最新版本的OpenBSD 6.0關(guān)閉了潛在的安全漏洞——，如Linux兼容層。

OpenBSD，這個(gè) BSD 家族里面最重要的變種之一將在今年九月份發(fā)布[1]新的 6.0 版本。它通常被視作 Linux 的一個(gè)替代品，以沒(méi)有專有軟件而聞名，并由于其默認(rèn)情況下比其它的操作系統(tǒng)更安全，以及對(duì)用戶安全[2]的高度警惕[3]而廣泛受到贊譽(yù)。由于其在開發(fā)過(guò)程中的安全理念，許多軟件路由器和防火墻項(xiàng)目都是基于 OpenBSD 而開發(fā)的。

在這次 OpenBSD 新版本中安全相關(guān)的最大變化是其移除了對(duì) Linux 模擬的支持。在之前的 OpenBSD 版本中，Linux 應(yīng)用可以通過(guò)一個(gè)兼容層[4]直接運(yùn)行在 BSD 中，但是在最新的 OpenBSD 6.0 的發(fā)布公告[5]中稱，由于“安全改進(jìn)”而移走了該子系統(tǒng)。

OpenBSD 中有一些軟件是以附加的二進(jìn)制軟件包方式提供的，OpenBSD 的維護(hù)者們會(huì)盡量提供對(duì)這些軟件的支持，但是他們不會(huì)像對(duì)待其操作系統(tǒng)一樣對(duì)這些軟件的安全性進(jìn)行篩選。由于現(xiàn)在很多流行應(yīng)用的最新版本都可以直接運(yùn)行在 OpenBSD 中，比如說(shuō) Chromium 和 Firefox 瀏覽器，這意味沒(méi)有 Linux 兼容層也不要緊。

出于安全考慮，OpenBSD 還拋棄了 systrace[6] 系統(tǒng)安全實(shí)施策略工具。之前版本的 OpenBSD 包括它，但是并沒(méi)有用它來(lái)管理任何重要的東西。systrace[7] 被視為不安全已經(jīng)有段時(shí)間[8]了，所以在這次的 OpenBSD 發(fā)行版中它也將被拋棄。

作為安全增強(qiáng)的一部分，還移除了“usermount”選項(xiàng)[9]，它允許非特權(quán)用戶掛載文件系統(tǒng)。OpenBSD 項(xiàng)目負(fù)責(zé)人 Theo de Raadt 說(shuō) usermount “允許任何不當(dāng)?shù)某绦蛘{(diào)用 mount/umount 系統(tǒng)調(diào)用”，這意味著“在提供該功能的前提下，任何用戶都沒(méi)有辦法保持其系統(tǒng)的安全性和可靠性的預(yù)期?！?/p>

在發(fā)布于今年三月份的 OpenBSD 的前一個(gè)版本 5.9 中，它提供了一些自己的安全改進(jìn)。比如以特權(quán)用戶身份運(yùn)行程序的 sudo 被替換成 doas[10]，這個(gè)新的程序使用了更簡(jiǎn)化和潛在問(wèn)題更少的配置機(jī)制。這種為了安全而做的改變?cè)?Linux 世界會(huì)更難見(jiàn)到，而 OpenBSD 則通過(guò)讓其代碼不斷采用新的技術(shù)[11]而展示了其在安全方面的努力和進(jìn)步。

[1]:

[4]:

[5]:

[8]:

推薦文章

將文章分享給朋友是對(duì)我們最好的贊賞！