BSD家族之一:OpenBSD

/ns/wz/sys/data/20010107052011.htm

BSD家族之一 openBSD

默认安装:三年无远程安全漏洞!
两年无本机安全漏洞!

OpenBSD的重点在于稳定性和安全性,同时,OpenBSD也能在很多种平台上运行。OpenBSD2.3差不多可以支持和NetBSD支持的一样多的平台。OpenBSD系统安全性高的原因是因为这个项目组的基地在加拿大,不必遵守美国数据加密的有关法律。选择OpenBSD的理由同NetBSD是类似的。另外,由于它的安全特征,OpenBSD对于防火墙和安全认证服务器是一个很好的选择。
OpenBSD是OpenBSD项目组提出的免费的、多平台的、基于4.4BSD的类UNIX操作系统。他们努力强调便携式、标准化、正确性、个人安全及综合的密码技术。OpenBSD支持大部分其它系统,如:SVR4(Solaris),FreeBSD,Linux,BSD/OS,SunOS 和 HP-UX中的二进制算法。而且OpenSSH2.1(支持SSH1和SSH2)已经附带在OpenBSD中(目前的OpenBSD版本是2.7)。他是一些志愿者共同开发的,通过卖CD和T-shirt以及一些捐赠来获得项目发展和软件发行的资金。有很多组织和个人都提供了资助,因此确保了OpenBSD继续生存下去,并且可以让所有人去免费使用它。OpenBSD之所以能够不断成长,是依靠它吸引了新的用户、开发人员、软件供应商及顾问。 吸引新用户的其中一个办法是通过那些可以交流经验、思想和自由软件而找到同样的问题及解决办法的用户团体。

超强的服务性能

OpenBSD也有强劲安全的网络功能,使它成为国际互联网服务的理想平台∶

1、文件传输服务器(FTP servers)

2、WWW服务器(World Wide Web servers)

3、Gopher服务器(Gopher servers)

4、电子邮件服务器(Electronic Mailservers)

5、网络新闻服务器(USENET News)

6、电子布告板服务器(Bulletin Board Systems)

7、PPP服务器(PPP dial-in And dial-out Servers)

8、Samba服务器(Samba Server )

还有其他更多元化的功能 ...., 您可以容易地先用便宜的386 PC来运行OpenBSD,然后等您的公司规模变大了以后再升级您的机器:


学术上的应用∶

如果你是资讯领域的学生, 再也没有比使用 OpenBSD能学到更多操作系统、网络及网络安全的方法了。数学运算器、安全系统(如OpenSSH,OpenSSL等)及图形处理工具对那些在电脑应用上有兴趣的人,能学到更多。

研究∶

有了完整的原始程式码,FreeBSD 是研究作业系统及电脑科学的极佳环境。免费的 OpenBSD也使得在远端的合作小组不必担心版权及系统开放性的问题,而能自在的交流。

网络∶

你如果需要 router、Name Server (DNS)或安全的防火墙(Firewall), OpenBSD可以轻易的将你没有用到的386 或 486 PC 变身成为绝佳的服务器,甚至具有过滤封包(packet-filter) 的功能。

X 视窗工作站∶

OpenBSD是便宜 X 终端机的良策, 无论是使用免费的 XFree86或是商业版的X-Inside,都可以在 OpenBSD 上执行。 OpenBSD不但可以充当远端 X 程式终端机,也可以执行本地的 X 程式。如果有一台中央服务器的话, OpenBSD甚至可以经由网络开机(不需本地硬盘),而变成更便宜且易于管理的工作站。

开发软件∶

OpenBSD拥有完整的程式开发工具,如 GNU C/C++ 编译器及除错器,当然还有其他的程式语言。


安全可靠的加密技术

OpenBSD是在加拿大发展起来的

加拿大的出口控制清单没有在加密软件的出口方面做太多的限制,甚至很明确地说免费的加密软件可以自由出口。“Marc Plumb”已经做了一些调查来测试关于密码的法律。

因此,OpenBSD在操作系统的许多领域有高深的加密技术。我们要求使用的加密软件是免费的并且有正当的许可。我们不直接利用令人厌恶的专利来加密。我们也要求这样的软件来自拥有有效出口许可的国家,国为我不想违反任何国家的法律。我们当前使用的加密软件的内容是在阿根廷、澳大利亚、加拿大、德国、希腊、挪威和瑞典写的。

OpenBSD包括了Kerberos4,我们使用的基本代码是瑞典皇家理工学院发布的可输出的版本。我们的第十一版源文件可同样扩展到可以使用kerberos4。Kerberos5将在2000的某个时候出现,但目前还没有可输出的kerberos v版本。

今天,加密技术是增强操作系统安全性(security)的一个重要手段。加密术在OpenBSD上的利用可以分别应用到很多不用的方面,如下所述:

Open SSH

人们在安装了OpenBSD以后第一件事是什么?他们从ports或FTP站点的包安装SSH,直到现在都是如此。

像2.6版一样,OpenBSD 包括了OpenSSH,一个完全免费并且没有专利权的SSH版本,OpenSSH融合了第一版的数据并且增加了很多新特点。

l 所有限制性的组件都直接从源代码中删去了,任何许可的或专利的组件在外部库中使用;

l 升级到支持SSH1。5协议;

l 包含了增加kerberos 支持的鉴定和口令;

l 支持利用skey鉴定以前的口令;

大概地说,我们使用一个自由许可发布的SSH和OpenBSD,如果你有需要的话,我们宣传美国RSA实验室的专利,通过一个简单的方法来来自动下载和安装一个RSA提供的包含了共享库的包。这些包是基于OpenSSL的。居住在美国以外的人可以自由地使用RSA的专利号,美国国内的人们可以自由地用于非商业的目的。看上去就象美国国内的公司也能使用RSA库。只要RSA不被用来产生利益的方面。

但这样几乎所有的人都会把SSH加入他们的操作系统。

OpenSSH 支持协议2.0(新)

最近,我们扩充了OpenSSH使它也能支持SSH2协议。拥有一个可以支持3个主要的SSH协议(1.3,1.5,2.0)的后台程序,使我们有很强的适应性。

2.0协议在它公开的加密技术方面不使用RSA,而是依靠DA和DSA法则。在OpenBSD2.7�D�D�D带有新的OpenBSD�D�D你可以在盒子外得到2.0协议支持。如果你也想得到1.3,1.5协议支持。你只需简单地增加RSA包(就象我们的SSL说明里所述),然后重新启动程序。

多种平台的支持

OpenBSD 现在正式可以支持以下一些平台:

体系结构 详细说明
alpha DEC Alpha-based machines.

amiga Amiga m68k-based models (MMU required).
hp300 Hewlett-Packard HP300/HP400 machines.
i386 PCs based on the Intel i386 architecture, including 386, 486, Pentium and compatible processors.
mac68k Most MC680x0-based Apple Macintosh models.
mvme68k Motorola MVME147/16x/17x 68K VME cards.
pmax DEC MIPS-based machines.
powerpc Various PowerPC-based machines.
sparc Sun’s Sun4, Sun4c, and Sun4m models.
sun3 Sun’s 68020 based Sun3 models.


以下这些平台也可以被支持:

以下平台不象上述的 OpenBSD 体系结构, 还未包含在被 OpenBSD 源代码中. 但这很容易从 NetBSD 中搬过来, 或者把这些事情让我们的员工去完成。如果谁有这些硬件并且对使用 OpenBSD 感兴趣, 请联系 Theo de Raadt. 下面列表是按从上到下顺序以被支持的可能性从大到小排列的。

体系结构 详细说明
hppa Hewlett-Packard PA-RISC HP700/HP800 models.
mvme88k Motorola MVME18x and MVME19x 88K VME cards.
sparc64 SUN Ultra Sparc based machines.
vax DEC’s VAX computers.
arm32 Acorn ARM6+ computers.
atari Atari TT and Falcon models.
pc532 A rare NS32532-based computer.
sun3x Sun’s 68030-based Sun3 models.
x68k SHARP X680x0 m68k-based machines. (MMU required)
romp IBM PC RT series of machines.
sgi MIPS based Silicon Graphics workstations.
arc Mips R4K and R5K based machines. Including ARC plattforms (some).

用OpenBSD架设防火墙

使用到的软件:OpenBSD、IPF、IPNAT、OpenSSH、SGI/IRIX的FTPD等。防火墙是设置在被保护网络和外部网络之间的一道屏障,以防止发生不可预测的、潜在破坏性的侵入。防火墙允许访问服务并保护这些服务的用户。
OpenBSD下的防火墙主要有两个工具:IPF(IP Filter)和IPNAT(IP Network Address Translation)。尽管IPF能处理绝大部分标准的防火墙规则,但端口交换还需要IPNAT来处理。然而,IPNAT与IPW是互相独立的,所以我们一般同时使用这两项功能.

作为Web发布服务器

OpenBSD系统只要安装在一台普通PC上即可作为学校、企业内部网络(Intranet)或Internet上的WWW服务器,它将比其他服务器操作系统具有更好的安全性。再上可以轻松的安装apache、MySQL、php等Web服务器软件,这样比你使用Windows NT或Windows2000节省下一大笔资金。

作为文件和打印服务器

和其他Linux和BSD系统一样,只要在OpenBSD上安装上Samba你就可以拥有一台安全可靠的文件管理服务器,加上OpenBSD本身的安全机制,我们可以肯定它绝对可以代替NT作为你的文件和打印服务器;另外,加上Samba的强大Web管理工具(SWAT),使你可以在任何能连上Internet的地方对你的文件管理服务器进行监视和管理(具体方法请浏览:http://www.samba.com.cn/的“Samba应用”)。

电子邮件服务器

如果你还没有架设电子邮件服务器,那么你也没必要用一台专用的电脑作为邮件服务器,你完全可以在上述的机子装上Sendmail、Qmail或Postfix你就可以通过象Foxmail、Netscape、Outlook等电子邮件工具在局域网内轻松收发邮件了。当然如果你的服务器已经连上了Internet,你也可以在Internet上收发邮件了。

DNS(域名服务器)

如果你的局域网内有几台服务器,而且它们有不同的域名和IP地址,那么你怎么把这些域名与IP地址对应起来呢?这时候你需要一个DNS(即域名服务器),如果在学校(在企业也是一样的道理,在此以学校为例)通过这个DNS与apache,你还可以为学校里的学生分配一个名为“studentname.schooldomain.edu.cn”的虚拟主机,这样可以让学生拥有自己的网站并尽情的发挥他们的才能。

PPP服务器(拨入拨出)

学校、企业上网是当今的时尚。但是对一般企业,尤其象中小学等事业单位面对昂贵的专线接入费或拨号上网费用,也就只能“望‘网’兴叹”了。PPP服务器可以帮你解决焰眉之急,在我们的OpenBSD操作系统上可以安装PPP服务器,再加上Proxy你就可以通过一条电话线让多人同时上网了;因为有足够大的cache,所以你上网的速度并不会因为上网的人多而变慢;另外,如果你回到家才发现一个重要文件在公司的服务器上忘记拷贝到自己的手提电脑上,怎么办?不要紧,因为你有PPP服务器,你只要接上电话线,拨号接入公司的服务器就可通FTP把文件“取回来”或通过TELNET上去完成你未完的工作