當(dāng)安全性至為重要時(shí)，順理成章地使用與當(dāng)今安全遠(yuǎn)程訪問標(biāo)準(zhǔn)OpenSSH（Open Secure Shell）產(chǎn)生相同的操作系統(tǒng)。 OpenSSH只是OpenBSD的一部分，OpenBSD是一個(gè)從頭開始關(guān)注安全性的發(fā)行版，它的目標(biāo)是創(chuàng)建一個(gè)默認(rèn)情況下安全的，類似于UNIX?的操作系統(tǒng)。 這種立場(chǎng)與當(dāng)今的大多數(shù)操作系統(tǒng)形成鮮明對(duì)比，后者需要大量時(shí)間和精力才能使環(huán)境更堅(jiān)固，然后才能上線。 實(shí)際上，OpenBSD是如此的安全，以至于曾經(jīng)被禁止在DEF CON競(jìng)賽中使用，在該競(jìng)賽中， 黑客相互追逐對(duì)方的系統(tǒng)。

BSD概述

伯克利軟件發(fā)行版（BSD）是UNIX最古老和最常見的版本之一。 如今，它已被分成多個(gè)版本，三個(gè)常見的開源發(fā)行版引領(lǐng)了這一潮流：

• FreeBSD
• OpenBSD的
• NetBSD

雖然FreeBSD在這三個(gè)發(fā)行版中使用最廣泛，但是每個(gè)版本都有很大的優(yōu)勢(shì)，這使得選擇正確的解決方案成為重要的決定。 FreeBSD是這三者中最普遍的，并且在i386環(huán)境中非常流行。 當(dāng)安全性是您優(yōu)先列表中的最高項(xiàng)目時(shí)，OpenBSD是正確的發(fā)行版本。 NetBSD提供了一個(gè)小型且非常便攜的替代方案，可在多種體系結(jié)構(gòu)上運(yùn)行。

OpenBSD審核流程

OpenBSD審核過程可能是此發(fā)行版中一致的安全性的最大因素。 一個(gè)由經(jīng)驗(yàn)豐富的開發(fā)人員組成的團(tuán)隊(duì)致力于審核輸入到源代碼樹中的每段代碼。 分析代碼中的安全漏洞和一般錯(cuò)誤-這些漏洞可能不會(huì)影響一般功能，但可能會(huì)被廣泛用作安全漏洞。 每個(gè)錯(cuò)誤都將被認(rèn)真對(duì)待并立即解決。 這種主動(dòng)的方法使OpenBSD不受未知漏洞的影響，其他發(fā)行版必須在發(fā)現(xiàn)這些漏洞時(shí)進(jìn)行爭(zhēng)奪。

OpenBSD：何時(shí)何地

任何對(duì)安全性很重要的環(huán)境都可能導(dǎo)致潛在的OpenBSD安裝。 在當(dāng)今更加注重安全性的世界（一個(gè)計(jì)算機(jī)24x7全天候連接到互聯(lián)網(wǎng)的世界）中，很難找到不重視安全性的用戶，無論是在家庭，政府還是公司環(huán)境中。 眾所周知，金融巨頭依靠OpenBSD來保護(hù)公司網(wǎng)絡(luò)和客戶記錄。 與其他類似UNIX的操作系統(tǒng)相比，OpenBSD可能沒有龐大的用戶群，但它已安裝在許多網(wǎng)絡(luò)中最關(guān)鍵的位置。

作為NetBSD的近親，OpenBSD也可以在多種硬件上運(yùn)行。 看一看：

• Alpha：基于數(shù)字Alpha的系統(tǒng)
• amd64：基于AMD64的系統(tǒng)
• 目錄： StrongARM 110評(píng)估板
• hp300：惠普HP 9000系列300和400工作站
• HP / PA：惠普精密架構(gòu)（PA-RISC）系統(tǒng)
• i386：基于Intel?i386架構(gòu)和兼容處理器的標(biāo)準(zhǔn)計(jì)算機(jī)
• luna88k： Omron LUNA-88K和LUNA-88K2工作站
• mac68k：具有MMU的基于Motorola 680x0的Apple Macintosh
• macppc：基于Apple PowerPC的計(jì)算機(jī)，來自iMac
• mvme68k：基于Motorola 680x0的VME系統(tǒng)
• mvme88k：基于Motorola 881x0的VME系統(tǒng)
• SGI：基于SGI MIPS的工作站
• SPARC： Sun sun4-，sun4c-和sun4m級(jí)的SPARC系統(tǒng)
• SPARC64： Sun UltraSPARC系統(tǒng)
• VAX：基于數(shù)字VAX的系統(tǒng)
• Zaurus： Sharp Zaurus C3x00 PDA

OpenBSD核心軟件包和功能

現(xiàn)在您已經(jīng)確定了OpenBSD是否是您的硬件平臺(tái)的一個(gè)選項(xiàng)，讓我們仔細(xì)看一下OpenBSD的一些亮點(diǎn)。

OpenSSH的

第一個(gè)注釋包是OpenSSH，每個(gè)UNIX和Linux?用戶都熟悉它。 但是，許多人可能不知道它來自O(shè)penBSD開發(fā)人員。 OpenSSH最初是為OpenBSD開發(fā)的，此后成為標(biāo)準(zhǔn)的Secure Shell（SSH）軟件包，幾乎可以移植到UNIX，Linux和Microsoft?Windows?操作系統(tǒng)的每個(gè)版本。 OpenSSH包括用于安全登錄的ssh ，用于安全副本的scp和用于ftp的安全替代品sftp 。 所有源代碼都屬于OpenBSD開源許可證，這遵循OpenBSD的指示，即不得將所有專有代碼和限制性許可方案排除在發(fā)行版之外（這是創(chuàng)建新版本SSH的最初動(dòng)力）。 OpenBSD中包含的每個(gè)軟件都是完全免費(fèi)的，沒有使用限制。

密碼學(xué)

因?yàn)镺penBSD項(xiàng)目位于加拿大，所以沒有美國對(duì)密碼術(shù)的出口限制，這使得發(fā)行版可以充分利用現(xiàn)代加密算法。 從文件傳輸?shù)轿募到y(tǒng)再到網(wǎng)絡(luò)，幾乎可以在操作系統(tǒng)的任何地方找到加密。 偽隨機(jī)數(shù)生成器還包含在OpenBSD中，可確保無法根據(jù)系統(tǒng)狀態(tài)預(yù)測(cè)隨機(jī)數(shù)。 其他功能包括加密哈希函數(shù)，加密轉(zhuǎn)換庫和加密硬件支持。

OpenBSD的另一項(xiàng)大量導(dǎo)出的內(nèi)容是IP安全協(xié)議（IPSec），操作系統(tǒng)使用它而不是依賴于本質(zhì)上不安全的TCP / IP版本4（IPV4）。 （IPV4選擇信任幾乎所有人和所有事物。）IPSec加密并驗(yàn)證數(shù)據(jù)包以保護(hù)數(shù)據(jù)的私密性，并確保在傳遞過程中不對(duì)數(shù)據(jù)包進(jìn)行任何更改。 IPSec通過引入TCP / IP版本6（IPV6）成為標(biāo)準(zhǔn)Internet協(xié)議的組成部分， 默認(rèn)情況下使Internet的未來更加安全。

OpenBSD作為防火墻

因?yàn)镺penBSD既薄又安全，所以最常見的OpenBSD實(shí)現(xiàn)目的之一就是作為防火墻。 防火墻在大多數(shù)安全位置的底層運(yùn)行，并且OpenBSD的數(shù)據(jù)包過濾實(shí)現(xiàn)是一流的。 數(shù)據(jù)包過濾器（PF）是由OpenBSD開發(fā)社區(qū)設(shè)計(jì)的開源解決方案，是OpenBSD的選擇方法。 像許多其他OpenBSD軟件一樣，它的成功促使其他BSD變體將其移植到自己的發(fā)行版中。

默認(rèn)情況下 ，OpenBSD設(shè)置為安全的 ，因此您無需關(guān)閉太多服務(wù)即可設(shè)置堅(jiān)如磐石的防火墻。 您將必須啟用第二個(gè)以太網(wǎng)接口，并根據(jù)需要配置PF。 請(qǐng)參閱相關(guān)信息的鏈接，文章就如何建立一個(gè)OpenBSD的服務(wù)器作為防火墻。

加密和隨機(jī)數(shù)

大多數(shù)操作系統(tǒng)在關(guān)鍵元素中幾乎沒有加密，甚至沒有加密，這造成了固有的安全性不足。 造成此缺陷的一個(gè)重要原因是，大多數(shù)操作系統(tǒng)都是從美國發(fā)貨的，這是一個(gè)簡(jiǎn)單的事實(shí)，在美國，開發(fā)人員不允許導(dǎo)出功能強(qiáng)大的加密軟件。 OpenBSD中的加密哈希庫包括MD5，SHA1和RIPEMD160。 OpenBSD中的密碼轉(zhuǎn)換庫包括Blowfish，數(shù)據(jù)加密標(biāo)準(zhǔn)（DES），3DES和Cast。

大多數(shù)這種加密技術(shù)都是在后臺(tái)運(yùn)行的，從而使用戶不必成為加密專家，以確保其系統(tǒng)安全。 OpenBSD開發(fā)團(tuán)隊(duì)了解到，大多數(shù)管理員不是安全方面的專家，因此不應(yīng)指望他們一頭扎進(jìn)來加強(qiáng)他們的環(huán)境。 那些認(rèn)為OpenBSD不是用戶友好操作系統(tǒng)的人被誤導(dǎo)了。 如果大多數(shù)管理員花時(shí)間將OpenBSD的默認(rèn)安全措施放在其他發(fā)行版上，他們可能會(huì)改變思路。

隨機(jī)數(shù)是實(shí)現(xiàn)所有這些安全性的關(guān)鍵組成部分。 OpenBSD內(nèi)核使用中斷信息來創(chuàng)建一個(gè)不斷變化的熵池，該池為種子加密功能提供數(shù)據(jù)，并為事務(wù)ID提供編號(hào)。 例如，偽隨機(jī)數(shù)用于進(jìn)程ID和數(shù)據(jù)包ID，這對(duì)于想要成為攻擊者的人來說，欺騙變得更加困難。 OpenBSD甚至在bind(2)系統(tǒng)調(diào)用中使用隨機(jī)端口分配。 大多數(shù)UNIX派生的操作系統(tǒng)要么順序創(chuàng)建ID，要么具有可以通過預(yù)測(cè)結(jié)果加以利用的簡(jiǎn)單算法。

盡管OpenBSD團(tuán)隊(duì)仍在探索文件系統(tǒng)的更廣泛的加密，但已采取步驟在可能的情況下對(duì)數(shù)據(jù)進(jìn)行加密。 交換分區(qū)分為小部分，每個(gè)部分都用自己的密鑰加密，以確保敏感數(shù)據(jù)不會(huì)泄漏到系統(tǒng)的不安全部分中-這是傳統(tǒng)的基于UNIX或Linux的系統(tǒng)的常見問題。 如果要加密用戶數(shù)據(jù)，則可以在OpenBSD中使用加密文件系統(tǒng)（CFS）。 CFS在用戶級(jí)別運(yùn)行，并通過網(wǎng)絡(luò)文件系統(tǒng)（NFS）與內(nèi)核進(jìn)行通信。 該系統(tǒng)使用戶可以透明地訪問加密目錄，因此他們可以選擇要加密的數(shù)據(jù)，而不會(huì)受到加密/解密過程的負(fù)擔(dān)。

注：請(qǐng)參閱相關(guān)主題有關(guān)OpenBSD的密碼學(xué)的更多信息。

安裝OpenBSD

如果不完全了解OpenBSD的好處，新用戶可能會(huì)傾向于熟悉的Linux發(fā)行版，因?yàn)樗麄儗?duì)BSD安裝過程感到恐懼，因?yàn)锽SD安裝過程非常困難。 雖然安裝可能不是大多數(shù)用戶所習(xí)慣的，但本文提供了該過程的快速概述，以演示如何輕松進(jìn)行安裝。 花一些時(shí)間來了解OpenBSD的安裝過程，以節(jié)省鎖定默認(rèn)情況下不安全的Linux發(fā)行版的時(shí)間，這通常是務(wù)實(shí)的決定。

有幾種安裝方法，步驟因平臺(tái)而異。 我通過創(chuàng)建自己的CD集來重點(diǎn)介紹在i386服務(wù)器（例如，運(yùn)行IBM服務(wù)器的計(jì)算機(jī)）上的基本CD-ROM安裝。 官方常見問題解答中未記錄此過程。

步驟1.獲取發(fā)行版

首先，訪問OpenBSD.org下載頁面（請(qǐng)參閱相關(guān)信息 ），選擇列表中的任何一面鏡子，然后去/3.9/i386/ 。 如果您習(xí)慣于安裝Linux發(fā)行版，那么這是第一個(gè)您會(huì)發(fā)現(xiàn)與眾不同的地方。 唯一的.iso文件是一個(gè)名為cd39.iso的5MB文件。 這樣可以嗎 不用擔(dān)心：安裝OpenBSD時(shí)，啟動(dòng)CD是一個(gè)準(zhǔn)系統(tǒng)內(nèi)核。 其余的則從文件中提取，您可以將其下載并刻錄到其他CD（或從OpenBSD.org購買CD集來幫助支持該項(xiàng)目）。 確保下載cd39.iso，所有.tgz文件，bsd，bsd.rd和bsd.mp。 （或者，為方便起見，只需下載目錄中的所有內(nèi)容。）

步驟2.創(chuàng)建安裝媒體

從cd39.iso創(chuàng)建啟動(dòng)CD并將其標(biāo)記為Disk 1，如清單1所示。 在目錄/3.9/i386/中創(chuàng)建一個(gè)包含所有其他文件的常規(guī)CD，并將其標(biāo)記為Disk 2，如清單2所示。 其他選項(xiàng)包括購買CD套裝，執(zhí)行網(wǎng)絡(luò)安裝或構(gòu)建自定義.iso文件，但我發(fā)現(xiàn)兩張CD方法最簡(jiǎn)單。

清單1.使用cd39.iso創(chuàng)建啟動(dòng)CD

cd39.iso 02-Mar-2006 03:10 4.6M

清單2.將以下文件放在磁盤2上名為/3.9/i386/的目錄中

base39.tgz 02-Mar-2006 03:10 38.6M bsd 02-Mar-2006 03:10 5.2M bsd.mp 02-Mar-2006 03:10 5.2M bsd.rd 02-Mar-2006 03:10 4.5M comp39.tgz 02-Mar-2006 03:10 71.8M etc39.tgz 02-Mar-2006 03:10 1.1M game39.tgz 02-Mar-2006 03:10 2.5M man39.tgz 02-Mar-2006 03:10 7.1M misc39.tgz 02-Mar-2006 03:10 2.2M xbase39.tgz 10-Mar-2006 12:04 10.1M xetc39.tgz 10-Mar-2006 12:04 88k xfont39.tgz 10-Mar-2006 12:04 31.7M xserv39.tgz 10-Mar-2006 12:04 19.0M xshare39.tgz 10-Mar-2006 12:04 2.0M

步驟3.開始安裝

創(chuàng)建安裝CD后，從磁盤1引導(dǎo)新服務(wù)器。命令提示符將指導(dǎo)您完成安裝過程。 您可以在OpenBSD FAQ的第4節(jié)中找到詳細(xì)說明（請(qǐng)參閱參考資料 ）。

最復(fù)雜的部分是“ 設(shè)置磁盤”部分，但是您可以通過選擇將所有磁盤用于OpenBSD來跳過很多此類信息（如果您沒有要保留的其他任何分區(qū)）。 無論您做出何種分區(qū)決定，請(qǐng)務(wù)必按照“ 創(chuàng)建磁盤標(biāo)簽”一節(jié)的步驟進(jìn)行操作，唯一的偏差是可以根據(jù)需要?jiǎng)?chuàng)建更大的/ usr和/ home分區(qū)。 請(qǐng)注意OpenBSD中的兩層分區(qū)系統(tǒng)。 第一步設(shè)置傳統(tǒng)的fdisk可查看分區(qū)，而第二disklabel步驟設(shè)置OpenBSD子分區(qū)。

除此之外，唯一的調(diào)整（要使用兩張CD的安裝套件）是在這一步交換CD：

Let's install the sets! Location of sets? (cd disk ftp http or 'done') [cd]

從磁盤1切換到磁盤2（包含/3.9/i386/中所有文件的CD）。

步驟4.開始計(jì)算！

完成所有設(shè)置后，您就可以開始計(jì)算了。

聽起來不錯(cuò)，現(xiàn)在該如何使用？

與學(xué)習(xí)如何保護(hù)系統(tǒng)（已經(jīng)具有合理的默認(rèn)設(shè)置）的安全性相反，在開始以新的OpenBSD用戶身份管理系統(tǒng)之前，可能需要了解一些步驟。

首先，默認(rèn)情況下，wheel組中沒有用戶，這意味著使用su命令的嘗試將失敗。 使用adduser命令從命令行創(chuàng)建新用戶，該命令將引導(dǎo)您完成一個(gè)簡(jiǎn)單的問答會(huì)話，以設(shè)置默認(rèn)值（一次性過程）并創(chuàng)建您的第一個(gè)用戶。

舉例來說，假設(shè)您創(chuàng)建了一個(gè)名為bsdadmin的用戶。 如果bsdadmin將成為您的主要管理帳戶，則希望能夠使用su命令快速訪問根帳戶。 為此，請(qǐng)以root帳戶登錄，然后編輯/ etc / group文件以將bsdadmin包括在wheel組中。 只需將bsdadmin附加到第一行（表示wheel:*:0:root ）。

其次，檢查/ etc /目錄中的系統(tǒng)默認(rèn)設(shè)置。 由于大多數(shù)服務(wù)默認(rèn)是由于某種原因而關(guān)閉的，因此請(qǐng)?jiān)诖颂幹?jǐn)慎行事。 OpenBSD使用rc.conf啟動(dòng)大多數(shù)啟動(dòng)守護(hù)程序。 您會(huì)看到默認(rèn)情況下關(guān)閉了服務(wù)（例如httpd和nfs）-即使PF也已關(guān)閉。 例如，您可以通過在/etc/rc.conf中添加行httpd=YES來打開Apache（httpd）。

盡管OpenBSD可能沒有基于圖形的工具來幫助系統(tǒng)管理，但OpenBSD開發(fā)人員已經(jīng)特別注意為操作系統(tǒng)的每個(gè)組件提供廣泛，準(zhǔn)確的手冊(cè)頁。 我建議您在感到困惑或只是想了解新工具時(shí)，自由使用嚴(yán)格的man命令。

我還能做什么？

OpenBSD預(yù)包裝了少量的第三方組件，它們?cè)俅侮P(guān)注安全性和穩(wěn)定性，而不是嘗試為每個(gè)人做所有事情。 以下是OpenBSD版本3.9中包含的軟件包的默認(rèn)列表：

• OpenSSH版本4.3
• X.org版本6.9.0（具有i386發(fā)行版中包含的V3.3 XFree86服務(wù)器）
• GCC 2.95.3和3.3.5版（默認(rèn)情況下啟用了Propolice堆棧保護(hù)技術(shù)）
• Perl 5.8.6版（帶有OpenBSD團(tuán)隊(duì)的補(bǔ)丁和改進(jìn)）
• Apache版本1.3.29 Web服務(wù)器（包括mod_ssl版本2.8.16和動(dòng)態(tài)共享對(duì)象（DSO）支持）
• OpenSSL版本0.9.7g（帶有OpenBSD團(tuán)隊(duì)的補(bǔ)丁和改進(jìn)）
• Groff版本1.15
• Sendmail版本8.13.4（帶有l(wèi)ibmilter）
• BIND版本9.3.1（改進(jìn)了chroot操作和其他與安全相關(guān)的問題）
• Lynx版本2.8.5rel.4（添加了基于安全套接字層（HTTPS）的HTTP支持以及來自O(shè)penBSD團(tuán)隊(duì)的補(bǔ)丁）
• Sudo版本1.6.8p9
• Ncurses 5.2版
• KAME IPv6
• Heimdal版本0.7（帶有補(bǔ)丁）
• Arla版本0.35.7
• gdb 6.3版

還可以使用其他第三方軟件包，您可以使用OpenBSD的pkg_add應(yīng)用程序輕松安裝它們。 您可以在OpenBSD鏡像的/3.9/packages/i386/目錄中找到完整列表。 pkg_add應(yīng)用程序?qū)④浖Q作為輸入，自動(dòng)確定依賴關(guān)系，并安裝所有必需的軟件包。

盡管上面列出的軟件包是專門為OpenBSD移植的，但該平臺(tái)的另一個(gè)宗旨是二進(jìn)制兼容性。 OpenBSD支持為Linux，Solaris，HP-UX和其他形式的BSD編譯的大多數(shù)軟件的二進(jìn)制仿真。 默認(rèn)情況下，此功能是關(guān)閉的。 要打開它，只需在以下行從/etc/sysctl.conf中刪除開頭的注釋（ # ）字符，然后重新啟動(dòng)系統(tǒng)：

#kern.emul.linux=1 # enable running Linux binaries

這樣，您可以運(yùn)行簡(jiǎn)單的靜態(tài)鏈接的Linux應(yīng)用程序。 要運(yùn)行各種各樣的軟件，還需要使用pkg_add安裝Redhat / base軟件包，如上所述。

Wrapping up

OpenBSD致力于成為地球上最安全的UNIX派生產(chǎn)品，并且沒有太多希望。 設(shè)計(jì)原則（例如代碼審核，廣泛使用加密以及謹(jǐn)慎的配置選擇）相結(jié)合，以確保默認(rèn)情況下 OpenBSD的安全原理正確。 雖然在安全的服務(wù)器和防火墻中找到OpenBSD安裝是最常見的，但OpenBSD廣泛的硬件和軟件支持使該操作系統(tǒng)適用于多種用途。 UNIX和Linux專家都對(duì)OpenBSD的許多部分都很熟悉，他們可能會(huì)喜歡有意將其從軟件包中剔除的領(lǐng)域。

---

翻譯自: https://www.ibm.com/developerworks/aix/library/au-openbsd.html

總結(jié)

以上是生活随笔為你收集整理的openbsd_仔细看一下OpenBSD的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。