Hlavní navigace

Co je to OpenBSD?

Ondřej Suchý

Začátkem listopadu se na oficiálních FTP serverech objevila verze operačního systému OpenBSD s číslem 3.4. V tomto článku si představíme, co to OpenBSD vlastně je, kde jsou jeho výhody a nevýhody a jak souvisí s akvaristikou.

Začněme akvaristikou. OpenBSD je volně šiřitelný operační systém, jehož symbolem je čtyřzubec. To je malá, nenápadná rybka, která se v nebezpečí legračně nafoukne a když ji sníte, umřete na otravu prudkým jedem. OpenBSD se v nebezpečí nenafoukne, ale pokud se do něj pokusíte nabourat, vaše snaha bude nejspíš marná, a to vás může pěkně otrávit.

Bezpečnost – cíl číslo jedna

OpenBSD je totiž systém, vyvíjený s důrazem na bezpečnost. Díky tomu se výborně hodí pro instalace na místech, která mají zajišťovat ochranu dat nebo jsou vystavena vysokému riziku. Tedy hlavně firewally, aplikační servery v „demilitarizovaných zónách“, systémy detekce průniku a podobná zařízení.

Vysoké bezpečnosti je dosaženo několika různými způsoby. Předně: kód OpenBSD prochází důkladným bezpečnostním auditem. Důsledkem nemusí být méně bezpečnostních chyb, ale skutečnost, že většinu problémů již v předstihu objevili sami autoři software a my tak máme čas aplikovat příslušné záplaty. Kromě toho implementuje OpenBSD velké množství dalších technických bezpečnostních opatření, která se navzájem překrývají a účinně brání zneužití chyb. Uvedu dva příklady. Programy se důsledně snaží používat nejmenší možná privilegia, takže možnost získání administrátorských práv prostřednictvím nějaké bezpečnostní chyby je hodně omezená. Celý systém je navíc kompilován s využitím ProPolice (čti „propolis“), ochrany proti přetečení zásobníku. Další opatření je celkem zbytečné v tomto stručném článku probírat, zájemci si je jistě najdou sami. O výborném paketovém filtru se budeme bavit příště.

V jednoduchosti je síla

Říká se, že OpenBSD je složitý systém, vhodný pouze pro zkušené administrátory. Opak je pravdou. Už instalace je tak jednoduchá, že bez předchozích zkušeností s tímto systémem ji máte hotovou za 15 – 20 minut.

Správa je rovněž jednoduchá, většina parametrů je pohromadě ve dvou, třech souborech. Jistě, jde o zvyk, ale pokud vás rozčiluje brutální komplexnost moderních linuxových distribucí, OpenBSD se vám bude líbit. Trochu nepohodlná je distribuce softwarových oprav ve formě patchů na zdrojový kód, ale zase je to alespoň zábava (srovnej s nudným apt nebo rpm). S ostatními variantami BSD UNIXu náš systém sdílí způsob distribuce jednotlivých aplikací pomocí portů, tedy sady předpisů, jak program stáhnout a zkompilovat. „Strom portů“ v současné době obsahuje několik stovek užitečných aplikací.

Díky své jednoduchosti je OpenBSD velmi nenáročné na hardware. Běží už na pár megabajtech RAM a diskového prostoru. V jádře sice nenajdete podporu pro nejnovější hi-tech řadiče různých druhů, ale vzhledem k nejčastějšímu použití OpenBSD to ani příliš nevadí. Důležité je, že kernel zná mnoho síťových karet, diskových ovladačů a podobných věcí. Sympatická je i bezproblémová podpora nejrůznějšího wifi hardware, což umožňuje z OpenBSD vytvořit levný a velmi bezpečný access point pro bezdrátové sítě.

Je OpenBSD dokonalé?

Slabiny OpenBSD? Ve výkonových testech viditelně zaostává za svými konkurenty. Ovšem rychlost není cílem vývoje. Nasazujme OpenBSD tam, kde jsou jeho silné stránky, a výkon nás nebude trápit.

Co se týká filtrace paketů, OpenBSD řeší odvěký problém – aktivní FTP protokol – po svém. Na internetové bráně musí běžet program ftp-proxy, který zařizuje vzájemné propojování FTP klientů a serverů. Paketový filtr je sice stavový, ale stavy kolem ftp-proxy zatím neumí sám vysledovat. Takže chcete-li aktivní FTP, musíte povolit spojení odkudkoliv z portu 20 na vysoké porty firewallu. Linuxový netfilter je v tomhle mnohem lepší. Některým FTP klientům navíc nevyhovuje, že datové spojení jde z adresy firewallu, nikoliv z původního FTP serveru.

Na závěr

Závěr bude stručný. OpenBSD je výborný a spolehlivý systém, jehož silné stránky se nejlépe projeví, pokud je nasazen jako firewall nebo jiné bezpečnostní řešení. A příště si povíme o paketovém filtru.

Užitečné odkazy

www.openbsd.org: Oficiální web OpenBSD
www.openbsd.cz: Český projekt OpenBSD s přeloženou dokumentací a lokálním mirrorem.
www.deadly.org: Web zaměřený na novinky o OpenBSD. Spousta aktualit a užitečných tipů.
www.root.cz/cla­nek/1167: Jemný úvod do OpenBSD, starší článek Miroslava Petříčka.

Autor je zaměstnancem společnosti LOGIOS, která nabízí bezpečnostní řešení a technickou podporu pro OpenBSD.

Našli jste v článku chybu?

4. 3. 2004 1:31

Ludek (neregistrovaný)

Jak funguje ADSL pod OpenBSD

2. 1. 2004 3:31

uživatel si přál zůstat v anonymitě

Presne.

Keď RedHat oznámil že bude podporovať každý release cca ešte päť minúť po vydaní, skúšal som najprv prejsť na FreeBSD. Nainštaloval som, všetko úžasne fungovalo, bol som úplne unesený. Ale keď som zistil že po každom apdejte sa odporúča 'make world', prešiel som na Debian.

Zásadný problém je že po nainštalovaní a vyriešení počiatočných problémov jediné čo so serverom robím je inštalovanie záplat. Ak mám aplikovať patche a dlhé hodiny (na starom železe) kompilovať ani nie úplne všet…



Podnikatel.cz: Změny v cestovních náhradách 2017

Změny v cestovních náhradách 2017

Lupa.cz: Kdo pochopí vtip, může jít do ČT vyvíjet weby

Kdo pochopí vtip, může jít do ČT vyvíjet weby

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

DigiZone.cz: TV Philips a Android verze 6.0

TV Philips a Android verze 6.0

120na80.cz: 5 nejčastějších mýtů o kondomech

5 nejčastějších mýtů o kondomech

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Vitalia.cz: Potvrzeno: Pobyt v lese je skvělý na imunitu

Potvrzeno: Pobyt v lese je skvělý na imunitu

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Podnikatel.cz: Snížení DPH na 15 % se netýká všech

Snížení DPH na 15 % se netýká všech

Měšec.cz: Jak vymáhat výživné zadarmo?

Jak vymáhat výživné zadarmo?

Měšec.cz: mBank cenzuruje, zrušila mFórum

mBank cenzuruje, zrušila mFórum

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Podnikatel.cz: Chtějte údaje k dani z nemovitostí do mailu

Chtějte údaje k dani z nemovitostí do mailu

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí

120na80.cz: Horní cesty dýchací. Zkuste fytofarmaka

Horní cesty dýchací. Zkuste fytofarmaka

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy