NetBSD

Es ist ein tolles System, sehr aufgeräumt, durchdacht und sauber programmiert! Aus dem sauberen Code ergeben sich weniger Sicherheitslücken und Bug's als sie OpenBSD aufweist, obwohl OpenBSD die Sicherheit in seinen Projekt-Zielen an erster Stelle stehen hat!

Aufgegeben habe ich es, weil das Paketmanagement bei einem Update aller installierter Pakete, deutlich mehr Arbeit verursacht hat, als es bei FreeBSD der Fall ist. Außerdem habe ich ein paar von mir bevorzugte Programme nicht im pkgsrc gefunden.

Und so ist es gekommen, das ich mich mit dem zweitbesten zufrieden gegeben habe. Mittlerweile würde mir auch die native ZFS-Unterstützung in NetBSD sehr fehlen…

• History of NetBSD releases
  • 2013-03-22: Alles Gute - Zwanzig Jahre NetBSD - Fr, 22. März 2013, 09:58 Uhr
  • 2013-01-14: 15 Jahre pkgsrc - Mo, 14. Januar 2013, 13:21 Uhr
  • 2012-12-04: NetBSD 5.2 freigegeben - Di, 4. Dezember 2012, 08:06 Uhr
  • 2012-11-07: 25 Jahre SPARC-Architektur - Mi, 7. November 2012, 14:37 Uhr
  • 2012-10-18: NetBSD 6.0 freigegeben - Do, 18. Oktober 2012, 09:04 Uhr
  • 2012-09-17: 25 Jahre X11 - Mo, 17. September 2012, 16:39 Uhr
  • 2001-06-19: x86_64 → amd64 (64 Bit)
  • 1993-03-21: i386 (32 Bit)

• NetBSD 1.4: meine erste NetBSD-Installation, mit der ich etwas anfangen konnte;
• NetBSD 1.5.1-1.6: meine ersten NetBSD-Versionen, mit denen ich mich intensiv beschäftigt hatte;
• NetBSD 3.0: erste NetBSD-Version in der das Power-Management funktionierte; ab jetzt ist Xen auch ein fester Bestand von NetBSD;
• NetBSD 5: ab jetzt ist X.org das Standardfenstersystem;
• NetBSD 6: erste NetBSD-Version mit dem Flashspeicher-Dateisystem CHFS; ein experimenteller Port von ZFS wurde ebenfalls integriert;
  • Binärpaketmanager: pkgin is aimed at being an apt / yum like tool for managing pkgsrc binary packages.
• NetBSD 7: NetBSD 7.0: der Kernel ist nun in der Lage, Lua-Code dank eines integrierten, als Treiber realisierten Interpreters, direkt auszuführen;
  • seit dieser Version gibt es auch das von anderen Betriebssystemen bekannte Programm "service", mit dem sich Daemonen starten und stoppen sowie deren Status abfragen lassen;
• NetBSD 8: NetBSD 8.0 hat jetzt Unterstützung für USB-3 dazu bekommen. Die bereits in der Vergangenheit vorgestellten Schutzmechanismen gegen Meltdown und Spectre V2 sowie V4 sind nun ein integraler Bestandteil des Systems. Weitere Neuerungen für die Intel-Plattform sind eine Unterstützung von SNAP und (U)EFI.
• NetBSD 9: NetBSD 9.0 mit neuem Hypervisor (Xen wird durch NVMM abgelöst) und verbesserter ZFS-Unterstützung sowie eine Reihe von neuen Sicherheitsfunktionen unter anderem auf Kernel-Ebene. Damit will NetBSD vor allem im Cloud-Umfeld an Bedeutung gewinnen. Das Dateisystem ZFS erhielt ein umfangreiches Update und ist nun für den produktiven Einsatz geeignet. Allerdings kann das System nicht von ZFS booten. Das root-Dateisystem darf zudem auch nicht in ZFS liegen.
  • Upgrade 9.1 → 9.2: sysupgrade auto https://cdn.NetBSD.org/pub/NetBSD/NetBSD-9.2/amd64

Dieses Skript wurde für NetBSD 1.5.1 geschrieben.

#!/bin/sh
#
# holen der PKGSRC per "CVS checkout" in NetBSD
#
#cvs -d anoncvs@anoncvs.netbsd.org:/cvsroot checkout -PA pkgsrc
#cvs -d anoncvs@anoncvs.netbsd.org:/cvsroot update -PAd pkgsrc
#
cd /usr

# Vor dem CHECKOUT muss das alte "src"-Verzeichnis geloescht werden!
if [ -d pkgsrc ]
then
        mv pkgsrc pkgsrc-old
        rm -fr pkgsrc-old &
fi

set CVS_RSH ssh; export CVS_RSH
set CVSROOT anoncvs@anoncvs.netbsd.org:/cvsroot; export CVSROOT

cd /usr && cvs $CVSROOT checkout -PA pkgsrc

CGD ist eines der sichersten, wenn nicht sogar die sicherste Methode, im open-source-Bereich, Laufwerke zu verschlüsseln!

• http://pbraun.nethence.com/doc/filesystems/cgd.html
• http://www.netbsd.org/docs/guide/en/chap-cgd.html

Dein NetBSD-Kernel muss das haben:

pseudo-device cgd 4 # cryptographic disk driver

Das ist in der Grundeinstellung bereits aktiv: cvsweb.netbsd.org/bsdweb.cgi/src/sys/arch/amd64/conf/GENERIC?rev=HEAD

Parameterdatei erstellen (Passwort eingeben; disklabel & format):

# cgdconfig -g -V disklabel aes-cbc 256 > /etc/cgd/wd1a
# cgdconfig -V re-enter cgd0 /dev/wd1a /etc/cgd/wd1a
# disklabel -e -I cgd0
# newfs /dev/rcgd0a

Leider wird hier als stärksten Verschlüssellungsalgorithmus nur AES unterstützt. Ich persönlich bevorzuge normalerweise twofish (schnell+sicher aber nur 3% langsamer als AES) oder serpent (sehr sicher; aber ca. 30% langsamer als AES).

Wenn es ein virtuelles Laufwerk ist:

# cgdconfig -g -V disklabel aes-cbc 256 > /etc/cgd/vnd0d
# cgdconfig -V re-enter cgd0 /dev/vnd0d /etc/cgd/vnd0d
# ...

Das kryptographische Laufwerk konfigurieren:

# cgdconfig -V none cgd0 /dev/wd1a
# mount /dev/cgd0a /mnt

Hinweis: Am Ende des cgdconfig-Kommando's kann man noch die Konfigurationsdatei übergeben. In der Grundeinstellung wird unter /etc/cgd eine Datei mit dem Namen der Gerätedatei erwartet (z.B.: /etc/cgd/wd1a).

Wenn es ein virtuelles Laufwerk ist, dann mach das hier vorher:

# vnconfig vnd0 image.vdisk
# cgdconfig -V none cgd0 /dev/vnd0d
# ...

wie bekannt:

# umount /mnt
# cgdconfig -u cgd0

Und wenn es ein virtuelles Laufwerk ist, dann fehlt noch das hier:

# vnconfig -u vnd0