OpenBSD

OpenBSD
Gratis, funktionel og sikker
Familie	Unix type ( BSD )
Core typen	Monolitisk
Projektstatus	aktiv
Depositum	cvsweb.openbsd.org/cgi-bin/cvsweb
Platforme	Alpha , AMD64 , armish , PA-RISC , i386 , SH4 , Loongson , macppc , sgi , Sparc , Sparc64 , VAX , Zaurus og andre
Virksomhed / grundlægger	Theo de Raadt
Virksomhed / Udvikler	Theo de Raadt og OpenBSD Project ( d )
Licens	ISC og BSD kompatibel
Første version	18. oktober 1995
Seneste stabil version	6,9 (1 st maj 2021)
Pakkeleder	pkg
Internet side	www.openbsd.org

OpenBSD er et operativsystem fri for Unix , afledt 4.4BSD . Oprettet i 1994 af Theo de Raadt , kom det frem fra adskillelsen fra NetBSD , det ældste af de tre andre store operativsystemer i BSD-familien i dag i drift. OpenBSD-projektet er kendt for sin uforsonlighed med frihed til software og kildekode, kvaliteten af ​​dets dokumentation og vægten på sikkerhed og indlejret kryptografi .

OpenBSD inkluderer en række sikkerhedsforanstaltninger, der er fraværende eller valgfri i andre operativsystemer. Dens udviklere har en tradition for at udføre kode audits på udkig efter sikkerhedsproblemer og fejl . Projektet følger strenge licenspolitikker og foretrækker sin egen open source- licens ISC og andre variationer af BSD-licensen  : Tidligere har dette ført til en udtømmende revision af licenser og udskiftninger eller endda sletninger af licenseret kode betragtet som mindre acceptabel.

Som de fleste BSD-baserede operativsystemer er OpenBSD- kernen og dens brugerprogrammer, såsom shell og almindelige værktøjer som cat og ps , udviklet i et enkelt CVS- lager . Tredjepartssoftware kommer i binære pakker eller kan kompileres fra kilden ved hjælp af portsamlingen.

Projektet koordineres af Theo de Raadt fra sit hjem i Calgary , Alberta , Canada , og projektets maskot er Puffy , en diodon .

Historie

Theo de Raadt var medstifter af NetBSD og medlem af udviklingsteamet. I 1994 bad holdet ham om at træde tilbage, og hans adgang til CVS blev tilbagekaldt. Årsagerne til udsættelsen er uklare den dag i dag, men flere andre medlemmer af NetBSD- teamet har rejst spørgsmål vedrørende deres forhold til Raadt. Han blev især kritiseret for at være uhøflig over for brugerne ved at bruge en aggressiv tone på NetBSD- postlister .

Theo de Raadts personlighed

Ifølge mange andre gratis softwarepersonligheder, herunder Linus Torvalds , er Theo de Raadts kendt for at være ligetil og vanskelig. Hans stærke positioner er en kilde til konflikt og betragtes undertiden som stødende. De Raadt sagde dette om GNU / Linux-operativsystemet i et interview med Forbes-avisen: ”Det er forfærdeligt ... alle bruger det, og de ved ikke, hvor dårligt det er. Og Linux-brugere vil være tilfredse med det og fremhæve det i stedet for at træde tilbage og sige "Dette er skrald, og vi skal rette det." "

Selvom hans personlighed sjældent er ligeglad, er de fleste kommentatorer enige om, at Theo de Raadt er en talentfuld programmør og sikkerhedsguru. Hans spontanitet, som nogle sætter pris på, blev illustreret i denne konflikt med NetBSD- teamet , hvoraf de fleste medlemmer stadig er tavse om denne episode i dag. Omvendt besvarede Theo de Raadt alle de spørgsmål, der blev stillet til ham, og stillede de udvekslede e-mails til rådighed og logfilerne i chatrummet med NetBSD- teamet .

En tvunget fratræden

Theo de Raadt blev ikke straks udelukket fra NetBSD- projektet . CVS-arkivet til dette projekt kræver forskellige niveauer af læse- og skrivetilladelser. Som medstifter og den næstmest aktive bidragsyder havde de Raadt læse- og skriveadgang på basis af systemet. NetBSD- teamet fjernede derefter muligheden for at sende ændringer direkte til arkivet og gøre disse ændringer permanente. De Raadt blev derefter tvunget til at maile hvert af hans bidrag til et teammedlem til gennemgang.

De Raadt betragtede denne handling som voldelig og forsøgte uden held at genvinde fuld adgang til NetBSDs CVS-lager . Udviklingsteamet, der ønskede at sikre, at deres bidrag ville være "positive", tilbød de Raadt flere løsninger, herunder et brev til underskrivelse, der opsummerede Raadts betingelser, rettigheder og pligter. Efter flere måneders krangel over projektets mailinglister trådte de Raadt officielt af og i 1994 oprettede OpenBSD-operativsystemet baseret på NetBSD version 1.0 , som licens.

Oprettelsen af ​​OpenBSD

Efter oprettelsen af ​​OpenBSD forsøgte hvert projekt at tiltrække udviklere til det. To næsten lukkede lejre dannedes hurtigt, og flere NetBSD- udviklere fulgte de Raadt. Sidstnævnte bemærkede, at et antal e-mails og breve, der blev offentliggjort på hans personlige websted, var forsvundet. Selvom han formelt nægtede at inkriminere medlemmer af NetBSD-teamet, besluttede Theo de Raadt at undersøge sikkerheden ved NetBSD , som han anså for mangelfuld.

Kort efter oprettelsen af ​​OpenBSD blev Theo de Raadt kontaktet af Secure Networks inc. (eller SNI), et lokalt sikkerhedssoftwarefirma, der udviklede et netværkssikkerhedsrevisionsværktøj kaldet Ballista (omdøbt til Cybercop Scanner, efter at SNI blev erhvervet af Network Associates ), der havde til formål at finde og forsøge at udnytte mulige softwaresikkerhedsproblemer. Dette faldt sammen med De Raadts egen interesse i sikkerhed: de to parter besluttede således at samarbejde i et særligt fordelagtigt forhold, der førte til frigivelsen af ​​OpenBSD 2.3.

Kodesikkerhed og revision

For flere detaljer om dette afsnit, se siden OpenBSD-sikkerhedsfunktioner  (en) (en) .

Dette samarbejde tillod også projektet at fokusere på et specifikt punkt: OpenBSD-udviklere skulle forsøge at gøre, hvad der er rigtigt, rent og sikkert, selv på bekostning af brugervenlighed, hastighed eller funktionalitet. Da OpenBSD's mangler blev sværere at opdage og udnytte, besluttede sikkerhedsfirmaet, at kodeovervågning var blevet for vanskelig og urentabel. Efter mange års samarbejde var de to sider enige om, at deres fælles mål var nået og gik hver til deres vej.

Argumentet for det lave antal fjernudnyttelige fejl

Indtil juni 2002 havde OpenBSD-webstedet følgende slogan:

“Fem år uden fjernsårbarhed i standardinstallationen! "

I Juni 2002, Mark Dow fra Internet Security Systems opdagede et smuthul i OpenSSH- koden, der implementerede spørgsmålbaseret godkendelse. Dette var den første sårbarhed, der blev opdaget i standardinstallationen af ​​OpenBSD, der giver en hacker mulighed for at få fjernadgang til superbrugerkontoen. Den udbredte brug af OpenSSH på dette tidspunkt var ansvarlig for sværhedsgraden af ​​sårbarheden, som påvirkede et betydeligt antal andre operativsystemer. Dette problem krævede justering af OpenBSD-websitetagline:

"Kun en ekstern sårbarhed i standardinstallationen på 6 år!" "

Denne påstand er blevet kritiseret for manglen på software, der er aktiveret i standard OpenBSD-installationen, og også for det faktum, at fjernsårbarheder blev opdaget, efter at en frigivelse blev frigivet. Projektet insisterer dog på, at sloganet henviser til standardinstallationen og derfor er korrekt på dette niveau. En af de grundlæggende ideer bag OpenBSD er at designe et system, der er simpelt, rent og sikkert som standard. For eksempel svarer minimumsindstillingerne til standardpraksis inden for it-sikkerhed for at aktivere så få tjenester som muligt på produktionssystemer, og projektpraksis koderer revision, der anses for at være vigtige sikkerhedselementer. 'Et system.

I Marts 2007opdagelsen af ​​en ny fejl i OpenBSD, der ligger i IPv6-stakken, nødvendiggjorde udskiftning af sloganet med:

"Kun to fjernbetingede sårbarheder i standardinstallationen på over 10 år!" "

Ved udgangen af ​​4.5 30. april 2009, årstallet fjernes:

"Kun to fjernbetingede sårbarheder i standardinstallationen i djævelsk lang tid!" "

De vigtigste sikkerhedsfunktioner

OpenBSD inkluderer en række specifikke funktioner beregnet til at forbedre sikkerheden, herunder:

• ændringer til API'er og værktøjskæder , såsom strlcpy og strlcat- funktionerne , og kontrol af statiske grænser  ;
• hukommelsesbeskyttelsesteknikker for at forhindre ugyldig adgang, såsom ProPolice , StackGhost og W ^ X (W x eller X) funktioner til beskyttelse af hukommelsessider og malloc- ændringer  ;
• af funktioner kryptering og generering af tilfældige tal , herunder forbedringer af netværkslaget og tilføjelsen af algoritmen Blowfish for at kryptere adgangskoder.

Privilegestyring

For at reducere risikoen for en sårbarhed eller forkert konfiguration, der tillader forfalskning af privilegier, er nogle programmer blevet skrevet eller tilpasset til at bruge rettighedsadskillelse, tilbagekaldelse af rettigheder eller chroot.

Den Privilege adskillelse er en teknik, pioner på OpenBSD og inspireret af princippet om mindst privilegium, hvor et program er opdelt i to eller flere dele, hvoraf den ene udfører privilegerede operationer og den anden - næsten altid resten af koden - fungerer uden privilegium. Den tilbagekaldelse af privilegier er ens og indebærer et program udfører alle nødvendige operationer med de privilegier, som den blev lanceret, og så giver han op på disse privilegier. Den bure indebærer begrænser udførelsen miljø af et program til en del af filsystemet, hvilket forbyder adgang til områder, der indeholder private filer eller systemer.

Udviklerne har anvendt disse funktioner på OpenBSD-versioner af almindelige applikationer, herunder tcpdump og Apache -webserveren , som kun er version 1.3 stærkt modificeret på grund af licensproblemer med Apache 2-serien.

Kode revisioner

Projektet følger en politik med konstant revision af kode for sikkerhedsproblemer, en jobudvikler Marc Espie beskriver som "aldrig færdig [...] mere et spørgsmål om proces end at finde en bestemt fejl. "Sidstnævnte har også produceret en liste over flere typiske trin, der skal følges, når en fejl opdages, herunder en grundig undersøgelse af kilderne for identiske og lignende problemer," [ved] at prøve at afgøre, om dokumentationen skal ændres ", og undersøge "om det er muligt at forbedre kompilatoren til at producere advarsler om dette specifikke problem. Ligesom DragonFly BSD er OpenBSD et af to gratis operativsystemer, hvis politik er at søge efter C- kode i det klassiske pre- ANSI- format og konvertere det til dets moderne ANSI-ækvivalent. Dette bør ikke medføre ændringer i funktionalitet og gøres kun af hensyn til læsbarhed og konsistens. En stilstandard, Kernel Normal Form, som dikterer, hvad kodeformen skal være for at lette vedligeholdelse og forståelse, skal anvendes på enhver kode, før den kan inkluderes i basisoperativsystemet. Eksisterende kode opdateres løbende for at matche disse stilkonventioner.

Understøttede platforme og kompatibilitet

OpenBSD fungerer eller har arbejdet på 32 forskellige hardwareplatforme:

• 12 officielt understøttede hardwareplatforme:
  • alfa , systemer baseret på Digital Alpha;
  • amd64 , AMD Athlon-64 familieprocessorer i 64-bit tilstand;
  • arm64, 64-bit ARM-systemer som Raspberry PI 3/4, Pine64, Pinebook Pro.
  • armv7, baseret på ARM-kort, som BeagleBone, BeagleBoard, PandaBoard ES, Cubox-i, SABER Lite, Nitrogen6x og Wandboard
  • hppa, Hewlett-Packard Precision Architecture ( PA-RISC ) systemer;
  • i386 , standard- og klon-pc'er baseret på Intel i386-arkitekturer og kompatible processorer;
  • landisk, Landisk IO-DATA-systemer (som USL-5P) baseret på SH4- processor  ;
  • Loongson , systemer baseret på Loongson 2E- og 2F-, såsom Lemote Fuloong og Yeeloong, Gdium Liberty osv.
  • luna88k, Omron LUNA-88K og LUNA-88K2 arbejdsstationer;
  • macppc , Apple New World-maskiner baseret på PowerPC, fra iMac;
  • socppc, Freescale PowerPC SoC-baserede maskiner ( PowerQUICC- processor );
  • SPARC64 , Sun UltraSPARC og Fujitsu SPARC64 systemer;
• 1 hardwareplatform bliver porteret:
  • powerpc64 , 64-bit systemer.
• 20 hardwareplatforme, der ikke længere understøttes:
  • amiga , Amiga og DraCo Systems med MMU (ophørt efter version 3.2);
  • arc-, MIPS R4k- og R5k ARC- kompatible systemer (ophørt efter version 2.3);
  • armish , ARM-baserede apparater (af Thecus, IO-DATA og andre);
  • aviion, AViiON Data Generelle systemer baseret på Motorola M881x0  ;
  • katte, StrongARM 110 Evaluation Board (ophørt efter version 4.0);
  • hp300, Hewlett-Packard HP 9000- serien 300 og 400 arbejdsstationer ;
  • hppa64, 64-bit Hewlett-Packard Precision Architecture ( PA-RISC ) systemer;
  • mac68k , Apple Macintosh med Motorola 680x0-baserede MMU'er (ophørt efter version 4.6);
  • mvme68k , Motorola 680x0 baserede VME- systemer  ;
  • mvme88k, Motorola 881x0 baserede VME- systemer ;
  • Palm, Palm / PXA PDA'er;
  • pegasos , Pegasos Maskiner fra Genesi Sarl. Bundkort baseret på PowerPC og VIA-processor (afbrudt);
  • pmax, Digital Equipment Corporation MIPS- baserede systemer (ophørt efter version 2.7);
  • SGI , SGI MIPS arbejdsstationer;
  • socppc, baseret på Freescale PowerPC SoCs
  • solbourne, Solbourne IDT "Sparc-lignende" S3000, S4000 og S4000DX-systemer.
  • SPARC , Sun SPARC klasse sun4, sun4e, sun4c og sun4m systemer;
  • sun3, Sun Sun-3 klassesystemer (ophører efter version 2.9).
  • VAX , digitale VAX-systemer;
  • Zaurus , Sharp Zaurus C3x00 PDA'er.

Navnet

Navnet OpenBSD kommer fra Theo de Raadts NetBSD- eventyr . NetBSD CVS var faktisk ikke tilgængelig for ikke-officielle udviklere; kun udgivelserne blev distribueret. Til sin fork har Theo de Raadt oprettet en offentlig CVS-server: alle kan få adgang til de nyeste kilder til projektet.

Maskot

Ligesom andre BSD'er ( FreeBSD og NetBSD ) er OpenBSDs maskot BSD Daemon (aka Beastie ). Det har også som sin egen maskot Blowfish , alias Puffy . Sidstnævnte er en reference til Bruce Schneier er kryptografisk algoritme af den samme navn (bruges bl.a. af OpenSSH ): dens attraktive grafik kombineret med den imponerende defensiv aspekt af den spidse Diodon har gjort det meget populære. Hver version af OpenBSD leveres med et stykke musik samt en tegneserie, der normalt indeholder Puffy. For nylig har der været Blowfish derivater trukket i manga stil , Sushi Fugu og Harisenbon.

Projektstatus

OpenBSD er i øjeblikket i version 6.9 (siden 1 st maj 2021).

Holdet producerer en version hver 6. måned.

Ifølge et indlæg på undeadly.org led OpenBSD-projektet økonomiske tab på omkring $ 20.000 om året i 2004 og 2005. For nylig (2015) har nye frivillige investorer, herunder Microsoft Corporation, indsprøjtet 'betydelig likviditet til at støtte projektet og dets multiple sub -projekter, især OpenSSH .

Bruger synspunkt

Mange brugere er ukendte med OpenBSD og henvender sig til mere populære unix-lignende systemer , som Linux eller FreeBSD . OpenBSD-brugere er snarere folk, der er vant til Unix- lignende miljøer, fordi systemet ikke er designet til at forenkle brugen af ​​maskinen og kræver en vis "grundlæggende viden" fra brugeren for at udføre opgaver, der er nødvendige, måske automatiseret på andre systemer.

OpenBSD-udviklere siger ofte, at de designer systemet til sig selv, før de gør det for andre. Dette resulterer derfor i et meget interessant system for udviklere (flere funktioner, kompatibilitet osv.), Som i første omgang kan virke ret koldt for en uinitieret bruger.

Andre projekter

OpenBSD-teamet arbejder også på andre projekter, der bliver fulde dele af operativsystemet, og som også porteres (eller bæres) til andre operativsystemer . Blandt disse igangværende projekter kan vi nævne:

• OpenSSH  : implementering af SSH , den sikre kommunikationsprotokol. Det er gruppens mest berømte projekt;
• OpenBGPD  : sikker implementering af BGP- routingtjenesten  ;
• OpenNTPD  : forenklet og sikker implementering af NTP- tidssynkroniseringstjenesten  ;
• OpenCVS  : forenklet og sikker implementering af CVS- protokollen  ;
• OpenSMTPD  : sikker implementering af SMTP- protokollen til erstatning af sendmail  ;
• Den Packet Filter (pf) firewall og software suite , som nu er integreret i de fleste BSD -systemer  ;
• rpki-klient  : forenklet og sikker implementering af en offentlig nøgleinfrastrukturressource (RPKI) -klient;
• tmux  : en terminalt multiplexer til teksttilstand
• LibreSSL  : en fork af OpenSSL startet i 2014 efter offentliggørelsen af Heartbleed- softwaresårbarheden .

Derudover leveres forskellige sikre programmeringsgrænseflader , såsom strlcat (3), strlcpy (3), strtonum (3) eller endda arc4random (3). Disse API'er bruges ofte i anden software eller operativsystemer.

Noter og referencer

1. Liste over understøttede platforme
2. Licensmodel
3. OpenBSD - Copyright-politik
4. "  http://undeadly.org/cgi?action=article&sid=20061019013207  "
5. (in) Theo de Raadt , "  OpenBSD 6.9 udgivet 1. maj  " ,30. april 2021(adgang til 3. maj 2021 )
6. De Raadt Theo i “  Er Linux for tabere?  », Forbes , 2005.
7. Wayner Peter, “  18.3 Flammer, kampe og OpenBSDs fødsel  ” i Free for all , 2000.
8. OpenBSDs IPv6 mbuf's eksterne kernel bufferoverløb (13. marts 2007)
9. (in) OpenBSD Finance , undeadly.org, 21. marts, 2006, adgang til 11. juli 2009

Se også

Relaterede artikler

• FreeBSD
• NetBSD
• Gnobsd distribution baseret på OpenBSD
• Citrus-projekt
• Packet Filter på firewallen OpenBSD
• IPFilter tidligere firewall OpenBSD
• POSSE-projekt
• KAME-projekt
• Hackathon
• ISC-licens

eksterne links

• (en)  Officielt websted
• (da) Nyheder og information om OpenBSD på Undeadly.org
• (in) Kunstgalleri OpenBSD
• ( fr ) E-mails udvekslet mellem Theo de Raadt og NetBSD-kerneteamet før oprettelsen af ​​OpenBSD