openSUSE Leap 16.0: Was ist neu und was YaST2 ablöst

Veröffentlicht am 26. Feb. 2026 | ca. 12 Min. Lesezeit |
linux opensuse server

Am 1. Oktober 2025 hat das openSUSE-Projekt mit Leap 16.0 ein Major-Release veröffentlicht, das die Distribution grundlegend modernisiert. Die größte Veränderung: YaST ist nicht mehr enthalten. Nach über 20 Jahren wird das legendäre Konfigurationstool durch eine Kombination aus modernen Einzelwerkzeugen ersetzt. Dieser Artikel gibt einen Überblick über die wichtigsten Neuerungen und zeigt, welche Tools man jetzt stattdessen nutzt.

Die wichtigsten Neuerungen im Überblick

Technische Basis

Leap 16.0 basiert auf dem Linux Kernel 6.12 LTS und setzt erstmals x86-64-v2 als Mindestanforderung für die CPU-Architektur voraus. Damit werden CPUs ab ca. 2008 unterstützt. Die Distribution bleibt quell- und binärkompatibel mit SUSE Linux Enterprise Server (SLES) 16.

Weitere Eckdaten (Release Notes):

  • Desktops: KDE Plasma 6.4, GNOME 48 und Xfce 4.20 — alle standardmäßig als Wayland-Session
  • Audio: PipeWire ersetzt PulseAudio vollständig
  • Java: OpenJDK 17 (Support bis 2027) und OpenJDK 21 (Support bis 2031)
  • Virtualisierung: QEMU 10.0.2, libvirt 11.4.0 mit modularen Daemons
  • Security: AppArmor 4.1 bleibt optional verfügbar

SELinux als Standard

Eine der einschneidendsten Änderungen: SELinux löst AppArmor als Standard-Linux-Security-Module ab und ist im Enforcing-Modus aktiv. Wer AppArmor bevorzugt, kann es nach der Installation umstellen, aber bei der Erstinstallation steht ausschließlich SELinux zur Verfügung. Beim Upgrade mit dem openSUSE Migration Tool wird man gefragt, ob man zu SELinux wechseln oder AppArmor beibehalten möchte.

Zypper: Parallele Downloads

Der Paketmanager zypper unterstützt jetzt parallele Downloads, was Installationen und Updates deutlich beschleunigt. Statt Pakete einzeln nacheinander herunterzuladen, werden mehrere gleichzeitig heruntergeladen.

Year-2038-Fix

Leap 16.0 ist Year-2038-safe. Das ist besonders für Server relevant, die langfristig laufen sollen.

Support-Zyklus

Jede Leap-16-Version erhält 24 Monate Community-Support mit Maintenance- und Sicherheitsupdates. Jährliche Minor-Releases sind bis Leap 16.6 (voraussichtlich 2031) geplant.

YaST ist Geschichte — die drei Nachfolger

YaST (Yet another Setup Tool) war über zwei Jahrzehnte das Schweizer Taschenmesser der openSUSE-Administration. In Leap 16.0 ist es vollständig entfernt. Drei spezialisierte Tools übernehmen seine Aufgaben:

Aufgabe Bisher (YaST) Jetzt (Leap 16)
Installation YaST Installer Agama
Systemverwaltung YaST Control Center Cockpit
Paketverwaltung YaST Software Myrlyn

Agama: Der neue Installer

Agama ersetzt den YaST-basierten Installer durch eine moderne, webbasierte Oberfläche. Die wichtigsten Features:

  • Webbasiert: Kann lokal oder remote per Browser gesteuert werden
  • Remote-Zugang: Administratoren können Installationen von anderen Geräten im Netzwerk überwachen
  • QR-Code: Ermöglicht Zugriff vom Smartphone, um den Installationsfortschritt zu verfolgen
  • Storage-Konfiguration: Unterstützt LVM, Thin Provisioning, RAID und komplexe Partitionierungsschemata
  • Multi-Distribution: Von einem einzigen ISO können verschiedene openSUSE-Varianten (Tumbleweed, Leap) installiert werden
  • JSON-Konfiguration: Fortgeschrittene Nutzer können Storage-Layouts per JSON-Syntax definieren

Für automatisierte Installationen stehen Agama-Konfigurationsdateien und eine Kommandozeile zur Verfügung.

Cockpit: Die webbasierte Systemverwaltung

Cockpit ist ein bewährtes Open-Source-Projekt, das über den Browser eine Administrationsoberfläche bereitstellt. In Leap 16 ist Version 340 enthalten. Man erreicht es unter https://server-ip:9090.

Installation und Start:

sudo zypper install cockpit
sudo systemctl enable --now cockpit.socket

Verfügbare Module in Leap 16:

Modul Paketname Funktion
System cockpit-system Systemübersicht, Performance-Metriken
Netzwerk cockpit-networkmanager Netzwerk-Interfaces, Bridges, Bonds
Firewall cockpit-firewalld Zonen, Ports, Services konfigurieren
Storage cockpit-storaged Festplatten, Dateisysteme, RAID
SELinux cockpit-selinux SELinux-Policies und Troubleshooting
VMs cockpit-machines Virtuelle Maschinen verwalten (libvirt)
Pakete cockpit-packagekit Software-Updates
Kdump cockpit-kdump Kernel-Crash-Dump-Konfiguration

Alle Module auf einmal installieren:

sudo zypper install cockpit cockpit-system cockpit-networkmanager \
  cockpit-firewalld cockpit-storaged cockpit-selinux \
  cockpit-machines cockpit-packagekit cockpit-kdump

Cockpit deckt damit einen großen Teil der ehemaligen YaST-Module ab: Netzwerk, Firewall, User-Verwaltung, Storage und SELinux. Der entscheidende Vorteil gegenüber YaST: Es ist ein distributionsübergreifendes Projekt mit einer aktiven Community und schnellen Release-Zyklen.

Myrlyn: Der neue grafische Paketmanager

Myrlyn ist das vielleicht spannendste der drei Nachfolge-Tools. Entstanden aus einem SUSE Hack Week-Projekt im November 2024 (damals noch unter dem Namen YQPkg), wurde es am 19. Januar 2026 in Version 1.0 veröffentlicht. Es ist in Leap 16.0 als Standardwerkzeug für die grafische Paketverwaltung enthalten.

Architektur

Myrlyn basiert auf Qt 6 als GUI-Framework und nutzt libzypp als Backend — dieselbe Bibliothek, die auch zypper verwendet. Im Gegensatz zum alten YaST Software-Modul hat Myrlyn keinerlei Abhängigkeiten zu YaST oder Ruby.

Funktionsumfang

Paketsuche und -verwaltung:

  • Suche über Paketnamen, Zusammenfassungen, Beschreibungen, RPM-Provides/Requires und Dateilisten
  • Installation, Update und Entfernung von einzelnen Paketen oder Software-Patterns (Paketgruppen)
  • Versions-Auswahl: gezielt bestimmte Paketversionen aus verfügbaren Repositories installieren
  • Suche in RPM-Recommends, um zu sehen warum ein Paket als empfohlene Abhängigkeit installiert wurde

Distribution Upgrade:

Myrlyn unterstützt Dist Upgrade (das Äquivalent zu zypper dup) direkt aus der grafischen Oberfläche. Dabei werden Paket-Splits, Umbenennungen und Pattern-Updates berücksichtigt.

Repository-Verwaltung:

Extras → Manage Repositories
  • Repositories mit Priorität, Status und URL auflisten
  • Community-Repositories einfach hinzufügen: Packman, openH264, libdvdcss, NVIDIA
  • Auto-Refresh und Prioritäten anpassen
  • Repositories bearbeiten oder entfernen

Transaktions-Historie:

Der integrierte ZYPP History Browser zeigt die komplette Installationshistorie mit hierarchischer Navigation (Jahr → Monat → Tag). Transaktionen werden gruppiert statt als unstrukturierte Liste angezeigt, und man kann nach Paketnamen, Repository oder Aktionstyp filtern.

Read-Only-Modus:

Wenn man Myrlyn ohne Root-Rechte startet, öffnet es sich im Nur-Lese-Modus. Man kann Pakete durchsuchen und Abhängigkeiten prüfen, ohne etwas zu verändern — nützlich, um vorher zu schauen was eine Installation bewirken würde.

Myrlyn starten

# Als Root (mit voller Funktionalität)
sudo myrlyn

# Oder als normaler User (Read-Only-Modus)
myrlyn

Snapper: Wo ist die grafische Oberfläche?

Snapper ist das Snapshot-Management-Tool für Btrfs-Dateisysteme und war bisher über das YaST-Modul Filesystem Snapshots (yast2-snapper) komfortabel per GUI bedienbar. Bei jeder Paketinstallation mit zypper oder Myrlyn erstellt Snapper automatisch Vorher-/Nachher-Snapshots, mit denen man das System zurückrollen kann.

Die aktuelle Situation in Leap 16

Mit dem Wegfall von YaST fehlt derzeit eine vollwertige grafische Oberfläche für Snapper in Leap 16. Es gibt mehrere Optionen mit unterschiedlichem Reifegrad:

1. Kommandozeile (empfohlen):

Die CLI bleibt das mächtigste Werkzeug für Snapper:

# Snapshots auflisten
sudo snapper list

# Änderungen zwischen zwei Snapshots anzeigen
sudo snapper diff 150..151

# Einzelne Datei wiederherstellen
sudo snapper undochange 150..151 /etc/nginx/nginx.conf

# Komplett auf einen Snapshot zurückrollen
sudo snapper rollback 150

2. Cockpit (eingeschränkt):

Cockpit zeigt über das Storage-Modul (cockpit-storaged) Btrfs-Dateisysteme und Subvolumes an. Zum Stand Februar 2026 gibt es allerdings noch kein dediziertes Cockpit-Plugin für Snapper mit vollem Funktionsumfang (Snapshots vergleichen, einzelne Dateien zurückrollen, etc.).

3. Drittanbieter-Tools:

  • snapper-gui: GTK-basierte Oberfläche, die Snapshots anzeigen, vergleichen und Änderungen rückgängig machen kann. Funktioniert grundsätzlich, hat aber Einschränkungen bei der Mehrfachauswahl von Dateien.
  • Btrfs Assistant: Eine weitere GUI-Option für Btrfs-Snapshot-Verwaltung mit ähnlichem Funktionsumfang.

4. YaST auf Tumbleweed:

Es sei erwähnt, dass YaST auf openSUSE Tumbleweed vorerst verfügbar bleibt und nicht aktiv entfernt wird, solange es kompilierbar ist. Wer Tumbleweed nutzt, hat also weiterhin Zugriff auf yast2-snapper.

Praxis-Tipp: Die wichtigsten Snapper-Befehle

Für den Alltag auf Leap 16 kommt man mit wenigen Kommandos aus:

# Konfiguration anzeigen
sudo snapper get-config

# Manuellen Snapshot erstellen (z.B. vor manuellem Eingriff)
sudo snapper create --description "Vor nginx-Umbau"

# Die letzten 10 Snapshots
sudo snapper list | tail -10

# Geänderte Dateien zwischen Snapshots anzeigen
sudo snapper status 150..151

# System-Rollback (nach Neustart aktiv)
sudo snapper rollback 150
sudo reboot

Migration von Leap 15 zu Leap 16

Für bestehende Leap-15-Installationen gibt es das openSUSE Migration Tool, das ein Upgrade ohne Neuinstallation ermöglicht:

# Auf Leap 15.6 installieren
sudo zypper install opensuse-migration-tool

# Migration starten
sudo opensuse-migration-tool

Das Tool fragt unter anderem, ob man zu SELinux wechseln oder bei AppArmor bleiben möchte, und kümmert sich automatisch um die PipeWire-Migration von PulseAudio. Neben dem Upgrade auf Leap 16 kann man auch zu Slowroll, Tumbleweed oder SLES migrieren.

Server-Migration: Fallstricke für Produktivbetrieb

Ein Desktop-Upgrade ist eine Sache. Ein Produktivserver mit nginx, PHP-FPM, MariaDB, Redis, Docker-Containern und Security-Tools wie CrowdSec oder fail2ban ist eine andere. Hier sind die konkreten Stolpersteine, die bei einer Leap-16-Migration auf einem typischen Web-Server auftreten können.

1. AppArmor → SELinux: Der größte Einschnitt

Wer bisher redis-apparmor oder eigene nginx-AppArmor-Profile verwendet hat, steht vor der grundlegenden Entscheidung: SELinux annehmen oder AppArmor manuell nachinstallieren. Das openSUSE Migration Tool fragt danach — und wer auf SELinux wechselt, muss alle AppArmor-spezifischen Konfigurationen migrieren.

Redis unter SELinux:

SELinux kennt kein direktes Äquivalent zu den AppArmor-Profilen aus dem Paket redis-apparmor. Stattdessen verwaltet man Policies über semanage und restorecon:

# Fehlende Contexts diagnostizieren
sudo ausearch -m avc -ts recent | audit2why

# Policy-Modul aus bestehenden Denials generieren
sudo ausearch -m avc -ts recent | audit2allow -M redis-local
sudo semodule -i redis-local.pp

# Socket-Pfad korrekt labeln (falls Redis auf Unix Socket läuft)
sudo semanage fcontext -a -t redis_var_run_t "/var/run/redis(/.*)?"
sudo restorecon -Rv /var/run/redis

nginx unter SELinux:

nginx braucht unter SELinux typischerweise explizite Erlaubnisse für Upstream-Verbindungen (PHP-FPM, Redis) und unübliche Ports:

# PHP-FPM Upstream-Verbindungen erlauben
sudo setsebool -P httpd_can_network_connect 1

# nginx darf Dateien aus /var/www lesen
sudo semanage fcontext -a -t httpd_sys_content_t "/var/www(/.*)?"
sudo restorecon -Rv /var/www

# Port-Freigaben prüfen
sudo semanage port -l | grep http

2. PHP PECL Extension: amqp neu kompilieren

Die PECL-Extension amqp (für RabbitMQ-Integration) ist nicht im Standard-Repository und muss nach jedem PHP-Versionswechsel neu kompiliert werden. Bei Leap 16 kann die mitgelieferte PHP-Version sich ändern — das macht das amqp-Paket ungültig.

# Aktuelle Version prüfen
php --version
php -m | grep amqp

# Voraussetzungen installieren
sudo zypper install php8-devel librabbitmq-devel

# amqp Extension neu bauen
sudo pecl install amqp

# Extension aktivieren
echo "extension=amqp.so" | sudo tee /etc/php8/conf.d/amqp.ini

# PHP-FPM neu starten
sudo systemctl restart php-fpm

Wichtig: Falls man mehrere PHP-Versionen parallel betreibt, muss amqp für jede Version separat kompiliert werden. Die pecl-Binary ist immer an eine bestimmte PHP-Version gebunden.

3. nginx + Brotli: Modul-Verfügbarkeit prüfen

Das Brotli-Modul für nginx ist kein Teil des offiziellen nginx-Pakets, sondern wird als separates Modul (nginx-module-brotli) ausgeliefert. In Leap 15.x war es über das Packman-Repository oder manuelle Kompilierung verfügbar. Für Leap 16 gilt:

# Prüfen ob das Modul verfügbar ist
sudo zypper search nginx-module-brotli

# Falls nicht im Standard-Repo: Packman hinzufügen
sudo zypper addrepo https://ftp.gwdg.de/pub/linux/misc/packman/suse/openSUSE_Leap_16.0/ packman
sudo zypper refresh
sudo zypper install nginx-module-brotli

Falls das Modul für Leap 16 noch nicht verfügbar ist, gibt es zwei Alternativen: nginx aus den Quellen mit dem Brotli-Modul kompilieren, oder auf die serverseitige Brotli-Komprimierung vorübergehend verzichten und nur gzip nutzen.

nginx Konfiguration mit dynamisch geladenem Modul:

# /etc/nginx/nginx.conf
load_module modules/ngx_http_brotli_filter_module.so;
load_module modules/ngx_http_brotli_static_module.so;

4. Docker: Repositories für Leap 16 anpassen

Docker-Container selbst laufen nach dem Upgrade unverändert weiter — aber die Docker-Engine muss aus dem richtigen Repository kommen. Das Leap-15-Repository funktioniert nicht mehr:

# Altes Docker-Repository entfernen
sudo zypper removerepo docker-ce

# Neues Repository für Leap 16 hinzufügen
sudo zypper addrepo https://download.docker.com/linux/opensuse_leap/16 docker-ce
sudo zypper refresh

# Docker-Engine aktualisieren
sudo zypper install docker-ce docker-ce-cli containerd.io

# Dienst prüfen
sudo systemctl status docker

Container-Dienste prüfen (Mailcow, Umami, Remark42 etc.):

# Alle laufenden Container
docker ps

# Nach dem Upgrade neu starten und Logs prüfen
docker compose -f /opt/mailcow/docker-compose.yml restart
docker compose logs --tail=50

5. CrowdSec und fail2ban

CrowdSec arbeitet mit nftables zusammen, das in Leap 16 unverändert bleibt. Dennoch sollte man nach dem Upgrade sicherstellen, dass die Bouncer neu gestartet werden und ihre Regeln laden:

# CrowdSec Dienst-Status
sudo systemctl status crowdsec
sudo cscli bouncers list

# nftables Bouncer neu starten
sudo systemctl restart crowdsec-firewall-bouncer

# Aktive Bans prüfen
sudo cscli decisions list

fail2ban funktioniert grundsätzlich weiter, aber nach einem SELinux-Wechsel müssen die Jail-Aktionen (iptables/nftables) unter SELinux erlaubt sein:

# fail2ban SELinux-Status prüfen
sudo ausearch -m avc -c fail2ban -ts recent

6. certbot und DNS-Plugin

Das certbot-Plugin für INWX (certbot-dns-inwx) ist ein Python-Paket und muss nach einem Python-Versionswechsel ggf. neu installiert werden:

# Certbot Version prüfen
certbot --version

# Falls certbot über pip installiert: neu installieren
sudo pip install certbot certbot-dns-inwx

# Zertifikat-Erneuerung testen
sudo certbot renew --dry-run

Empfohlene Migrations-Reihenfolge

Für einen Server in Produktivbetrieb empfiehlt sich folgende Reihenfolge:

  1. Backup erstellen – Snapper-Snapshot plus Daten-Backup (Datenbankdump, Docker Volumes)
  2. Migration startenopensuse-migration-tool ausführen, SELinux wählen
  3. SELinux in Permissive Mode – Erst alle Dienste starten, Denials beobachten, dann auf Enforcing wechseln
  4. PHP-FPM und amqp – Extension neu kompilieren, PHP-FPM neu starten
  5. nginx – Brotli-Modul prüfen, Konfiguration laden, nginx -t
  6. Docker – Repository anpassen, Engine updaten, Container testen
  7. Security-Dienste – CrowdSec, fail2ban neu starten und Status prüfen
  8. certbot – Erneuerung im Dry-Run testen
  9. SELinux auf Enforcing – Wenn alles läuft, setenforce 1
# SELinux temporär auf Permissive setzen (kein Reboot nötig)
sudo setenforce 0

# Modus prüfen
getenforce

# Nach allen Tests auf Enforcing
sudo setenforce 1

# Dauerhaft in /etc/selinux/config sichern
sudo sed -i 's/SELINUX=permissive/SELINUX=enforcing/' /etc/selinux/config

Fazit

openSUSE Leap 16.0 ist ein mutiger Schnitt. Der Abschied von YaST ist für langjährige openSUSE-Nutzer sicher gewöhnungsbedürftig, aber die Nachfolger sind gut gewählt: Agama modernisiert die Installation, Cockpit bietet eine distributionsübergreifende Web-Oberfläche für die Systemverwaltung, und Myrlyn ist ein würdiger Nachfolger für die grafische Paketverwaltung mit dem bewährten libzypp-Backend.

Die einzige echte Lücke betrifft Snapper: Eine komfortable grafische Snapshot-Verwaltung fehlt aktuell. Hier bleibt die Kommandozeile das Mittel der Wahl — oder man hofft auf ein künftiges Cockpit-Plugin. Für Server-Administratoren, die ohnehin auf der Konsole arbeiten, ist das kein Problem. Für Desktop-Nutzer, die bisher YaST-Snapper gewohnt waren, ist es ein Kompromiss.

Insgesamt ist Leap 16.0 ein solides Release: SELinux als Standard, parallele Zypper-Downloads, 24 Monate Support und die Quell-/Binärkompatibilität mit SLES machen es zu einer überzeugenden Basis für Produktionsserver und Workstations gleichermaßen.

Teilen
LinkedIn Klicken zum Aktivieren Mastodon Klicken zum Aktivieren Reddit Klicken zum Aktivieren WhatsApp Klicken zum Aktivieren Telegram Klicken zum Aktivieren

Erst nach dem Aktivieren werden Daten an die jeweilige Plattform übertragen.

Thomas Wunner

Thomas Wunner

Fachinformatiker für Anwendungsentwicklung mit Ausbildereignungsprüfung und über 14 Jahre Erfahrung im Aufbau skalierbarer Webanwendungen mit Symfony und Shopware. Abseits der Tastatur ist Thomas als Rettungsschwimmer in der Wasserwacht aktiv, legt als DJ auf und erkundet die Umgebung auf dem Motorrad.

Verwandte Beiträge

20. Feb. 2026
Mein Produktions-Server-Setup mit openSUSE Leap
devops linux nginx security
28. Nov. 2025
Server-Monitoring mit Grafana und Prometheus: Metriken, Dashboards und Alerting
devops monitoring server
1. Jan. 2025
Willkommen auf meinem neuen Blog
webentwicklung karriere linux dj

Kommentare

Kommentare werden von Remark42 bereitgestellt. Beim Laden werden Daten an unseren Kommentar-Server übertragen.