OpenBSD プロジェクトの 56 番目のリリースは、おそらくこれまでで最も安全な Unix 系 OS です。
OpenBSDのポイントリリースは他のリリースに劣らず重要であり、OpenBSD 7.5には、多数の小さな変更点の中にも重要な変更点がいくつかあります。大きな変更点の1つは非常に特殊でニッチなものであり、もう1つはより主流のOSであれば大きな改善点と見なされるものの、このプロジェクトではリリースノートに記載する価値がほとんどないものです。
このリリースにおける主要な更新のうちあまり重要ではないのは、OpenBSD の比較的初歩的でユーザーフレンドリーではないインストール プログラムに新しいオプションが追加されたことです。
OpenBSDは以前から、インストール時にパスフレーズとキーディスクベースのディスク暗号化をサポートしてきました。当初は主に面倒な手動プロセスとして、その後OpenBSD 7.3以降はパスフレーズを使用したガイド付きオプションとしてサポートされていました。7.5以降、ガイド付きインストーラーはキーディスクを使用するかどうかを尋ねます。これはリリースノートに記載されているように、OSが「自動インストールによる無人インストールでのディスク暗号化(プレーンテキストのパスフレーズまたはキーディスクを使用)」をサポートすることを意味します。これは便利です。
ルートパーティションの暗号化は、一般消費者向けOSがシステムセキュリティの大幅な向上策として推奨する機能です。Reg FOSSデスクは、全社員のコンピュータにフルディスク暗号化を義務付けている企業で少なくとも1社と仕事をした経験がありますが、私たちの個人的な見解としては、XKCD 538に近いと考えています。
OpenBSDは、バージョン7.1で述べたように、独自の複雑なパーティションシステムを備えています。デフォルトでは、比較的小さなパーティションを複数作成し、OSのファイルをそれらに分割します。そのため、小型で軽量なUnixライクなOSであるにもかかわらず、ディスク容量が不足しやすくなります。これは、OpenBSDが複数の補助ファイルシステムに複雑なパーミッションセットを適用しているためです。例えば、特定のパーティション上のプログラムのみが実行可能であるため、クラッカーが書き込み権限のない場所への書き込みアクセスに成功したとしても、ほとんどのマウントポイントのパーミッション設定により、スクリプトを実行することはできません。
OpenBSD 7.5 の暗号化アプローチは、「ソフトレイド」と呼ばれる仮想ディスクを作成し、その中のすべてのデータを暗号化します。そのため、見た目以上に効果的です。Windows やほとんどの Linux ディストリビューションなど、より一般的な OS はすべてのファイルを 1 つの大きなパーティションに保存する傾向がありますが、この方法では OpenBSD の細分化された構成を維持しながら、全体を暗号化したままにすることができます。インストーラーの先頭にこのオプションを配置することで、新しいシステムをセットアップするユーザーにとって作業が簡単になります。
より重要な変更点は、新しい pinsyscalls() システムコールです。このシステムコールは、すべてのシステムコールがメモリ内の特定の場所からのみ呼び出されるようにすることで、乗っ取られたバイナリがシステムの内部に容易にアクセスできないようにします。これはpledge()、特定のバイナリがアクセスできるOSシステムコールを厳密に制限する既存の pinsyscall() と連携して動作します。この機能は、1年前にOpenBSD 7.3で登場した古い pinsyscall() を基盤としています。
技術的な詳細については、プロジェクトリーダーのTheo de Raadt氏が2023年末にバックストーリーを投稿し、昨年1月に小さなアップデートを行いました。OpenBSD Journalで説明されているように、この脆弱性はリターン指向プログラミング攻撃に対する一定の防御策を提供します。De Raadt氏は2023年のCanSecWestカンファレンスでも講演を行っており、講演スライド[PDF]では、このpinsyscalls()脆弱性が万能薬ではなく、新たな防御層であるという文脈が示されています。
これによって現実世界でどれほどの保護効果が得られるのかは議論の余地があります。皮肉たっぷりの「OpenBSDは安全か?」というサイトは、この結果に感銘を受けておらず、pinsyscallその理由を説明する批評記事を掲載しています。
- PumpkinOSはFOSSのPalmOS互換ランタイム環境を切り開きます
- 事実上、そして実際に、LXC 6とIncus 6がここにあります – どちらもLTSバージョンです
- VMSソフトウェアがOpenVMS愛好家向けプログラムを廃止
- Canonical、Snap Storeの詐欺事件を受けて仮想通貨詐欺を取り締まる
このリリースには、ファイアウォールの調整、Linux 6.6.19 からインポートされた更新されたグラフィック ドライバー、新しいコンソール フォント、PPP 経由の IPv6 サポート、マルチコア コンピューターでのパフォーマンスの向上など、その他の変更と改良点もありpfます。
実験として、テストベッドのThinkPad W500マシンにコピーをインストールしました。デュアルブートの便利なガイドを参考に、既存のプライマリパーティションにインストールすることができました。インストーラーは既存のVentoy USBキーから正常に起動し、マシンのIntel IWN 5000 Wi-Fiカードを検出しましたが、必要なファームウェアが含まれていないため、インストールしないと動作しないという警告が表示されました。これは既知の問題で、一度インストールすれば簡単に修正できました。インストール後、 を実行しましたfw_update -a。このコマンドは不足しているファームウェアを検出してインストールし、その後はインターフェースが正常に動作し、インストール中に入力したWLAN設定情報を取得しました。
唯一、自動的にはインストールできなかったのはブートローダーのインストールでした。OpenBSD独自のブートローダーをチェーンロードするために、GRUB2の設定ファイルに数行手動で追加する必要がありました。(OpenBSDのブートローダーをLinuxパーティションにコピーするなど、より複雑な方法もいくつか試しましたが、上記のリンクにある方法が最もシンプルで、問題なく動作しました。)OpenBSDは、他のOSとのデュアルブートを想定されていません。実験したい場合は、専用のマシンを用意することをお勧めします…ただし、デュアルブートは可能です。
OpenBSD 7.5 とデフォルトの FVWM、そして頼りになる Firefox: 最小限の機能ですが、ちゃんと動作します – クリックして拡大
結果は予想通り、質素なものでした。このOSはグラフィカルデスクトップを意図したものではありません。それでも、これまで試した他のBSD系OSと比べて遜色ありませんでした。FreeBSDとは異なり、セットアッププログラムから直接グラフィックサポートを設定できます(オプション)。Xenocara X11サーバー、グラフィカルログイン画面、そして非常に基本的なウィンドウマネージャーがインストールされます。NetBSDとは異なり、OSを乗り換える人にとって便利なVentoyから正常に起動できます。Firefoxもコマンド1つでインストールできpkg_add firefox、オンライン接続もできました。
役立つインストールガイドがいくつかあります。例えば、Keith Burnett氏によるこちらのガイドやMartin Chang氏によるこちらのガイドなどです。後者の結論には、私たちはただただ同意せざるを得ません。
この要約も気に入っています:
Unixの元々のコンセプトは、コンピュータ上のあらゆるもの、つまりそれが何のために存在し、なぜ存在し、何をするのかを理解できるほど小さくシンプルであるというものでした。OpenBSDは今でもその理想にかなり近いものです。ある記事では「居心地が良い」と評されています。より充実したデスクトップをお求めなら、このリリースにはKDE Plasma 5が含まれています。®
編集者注:この記事は、OpenBSD のディスク暗号化サポートの変更のタイムラインを明確にするために改訂されました。
