OpenBSD

OpenBSD
Logo
Zdarma, funkční a bezpečné
Zdarma, funkční a bezpečné
Rodina Unixový typ ( BSD )
Typ jádra Monolitické
Stav projektu aktivní
Vklad cvsweb.openbsd.org/cgi-bin/cvsweb
Platformy Alpha , AMD64 , armish , PA-RISC , i386 , SH4 , Loongson , macppc , SGI , Sparc , Sparc64 , VAX , Zaurus a jiné
Společnost /
zakladatel 		Theo de Raadt
Společnost /
vývojář 		Theo de Raadt a OpenBSD Project ( d )
Licence Kompatibilní s ISC a BSD
První verze 18. října 1995
Nejnovější stabilní verze 6,9 (1 st 05. 2021)
Správce balíčků bal
webová stránka www.openbsd.org

OpenBSD je operační systém bez z Unix , odvozený od 4.4BSD . Vytvořený v roce 1994 by Theo de Raadt , že se vynořil z oddělení od NetBSD , nejstarší ze tří dalších hlavních operačních systémů v rodině BSD dnes v provozu. Projekt OpenBSD je proslulý svou neústupností v oblasti svobody softwaru a zdrojového kódu, kvalitou své dokumentace a důrazem na bezpečnost a zabudovanou kryptografii .

OpenBSD obsahuje řadu bezpečnostních opatření, která v jiných operačních systémech chybí nebo jsou volitelná. Jeho vývojáři mají tradici provádění auditů kódu hledajících bezpečnostní problémy a chyby . Projekt se řídí přísnými licenčními zásadami a upřednostňuje vlastní licenci open source ISC a další varianty licence BSD  : v minulosti to vedlo k vyčerpávajícímu auditu licencí a náhrad, dokonce i k odstranění licencovaného kódu považovaných za méně přijatelné.

Jako většina operačních systémů založených na BSD je jádro OpenBSD a jeho uživatelské programy, jako je shell a běžné nástroje jako cat a ps , vyvíjeny v jediném úložišti CVS . Software třetích stran je dodáván v binárních balíčcích nebo může být kompilován ze zdroje pomocí kolekce portů.

Projekt koordinuje Theo de Raadt z jeho domova v Calgary v Albertě v Kanadě a maskotem projektu je Puffy , diodon .

Dějiny

Theo de Raadt byl spoluzakladatelem NetBSD a členem vývojového týmu. V roce 1994 jej tým požádal o rezignaci a jeho přístup k CVS byl zrušen. Důvody vystěhování zůstávají dodnes nejasné, ale několik dalších členů týmu NetBSD nastolilo problémy týkající se jejich vztahu s Raadtem. Byl kritizován zejména za to, že byl vůči uživatelům hrubý, když používal agresivní tón na seznamech adresátů NetBSD .

Osobnost Thea de Raadta

Podle mnoha dalších osobností svobodného softwaru, včetně Linuse Torvaldse , je o Theovi de Raadtovi známo, že je přímočarý a obtížný. Jeho silné pozice jsou zdrojem konfliktů a jsou někdy považovány za urážlivé. De Raadt to řekl o operačním systému GNU / Linux v rozhovoru pro noviny Forbes: „Je to hrozné ... každý to používá a neuvědomuje si, jak je to špatné. A uživatelé Linuxu se s tím spokojí a spíše to zpřesní, než aby ustoupili a řekli „To je nesmysl a měli bychom to napravit.“ "

Ačkoli jeho osobnost je zřídka lhostejná, většina komentátorů souhlasí s tím, že Theo de Raadt je talentovaný programátor a bezpečnostní guru. Jeho spontánnost, kterou někteří oceňují, byla ilustrována v tomto konfliktu s týmem NetBSD , jehož většina členů o této epizodě dodnes mlčí. Naopak Theo de Raadt odpověděl na všechny otázky, které mu byly položeny, a zpřístupnil vyměněné e-maily a protokoly chatovacích místností s týmem NetBSD .

Nucená rezignace

Theo de Raadt nebyl okamžitě vyloučen z projektu NetBSD . Úložiště CVS pro tento projekt vyžaduje různé úrovně oprávnění pro čtení a zápis. Jako spoluzakladatel a druhý nejaktivnější přispěvatel měl de Raadt přístup ke čtení a zápisu na základě systému. Tým NetBSD poté odstranil možnost zasílat změny přímo do úložiště a tyto změny učinit trvalými. De Raadt byl poté nucen poslat každý ze svých příspěvků e-mailem členovi týmu ke kontrole.

De Raadt považoval tuto akci za hrubou a neúspěšně se pokusil znovu získat plný přístup do úložiště CVS NetBSD . Jelikož vývojový tým chtěl zajistit, aby jejich příspěvky byly „pozitivní“, nabídli de Raadtovi několik řešení, včetně podpisového dopisu shrnujícího Raadtovy podmínky, práva a povinnosti. Po několika měsících hádek o e-mailových konferencích projektu de Raadt oficiálně rezignoval a v roce 1994 vytvořil licencovaný operační systém OpenBSD založený na NetBSD verze 1.0 .

Vytvoření OpenBSD

Po vytvoření OpenBSD se každý projekt snažil přilákat vývojáře. Rychle se vytvořily dva téměř uzavřené tábory a několik vývojářů NetBSD následovalo de Raadta. Ten si všiml, že řada e-mailů a dopisů zveřejněných na jeho osobních webových stránkách zmizela. Ačkoli formálně odmítl obvinit kteréhokoli člena týmu NetBSD, rozhodl se Theo de Raadt prozkoumat bezpečnost NetBSD , kterou považoval za nedostatečnou.

Krátce po vytvoření OpenBSD byl Theo de Raadt kontaktován společností Secure Networks inc. (nebo SNI), místní společnost zabývající se bezpečnostním softwarem, která vyvíjela nástroj pro audit zabezpečení sítě s názvem Ballista (přejmenovaný na Cybercop Scanner poté, co společnost SNI získala společnost Network Associates ), měla za cíl najít a pokusit se zneužít možné chyby zabezpečení softwaru. To se shodovalo s vlastním zájmem De Raadta o bezpečnost: obě strany se tak rozhodly spolupracovat ve zvláště výhodném vztahu, který vedl k vydání OpenBSD 2.3.

Zabezpečení a audit kódu

Více podrobností o této části najdete na stránce funkcí zabezpečení OpenBSD  (en) (en) .

Tato spolupráce také umožnila projektu zaměřit se na jeden konkrétní bod: vývojáři OpenBSD by se měli snažit dělat to, co je správné, čisté a bezpečné, a to i na úkor snadného použití, rychlosti nebo funkčnosti. Jelikož chyby OpenBSD byly stále obtížnější odhalit a zneužít, bezpečnostní společnost rozhodla, že auditování kódu se stalo příliš obtížným a nerentabilním. Po letech spolupráce se obě strany dohodly, že jejich společných cílů bylo dosaženo, a šly každý svou cestou.

Argument nízkého počtu vzdáleně zneužitelných nedostatků

Do června 2002 měl web OpenBSD následující slogan:

"Pět let bez vzdálené zranitelnosti ve výchozí instalaci!" "

v Červen 2002„ Mark Dow of Internet Security Systems objevil mezeru v kódu OpenSSH, která implementovala autentizaci založenou na otázkách. Toto byla první zranitelnost objevená ve výchozí instalaci OpenBSD, která umožňuje útočníkovi vzdálený přístup k účtu superuživatele. Rozšířené používání OpenSSH v tomto okamžiku bylo zodpovědné za závažnost této chyby zabezpečení, která ovlivnila značný počet dalších operačních systémů. Tento problém vyžadoval úpravu sloganu webu OpenBSD:

"Pouze jedna vzdálená chyba ve výchozí instalaci za 6 let!" "

Toto tvrzení bylo kritizováno za nedostatek softwaru povoleného ve výchozí instalaci OpenBSD a také za to, že vzdálené chyby zabezpečení byly objeveny po vydání verze. Projekt však trvá na tom, že slogan odkazuje na výchozí instalaci, a proto je na této úrovni správný. Jednou ze základních myšlenek OpenBSD je navrhnout systém, který je ve výchozím nastavení jednoduchý, čistý a bezpečný. Například minimální výchozí nastavení odpovídá standardní praxi v oblasti zabezpečení IT umožňující v produkčních systémech co nejméně služeb a audity kódu projektových postupů považované za důležité prvky zabezpečení. “Systém.

v Březen 2007, objev nové chyby v OpenBSD, který se nachází v zásobníku IPv6, vyžadoval nahrazení sloganu:

"Pouze dvě vzdálené chyby zabezpečení ve výchozí instalaci, za více než 10 let!" "

Na výjezdu 4.5 30.dubna 2009, počet let je odstraněn:

"Pouze dvě vzdálená zranitelnosti ve výchozí instalaci, ďábelsky dlouho!" "

Hlavní bezpečnostní prvky

OpenBSD obsahuje řadu specifických funkcí určených ke zvýšení zabezpečení, včetně:

Správa oprávnění

Aby se snížilo riziko zranitelnosti nebo nesprávné konfigurace umožňující spoofing privilegií, byly některé programy napsány nebo upraveny tak, aby používaly oddělení privilegií, odvolání privilegií nebo chroot.

Separace oprávnění je technika, propagoval na OpenBSD a opírají o zásadu nejméně výsady, kdy je program rozdělen do dvou nebo více částí, z nichž jedna vykonává privilegované operace a na druhé straně - téměř vždy zbytek kódu - práce bez privilegium. Zrušení privilegií je podobný a zahrnuje program provede všechny potřebné operace s oprávněními, s nimiž byla zahájena, a pak se vzdá těchto oprávnění. Do klecí se týká omezení prostředí pro spouštění programu do části souborového systému, čímž zakazuje přístup do oblastí, které obsahují soukromé soubory nebo systémy.

Vývojáři tyto funkce aplikovali na verze běžných aplikací OpenBSD, včetně tcpdump a webového serveru Apache , který je pouze ve verzi 1.3 silně upraven kvůli problémům s licencí u řady Apache 2.

Audity kódu

Projekt se řídí zásadou neustálého auditu kódu pro bezpečnostní problémy, což vývojář úloh Marc Espie popisuje jako „nikdy nedokončený […] spíše procesní záležitost než hledání konkrétní chyby. „Posledně jmenovaný také vytvořil seznam několika typických kroků, které je třeba dodržet, když je zjištěna chyba, včetně důkladného prozkoumání zdrojů pro identické a podobné problémy,“ [pokusem] zjistit, zda je nutné dokumentaci upravit “, vyšetřování „zda je možné vylepšit překladač tak, aby vydával varování o tomto konkrétním problému. Stejně jako DragonFly BSD je OpenBSD jedním ze dvou bezplatných operačních systémů, jejichž zásadou je hledat kód C v klasickém formátu před ANSI a převést jej na moderní ekvivalent ANSI. To by nemělo zahrnovat žádné změny ve funkčnosti a provádí se to pouze kvůli čitelnosti a konzistenci. Normální styl, Normální formulář jádra, který určuje, jaká forma kódu by měla být pro snadnou údržbu a pochopení, musí být použit na jakýkoli kód, než bude možné jej zahrnout do základního operačního systému. Existující kód je neustále aktualizován, aby odpovídal těmto konvencím stylu.

Podporované platformy a kompatibilita

OpenBSD funguje nebo pracoval na 32 různých hardwarových platformách:

Název

Název OpenBSD pochází z NetBSD dobrodružství Thea de Raadta . NetBSD CVS nebyl přístupný neoficiálním vývojářům; distribuovány byly pouze verze . Za svou vidličku , Theo de Raadt zřídila veřejné CVS serveru: každý může přístup k nejnovějším zdrojů projektu.

Maskot

Stejně jako ostatní BSD ( FreeBSD a NetBSD ) je maskotem OpenBSD BSD Daemon (aka Beastie ). Jako svého maskota má také Blowfish , aka Puffy . Ten je odkazem na kryptografický algoritmus Bruce Schneiera se stejným názvem (používaný mimo jiné OpenSSH ): jeho atraktivní grafika v kombinaci s působivým obranným aspektem špičatého diodonu ho učinila velmi populárním. Každá verze OpenBSD přichází s hudební skladbou a komiksem, který obvykle obsahuje Puffy. V poslední době existují deriváty Blowfish nakreslené ve stylu manga , Sushi Fugu a Harisenbon.

Stav projektu

OpenBSD je aktuálně ve verzi 6.9 (od 1 st 05. 2021).

Tým produkuje verzi každých 6 měsíců.

Podle příspěvku zveřejněného na undeadly.org utrpěl projekt OpenBSD v letech 2004 a 2005 finanční ztráty kolem 20 000 $ ročně. Nedávno (2015) vložili noví dobrovolní investoři včetně společnosti Microsoft Corporation „významnou likviditu na podporu projektu a jeho mnohonásobných dílčí projekty, zejména OpenSSH .

Uživatelský pohled

Mnoho uživatelů OpenBSD nezná a obrací se k populárnějším unixovým systémům , jako je Linux nebo FreeBSD . Uživatelé OpenBSD jsou spíše lidé zvyklí na prostředí podobná Unixu, protože systém není navržen tak, aby zjednodušoval používání stroje, a vyžaduje určité „základní znalosti“ od uživatele k provádění úkolů, které by byly nutné. Možná automatizované na jiných systémech.

Vývojáři OpenBSD často říkají, že navrhují systém pro sebe, než to udělají pro ostatní. To proto vede k velmi zajímavému systému pro vývojáře (více funkcí, kompatibilita atd.), Který se pro nezasvěceného uživatele může zpočátku zdát docela chladný.

Další projekty

Tým OpenBSD také pracuje na dalších projektech, které se stanou úplnou součástí OS a které jsou také portovány (nebo přenositelné) do jiných operačních systémů . Z těchto probíhajících projektů můžeme zmínit:

Kromě toho jsou k dispozici různá zabezpečená programovací rozhraní , například strlcat (3), strlcpy (3), strtonum (3) nebo dokonce arc4random (3). Tyto API se často používají v jiném softwaru nebo operačních systémech.

Poznámky a odkazy

  1. Seznam podporovaných platforem
  2. Licenční model
  3. OpenBSD - Zásady autorských práv
  4. „  http://undeadly.org/cgi?action=article&sid=20061019013207  “
  5. (in) Theo de Raadt , „  OpenBSD 6.9 vydáno 1. května  “ ,30.dubna 2021(zpřístupněno 3. května 2021 )
  6. De Raadt Theo v „  Je Linux pro poražené?  », Forbes , 2005.
  7. Wayner Peter, „  18.3 Plameny, boje a zrození OpenBSD  “ ve Free for all , 2000.
  8. Přetečení vyrovnávací paměti vzdáleného jádra OpenBSD IPv6 mbuf (13. března 2007)
  9. (in) OpenBSD Finance , undeadly.org, 21. března 2006, přístup k 11. červenci 2009

Podívejte se také

Související články

externí odkazy