Введение в OpenBSD

---

Денис Назаров

Проект берет свое начало из системы NetBSD, когда один из четырех главных разработчиков проекта Theo de Raadt (Тео де Радт) решил создать свою собственную реализацию UNIX-подобной системы, делая максимальный упор на безопасность. OpenBSD унаследовала из NetBSD в основном только мультиплатформенность. Остальное же было написано с нуля или кардинально переделано. Вся переписка, предшествующая появлению OpenBSD, находится тут: http://zeus.theos.com/deraadt/coremail.html. Код системы полностью открыт и каждый желающий может помочь с разработкой системы. В процессе работы над OpenBSD был проделан огромный труд. Разработчики затратили много времени, выявляя и устраняя слабые места в системе защиты OpenBSD.

n  Одна удаленная уязвимость в системе за 7 лет при инсталляции «по умолчанию».

n  В системе широко используется кодирование данных.

n  В состав системы входит KerberosIV, KerberosV.

n  Большинство идентификаторов (таких, например, как PID) генерируется по случайному закону.

n  Полностью контролируется использование каталога /tmp.

n  Полностью контролируется работа с буферами данных, в частности отслеживается момент их переполнения.

n  Устранены недостатки работы с протоколами при копировании файлов, маршрутизации, использовании зарезервированных портов и прочее.

n  Система активно противодействует незаконным попыткам сбора информации (OS fingerprinting).

n  Используется новый системный вызов mkstemp (и прочее), улучшающий обработку каталога /tmp.

n  IP-фильтры являются стандартными компонентами ядра.

n  В ядро включены средства кодирования IP Photuris.

n  Модифицированы средства обработки сигналов, затрагивающих ядро.

n  Устранены нарушения защиты в strcpy и других системных вызовах.

n  Присутствует контроль за переполнением переменных окружения.

n  В Kerberos устранены ошибки, связанные с переполнением буферов.

n  В libc включены средства кодирования.

n  В системе используются гибкие механизмы кодирования паролей (Blowfish и прочее).

n  В стандартные утилиты встроена поддержка S/Key.

n  Выбор портов для прикладных программ осуществляется по случайному закону.

n  В систему входит мощнейший пакетный фильтр PF (OpenBSD’s Packet Filter).

n  Контроль за всеми обращениями к ядру приложений при помощи systrace.

n  В компилятор (GCC), начиная с версии 3.3, встроена защита propolicy.

n  Большинство стандартных сервисов, предоставляемых системой, запускаются в изолированном пространстве (chroot).

 

Это лишь малая часть всех тех прелестей, которыми обладает OpenBSD. Разработчики предоставляют вам возможность иметь 3 вида реализации OpenBSD:

n  RELEASE – релиз, система, которую вы получаете, устанавливая OpenBSD с официальных CD-ROM или других источников.

n  STABLE – система, на которую наложены все необходимые исправления и выполнены все рекомендации по настройке.

n  CURRENT – текущая, сырая система. В нее постоянно вносятся исправления, улучшения, добавляется новое ПО и прочее. Из этой версии в итоге вытекает новая система RELEASE.

На одном из серверов, которые я контролирую, была установлена OpenBSD CURRENT версии 3.0 и она успешно обновляется и по сей день. Использование ветки STABLE предпочтительней на production-серверах, где важна стабильность и надежность. Однако по собственному опыту могу сказать, что CURRENT ничуть не хуже STABLE, а порой даже лучше, удерживает лишь мысль «вдруг на CURRENT что-то перестанет работать?»

После установки системы можно сразу заметить «чистоту» системы. Большинство сервисов отключено (но установлено!), конфигурационные файлы дают понять, что система уже довольно жестко настроена. Отличный ход OpenBSD team – это страница мануала afterboot (man afterboot), на которой очень хорошо описано, что нужно сделать сразу после установки системы, чтобы привести ее в идеальное состояние.

Система очень компактна, после установки она заняла у меня всего 210 Mб без системы X Windows. При этом вы получаете полноценную систему с компилятором, которая готова служить вам верой и правдой с этой же минуты.

Очевидные для меня минусы системы:

n  Отсутствие поддержки SMP (symmetric multiprocessor), но в данный момент уже есть проект, который разрабатывает поддержку SMP для i386 и Sparc.

n  Отсутствие поддержки некоторых RAID-массивов.

n  Отсутствие поддержки некоторых сетевых карт (хотя эта проблема решилась портированием драйвера из FreeBSD).

OpenBSD часто используется на границах сети как межсетевой экран (firewall) и/или роутер (router). Система обладает мощнейшим пакетным фильтром и интегрированным контролем полосы пропускания. Использование OpenBSD также обусловлено низким приростом удаленных уязвимостей, делая ее надежным, дешевым и гибким решением.

Инсталляция системы

Хорошо, приступим к инсталляции данной прелести на наш подопытный сервер. Сразу оговорюсь про железо. P4 1,75 Ггц / 1 Гб RAM / 80 Гб HDD / Intel-Ethernet Express Pro 100 Мб/с. Да, железо неслабое, но ставлю на то, что есть. По поводу работы OpenBSD на более «плохом» железе можно смело ответить «Да!». У меня в руках 3 диска:

n  Базовый инсталляционный диск.

n  Набор заранее скомпилированного ПО для системы (Packages).

n  Дополнительное ПО для других платформ (Sparc, Alpha…).

 

Ставить систему, конечно, можно и не с CD-ROM, но это наиболее удобный способ, по моему мнению. Прежде всего, перед началом инсталляции вы должны четко знать:

n  Имя будущей машины (hostname).

n  Совместимость всего hardware с системой.

n  Метод установки (CD-ROM, FTP…).

n  Разметку диска.

n  Сетевые настройки, если вы не собираетесь использовать DHCP. Имя домена (domain name), сервера имен (DNS servers), IP-адрес, сетевую маску для ваших сетевых карт и шлюз (gateway).

---

Предыдущая страница	Оглавление	Следующая страница
[001] [002] [003] [004] [005] [006] [007] [008] [009] [010] [011] [012] [013] [014] [015] [016] [017] [018] [019] [020] [021] [022] [023] [024] [025] [026] [027] [028] [029] [030] [031] [032] [033] [034] [035] [036] [037] [038] [039] [040] [041] [042] [043] [044] [045] [046] [047] [048] [049] [050] [051] [052] [053] [054] [055] [056] [057] [058] [059] [060] [061] [062] [063] [064] [065] [066] [067] [068] [069] [070] [071] [072] [073] [074] [075] [076] [077] [078] [079] [080] [081] [082] [083] [084] [085] [086] [087] [088] [089] [090] [091] [092] [093] [094] [095] [096] [097] [098] [099] [100] [101] [102] [103] [104] [105] [106] [107] [108] [109] [110] [111] [112] [113] [114] [115] [116] [117] [118] [119] [120] [121] [122] [123] [124] [125] [126] [127] [128] [129] [130] [131] [132] [133] [134] [135] [136] [137] [138] [139] [140] [141] [142] [143] [144] [145] [146] [147] [148]