten für die Energieverwaltung.
-> fw_update kann nun auch dmesg lesen, dadurch ist es sehr einfach möglich über die dmesg die Firmware für ein anderes System vor der Installation zu ziehen.

Wie üblich sind auch viele aktualisierte Pakete wie Chromium 135, php 8.4.5 oder auch Firefox 137 enthalten.

Wer mag kann gerne seine "Lieblingsänderungen" hier drunter schreiben, die besten pflege ich hier nach.
 
Gehört nicht ganz zu OpenBSD aber irgendwie doch... ich freu mich am meisten auf die RefuseConnection Änderung in OpenSSH 9.9+. Ich hoffe mit folgender sshd Config ist dann endlich Ruhe in /var/log/authlog:

Code: 
PerSourcePenalties refuseconnection:30s

Match user stadtkind
  RefuseConnection no

Match invalid-user
  RefuseConnection yes
 
stadtkind schrieb:
Gehört nicht ganz zu OpenBSD aber irgendwie doch... ich freu mich am meisten auf die RefuseConnection Änderung in OpenSSH 9.9+. Ich hoffe mit folgender sshd Config ist dann endlich Ruhe in /var/log/authlog:

Code: 
PerSourcePenalties refuseconnection:30s

Match user stadtkind
  RefuseConnection no

Match invalid-user
  RefuseConnection yes
Zum Vergrößern anklicken....
Kannst ja mal berichten, was die authlog nach der Aenderung macht.
 
Neben dem refuseconnection kann man prinzipiell auch mit "KexAlgorithms mlkem768x25519-sha256" die allermeisten
schon direkt auf dieser Ebene aussperren. BITTE VORHER VON ALLEN REMOTE STATIONEN TESTEN.
 
double-p schrieb:
BITTE VORHER VON ALLEN REMOTE STATIONEN TESTEN.
Zum Vergrößern anklicken....
BTW: Funktioniert nur mit dem ssh-Client aus OpenBSD.
Mit Debian und FreeBSD funktioniert es nicht:
Code: 
:~$ ssh -Q kex
diffie-hellman-group1-sha1
diffie-hellman-group14-sha1
diffie-hellman-group14-sha256
diffie-hellman-group16-sha512
diffie-hellman-group18-sha512
diffie-hellman-group-exchange-sha1
diffie-hellman-group-exchange-sha256
ecdh-sha2-nistp256
ecdh-sha2-nistp384
ecdh-sha2-nistp521
curve25519-sha256
curve25519-sha256@libssh.org
sntrup761x25519-sha512
sntrup761x25519-sha512@openssh.com
 
morromett schrieb:
BTW: Funktioniert nur mit dem ssh-Client aus OpenBSD.
Mit Debian und FreeBSD funktioniert es nicht:
Code: 
:~$ ssh -Q kex
diffie-hellman-group1-sha1
diffie-hellman-group14-sha1
diffie-hellman-group14-sha256
diffie-hellman-group16-sha512
diffie-hellman-group18-sha512
diffie-hellman-group-exchange-sha1
diffie-hellman-group-exchange-sha256
ecdh-sha2-nistp256
ecdh-sha2-nistp384
ecdh-sha2-nistp521
curve25519-sha256
curve25519-sha256@libssh.org
sntrup761x25519-sha512
sntrup761x25519-sha512@openssh.com
Zum Vergrößern anklicken....

In den aktuellen Linux Distros ists idr. dabei, hier auf Fedora 41 und SUSE Tumbleweed (inkl. Tumbleweed slowroll) getestet. sntrup761 ist sonst relativ gut unterstützt auch mit LTS Distros (RHEL, Debian, ..) wenn man PQC will.
 
So, ich hab mal mein - selten verwendetes - OpenBSD Notebook mit Desktop aktualisiert, das hat wie erwartet problemfrei funktioniert.

Gefühlt scheint die ein oder andere sache auch im Desktopbetrieb die Performance etwas zu verbessern, zumindest beim den Browsern (Firefox, Chromium) und Libreoffice hab ich das Gefühl.
 
Hab mal mit ein paar Raspis angefangen, was auch alles gut geklappt hat, normal eben. Aber performanter kommen die mir nicht vor. Sind alle Raspi 4B mit 8 GB und usd-ssd. Besonders auffällig bei Maschinen mit Desktop, Browser sind quasi unbrauchbar langsam. An der Console dagegen läufts gut und flott.#
Wird Zeit, mal ein OBSD auf einen 5er Raspi zu bringen.
 
morromett schrieb:
BTW: Funktioniert nur mit dem ssh-Client aus OpenBSD.
Mit Debian und FreeBSD funktioniert es nicht:
Code: 
:~$ ssh -Q kex
diffie-hellman-group1-sha1
diffie-hellman-group14-sha1
diffie-hellman-group14-sha256
diffie-hellman-group16-sha512
diffie-hellman-group18-sha512
diffie-hellman-group-exchange-sha1
diffie-hellman-group-exchange-sha256
ecdh-sha2-nistp256
ecdh-sha2-nistp384
ecdh-sha2-nistp521
curve25519-sha256
curve25519-sha256@libssh.org
sntrup761x25519-sha512
sntrup761x25519-sha512@openssh.com
Zum Vergrößern anklicken....
In dem Zusammenhang:

Ich bin gestern in einen Corner-Case reingerauscht, bei dem der neue Kex mir Probleme bereitet hatte.
Manchmal konnte ich mich mit ssh von meinem neuen System aus auf einen OpenBSD 7.6 Server verbinden, manchmal nicht.

Irgendwie hing er fest, und ein ssh -v hat mir das hier gesagt:

Code: 
; ssh -v 192.168.1.7
...
...
...
debug1: expecting SSH2_MSG_KEX_ECDH_REPLY

Als Hotfix ging dann das hier:
Code: 
; ssh -o KexAlgorithms=curve25519-sha256  192.168.1.7

(Ich schreibe das mal hier hin, weil ich wieder laaaaaaange danach gesucht habe. ;) )
 
CommanderZed schrieb:
So, ich hab mal mein - selten verwendetes - OpenBSD Notebook mit Desktop aktualisiert, das hat wie erwartet problemfrei funktioniert.

Gefühlt scheint die ein oder andere sache auch im Desktopbetrieb die Performance etwas zu verbessern, zumindest beim den Browsern (Firefox, Chromium) und Libreoffice hab ich das Gefühl.
Zum Vergrößern anklicken....
bei Libreoffice geht es wirklich etwas flüssiger. Bei den Browsern merke ich wenig Veränderung. Insgesamt läuft es bei mir nach Umstellungsschwierigkeiten flüssig. Andere Betriebssysteme werden ja mit jedem Versionssprung lahmer. Hier hab ich nicht den Eindruck. :)
 
GrapheneOS ist ein OS für Smartphones, OpenBSD für Server und Desktops? Das hat absolut andere Ansätze, vorallem da GrapheneOS auch eine gewisse kompatiblität zu Google wahren möchte.
 
Elaine91 schrieb:
Ist GrapheneOS oder OpenBSD sicherer? Gibt es hierzu Fakten?

LG
Zum Vergrößern anklicken....
Fakt ist, dass beide nicht auf derselben Hardware anzutreffen sind. GrapheneOS ist da wohl sehr festglegt auf google pixel: https://grapheneos.org/faq#device-support. Hab nen Moment überlegt, ob beide auf einem Raspberry pie laufen könnten, habe da aber auf die Schnelle nur was über OpenBSD gefunden. Ist also eher ein Äpfel und Birnen Vergleich.
 
Elaine91 schrieb:
Ist GrapheneOS oder OpenBSD sicherer? Gibt es hierzu Fakten?

LG
Zum Vergrößern anklicken....

Fahre ich lieber VW Golf oder mit der AIDANova?

Wie meine vorredner: Da ist nicht so richtig viel zu vergleichen.

Und selbst bei ähnlichen OS (z.B. wenn man Desktop OS wie OpenBSD, FreeBSD, Linux, MacOS und Windows) und der allgemeinen "Sicherheit" Fragestellung vergleichen möchte, ist so ein vergleich sehr sehr komplex, erfordert doch einiges an vorwissen aus verschiedenen IT Themenbereichen und auch garnicht pauschal zu beantworten.

Wogegen sicher? In was für Szenarien? In welcher Nutzung? Es gibt kein "pauschal sicherer" bei irgend einem Thema imho.

Sprengt aber auf jedenfall auch den Rahmen eines "News Threads" - solltest du das weiter und tiefer diskutieren wollen, mach am besten ein neues Thema auf, dann spar ich mir das hier mal wieder rauszuzuppeln .
 
Da wir ja doch ein paar user mit älterer Hardware haben, in @misc hatte ich zufällig etwas relevantes dazu gelesen - bei i386 fehlen jetzt weitere Pakete, da sich Rust nicht mehr komplett bauen lässt aus Arbeitsspeichermangel beim build. (OpenBSD unterstützt kein PAE und es wird grundsätzlich nicht cross-kompiliert)




Zusätzlich zu den fehlenden Paketen gibt es hier noch einen wie ich fand guten Hinweis zur Verwendung der alten Hardware:

also, i386 misses many of the protections that are available in OpenBSD
on 64-bit archs, and often suffers performance-wise due to the very
limited number of CPU registers.
Zum Vergrößern anklicken....
 
Es wurden auch etliche Programme nicht mehr portiert, wie das berühmtberüchtigte abiword oder seanonkey-browser. Die Zeit für i386 läuft halt ab.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben