深度探索 OpenBSD操作系統

OpenBSD 很可能是世界上最安全的操作系統。在其之上的每一步開發過程都重點關注於構建一個安全、開放和免費的平台。UNIX® 和 Linux® 管理員請注意：您可能在日常工作中已經使用了從 OpenBSD 中移植的工具，只是您並不知道而已。或許，現在我們應該對整個操作系統進行更深入的研究。

當安全性作為最重要的考慮因素時，有必要研究產生現在安全遠程訪問方面的標准 OpenSSH (Open Secure Shell) 的操作系統。OpenSSH 只是 OpenBSD 中的一部分，而該分發版從底層開始著重強調了安全性，它實現了創建一個缺省安全 的類 UNIX® 操作系統的目標。這種立場與現在大多數的操作系統有所不同，對於這些操作系統，在實際使用之前需要耗費大量的時間和精力對其環境進行加強。事實上，OpenBSD 是如此的安全，以至於在 DEF CON 競賽中曾一度禁止使用它，在這個競賽中，破解高手們 對所有其他的系統進行攻擊。

BSD 概述

Berkeley Software Distribution (BSD) 是歷史最悠久和最流行的 UNIX 版本之一。現在，它被分為許多不同的版本，其中有三種比較常見的開放源代碼分發版：

• FreeBSD
• OpenBSD
• NetBSD

盡管 FreeBSD 在這三種發布版中使用得最廣泛，但每個版本都有其顯著的優勢，這使得選擇正確的解決方案成為一項重要的決策。FreeBSD 是三者中最常見的系統，廣泛應用於 i386 環境。當安全性成為最重要的考慮因素時，OpenBSD 則是合適的分發版。NetBSD 提供了一種小規模的、高度可移植的選擇，它可以運行於各種各樣的體系結構中。

OpenBSD 審核處理

OpenBSD 審核處理可能是該分發版中一致安全性的最大因素。一組有經驗的開發人員重點對進入源代碼樹的每段代碼進行了審核。分析代碼中的安全缺陷和一般性錯誤（它們可能並不會影響到整體功能，但可能會作為安全缺陷而被利用）。對每個錯誤進行認真和及時的處理。這種積極主動的處理方法使得 OpenBSD 免受各種未知攻擊的影響，而其他的分發版則在發現攻擊後緊急對系統進行保護。

OpenBSD：使用地點與時間

在任何強調安全性的環境中，都可以安裝 OpenBSD。現在，大家的安全意識越來越強，計算機需要全天候連接到 Internet 上，無論是在家庭、政府或企業環境中，很少有人把安全性問題不當回事。金融巨頭依賴 OpenBSD 以確保企業網絡和客戶記錄的安全。與其他的類 UNIX 操作系統相比，OpenBSD 可能並不擁有廣泛的用戶基礎，但是在許多網絡中的最關鍵的地方通常都安裝了該操作系統。

作為 NetBSD 的近親，OpenBSD 也可以運行於各種各樣的硬件之上。下面具體來了解一下：

• Alpha：基於 Digital Alpha 的系統
• amd64：基於 AMD64 的系統
• Cat：StrongARM 110 評估板 (Evaluation Board)
• hp300：Hewlett-Packard HP 9000 系列的 300 和 400 工作站
• HP/PA：Hewlett-Packard Precision Architecture (PA-RISC) 系統
• i386：基於 Intel® i386 體系結構和兼容處理器的標准計算機
• luna88k：Omron LUNA-88K 和 LUNA-88K2 工作站
• mac68k：基於 Motorola 680x0 的帶 MMU 的 Apple Macintosh
• macppc：從 iMac 開始，基於 Apple PowerPC 的計算機
• mvme68k：基於 Motorola 680x0 的 VME 系統
• mvme88k：基於 Motorola 881x0 的 VME 系統
• SGI：基於 SGI MIPS 的工作站
• SPARC：Sun sun4-、sun4c- 和 sun4m 級的 SPARC 系統
• SPARC64：Sun UltraSPARC 系統
• VAX：基於 Digital VAX 的系統
• Zaurus：Sharp Zaurus C3x00 PDA

OpenBSD 核心包和特性

既然已經確定了 OpenBSD 是否適合於您的硬件平台，下面讓我們更仔細地了解一下 OpenBSD 中一些重要的部分。

OpenSSH

第一個值得關注的包是 OpenSSH，所有的 UNIX 和 Linux® 用戶對它都很熟悉。然而，許多人可能並不知道它來自於 OpenBSD 開發人員。OpenSSH 最初用於 OpenBSD，後來成為標准的安全 Shell (SSH) 包，並移植到幾乎所有版本的 UNIX、Linux 和 Microsoft® Windows® 操作系統。OpenSSH 包括用於安全登錄的 ssh、用於安全復制的 scp 和 sftp，後者是 ftp 的安全替代方法。所有的源代碼都符合開放源代碼 BSD 許可，必須遵守 OpenBSD 的規程以杜絕在該分發版中出現任何專用代碼和限制性許可計劃（這是創建新版本的 SSH 的原動力）。OpenBSD 中所包含的每個軟件部分都是完全免費的，並且在使用上沒有任何限制。

加密

因為 OpenBSD 項目是在加拿大進行的，所以其中應用的加密技術不受美國的出口限制，這使得該分發版可以充分利用各種現代的加密算法。幾乎可以在該操作系統的任何地方找到加密處理，從文件傳輸到文件系統，乃至網絡。OpenBSD 中還包含偽隨機數生成器，它可以確保無法根據系統狀態預測隨機數。其他的特性還包括加密哈希函數、加密轉換庫和加密硬件支持。

OpenBSD 中另一個主要的部分是 IP 安全協議 (IPSec)，該操作系統中沒有依賴先天不安全的 TCP/IP Version 4 (IPV4)，而使用了這個協議。（IPV4 選擇信任所有的人和所有的事物。）IPSec 對數據包進行加密和驗證以保護數據的保密性，並確保在傳輸過程中不會對數據包進行任何更改。隨著 TCP/IP Version 6 (IPV6) 的引入，IPSec 成為標准的 Internet 協議中不可或缺的部分，這使得未來的 Internet 在缺省情況下 更加安全。

OpenBSD 可以作為防火牆

因為 OpenBSD 很小並且很安全，所以 OpenBSD 實現的最常見目標之一是用作防火牆。防火牆從底層對大多數安全單元進行操作，並且 OpenBSD 的包過濾實現是非常優秀的。Packet Filter (PF)，OpenBSD 開發社區設計的開放源代碼解決方案，它是 OpenBSD 所選擇的方法。與 OpenBSD 軟件的其他許多部分一樣，這種方法非常成功，以至於其他的 BSD 變種紛紛將其移植到自己的分發版中。

OpenBSD 配置為缺省安全，所以在設置堅如磐石的防火牆時，您無需關閉過多的服務。您需要啟用第二個 Ethernet 接口，並根據需要配置 PF。有關介紹如何將 OpenBSD 服務器設置為防火牆的文章鏈接，請參見參考資料部分。