最新版本的 OpenBSD 6.0 將關(guān)閉潛在的安全漏洞——比如其 Linux 兼容層。

OpenBSD，這個 BSD 家族里面最重要的變種之一將在今年九月份發(fā)布[1]新的 6.0 版本。它通常被視作 Linux 的一個替代品，以沒有專有軟件而聞名，并由于其默認情況下比其它的操作系統(tǒng)更安全，以及對用戶安全[2]的高度警惕[3]而廣泛受到贊譽。由于其在開發(fā)過程中的安全理念，許多軟件路由器和防火墻項目都是基于 OpenBSD 而開發(fā)的。

在這次 OpenBSD 新版本中安全相關(guān)的最大變化是其移除了對 Linux 模擬的支持。在之前的 OpenBSD 版本中，Linux 應(yīng)用可以通過一個兼容層[4]直接運行在 BSD 中，但是在最新的 OpenBSD 6.0 的發(fā)布公告[5]中稱，由于“安全改進”而移走了該子系統(tǒng)。

OpenBSD 中有一些軟件是以附加的二進制軟件包方式提供的，OpenBSD 的維護者們會盡量提供對這些軟件的支持，但是他們不會像對待其操作系統(tǒng)一樣對這些軟件的安全性進行篩選。由于現(xiàn)在很多流行應(yīng)用的最新版本都可以直接運行在 OpenBSD 中，比如說 Chromium 和 Firefox 瀏覽器，這意味沒有 Linux 兼容層也不要緊。

出于安全考慮，OpenBSD 還拋棄了 systrace[6] 系統(tǒng)安全實施策略工具。之前版本的 OpenBSD 包括它，但是并沒有用它來管理任何重要的東西。systrace[7] 被視為不安全已經(jīng)有段時間[8]了，所以在這次的 OpenBSD 發(fā)行版中它也將被拋棄。

作為安全增強的一部分，還移除了“usermount”選項[9]，它允許非特權(quán)用戶掛載文件系統(tǒng)。OpenBSD 項目負責(zé)人 Theo de Raadt 說 usermount “允許任何不當(dāng)?shù)某绦蛘{(diào)用 mount/umount 系統(tǒng)調(diào)用”，這意味著“在提供該功能的前提下，任何用戶都沒有辦法保持其系統(tǒng)的安全性和可靠性的預(yù)期。”

在發(fā)布于今年三月份的 OpenBSD 的前一個版本 5.9 中，它提供了一些自己的安全改進。比如以特權(quán)用戶身份運行程序的 sudo 被替換成 doas[10]，這個新的程序使用了更簡化和潛在問題更少的配置機制。這種為了安全而做的改變在 Linux 世界會更難見到，而 OpenBSD 則通過讓其代碼不斷采用新的技術(shù)[11]而展示了其在安全方面的努力和進步。

[1]:

[4]:

[5]:

[8]:

推薦文章

將文章分享給朋友是對我們最好的贊賞！