OpenBSD: Unterschied zwischen den Versionen
Die Seite wurde neu angelegt: „Kategorie:BSD“ |
Keine Bearbeitungszusammenfassung |
||
Zeile 1: | Zeile 1: | ||
'''topic''' - Kurzbeschreibung | |||
== Beschreibung == | |||
<noinclude> | |||
== Anhang == | |||
=== Siehe auch === | |||
{{Special:PrefixIndex/{{BASEPAGENAME}}}} | |||
==== Sicherheit ==== | |||
==== Dokumentation ==== | |||
==== Links ==== | |||
===== Projekt ===== | |||
===== Weblinks ===== | |||
= TMP = | |||
{{Infobox Betriebssystem | |||
| Name = | |||
| Logo = [[Datei:OpenBSD textual logo.svg|250px|Logo]]<br />„Free, Functional & Secure“ | |||
| Screenshot = | |||
| Beschreibung = | |||
| Entwickler = Das OpenBSD-Projekt unter [[Theo de Raadt]] | |||
| Sprache = | |||
| Erscheinungsdatum = | |||
| Version = <!-- Wikidata --> | |||
| Freigabedatum = <!-- Wikidata --> | |||
| Vorabversion = | |||
| Quelle = | |||
| Stammbaum = [[Berkeley Software Distribution|BSD]] {{Kind|1}}[[NetBSD]] {{Kind|2}}OpenBSD | |||
| Kernel = | |||
| Chronik = | |||
| Architekturen = 14<ref>[https://www.openbsd.org/plat.html Liste der unterstützten Plattformen]</ref> | |||
| Lizenz = [[BSD-Lizenz]] / [[ISC-Lizenz]] | |||
| Sonstiges = Sprache: [[Englische Sprache|Englisch]] | |||
| Website = [https://www.openbsd.org/ www.openbsd.org] | |||
| Kompatibilität = | |||
| Installationsmedium = | |||
}} | |||
'''OpenBSD''' ist ein [[Betriebssystem]] aus der Gruppe der [[Unixoides System|Unix-Derivate]], das unter der [[BSD-Lizenz]] [[Freie Software|frei]] verfügbar ist. Es wurde 1995 durch [[Theo de Raadt]] von [[NetBSD]], dem ersten [[386BSD]]-basierten [[Open Source|quelloffenen]] Betriebssystem, [[Abspaltung (Softwareentwicklung)|abgespalten]]. OpenBSD ist bekannt für das Beharren seiner Entwickler auf Quelloffenheit, freier Dokumentation, kompromissloser Stellung gegenüber [[Software]]-[[Lizenz]]en, Fokus auf Sicherheit und Korrektheit von [[Quelltext]]. Beim [[Maskottchen]] des Projekts handelt es sich um [[Puffy (Maskottchen)|Puffy]], einen [[Kugelfische|Kugelfisch]]. | |||
[[Datei:OpenBSD hackers at c2k++ at MIT.jpg|mini|OpenBSD-Entwickler auf dem c2k1-Hackathon am [[Massachusetts Institute of Technology|MIT]]]] | |||
== Allgemeines == | |||
OpenBSD enthält eine Vielzahl von Sicherheitsfunktionen, die in anderen Betriebssystemen nicht oder nur optional vorhanden sind. Traditionell wird von den Entwicklern ein regelmäßiges [[Audit#Informationstechnik|Auditing]], eine Untersuchung von Quellcode auf [[Programmfehler]], durchgeführt. Das Projekt hält strenge Richtlinien bezüglich Software-Lizenzen aufrecht und bevorzugt die freie BSD-Lizenz sowie deren Varianten. Dies hat in der Vergangenheit zu umfassenden Lizenzprüfungen sowie zur Ersetzung oder Entfernung von Quellcode, der unter weniger akzeptablen Lizenzen steht, geführt. | |||
In Übereinstimmung mit anderen BSD-basierten Betriebssystemen werden sowohl der OpenBSD-[[Kernel (Betriebssystem)|Kernel]] als auch die Userland-Programme, wie die [[Unix-Shell]]s und gemeinsame Werkzeuge, gemeinschaftlich in einem Quellcode-[[Repository]] entwickelt. Software von Drittparteien ist in Form fertiger [[Programmpaket|Pakete]] verfügbar oder kann mit Hilfe des [[Ports (Paketverwaltung)|Portssystems]] aus dem Quellcode erstellt werden. | |||
OpenBSD ist für verschiedene [[Rechnerarchitektur]]en verfügbar, darunter [[Alpha-Prozessor|DEC Alpha]], [[Intel 80386|i386]], [[AMD64]], [[PowerPC]] und [[SPARC-Architektur|SPARC64]]. | |||
== Geschichte und Verbreitung == | |||
Im Dezember 1994 wurde [[Theo de Raadt]] – einer der Mitbegründer NetBSDs und Mitglied des Kernteams – gebeten, das NetBSD-Kernteam zu verlassen. Gleichzeitig wurde sein Zugang zum Quellcode-Repository gesperrt. Der Grund ist nicht genau bekannt, jedoch gibt es Aussagen, es stehe im Zusammenhang mit persönlichen Konflikten auf der NetBSD-[[Mailingliste]].<ref name="glass">Adam Glass: [https://mail-index.netbsd.org/netbsd-users/1994/12/23/0000.html ''Theo De Raadt(sic)''.] Mitteilung an netbsd-users, 23. Dezember 1994.</ref> Theo de Raadt wurde dafür kritisiert, zeitweise eine aggressive Art zu zeigen: In dem Buch ''Free For All'' behauptet Peter Wayner, dass de Raadt vor der Abspaltung von NetBSD „begonnen hatte, manche Leute unwillkürlich zu verärgern“;<ref name="wayner">Peter Wayner: ''Free For All: How Linux and the Free Software Movement Undercut the High Tech Titans.'' {{Webarchiv |url=http://www.jus.uio.no/sisu/free_for_all.peter_wayner/18.html#987 |text=18.3 Flames, Fights, and the Birth of OpenBSD. |wayback=20090719014824}} 2000.</ref> Interviewer geben zu, „Bedenken [über ihn] zu hegen“;<ref name="apprehensive">[http://archive09.linux.com/articles/7543 ''Theo de Raadt gives it all to OpenBSD''.] Linux.com, 30. Januar 2001.</ref> und [[Linus Torvalds]] hat ihn als „schwierig“ beschrieben.<ref name="difficult">[http://www.forbes.com/intelligentinfrastructure/2005/06/16/linux-bsd-unix-cz_dl_0616theo.html ''Is Linux For Losers?''] Forbes, 16. Juni 2005.</ref> | |||
Im Oktober 1995 gründete Theo de Raadt OpenBSD als neue [[Abspaltung (Softwareentwicklung)|Projektaufspaltung]] von NetBSD 1.0. Die erste Veröffentlichung, OpenBSD 1.2, wurde im Juli 1996 herausgegeben, gefolgt von OpenBSD 2.0 im Oktober desselben Jahres.<ref name="20_release">Theo de Raadt: {{Webarchiv |url=http://www.monkey.org/openbsd/archive2/announce/199610/msg00001.html |text=''The OpenBSD 2.0 release''. |wayback=20050527220458}} E-Mail an openbsd-announce, 18. Oktober 1996.</ref> Seither folgt OpenBSD dem Terminplan, alle sechs Monate eine neue Version herauszugeben. Diese wird danach ein Jahr lang gepflegt und unterstützt. | |||
Es ist schwierig, die Verbreitung von OpenBSD exakt festzustellen: Das OpenBSD-Projekt selbst sammelt und veröffentlicht keine Nutzungsstatistiken und es gibt nur wenig andere Informationsquellen. Das werdende BSD-Zertifizierungsprojekt führte 2005 eine Nutzungsumfrage durch, diese ergab, dass 32,8 % der befragten BSD-Nutzer (1420 von 4330 Befragten) OpenBSD verwenden,<ref name="bsdcert">{{Webarchiv |url=https://web.archive.org/web/20120209140100/http://www.bsdcertification.org/downloads/pr_20051031_usage_survey_en_en.pdf |text=Ergebnisse der Nutzungsumfrage vom 31. Oktober 2005. |webciteID=6BESqgkIZ}} (PDF) BSD Certification site.</ref> damit platzierte sich OpenBSD als Zweiter der vier großen BSD-Derivate, hinter [[FreeBSD]] mit 77,0 % und vor NetBSD mit 16,3 %. Mehrfachauswahl war möglich. Das *BSDStats-Projekt sieht OpenBSD heute mit etwas über 0,5 % Verbreitung weit hinter den neuen Projekten [[DragonFly BSD]] und [[PC-BSD]].<ref>{{Internetquelle |url=http://www.bsdstats.org/ |titel=*BSD Usage Statistics |abruf=2015-09-28}}</ref> | |||
== Freie Software und freie Dokumentation == | |||
Als OpenBSD ins Leben gerufen wurde, beschloss Theo de Raadt den Quelltext für jedermann zu jeder Zeit lesbar zu machen. Daher setzte er mit Hilfe von Chuck Cranor<ref name="ChuckCranor">[http://chuck.cranor.org/ Webseite von Chuck Cranor]</ref> einen öffentlichen anonymen [[Concurrent Versions System|CVS]]-Versionsverwaltungsserver auf. Dies war der erste seiner Art in der Welt der Softwareentwicklung: zu jener Zeit war es üblich, dass nur ein kleines Team von Entwicklern Zugriff auf das CVS-Verwaltungssystem hatte. Dieses Vorgehen hatte einige Mängel, besonders externe Mitwirkende hatten keine Möglichkeit, herauszufinden, was bereits erledigt worden war, und steuerten aus der resultierenden Unwissenheit überflüssige [[Patch (Software)|Patches]] bei. Dies hatte viel unnötig duplizierte Arbeit zur Folge. Die Entscheidung zur ''Offenlegung'' führte zu dem Namen ''OpenBSD'' und markierte den Anfang des Beharrens seitens des Projekts auf freie und öffentlich zugängliche Quelltexte sowie Dokumentation. | |||
Ein Beispiel für die Haltung des OpenBSD-Projektes bezüglich offener Dokumentation ist die Einstellung der Unterstützung für Adaptec-AAC-RAID-Controller, weil dies entweder einen nicht freien Treiber oder die Unterzeichnung eines [[Geheimhaltungsvertrag]]es (NDA) erfordert hätte – für das Projekt keine akzeptablen Bedingungen. | |||
== Lizenzen == | |||
[[Datei:OpenBSD 6.6 mit X.org und dem Fenstermanager cwm.png|mini|OpenBSD 6.6 mit X.org und dem Fenstermanager cwm]] | |||
Ein Ziel von OpenBSD ist es, den „Geist des ursprünglichen [[Berkeley Software Distribution|Berkeley-Unix]]-[[Copyright law (Vereinigte Staaten)|Copyright]] aufrechtzuerhalten“, dieses erlaubte eine „relativ unbeeinträchtigte Verteilung des Unix-Quellcodes.“<ref name="lic_policy">[https://www.openbsd.org/policy.html Copyright Richtlinien.] OpenBSD.org.</ref> Aus diesem Grund wird für neuen Quellcode die [[ISC-Lizenz]] bevorzugt, welche eine vereinfachte Version der BSD-Lizenz darstellt. Die [[MIT-Lizenz|MIT]]- oder BSD-Lizenz ist ebenfalls akzeptiert. Die [[GNU General Public License]] wird im Vergleich als zu einschränkend betrachtet:<ref name="nf_licence">[http://archive09.linux.com/articles/45572 ''BSD cognoscenti on Linux.''] Linux.com, 15. Juni 2005.</ref> Quellcode unter dieser und anderen unerwünschten Lizenzen wird nicht zur Einbindung in das Basissystem zugelassen. Zusätzlich wird existierender Quellcode unter diesen Lizenzen ersetzt oder falls möglich neu lizenziert. In manchen Fällen ist dies jedoch nicht möglich, ein Beispiel ist [[GNU Compiler Collection|GCC]]. Für diesen gibt es keinen passenden Ersatz: es wäre zu zeitaufwändig und unpraktisch, einen neuen [[Compiler]] zu entwerfen. Trotzdem hat OpenBSD in Bezug auf Lizenzen bereits bedeutende Fortschritte gemacht. Besonders erwähnenswert ist die Entwicklung von [[OpenSSH]], basierend auf dem ursprünglichen [[Secure Shell|SSH]]. Es erschien zum ersten Mal in OpenBSD 2.6 und ist heute die beliebteste SSH-[[Implementierung]]. Es ist fester oder optionaler Bestandteil vieler Betriebssysteme, z. B. der anderen BSD-Betriebssysteme und fast jeder [[Linux-Distribution]]. Ebenso erwähnenswert ist die durch Lizenzeinschränkungen auf [[IPFilter]] notwendige gewordene Entwicklung der [[Pf (Paketfilter)|PF]]-[[Firewall]]. Diese erschien zum ersten Mal in OpenBSD 3.0 und ist heute ebenfalls für DragonFly BSD, [[NetBSD]] und [[FreeBSD]] verfügbar. OpenBSD hat die unter der GPL stehenden [[Unix-Kommando]] [[diff]], [[grep]], [[gzip]], [[Basic Calculator|bc]], [[Dc (Unix)|dc]], nm und size durch BSD-lizenzierte Versionen ersetzt. „Einfache“ Befehle wie [[True (Unix)|true]] oder [[False (Unix)|false]] sind [[Gemeinfreiheit|gemeinfrei]].<ref>{{Internetquelle |url=https://github.com/openbsd/src |titel=Public git conversion mirror of OpenBSD's official cvs src repository. : openbsd/src |hrsg=OpenBSD |datum=2019-04-22 |abruf=2019-04-23}}</ref> Das OpenBSD-Projekt steht des Weiteren auch hinter der Entwicklung von [[OpenNTPD]] und OpenCVS, ebenfalls BSD-lizenzierte Versionen existierender Software. | |||
Im Juni 2001 lösten Bedenken über Darren Reeds Änderungen an der IPFilter-Lizenz eine systematische Überprüfung aller Lizenzen im OpenBSD-Quellcode und [[Ports (Paketverwaltung)|Portssystem]] aus. Quellcode in mehr als 100 im System verstreuten Dateien wurde als nicht lizenziert, doppeldeutig oder Richtlinien verletzend befunden. Um die Einhaltung aller Lizenzen sicherzustellen, wurde versucht, Kontakt zu allen Copyright-Inhabern aufzunehmen. Als Ergebnis wurden manche Teile entfernt, viele ersetzt und andere neu lizenziert, um die weitere Nutzung in OpenBSD zu erlauben. Zu den neu lizenzierten Programmen gehörten die von [[Xerox]] ursprünglich ausschließlich für Forschungszwecke lizenzierten [[Multicast]]-[[Routing]]-Programme {{man|8|mrinfo|OpenBSD||inline}} und {{man|8|map-mbone|OpenBSD||inline}}. | |||
Anzumerken ist auch die Entfernung aller Software von [[Daniel J. Bernstein]] aus dem OpenBSD-Portssystem. Zur Zeit der Entfernung verlangte Bernstein, dass alle modifizierten Versionen seiner Software vor der Veröffentlichung von ihm abgesegnet werden müssen, eine Forderung, der das OpenBSD-Projekt weder Zeit noch Anstrengung widmen wollte.<ref name="DJB_Theo">Theo de Raadt: {{Webarchiv |url=http://archives.neohapsis.com/archives/openbsd/2001-08/2544.html |text=''Re: Why were all DJB’s ports removed? No more qmail?'' |wayback=20160419110701}} Mail to openbsd-misc, 24. August 2001.</ref> Die Entfernung führte zu einem Streit mit Bernstein, dieser sah es als unangebracht an und entgegnete, dass der [[Netscape Navigator|Netscape]]-[[Webbrowser]] weitaus weniger frei sei. Er bezichtigte aus diesem Grund das OpenBSD-Projekt zusammen mit Theo de Raadt der Heuchelei.<ref name="DJB_DJB">DJ Bernstein: {{Webarchiv |url=http://archives.neohapsis.com/archives/openbsd/2001-08/2812.html |text=''Re: Why were all DJB’s ports removed? No more qmail?'' |wayback=20120204203539}} Mail to openbsd-misc, 27. August 2001.</ref> Das OpenBSD-Projekt vertrat die Position, dass Netscape, obwohl nicht quelloffen, einfacher einzuhaltende Lizenzbedingungen forderte;<ref name="DJB_Espie">Marc Espie: {{Webarchiv |url=http://archives.neohapsis.com/archives/openbsd/2001-08/2864.html |text=''Re: Why were all DJB’s ports removed? No more qmail?'' |wayback=20160419080907}} Mail to openbsd-misc, 28. August 2001.</ref> sie behaupteten gegenüber Bernstein, dass die Forderungen nach Kontrolle über Derivate zu einer großen Menge zusätzlicher Arbeit führen werde. Daher sei die Entfernung der angebrachteste Weg, seinen Anforderungen nachzukommen. 2007 hat Bernstein alle seine Software unter Public Domain veröffentlicht, womit die Lizenzprobleme behoben sind. Allerdings existieren momentan weiterhin keine offiziellen OpenBSD-Pakete; begründet wird dies im Fall von [[qmail]] und [[djbdns]] damit, dass diese Programme auch weiterhin keinen ersichtlichen Mehrwert böten.<ref>{{Internetquelle |url=https://www.openbsd.org/faq/faq1.html#HowAbout |titel=Einführung in OpenBSD |zitat=Warum wurden qmail oder djbdns nicht eingefügt? – Keines der beiden Programme deckt das ab, was Unix-Benutzer von Mail- oder DNS-Programmen ‚erwarten‘. |abruf=2014-03-12}}</ref> | |||
== Sicherheit == | |||
Anfangs maß das OpenBSD-Team Sicherheits[[audit]]s keine Priorität bei. 1996, im Jahr nach der Abspaltung von NetBSD, entdeckte ein Angreifer eine Sicherheitslücke in <span style="font-family:monospace;">syslogd</span>, was das Team dazu bewegte, erstmals ausgiebig nach Sicherheitsproblemen im bis dahin bestehenden Code zu suchen.<ref>{{Internetquelle |url=https://www.openbsd.org/papers/hackfest2014-arc4random/mgp00003.html |titel=Hackathon 2014: A brief history of random in OpenBSD |abruf=2014-11-22}}</ref> | |||
Kurze Zeit, nachdem das OpenBSD-Projekt gegründet worden war, wurde Theo de Raadt von dem lokalen Software-Sicherheitsunternehmen Secure Networks, Inc. (SNI) kontaktiert.<ref name="SecNet">[http://www.theage.com.au/articles/2004/10/07/1097089476287.html ''Staying on the cutting edge''.] The Age, 8. Oktober 2004.</ref><ref name="SecNet2">{{Webarchiv|url=http://www.onlamp.com/pub/a/bsd/2003/07/17/openbsd_core_team.html |wayback=20171022004013 |text=''The Essence of OpenBSD''. |archiv-bot=2022-12-23 23:34:18 InternetArchiveBot }} ONLamp.com. Interview with OpenBSD developers, 17. Juli 2003.</ref> Diese arbeitete an Ballista, einem „Werkzeug für [[Sicherheitsaudit]]s von Netzwerken“. Es wurde – nachdem SNI von Network Associates aufgekauft worden war – in „Cybercop Scanner“ umbenannt. Es wurde dazu entworfen, etwaige Sicherheitslöcher in Software [[Exploit|auszunutzen]]. Dies stimmte eng mit Theo de Raadts eigenem Interesse an Sicherheit überein. Deshalb beschlossen beide, zu kooperieren. Diese Beziehung war von großem Nutzen, denn es half, den Schwerpunkt für das OpenBSD-Projekt festzulegen und trug zur Herausgabe von OpenBSD 2.3<ref name="TdR">Theo de Raadt zu SNI: „Ohne ihre Unterstützung zur rechten Zeit würde diese Version vermutlich nicht existieren.“ aus {{Webarchiv |url=http://www.monkey.org/openbsd/archive/misc/9805/msg00308.html |text=2.3 release announcement |wayback=20141103115354}}</ref> bei. Obwohl andere in vielen Punkten den Weg des geringsten Widerstandes wählten, ging OpenBSD oftmals einen anderen Weg und gab sich große Mühe zu tun, was richtig, angemessen und sicher war, selbst auf Kosten von Bequemlichkeit, Geschwindigkeit oder Funktionalität. Als [[Programmfehler]] in OpenBSD schwerer zu finden und ausnutzbar wurden, empfand das Sicherheitsunternehmen es zu schwierig, bzw. nicht kosten-effizient, sich um solche unbedeutenden Probleme zu kümmern. Nach vielen Jahren der Zusammenarbeit beschlossen die beiden Seiten, dass ihre Ziele erreicht waren, und ihre Wege trennten sich. | |||
Bis zum Juni 2002 zierte die OpenBSD-Webseite der Slogan: | |||
{{Zitat | |||
|Text=Keine über das Netz angreifbare [[Sicherheitslücke]] in der Standardinstallation seit fast sechs Jahren.}} | |||
Im Juni 2002 entdeckte ''Internet Security Systems'' einen Fehler bei der [[Challenge-Response-Authentifizierung]] im OpenSSH-Quellcode.<ref name="sshvuln">{{Webarchiv |url=http://www.iss.net/threats/advise123.html |text=''OpenSSH Remote Challenge Vulnerability''. |archive-is=20120908042011}} Internet Security Systems, 26. Juni 2002.</ref> Dies war die erste und bis dato einzige [[Sicherheitslücke]] in der OpenBSD-Standardinstallation, welche es einem entfernten Angreifer erlaubt, sich Zugang zum [[Root-Konto]] zu verschaffen. Die Sicherheitslücke war sehr schwerwiegend, teilweise aufgrund der großen Verbreitung von OpenSSH. Der Fehler betraf auch eine beachtliche Menge anderer Betriebssysteme.<ref name="sshvulnlist">{{Webarchiv |url=http://xforce.iss.net/xforce/xfdb/9169 |text=partial list of affected operating systems |wayback=20120106002606}}</ref> Sie nötigte zur Änderung des Slogans: | |||
{{Zitat | |||
|Text=Nur eine über das Netz angreifbare Sicherheitslücke in mehr als acht Jahren.}} | |||
Dies wurde am 13. März 2007 auf den englischen Seiten zu “Only two remote holes in the default install, in more than 10 years!” geändert, nachdem Core Security Technologies eine netzwerkbezogene Schwachstelle aufgedeckt hat.<ref>''[http://www.coresecurity.com/content/open-bsd-advisorie OpenBSD's IPv6 mbufs remote kernel buffer overflow.]'' Core Security Technologies, 13. März 2007. Abgerufen am 7. Juni 2011.</ref> Der aktuelle deutsche Slogan lautet: „Nur zwei ‚remote holes‘ in der Standardinstallation seit einer verdammt langen Zeit!“ | |||
Diese Aussage wurde schon oft kritisiert, weil in der OpenBSD-Standardinstallation nur wenig Dienste aktiviert sind und Versionen von OpenBSD-Software enthielten, für welche später entfernt angreifbare Sicherheitslücken gefunden wurden; jedoch beharrt das OpenBSD-Projekt darauf, dass sich der Slogan auf die Standardinstallation bezieht und die Angaben deshalb korrekt sind. Eines der fundamentalen Konzepte von OpenBSD ist das Streben nach einem einfachen, sauberen und ''standardmäßig sicheren'' System. „Standardmäßig“ bezeichnet dabei die [[Voreinstellung]]en des Produktes direkt bei der Installation; so wären durchaus mehr Sicherheitslücken zu verzeichnen gewesen, wenn bei OpenBSD mehr Dienste gestartet worden wären. Das Konzept, standardmäßig nur wenige Dienste anzubieten, fügt sich gut in gebräuchliche Verfahren der [[Computersicherheit]] ein. Weiterhin ist das Projekt Open-Source und nutzt Methoden wie Quellcode-Auditing, beides Dinge, von denen gesagt wird, dass sie wichtig für die Sicherheit eines Systems sind.<ref name="wheeler_OS_sec">David A. Wheeler: ''Secure Programming for Linux and Unix HOWTO''. [http://www.dwheeler.com/secure-programs/Secure-Programs-HOWTO/open-source-security.html 2.4. Is Open Source Good for Security?] 3. März 2003.</ref> | |||
[[Datei:OpenBSD 6.6 beim Starten.png|mini|OpenBSD 6.6 beim Starten]] | |||
OpenBSD beinhaltet eine Vielzahl von speziell auf Verbesserung der Sicherheit zugeschnittener Funktionen: Änderung am [[Compiler]] und den [[Programmierschnittstelle]]n wie die Funktionen ''strlcpy'' und ''strlcat''; einen [[Statisches Software-Testverfahren|statischen Software-Test]] zur Überprüfung der Puffer; Schutz vor unerlaubten Zugriffen durch [[Speicherschutz]]-Techniken, wie ''ProPolice'', ''StackGhost'' und ''W^X'' (Abkürzung für Writeable xor eXecutable); etliche Verbesserungen an der ''malloc''-Implementierung; kryptografische und [[Randomisierter Algorithmus|randomisierte]] Funktionen, unter anderem im [[Netzwerkprotokoll]]stapel; Einbindung der [[Blowfish]]-[[Blockverschlüsselung]] zur sicheren Passwort-Verschlüsselung. Dies alles wurde getan, um die Risiken einer Sicherheitslücke oder einer Fehlkonfiguration zu verringern, welche zu einer [[Rechteausweitung|Privilegieneskalation]] führen könnte. Einige Programme wurden neu geschrieben oder angepasst, um Privilegientrennung, Privilegienverminderung oder [[Chroot]]s zu verwenden. Privilegientrennung ist ein Verfahren, bei welchem ein Programm in mehrere Teile aufgeteilt wird. Einer dieser Teile führt Funktionen aus, welche hohe Privilegien benötigen, jedoch kann in der Regel der größte Teil des Programmes mit niedrigen Privilegien laufen. Dieser Technik wurde durch OpenBSD der Weg bereitet und sie ist vom ''Prinzip des geringsten Rechts'' inspiriert. Privilegienverminderung ist ähnlich, ein Programm führt zunächst alle Funktionen, welche hohe Privilegien voraussetzen, aus und gibt anschließend seine Privilegien ab. Chroots beschränken ein Programm auf einen kleinen Teil des [[Dateisystem]]s und verhindern so den Zugriff auf Systemdateien. | |||
Das Projekt folgt der Richtlinie ein fortwährendes Quellcode-[[Audit]] nach Sicherheitslücken zu halten. Der Entwickler Marc Espie beschrieb die Arbeit als „niemals endend, es ist mehr eine Frage des Fortschritts als der Suche nach spezifischen Fehlern.“<ref name="Espie_audit">{{Webarchiv|url=http://www.onlamp.com/pub/a/bsd/2004/03/18/marc_espie.html |wayback=20180504070533 |text=''An Interview with OpenBSD's Marc Espie'' |archiv-bot=2022-12-23 23:34:18 InternetArchiveBot }} O’Reilly Network, 18. März 2004.</ref> Er fährt fort, einige typische Schritte aufzuzählen, welchen nachgegangen wird, sobald ein Fehler gefunden wurde. Einer davon ist, das komplette Quellcode-Repository nach diesem und ähnlichen Fehlern zu durchsuchen. „Versuchen, herauszufinden, ob die Dokumentation erweitert werden sollte“ und Nachforschungen anzustellen, ob „es möglich ist, den Compiler zu erweitern, damit er zukünftig vor diesem speziellen Problem warnt.“ Neben [[DragonFly BSD]] ist OpenBSD das einzige Open-Source-Betriebssystem mit der Richtlinie, klassischen [[Varianten der Programmiersprache C|K&R]]-C-Quellcode durch gleichwertigen modernen [[American National Standards Institute|ANSI]]-C-Code zu ersetzen. Dies bewirkt keine funktionalen Veränderungen, aber erhöht die Lesbarkeit und sorgt für eine höhere Konsistenz. Es gibt einen Standardstil für Quellcode, die ''Kernel Normal Form (KNF)'', diese gibt das Aussehen von Quellcode an, um ihn einfach verständlich und pflegbar zu machen.<ref>{{man|9|style|OpenBSD|Kernel source file style guide (KNF)}}</ref> Die KNF muss auf allen Quellcode angewendet werden, welcher ins Basissystem aufgenommen werden soll. | |||
In Misskredit kam OpenBSD im Dezember 2010 durch den Verdacht, dass im Auftrag der US-Regierung mehrere [[Backdoor|Hintertüren]] zur Nutzung durch das [[Federal Bureau of Investigation|FBI]] im [[IPsec]]-Stack verborgen wurden. OpenBSD-Gründer Theo de Raadt selbst veröffentlichte eine entsprechende Warnung.<ref>{{Internetquelle |url=https://www.heise.de/newsticker/meldung/FBI-Backdoor-in-IPSec-Implementierung-von-OpenBSD-1153180.html |titel=FBI-Backdoor in IPSec-Implementierung |hrsg=[[Heise online|heise Netze]] |datum=2010-12-15 |abruf=2010-12-15}}</ref> | |||
== Anwendung == | |||
Aufgrund der Sicherheitsverbesserungen, Kryptografie und der integrierten PF-Firewall eignet sich OpenBSD für die Verwendung in der Sicherheitsindustrie, speziell für [[Firewall]]s, [[Intrusion Detection System]]e und [[Virtual Private Network|VPN]]-[[Gateway (Informatik)|Gateways]]. Es wird ebenfalls häufig für [[Webserver|Web]]- und andere [[Server]] eingesetzt, da diese widerstandsfähig gegen [[Cracker (Computersicherheit)|Cracker]]- und [[Denial of Service|DoS]]-Angriffe sein müssen. Aufgrund der Einbeziehung von ''spamd'' ins Basissystem wird OpenBSD gelegentlich auch als [[Spamfilter]] verwendet. | |||
Es gibt auch einige auf OpenBSD basierende [[proprietär]]e Systeme von Firmen im Security- oder Routerbereich. | |||
[[Datei:OpenBSD mit Standard Fenstermanager cwm und xeyes.png|mini|OpenBSD 6.6 mit [[Grafische Benutzeroberfläche|grafischer Standardoberfläche]], dem Standard-Fenstermanager cwm und [[xeyes]]]] | |||
OpenBSD integriert das [[X Window System]]. Seit den Lizenzänderungen an [[XFree86]] wird eine modifizierte Version von [[X.Org-Server|X.Org]] namens ''xenocara'' verwendet.<ref>{{Internetquelle |url=http://xenocara.org/ |titel=Xenocara |abruf=2014-02-09}}</ref> Mit dem X-System ist es möglich, OpenBSD als [[Heimcomputer]] oder [[Workstation]] zu verwenden und Gebrauch einer [[Desktop-Umgebung]], eines [[Fenstermanager]]s oder von beidem zu machen. Dadurch ist es möglich, den X-Desktop in einer Fülle von Erscheinungsformen zu verwenden. | |||
Durch das OpenBSD-[[Ports (Paketverwaltung)|Paketmanagementsystem]] kann aus einer Vielzahl der beliebtesten Programme für den Desktop gewählt werden. Hier finden sich unter anderem die Desktopumgebungen [[Gnome]], [[K Desktop Environment|KDE]] und [[Xfce]] und die [[Webbrowser]] [[Mozilla Firefox]] und [[Opera (Browser)|Opera]] sowie viele [[Multimedia]]-Programme. | |||
Die Bedienbarkeit und [[Rechenleistung|Performance]] von OpenBSD wird gelegentlich kritisiert. Untersuchungen auf Performance und [[Skalierbarkeit]] zeigen oft, dass OpenBSD hinter anderen Betriebssystemen zurückliegt, am bekanntesten sind hier die Untersuchungen durch Felix von Leitner.<ref name="felix">[http://bulk.fefe.de/scalability/ Untersuchungsergebnisse und Fazit.] fefe.de.</ref> OpenBSD-Entwickler und -Nutzer entgegneten mit der Ansicht, Performance sollte beachtet werden, jedoch seien Sicherheit, Verlässlichkeit und Richtigkeit als wichtiger anzusehen.<ref name="NH_felix">Nick Holland: [https://groups.google.co.uk/group/lucky.openbsd.misc/msg/2b6f9d5bf42b712a ''Re: OpenBSD Benchmarked… results: poor!''] E-Mail zu openbsd-misc, 19. Oktober 2003.</ref> OpenBSD ist ein vergleichsweise kleines Projekt, besonders im Vergleich mit FreeBSD und Linux, daher wird Entwicklerzeit für Sicherheitsverbesserungen oft als lohnender gesehen als für Performanceoptimierungen. Kritiker der Benutzerfreundlichkeit kritisieren oft das Fehlen von grafischen Konfigurationsprogrammen, die schmucklose Standardinstallation<ref name="use_crit">[http://archive09.linux.com/articles/49451 ''Trying out the new OpenBSD 3.8.''] Linux.com, 2. November 2005.</ref> sowie die „spartanische“ und „einschüchternde“ Installation selbst.<ref name="use_crit2">[http://archive09.linux.com/articles/37599 ''Review: OpenBSD 3.5''.] Linux.com, 22. Juli 2004.</ref> Diese Kritik wird mit einer ähnlichen Zurückweisung wie der Kritik an Performance begegnet: dem Vorzug von Einfachheit, Verlässlichkeit und Sicherheit. Ein Kritiker gab zu: „Ein ultra-sicheres Betriebssystem zu benutzen kann ein Stück Arbeit sein.“<ref name="use_crit3">[http://distrowatch.com/dwres.php?resource=review-openbsd ''OpenBSD – For Your Eyes Only''.] Distrowatch, 2004.</ref> | |||
== Verkauf und Marketing == | |||
OpenBSD ist auf verschiedenen Wegen kostenlos verfügbar: Bereits seit 2007 werden komplette [[ISO-Abbild|CD-Abbilddateien (ISO)]] für die meisten [[Rechnerarchitektur|Architekturen]] zum Download zur Verfügung gestellt. Der Quellcode kann über anonymes [[Concurrent Versions System|CVS]] bezogen werden. | |||
Komplette CD-Sets inklusive Dokumentation, Illustrationen, einer Auswahl an Aufklebern und dem Titellied des jeweiligen Releases konnten bis einschließlich der Version 6.0 gegen Gebühr online bestellt<ref>{{Webarchiv |url=https://www.openbsd.org/orders.html |text=OpenBSD ordering |wayback=20161107120048}}</ref> werden. Die CD-Sets waren eine der wenigen Einnahmequellen für das Projekt und sicherten dessen Bestehen. Diese wurden jedoch mit Erscheinen der Version 6.1 abgekündigt.<ref>[https://www.heise.de/ix/meldung/OpenBSD-6-0-Das-letzte-Mal-auf-CD-3310933.html IX Magazin – OpenBSD 6.0 – Das letzte Mal auf CD]</ref> Aus den Einnahmen werden Hardware, Bandbreite, [[Hackathon]]s und andere Anschaffungen finanziert. | |||
Gemeinsam mit einigen anderen Betriebssystemen benutzt OpenBSD das [[Ports (Paketverwaltung)|Portssystem]] in Verbindung mit einem eigenen Paketmanagementsystem, dies erlaubt eine einfache Installation und Verwaltung von nicht im Basissystem enthaltenen Programmen. Ursprünglich auf dem FreeBSD-Portssystem basierend, sind die Systeme inzwischen deutlich verschieden. Im Gegensatz zu FreeBSD ist das OpenBSD-Portssystem nur als Quelle zum Erstellen des Endproduktes, das heißt der Pakete, gedacht. Beim Installieren eines Port wird zunächst ein Paket erstellt und dieses anschließend durch die Paketverwaltungstools installiert. Pakete werden vom OpenBSD-Team für jede Version massenhaft erstellt und zum Herunterladen bereitgestellt. OpenBSD ist unter den BSDs auch in der Hinsicht einzigartig, dass Port- und Basissystem für jede Version gemeinsam entwickelt und herausgegeben werden. Daraus folgt, dass Ports und Pakete, die mit einer Version, beispielsweise 6.6, herausgegeben werden, ''nicht'' mit einer anderen Version, zum Beispiel 6.5, verwendet werden können. Diese Richtlinie trägt einen großen Teil zur Stabilität des Entwicklungsprozesses bei, aber gleichzeitig kann es auch bedeuten, dass Portsoftware der letzten OpenBSD-Version bis zum Erscheinen der nächsten Version hinter der neuesten Programmversion des Autors zurückbleibt. | |||
[[Datei:Puffyanim.gif|mini|[[Puffy (Maskottchen)|Puffy]]]] | |||
Ungefähr zur Zeit von OpenBSD 2.7 wurde das ursprüngliche Maskottchen, ein [[BSD-Daemon]] mit Dreizack und Strahlenkranz, durch [[Puffy (Maskottchen)|Puffy]], einen Kugelfisch, ersetzt. Puffy wurde ausgewählt aufgrund des [[Blowfish|Kugelfischalgorithmus]] (Blowfish) in OpenSSH und des stark defensiven Images des Kugelfisches, dessen Stacheln ihn vor Feinden schützen. Puffy erfreute sich schnell hoher Beliebtheit, hauptsächlich wegen des ansprechenden Images und seiner deutlichen Unterscheidung vom BSD-Daemon, der schon von FreeBSD verwendet wird, und der bis zum Jahr 2004 von NetBSD verwendeten Daemonenherde. Puffy erschien zum ersten Mal in OpenBSD 2.6 und zeigt sich seitdem in einer Vielzahl von Gestalten auf T-Shirts und Postern. Einige hiervon waren, oftmals in Anlehnung an bekannte Personen: ''Puffiana Jones'', berühmter [[Hacker|Hackologe]] und Abenteurer auf der Suche nach dem verlorenen RAID; ''Puffathy'', ein kleines Mädchen aus Alberta, die mit Taiwan zusammenarbeiten muss, um die Situation zu retten; ''Sir Puffy of Ramsay'', Freiheitskämpfer, der zusammen mit dem kleinen Bob aus Beckly von den Reichen stiehlt und unter den Armen verteilt; ''Puffy daddy'', berühmter Rapper und politisches Idol, ''[[Ali Baba|Puffy Baba]]'', der gegen die ''40 vendors'' (''40 Hersteller'') kämpft, oder [[Asterix|Pufferix]] und Bobilix, die die ''three disks of freedom'' verteilen. | |||
Nach einigen Versionen wurde OpenBSD auch für seine Werbelieder und seine interessanten, oftmals witzigen Illustrationen bekannt. Einiges wurde mitunter von Ty Semaka der Band ''Plaid Tongued Devils'' beigesteuert. Zuerst war es nur als unbedeutender Humor gedacht, als sich das Konzept jedoch weiterentwickelte, wurde es ein Teil der OpenBSD-Plausibilität. Jede Version propagierte eine Moral oder einen politischen Standpunkt mit Bedeutung für das Projekt, oft in Form einer [[Parodie]]. Die Produktion von Werbeliedern wurde mit OpenBSD 6.3 eingestellt. Mit Version 6.8 wurde zum 25-jährigem Bestehen des Projektes wieder ein Werbelied veröffentlicht. | |||
Zusätzlich zu den Slogans auf T-Shirts und Postern bringt OpenBSD gelegentlich auch Weiteres hervor: über die Jahre einige [[Schlagwort (Linguistik)|Schlagworte]] wie „Beförderung von [[Scriptkiddie]]s nach [[/dev/null]] seit 1995“, „Funktional, sicher und frei, wähle drei davon“, „Sicherheit als Standard“ und noch einige weitere Slogans, die nur auf T-Shirts zu finden sind, die für Entwickler-Zusammenkünfte gedruckt wurden, zum Beispiel „Sicherheit mit Weltklasse, viel billiger als ein [[Marschflugkörper]]“, oder eines verärgerten alten Tintenfisches der „Maul halten und Hacken!“ zum Besten gibt. | |||
Am 25. Juli 2007 wurde nach kanadischem Recht die [[Non-Profit-Organisation]] ''The OpenBSD Foundation'' zur Unterstützung des Projekts gegründet.<ref>[http://www.openbsdfoundation.org/press/announce.txt openbsdfoundation.org]</ref> | |||
== Eigenentwicklungen == | |||
Aus OpenBSD entsprangen viele Eigenentwicklungen. Darunter auch: | |||
* [https://gameoftrees.org/ got], eine einfache Alternative zum Versionskontrollsystem [[git]] | |||
* [https://man.openbsd.org/doas doas], eine einfache Alternative zum [[sudo]]-Programm | |||
* [[LibreSSL]], eine freie Implementierung des [[Transport Layer Security|TLS]]-Protokolls, abgespalten von [[OpenSSL]] Version 1.0.1g | |||
* [[OpenBGPD]], eine freie Implementierung von [[Border Gateway Protocol|BGP]] 4 | |||
* OpenOSPFD, eine freie Implementierung des Routing-Protokolls [[Open Shortest Path First|OSPF]] | |||
* [[OpenNTPD]], eine einfache Alternative zum [[Network Time Protocol|NTP]]-Daemon von ntp.org | |||
* [[OpenSMTPD]], ein freier [[Simple Mail Transfer Protocol|SMTP]]-Daemon mit [[IPv4]]/[[IPv6]], [[Pluggable Authentication Modules|PAM]], [[Maildir]] und Unterstützung für virtuelle Domains | |||
* httpd, ein [[Hypertext Transfer Protocol|HTTP]]-Server, eingeführt in Version 5.6 | |||
* [[OpenSSH]], eine freie Implementierung des [[Secure Shell|SSH]]-Protokolls | |||
* [[OpenIKED]], eine freie Implementierung des [[IPsec]]-Protokolls | |||
* [[Common Address Redundancy Protocol|CARP]], eine freie Alternative zum patentierten [[Hot Standby Router Protocol|HSRP]]/[[Virtual Router Redundancy Protocol|VRRP]] Server-Redundanz-Protokolls von [[Cisco Systems]] | |||
* [[pf (Paketfilter)|pf]], ein [[IPv4]]/[[IPv6]]-Paketfilter mit [[Network Address Translation|NAT]]-, [[Port Address Translation|PAT]]-, [[Quality of Service|QoS]]- und Traffic Normalisierungsunterstützung. | |||
* [[pfsync]], ein Protokoll zur Synchronisation von Firewalls für `pf` mit [[Hochverfügbarkeit]]sunterstützung durch [[Common Address Redundancy Protocol|CARP]]. | |||
* [[spamd]], ein Spamfilter mit [[greylisting]]-Unterstützung durch Benutzung des `pf` | |||
* [[sndio]], ein kompaktes Audio- und [[MIDI]]-Framework | |||
* [[Xenocara]], eine angepasste [[X.Org-Server|X.Org]]-Version | |||
* [[Cwm (Fenstermanager)|cwm]], ein Stacking-Fenstermanager | |||
== Versionstabelle == | |||
{| class="wikitable" | |||
|- class="hintergrundfarbe5" style="white-space:nowrap;" | |||
! Version | |||
! Veröffentlichung | |||
! Titellied | |||
|- | |||
| {{Version|o|1.2}} | |||
| Juli 1996 | |||
| - | |||
|- | |||
| {{Version|o|2.0}} | |||
| Oktober 1996 | |||
| - | |||
|- | |||
| {{Version|o|[https://www.openbsd.org/21.html 2.1]}} | |||
| 1. Juni 1997 | |||
| - | |||
|- | |||
| {{Version|o|[https://www.openbsd.org/22.html 2.2]}} | |||
| 1. Dezember 1997 | |||
| - | |||
|- | |||
| {{Version|o|[https://www.openbsd.org/23.html 2.3]}} | |||
| 19. Mai 1998 | |||
| - | |||
|- | |||
| {{Version|o|[https://www.openbsd.org/24.html 2.4]}} | |||
| 1. Dezember 1998 | |||
| - | |||
|- | |||
| {{Version|o|[https://www.openbsd.org/25.html 2.5]}} | |||
| 19. Mai 1999 | |||
| - | |||
|- | |||
| {{Version|o|[https://www.openbsd.org/26.html 2.6]}} | |||
| 1. Dezember 1999 | |||
| - | |||
|- | |||
| {{Version|o|[https://www.openbsd.org/27.html 2.7]}} | |||
| 15. Juni 2000 | |||
| - | |||
|- | |||
| {{Version|o|[https://www.openbsd.org/28.html 2.8]}} | |||
| 1. Dezember 2000 | |||
| - | |||
|- | |||
| {{Version|o|[https://www.openbsd.org/29.html 2.9]}} | |||
| 1. Juni 2001 | |||
| - | |||
|- | |||
| {{Version|o|[https://www.openbsd.org/30.html 3.0]}} | |||
| 1. Dezember 2001 | |||
| [https://www.openbsd.org/lyrics.html#30 E-Railed (OpenBSD Mix)] | |||
|- | |||
| {{Version|o|[https://www.openbsd.org/31.html 3.1]}} | |||
| 19. Mai 2002 | |||
| [https://www.openbsd.org/lyrics.html#31 Systemagic] | |||
|- | |||
| {{Version|o|[https://www.openbsd.org/32.html 3.2]}} | |||
| 1. November 2002 | |||
| [https://www.openbsd.org/lyrics.html#32 Goldflipper] | |||
|- | |||
| {{Version|o|[https://www.openbsd.org/33.html 3.3]}} | |||
| 1. Mai 2003 | |||
| [https://www.openbsd.org/lyrics.html#33 Puff the Barbarian] | |||
|- | |||
| {{Version|o|[https://www.openbsd.org/34.html 3.4]}} | |||
| 1. November 2003 | |||
| [https://www.openbsd.org/lyrics.html#34 The Legend of Puffy Hood] | |||
|- | |||
| {{Version|o|[https://www.openbsd.org/35.html 3.5]}} | |||
| 1. Mai 2004 | |||
| [https://www.openbsd.org/lyrics.html#3 "CARP License" and "Redundancy must be free"] | |||
|- | |||
| {{Version|o|[https://www.openbsd.org/36.html 3.6]}} | |||
| 1. November 2004 | |||
| [https://www.openbsd.org/lyrics.html#36 Pond-erosa Puff (live)] | |||
|- | |||
| {{Version|o|[https://www.openbsd.org/37.html 3.7]}} | |||
| 19. Mai 2005 | |||
| [https://www.openbsd.org/lyrics.html#37 The Wizard of OS] | |||
|- | |||
| {{Version|o|[https://www.openbsd.org/38.html 3.8]}} | |||
| 1. November 2005 | |||
| [https://www.openbsd.org/lyrics.html#38 Hackers of the Lost RAID] | |||
|- | |||
| {{Version|o|[https://www.openbsd.org/39.html 3.9]}} | |||
| 1. Mai 2006 | |||
| [https://www.openbsd.org/lyrics.html#39 Blob!] | |||
|- | |||
| {{Version|o|[https://www.openbsd.org/40.html 4.0]}} | |||
| 1. November 2006 | |||
| [https://www.openbsd.org/lyrics.html#40 Humppa Negala] | |||
|- | |||
| {{Version|o|[https://www.openbsd.org/41.html 4.1]}} | |||
| 1. Mai 2007 | |||
| [https://www.openbsd.org/lyrics.html#41 Puffy Baba and the 40 Vendors] | |||
|- | |||
| {{Version|o|[https://www.openbsd.org/42.html 4.2]}} | |||
| 1. November 2007 | |||
| [https://www.openbsd.org/lyrics.html#42 100001 1010101] | |||
|- | |||
| {{Version|o|[https://www.openbsd.org/43.html 4.3]}} | |||
| 1. Mai 2008 | |||
| [https://www.openbsd.org/lyrics.html#43 Home to Hypocrisy] | |||
|- | |||
| {{Version|o|[https://www.openbsd.org/44.html 4.4]}} | |||
| 1. November 2008 | |||
| [https://www.openbsd.org/lyrics.html#44 Trial of the BSD Knights] | |||
|- | |||
| {{Version|o|[https://www.openbsd.org/45.html 4.5]}} | |||
| 1. Mai 2009 | |||
| [https://www.openbsd.org/lyrics.html#45 Games] | |||
|- | |||
| {{Version|o|[https://www.openbsd.org/46.html 4.6]}} | |||
| 18. Oktober 2009 | |||
| [https://www.openbsd.org/lyrics.html#46 Planet of the Users] | |||
|- | |||
| {{Version|o|[https://www.openbsd.org/47.html 4.7]}} | |||
| 19. Mai 2010 | |||
| [https://www.openbsd.org/lyrics.html#47 I'm still here] | |||
|- | |||
| {{Version|o|[https://www.openbsd.org/48.html 4.8]}} | |||
| 1. November 2010 | |||
| [https://www.openbsd.org/lyrics.html#48 El Puffiachi] | |||
|- | |||
| {{Version|o|[https://www.openbsd.org/49.html 4.9]}} | |||
| 1. Mai 2011 | |||
| [https://www.openbsd.org/lyrics.html#49 The Answer] | |||
|- | |||
| {{Version|o|[https://www.openbsd.org/50.html 5.0]}} | |||
| 1. November 2011 | |||
| [https://www.openbsd.org/lyrics.html#50 What Me Worry?] | |||
|- | |||
| {{Version|o|[https://www.openbsd.org/51.html 5.1]}} | |||
| 1. Mai 2012 | |||
| [https://www.openbsd.org/lyrics.html#51 Bug Busters] | |||
|- | |||
| {{Version|o|[https://www.openbsd.org/52.html 5.2]}} | |||
| 1. November 2012 | |||
| [https://www.openbsd.org/lyrics.html#52 Aquarela do Linux] | |||
|- | |||
| {{Version|o|[https://www.openbsd.org/53.html 5.3]}} | |||
| 1. Mai 2013 | |||
| [https://www.openbsd.org/lyrics.html#53 Blade Swimmer] | |||
|- | |||
| {{Version|o|[https://www.openbsd.org/54.html 5.4]}} | |||
| 1. November 2013 | |||
| [https://www.openbsd.org/lyrics.html#54 Our favorite hacks] | |||
|- | |||
| {{Version|o|[https://www.openbsd.org/55.html 5.5]}} | |||
| 1. Mai 2014 | |||
| [https://www.openbsd.org/lyrics.html#55 Warp in Time] | |||
|- | |||
| {{Version|o|[https://www.openbsd.org/56.html 5.6]}} | |||
| 1. November 2014 | |||
| [https://www.openbsd.org/lyrics.html#56 Ride of the Valkyries] | |||
|- | |||
| {{Version|o|[https://www.openbsd.org/57.html 5.7]}} | |||
| 1. Mai 2015 | |||
| [https://www.openbsd.org/lyrics.html#57 Source Fish] | |||
|- | |||
| {{Version|o|[https://www.openbsd.org/58.html 5.8]}} | |||
| 18. Oktober 2015 | |||
| [https://www.openbsd.org/lyrics.html#58a 20 years ago today], [https://www.openbsd.org/lyrics.html#58b Fanza], [https://www.openbsd.org/lyrics.html#58c So much better], [https://www.openbsd.org/lyrics.html#58d A Year in the Life] | |||
|- | |||
| {{Version|o|[https://www.openbsd.org/59.html 5.9]}} | |||
| 29. März 2016 | |||
| [https://www.openbsd.org/lyrics.html#59a Doctor W^X], [https://www.openbsd.org/lyrics.html#59b Systemagic (Anniversary Edition)] | |||
|- | |||
| {{Version|o|[https://www.openbsd.org/60.html 6.0]}} | |||
| 1. September 2016 | |||
| [https://www.openbsd.org/lyrics.html#60a Another Smash of the Stack], [https://www.openbsd.org/lyrics.html#60b Black Hat], [https://www.openbsd.org/lyrics.html#60c Money], [https://www.openbsd.org/lyrics.html#60d Comfortably Dumb (the misc song)], [https://www.openbsd.org/lyrics.html#60e Mother], [https://www.openbsd.org/lyrics.html#60f Goodbye] | |||
|- | |||
| {{Version|o|[https://www.openbsd.org/61.html 6.1]}} | |||
| 11. April 2017 | |||
| [https://www.openbsd.org/lyrics.html#61 Winter of 95] | |||
|- | |||
| {{Version|o|[http://www.openbsd.org/62.html 6.2]}} | |||
| 9. Oktober 2017 | |||
| [https://www.openbsd.org/lyrics.html#62 A 3 line diff] | |||
|- | |||
| {{Version|o|[http://www.openbsd.org/63.html 6.3]}} | |||
| 15. April 2018 | |||
| – | |||
|- | |||
| {{Version|o|[http://www.openbsd.org/64.html 6.4]}} | |||
| 18. Oktober 2018 | |||
| – | |||
|- | |||
| {{Version|o|[http://www.openbsd.org/65.html 6.5]}} | |||
| 24. April 2019<!-- trotz anders lautender Ankündigung: https://www.bsdforen.de/threads/openbsd-6-5-erschienen.34928/ --> | |||
| – | |||
|- | |||
| {{Version|o|[http://www.openbsd.org/66.html 6.6]}} | |||
| 17. Oktober 2019 | |||
| – | |||
|- | |||
| {{Version|o|[http://www.openbsd.org/67.html 6.7]}} | |||
| 19. Mai 2020 | |||
| – | |||
|- | |||
| {{Version|o|[http://www.openbsd.org/68.html 6.8]}} | |||
| 18. Oktober 2020 | |||
| [https://www.openbsd.org/lyrics.html#68 Hacker People] | |||
|- | |||
| {{Version|o|[http://www.openbsd.org/69.html 6.9]}} | |||
| 1. Mai 2021 | |||
| [https://www.openbsd.org/lyrics.html#69 Vetera Novis] | |||
|- | |||
| {{Version|o|[http://www.openbsd.org/70.html 7.0]}} | |||
| 14. Oktober 2021 | |||
| [https://www.openbsd.org/lyrics.html#70 The Style Hymn] | |||
|- | |||
| {{Version|o|[http://www.openbsd.org/71.html 7.1]}} | |||
| 21. April 2022 | |||
| — | |||
|- | |||
| {{Version|co|[http://www.openbsd.org/72.html 7.2]}} | |||
| 20. Oktober 2022 | |||
| — | |||
|- | |||
| {{Version|c|[http://www.openbsd.org/73.html 7.3]}} | |||
| 10. April 2023 | |||
| [https://www.openbsd.org/lyrics.html#73 The Wizard and the Fish] | |||
|- | |||
| colspan="3" | {{Version|l|zeige=111101}} | |||
|} | |||
== Distributionen und Derivate == | |||
=== Distributionen === | |||
<section begin="Distros" />* Anonym.OS (nur OpenBSD 3.8, 2006) | |||
* FuguIta:<ref>{{Webarchiv |url=http://kaw.ath.cx/openbsd/index.php?en%2FLiveCD |text=FuguIta-Homepage |wayback=20120118125308}}</ref> [[Live-System|Live-CD]] mit [[iceWM]], die sich auch auf der Festplatte installieren lässt | |||
* jggimi | |||
* MarBSD:<ref>{{Webarchiv |url=http://openbsd.maroufi.net/download.shtml |text=MarBSD-Homepage |wayback=20101208034527}}</ref> Rettungs- und Testsystem in mehreren Varianten (für i386, amd64 und sparc64) <section end="Distros" /> | |||
=== Derivate === | |||
<section begin="Derivate" />* ÆrieBSD | |||
* MirOS BSD | |||
* Bitrig | |||
* LibertyBSD <section end="Derivate" /> | |||
== Siehe auch == | |||
* [[ISC-Lizenz]] | |||
* [[GNU General Public License]] | |||
* [[Vergleich von BSD-Betriebssystemen]] | |||
* [[Disklabel]] | |||
== Literatur == | |||
* Peter N.M. Hansteen: ''The Book of PF, A No-Nonsense Guide to the OpenBSD Firewall (3rd Edition).'' ISBN 978-1-59327-589-1. | |||
* Yanek Korff, Paco Hope, Bruce Potter: ''Mastering FreeBSD and OpenBSD Security.'' ISBN 0-596-00626-8. | |||
* Jacek Artymiak: ''Building Firewalls with OpenBSD and PF: Third Edition.'' ISBN 83-60869-02-2. | |||
* Brandon Palmer, Jose Nazario: ''Secure Architectures with OpenBSD.'' ISBN 0-321-19366-0. | |||
* Michael W. Lucas: ''Absolute OpenBSD, Unix for the Practical Paranoid (2nd Edition).'' ISBN 978-1-59327-476-4. | |||
* Wes Sonnenreich, Tom Yates: ''Building Linux and OpenBSD Firewalls.'' ISBN 0-471-35366-3. | |||
* Harris Brakmic: ''OpenBSD – Serveraufbau, Sicherheit, Firewall.'' ISBN 3-936546-21-5. | |||
* René Maroufi, Jörg Braun: ''OpenBSD.'' ISBN 978-3-936546-21-7. | |||
== Weblinks == | |||
* [https://www.openbsd.org/ OpenBSD-Website] | |||
* [http://www.openbsdfoundation.org/ OpenBSD-Foundation] | |||
* [https://www.undeadly.org/ OpenBSD-Journal] | |||
[[Kategorie:OpenBSD| ]] | |||
[[Kategorie:Freies BSD-Betriebssystem]] | |||
[[Kategorie:Abkürzung]] | |||
[[Kategorie:BSD]] | [[Kategorie:BSD]] | ||
</noinclude> |
Version vom 4. Juni 2023, 10:34 Uhr
topic - Kurzbeschreibung
Beschreibung
Anhang
Siehe auch
Sicherheit
Dokumentation
Links
Projekt
Weblinks
TMP
Vorlage:Infobox Betriebssystem OpenBSD ist ein Betriebssystem aus der Gruppe der Unix-Derivate, das unter der BSD-Lizenz frei verfügbar ist. Es wurde 1995 durch Theo de Raadt von NetBSD, dem ersten 386BSD-basierten quelloffenen Betriebssystem, abgespalten. OpenBSD ist bekannt für das Beharren seiner Entwickler auf Quelloffenheit, freier Dokumentation, kompromissloser Stellung gegenüber Software-Lizenzen, Fokus auf Sicherheit und Korrektheit von Quelltext. Beim Maskottchen des Projekts handelt es sich um Puffy, einen Kugelfisch.
Allgemeines
OpenBSD enthält eine Vielzahl von Sicherheitsfunktionen, die in anderen Betriebssystemen nicht oder nur optional vorhanden sind. Traditionell wird von den Entwicklern ein regelmäßiges Auditing, eine Untersuchung von Quellcode auf Programmfehler, durchgeführt. Das Projekt hält strenge Richtlinien bezüglich Software-Lizenzen aufrecht und bevorzugt die freie BSD-Lizenz sowie deren Varianten. Dies hat in der Vergangenheit zu umfassenden Lizenzprüfungen sowie zur Ersetzung oder Entfernung von Quellcode, der unter weniger akzeptablen Lizenzen steht, geführt.
In Übereinstimmung mit anderen BSD-basierten Betriebssystemen werden sowohl der OpenBSD-Kernel als auch die Userland-Programme, wie die Unix-Shells und gemeinsame Werkzeuge, gemeinschaftlich in einem Quellcode-Repository entwickelt. Software von Drittparteien ist in Form fertiger Pakete verfügbar oder kann mit Hilfe des Portssystems aus dem Quellcode erstellt werden.
OpenBSD ist für verschiedene Rechnerarchitekturen verfügbar, darunter DEC Alpha, i386, AMD64, PowerPC und SPARC64.
Geschichte und Verbreitung
Im Dezember 1994 wurde Theo de Raadt – einer der Mitbegründer NetBSDs und Mitglied des Kernteams – gebeten, das NetBSD-Kernteam zu verlassen. Gleichzeitig wurde sein Zugang zum Quellcode-Repository gesperrt. Der Grund ist nicht genau bekannt, jedoch gibt es Aussagen, es stehe im Zusammenhang mit persönlichen Konflikten auf der NetBSD-Mailingliste.[1] Theo de Raadt wurde dafür kritisiert, zeitweise eine aggressive Art zu zeigen: In dem Buch Free For All behauptet Peter Wayner, dass de Raadt vor der Abspaltung von NetBSD „begonnen hatte, manche Leute unwillkürlich zu verärgern“;[2] Interviewer geben zu, „Bedenken [über ihn] zu hegen“;[3] und Linus Torvalds hat ihn als „schwierig“ beschrieben.[4]
Im Oktober 1995 gründete Theo de Raadt OpenBSD als neue Projektaufspaltung von NetBSD 1.0. Die erste Veröffentlichung, OpenBSD 1.2, wurde im Juli 1996 herausgegeben, gefolgt von OpenBSD 2.0 im Oktober desselben Jahres.[5] Seither folgt OpenBSD dem Terminplan, alle sechs Monate eine neue Version herauszugeben. Diese wird danach ein Jahr lang gepflegt und unterstützt.
Es ist schwierig, die Verbreitung von OpenBSD exakt festzustellen: Das OpenBSD-Projekt selbst sammelt und veröffentlicht keine Nutzungsstatistiken und es gibt nur wenig andere Informationsquellen. Das werdende BSD-Zertifizierungsprojekt führte 2005 eine Nutzungsumfrage durch, diese ergab, dass 32,8 % der befragten BSD-Nutzer (1420 von 4330 Befragten) OpenBSD verwenden,[6] damit platzierte sich OpenBSD als Zweiter der vier großen BSD-Derivate, hinter FreeBSD mit 77,0 % und vor NetBSD mit 16,3 %. Mehrfachauswahl war möglich. Das *BSDStats-Projekt sieht OpenBSD heute mit etwas über 0,5 % Verbreitung weit hinter den neuen Projekten DragonFly BSD und PC-BSD.[7]
Freie Software und freie Dokumentation
Als OpenBSD ins Leben gerufen wurde, beschloss Theo de Raadt den Quelltext für jedermann zu jeder Zeit lesbar zu machen. Daher setzte er mit Hilfe von Chuck Cranor[8] einen öffentlichen anonymen CVS-Versionsverwaltungsserver auf. Dies war der erste seiner Art in der Welt der Softwareentwicklung: zu jener Zeit war es üblich, dass nur ein kleines Team von Entwicklern Zugriff auf das CVS-Verwaltungssystem hatte. Dieses Vorgehen hatte einige Mängel, besonders externe Mitwirkende hatten keine Möglichkeit, herauszufinden, was bereits erledigt worden war, und steuerten aus der resultierenden Unwissenheit überflüssige Patches bei. Dies hatte viel unnötig duplizierte Arbeit zur Folge. Die Entscheidung zur Offenlegung führte zu dem Namen OpenBSD und markierte den Anfang des Beharrens seitens des Projekts auf freie und öffentlich zugängliche Quelltexte sowie Dokumentation.
Ein Beispiel für die Haltung des OpenBSD-Projektes bezüglich offener Dokumentation ist die Einstellung der Unterstützung für Adaptec-AAC-RAID-Controller, weil dies entweder einen nicht freien Treiber oder die Unterzeichnung eines Geheimhaltungsvertrages (NDA) erfordert hätte – für das Projekt keine akzeptablen Bedingungen.
Lizenzen
Ein Ziel von OpenBSD ist es, den „Geist des ursprünglichen Berkeley-Unix-Copyright aufrechtzuerhalten“, dieses erlaubte eine „relativ unbeeinträchtigte Verteilung des Unix-Quellcodes.“[9] Aus diesem Grund wird für neuen Quellcode die ISC-Lizenz bevorzugt, welche eine vereinfachte Version der BSD-Lizenz darstellt. Die MIT- oder BSD-Lizenz ist ebenfalls akzeptiert. Die GNU General Public License wird im Vergleich als zu einschränkend betrachtet:[10] Quellcode unter dieser und anderen unerwünschten Lizenzen wird nicht zur Einbindung in das Basissystem zugelassen. Zusätzlich wird existierender Quellcode unter diesen Lizenzen ersetzt oder falls möglich neu lizenziert. In manchen Fällen ist dies jedoch nicht möglich, ein Beispiel ist GCC. Für diesen gibt es keinen passenden Ersatz: es wäre zu zeitaufwändig und unpraktisch, einen neuen Compiler zu entwerfen. Trotzdem hat OpenBSD in Bezug auf Lizenzen bereits bedeutende Fortschritte gemacht. Besonders erwähnenswert ist die Entwicklung von OpenSSH, basierend auf dem ursprünglichen SSH. Es erschien zum ersten Mal in OpenBSD 2.6 und ist heute die beliebteste SSH-Implementierung. Es ist fester oder optionaler Bestandteil vieler Betriebssysteme, z. B. der anderen BSD-Betriebssysteme und fast jeder Linux-Distribution. Ebenso erwähnenswert ist die durch Lizenzeinschränkungen auf IPFilter notwendige gewordene Entwicklung der PF-Firewall. Diese erschien zum ersten Mal in OpenBSD 3.0 und ist heute ebenfalls für DragonFly BSD, NetBSD und FreeBSD verfügbar. OpenBSD hat die unter der GPL stehenden Unix-Kommando diff, grep, gzip, bc, dc, nm und size durch BSD-lizenzierte Versionen ersetzt. „Einfache“ Befehle wie true oder false sind gemeinfrei.[11] Das OpenBSD-Projekt steht des Weiteren auch hinter der Entwicklung von OpenNTPD und OpenCVS, ebenfalls BSD-lizenzierte Versionen existierender Software.
Im Juni 2001 lösten Bedenken über Darren Reeds Änderungen an der IPFilter-Lizenz eine systematische Überprüfung aller Lizenzen im OpenBSD-Quellcode und Portssystem aus. Quellcode in mehr als 100 im System verstreuten Dateien wurde als nicht lizenziert, doppeldeutig oder Richtlinien verletzend befunden. Um die Einhaltung aller Lizenzen sicherzustellen, wurde versucht, Kontakt zu allen Copyright-Inhabern aufzunehmen. Als Ergebnis wurden manche Teile entfernt, viele ersetzt und andere neu lizenziert, um die weitere Nutzung in OpenBSD zu erlauben. Zu den neu lizenzierten Programmen gehörten die von Xerox ursprünglich ausschließlich für Forschungszwecke lizenzierten Multicast-Routing-Programme Vorlage:Man und Vorlage:Man.
Anzumerken ist auch die Entfernung aller Software von Daniel J. Bernstein aus dem OpenBSD-Portssystem. Zur Zeit der Entfernung verlangte Bernstein, dass alle modifizierten Versionen seiner Software vor der Veröffentlichung von ihm abgesegnet werden müssen, eine Forderung, der das OpenBSD-Projekt weder Zeit noch Anstrengung widmen wollte.[12] Die Entfernung führte zu einem Streit mit Bernstein, dieser sah es als unangebracht an und entgegnete, dass der Netscape-Webbrowser weitaus weniger frei sei. Er bezichtigte aus diesem Grund das OpenBSD-Projekt zusammen mit Theo de Raadt der Heuchelei.[13] Das OpenBSD-Projekt vertrat die Position, dass Netscape, obwohl nicht quelloffen, einfacher einzuhaltende Lizenzbedingungen forderte;[14] sie behaupteten gegenüber Bernstein, dass die Forderungen nach Kontrolle über Derivate zu einer großen Menge zusätzlicher Arbeit führen werde. Daher sei die Entfernung der angebrachteste Weg, seinen Anforderungen nachzukommen. 2007 hat Bernstein alle seine Software unter Public Domain veröffentlicht, womit die Lizenzprobleme behoben sind. Allerdings existieren momentan weiterhin keine offiziellen OpenBSD-Pakete; begründet wird dies im Fall von qmail und djbdns damit, dass diese Programme auch weiterhin keinen ersichtlichen Mehrwert böten.[15]
Sicherheit
Anfangs maß das OpenBSD-Team Sicherheitsaudits keine Priorität bei. 1996, im Jahr nach der Abspaltung von NetBSD, entdeckte ein Angreifer eine Sicherheitslücke in syslogd, was das Team dazu bewegte, erstmals ausgiebig nach Sicherheitsproblemen im bis dahin bestehenden Code zu suchen.[16]
Kurze Zeit, nachdem das OpenBSD-Projekt gegründet worden war, wurde Theo de Raadt von dem lokalen Software-Sicherheitsunternehmen Secure Networks, Inc. (SNI) kontaktiert.[17][18] Diese arbeitete an Ballista, einem „Werkzeug für Sicherheitsaudits von Netzwerken“. Es wurde – nachdem SNI von Network Associates aufgekauft worden war – in „Cybercop Scanner“ umbenannt. Es wurde dazu entworfen, etwaige Sicherheitslöcher in Software auszunutzen. Dies stimmte eng mit Theo de Raadts eigenem Interesse an Sicherheit überein. Deshalb beschlossen beide, zu kooperieren. Diese Beziehung war von großem Nutzen, denn es half, den Schwerpunkt für das OpenBSD-Projekt festzulegen und trug zur Herausgabe von OpenBSD 2.3[19] bei. Obwohl andere in vielen Punkten den Weg des geringsten Widerstandes wählten, ging OpenBSD oftmals einen anderen Weg und gab sich große Mühe zu tun, was richtig, angemessen und sicher war, selbst auf Kosten von Bequemlichkeit, Geschwindigkeit oder Funktionalität. Als Programmfehler in OpenBSD schwerer zu finden und ausnutzbar wurden, empfand das Sicherheitsunternehmen es zu schwierig, bzw. nicht kosten-effizient, sich um solche unbedeutenden Probleme zu kümmern. Nach vielen Jahren der Zusammenarbeit beschlossen die beiden Seiten, dass ihre Ziele erreicht waren, und ihre Wege trennten sich.
Bis zum Juni 2002 zierte die OpenBSD-Webseite der Slogan:
Im Juni 2002 entdeckte Internet Security Systems einen Fehler bei der Challenge-Response-Authentifizierung im OpenSSH-Quellcode.[20] Dies war die erste und bis dato einzige Sicherheitslücke in der OpenBSD-Standardinstallation, welche es einem entfernten Angreifer erlaubt, sich Zugang zum Root-Konto zu verschaffen. Die Sicherheitslücke war sehr schwerwiegend, teilweise aufgrund der großen Verbreitung von OpenSSH. Der Fehler betraf auch eine beachtliche Menge anderer Betriebssysteme.[21] Sie nötigte zur Änderung des Slogans:
Dies wurde am 13. März 2007 auf den englischen Seiten zu “Only two remote holes in the default install, in more than 10 years!” geändert, nachdem Core Security Technologies eine netzwerkbezogene Schwachstelle aufgedeckt hat.[22] Der aktuelle deutsche Slogan lautet: „Nur zwei ‚remote holes‘ in der Standardinstallation seit einer verdammt langen Zeit!“
Diese Aussage wurde schon oft kritisiert, weil in der OpenBSD-Standardinstallation nur wenig Dienste aktiviert sind und Versionen von OpenBSD-Software enthielten, für welche später entfernt angreifbare Sicherheitslücken gefunden wurden; jedoch beharrt das OpenBSD-Projekt darauf, dass sich der Slogan auf die Standardinstallation bezieht und die Angaben deshalb korrekt sind. Eines der fundamentalen Konzepte von OpenBSD ist das Streben nach einem einfachen, sauberen und standardmäßig sicheren System. „Standardmäßig“ bezeichnet dabei die Voreinstellungen des Produktes direkt bei der Installation; so wären durchaus mehr Sicherheitslücken zu verzeichnen gewesen, wenn bei OpenBSD mehr Dienste gestartet worden wären. Das Konzept, standardmäßig nur wenige Dienste anzubieten, fügt sich gut in gebräuchliche Verfahren der Computersicherheit ein. Weiterhin ist das Projekt Open-Source und nutzt Methoden wie Quellcode-Auditing, beides Dinge, von denen gesagt wird, dass sie wichtig für die Sicherheit eines Systems sind.[23]
OpenBSD beinhaltet eine Vielzahl von speziell auf Verbesserung der Sicherheit zugeschnittener Funktionen: Änderung am Compiler und den Programmierschnittstellen wie die Funktionen strlcpy und strlcat; einen statischen Software-Test zur Überprüfung der Puffer; Schutz vor unerlaubten Zugriffen durch Speicherschutz-Techniken, wie ProPolice, StackGhost und W^X (Abkürzung für Writeable xor eXecutable); etliche Verbesserungen an der malloc-Implementierung; kryptografische und randomisierte Funktionen, unter anderem im Netzwerkprotokollstapel; Einbindung der Blowfish-Blockverschlüsselung zur sicheren Passwort-Verschlüsselung. Dies alles wurde getan, um die Risiken einer Sicherheitslücke oder einer Fehlkonfiguration zu verringern, welche zu einer Privilegieneskalation führen könnte. Einige Programme wurden neu geschrieben oder angepasst, um Privilegientrennung, Privilegienverminderung oder Chroots zu verwenden. Privilegientrennung ist ein Verfahren, bei welchem ein Programm in mehrere Teile aufgeteilt wird. Einer dieser Teile führt Funktionen aus, welche hohe Privilegien benötigen, jedoch kann in der Regel der größte Teil des Programmes mit niedrigen Privilegien laufen. Dieser Technik wurde durch OpenBSD der Weg bereitet und sie ist vom Prinzip des geringsten Rechts inspiriert. Privilegienverminderung ist ähnlich, ein Programm führt zunächst alle Funktionen, welche hohe Privilegien voraussetzen, aus und gibt anschließend seine Privilegien ab. Chroots beschränken ein Programm auf einen kleinen Teil des Dateisystems und verhindern so den Zugriff auf Systemdateien.
Das Projekt folgt der Richtlinie ein fortwährendes Quellcode-Audit nach Sicherheitslücken zu halten. Der Entwickler Marc Espie beschrieb die Arbeit als „niemals endend, es ist mehr eine Frage des Fortschritts als der Suche nach spezifischen Fehlern.“[24] Er fährt fort, einige typische Schritte aufzuzählen, welchen nachgegangen wird, sobald ein Fehler gefunden wurde. Einer davon ist, das komplette Quellcode-Repository nach diesem und ähnlichen Fehlern zu durchsuchen. „Versuchen, herauszufinden, ob die Dokumentation erweitert werden sollte“ und Nachforschungen anzustellen, ob „es möglich ist, den Compiler zu erweitern, damit er zukünftig vor diesem speziellen Problem warnt.“ Neben DragonFly BSD ist OpenBSD das einzige Open-Source-Betriebssystem mit der Richtlinie, klassischen K&R-C-Quellcode durch gleichwertigen modernen ANSI-C-Code zu ersetzen. Dies bewirkt keine funktionalen Veränderungen, aber erhöht die Lesbarkeit und sorgt für eine höhere Konsistenz. Es gibt einen Standardstil für Quellcode, die Kernel Normal Form (KNF), diese gibt das Aussehen von Quellcode an, um ihn einfach verständlich und pflegbar zu machen.[25] Die KNF muss auf allen Quellcode angewendet werden, welcher ins Basissystem aufgenommen werden soll.
In Misskredit kam OpenBSD im Dezember 2010 durch den Verdacht, dass im Auftrag der US-Regierung mehrere Hintertüren zur Nutzung durch das FBI im IPsec-Stack verborgen wurden. OpenBSD-Gründer Theo de Raadt selbst veröffentlichte eine entsprechende Warnung.[26]
Anwendung
Aufgrund der Sicherheitsverbesserungen, Kryptografie und der integrierten PF-Firewall eignet sich OpenBSD für die Verwendung in der Sicherheitsindustrie, speziell für Firewalls, Intrusion Detection Systeme und VPN-Gateways. Es wird ebenfalls häufig für Web- und andere Server eingesetzt, da diese widerstandsfähig gegen Cracker- und DoS-Angriffe sein müssen. Aufgrund der Einbeziehung von spamd ins Basissystem wird OpenBSD gelegentlich auch als Spamfilter verwendet. Es gibt auch einige auf OpenBSD basierende proprietäre Systeme von Firmen im Security- oder Routerbereich.
OpenBSD integriert das X Window System. Seit den Lizenzänderungen an XFree86 wird eine modifizierte Version von X.Org namens xenocara verwendet.[27] Mit dem X-System ist es möglich, OpenBSD als Heimcomputer oder Workstation zu verwenden und Gebrauch einer Desktop-Umgebung, eines Fenstermanagers oder von beidem zu machen. Dadurch ist es möglich, den X-Desktop in einer Fülle von Erscheinungsformen zu verwenden.
Durch das OpenBSD-Paketmanagementsystem kann aus einer Vielzahl der beliebtesten Programme für den Desktop gewählt werden. Hier finden sich unter anderem die Desktopumgebungen Gnome, KDE und Xfce und die Webbrowser Mozilla Firefox und Opera sowie viele Multimedia-Programme.
Die Bedienbarkeit und Performance von OpenBSD wird gelegentlich kritisiert. Untersuchungen auf Performance und Skalierbarkeit zeigen oft, dass OpenBSD hinter anderen Betriebssystemen zurückliegt, am bekanntesten sind hier die Untersuchungen durch Felix von Leitner.[28] OpenBSD-Entwickler und -Nutzer entgegneten mit der Ansicht, Performance sollte beachtet werden, jedoch seien Sicherheit, Verlässlichkeit und Richtigkeit als wichtiger anzusehen.[29] OpenBSD ist ein vergleichsweise kleines Projekt, besonders im Vergleich mit FreeBSD und Linux, daher wird Entwicklerzeit für Sicherheitsverbesserungen oft als lohnender gesehen als für Performanceoptimierungen. Kritiker der Benutzerfreundlichkeit kritisieren oft das Fehlen von grafischen Konfigurationsprogrammen, die schmucklose Standardinstallation[30] sowie die „spartanische“ und „einschüchternde“ Installation selbst.[31] Diese Kritik wird mit einer ähnlichen Zurückweisung wie der Kritik an Performance begegnet: dem Vorzug von Einfachheit, Verlässlichkeit und Sicherheit. Ein Kritiker gab zu: „Ein ultra-sicheres Betriebssystem zu benutzen kann ein Stück Arbeit sein.“[32]
Verkauf und Marketing
OpenBSD ist auf verschiedenen Wegen kostenlos verfügbar: Bereits seit 2007 werden komplette CD-Abbilddateien (ISO) für die meisten Architekturen zum Download zur Verfügung gestellt. Der Quellcode kann über anonymes CVS bezogen werden. Komplette CD-Sets inklusive Dokumentation, Illustrationen, einer Auswahl an Aufklebern und dem Titellied des jeweiligen Releases konnten bis einschließlich der Version 6.0 gegen Gebühr online bestellt[33] werden. Die CD-Sets waren eine der wenigen Einnahmequellen für das Projekt und sicherten dessen Bestehen. Diese wurden jedoch mit Erscheinen der Version 6.1 abgekündigt.[34] Aus den Einnahmen werden Hardware, Bandbreite, Hackathons und andere Anschaffungen finanziert.
Gemeinsam mit einigen anderen Betriebssystemen benutzt OpenBSD das Portssystem in Verbindung mit einem eigenen Paketmanagementsystem, dies erlaubt eine einfache Installation und Verwaltung von nicht im Basissystem enthaltenen Programmen. Ursprünglich auf dem FreeBSD-Portssystem basierend, sind die Systeme inzwischen deutlich verschieden. Im Gegensatz zu FreeBSD ist das OpenBSD-Portssystem nur als Quelle zum Erstellen des Endproduktes, das heißt der Pakete, gedacht. Beim Installieren eines Port wird zunächst ein Paket erstellt und dieses anschließend durch die Paketverwaltungstools installiert. Pakete werden vom OpenBSD-Team für jede Version massenhaft erstellt und zum Herunterladen bereitgestellt. OpenBSD ist unter den BSDs auch in der Hinsicht einzigartig, dass Port- und Basissystem für jede Version gemeinsam entwickelt und herausgegeben werden. Daraus folgt, dass Ports und Pakete, die mit einer Version, beispielsweise 6.6, herausgegeben werden, nicht mit einer anderen Version, zum Beispiel 6.5, verwendet werden können. Diese Richtlinie trägt einen großen Teil zur Stabilität des Entwicklungsprozesses bei, aber gleichzeitig kann es auch bedeuten, dass Portsoftware der letzten OpenBSD-Version bis zum Erscheinen der nächsten Version hinter der neuesten Programmversion des Autors zurückbleibt.
Ungefähr zur Zeit von OpenBSD 2.7 wurde das ursprüngliche Maskottchen, ein BSD-Daemon mit Dreizack und Strahlenkranz, durch Puffy, einen Kugelfisch, ersetzt. Puffy wurde ausgewählt aufgrund des Kugelfischalgorithmus (Blowfish) in OpenSSH und des stark defensiven Images des Kugelfisches, dessen Stacheln ihn vor Feinden schützen. Puffy erfreute sich schnell hoher Beliebtheit, hauptsächlich wegen des ansprechenden Images und seiner deutlichen Unterscheidung vom BSD-Daemon, der schon von FreeBSD verwendet wird, und der bis zum Jahr 2004 von NetBSD verwendeten Daemonenherde. Puffy erschien zum ersten Mal in OpenBSD 2.6 und zeigt sich seitdem in einer Vielzahl von Gestalten auf T-Shirts und Postern. Einige hiervon waren, oftmals in Anlehnung an bekannte Personen: Puffiana Jones, berühmter Hackologe und Abenteurer auf der Suche nach dem verlorenen RAID; Puffathy, ein kleines Mädchen aus Alberta, die mit Taiwan zusammenarbeiten muss, um die Situation zu retten; Sir Puffy of Ramsay, Freiheitskämpfer, der zusammen mit dem kleinen Bob aus Beckly von den Reichen stiehlt und unter den Armen verteilt; Puffy daddy, berühmter Rapper und politisches Idol, Puffy Baba, der gegen die 40 vendors (40 Hersteller) kämpft, oder Pufferix und Bobilix, die die three disks of freedom verteilen.
Nach einigen Versionen wurde OpenBSD auch für seine Werbelieder und seine interessanten, oftmals witzigen Illustrationen bekannt. Einiges wurde mitunter von Ty Semaka der Band Plaid Tongued Devils beigesteuert. Zuerst war es nur als unbedeutender Humor gedacht, als sich das Konzept jedoch weiterentwickelte, wurde es ein Teil der OpenBSD-Plausibilität. Jede Version propagierte eine Moral oder einen politischen Standpunkt mit Bedeutung für das Projekt, oft in Form einer Parodie. Die Produktion von Werbeliedern wurde mit OpenBSD 6.3 eingestellt. Mit Version 6.8 wurde zum 25-jährigem Bestehen des Projektes wieder ein Werbelied veröffentlicht.
Zusätzlich zu den Slogans auf T-Shirts und Postern bringt OpenBSD gelegentlich auch Weiteres hervor: über die Jahre einige Schlagworte wie „Beförderung von Scriptkiddies nach /dev/null seit 1995“, „Funktional, sicher und frei, wähle drei davon“, „Sicherheit als Standard“ und noch einige weitere Slogans, die nur auf T-Shirts zu finden sind, die für Entwickler-Zusammenkünfte gedruckt wurden, zum Beispiel „Sicherheit mit Weltklasse, viel billiger als ein Marschflugkörper“, oder eines verärgerten alten Tintenfisches der „Maul halten und Hacken!“ zum Besten gibt.
Am 25. Juli 2007 wurde nach kanadischem Recht die Non-Profit-Organisation The OpenBSD Foundation zur Unterstützung des Projekts gegründet.[35]
Eigenentwicklungen
Aus OpenBSD entsprangen viele Eigenentwicklungen. Darunter auch:
- got, eine einfache Alternative zum Versionskontrollsystem git
- doas, eine einfache Alternative zum sudo-Programm
- LibreSSL, eine freie Implementierung des TLS-Protokolls, abgespalten von OpenSSL Version 1.0.1g
- OpenBGPD, eine freie Implementierung von BGP 4
- OpenOSPFD, eine freie Implementierung des Routing-Protokolls OSPF
- OpenNTPD, eine einfache Alternative zum NTP-Daemon von ntp.org
- OpenSMTPD, ein freier SMTP-Daemon mit IPv4/IPv6, PAM, Maildir und Unterstützung für virtuelle Domains
- httpd, ein HTTP-Server, eingeführt in Version 5.6
- OpenSSH, eine freie Implementierung des SSH-Protokolls
- OpenIKED, eine freie Implementierung des IPsec-Protokolls
- CARP, eine freie Alternative zum patentierten HSRP/VRRP Server-Redundanz-Protokolls von Cisco Systems
- pf, ein IPv4/IPv6-Paketfilter mit NAT-, PAT-, QoS- und Traffic Normalisierungsunterstützung.
- pfsync, ein Protokoll zur Synchronisation von Firewalls für `pf` mit Hochverfügbarkeitsunterstützung durch CARP.
- spamd, ein Spamfilter mit greylisting-Unterstützung durch Benutzung des `pf`
- sndio, ein kompaktes Audio- und MIDI-Framework
- Xenocara, eine angepasste X.Org-Version
- cwm, ein Stacking-Fenstermanager
Versionstabelle
Distributionen und Derivate
Distributionen
<section begin="Distros" />* Anonym.OS (nur OpenBSD 3.8, 2006)
- FuguIta:[36] Live-CD mit iceWM, die sich auch auf der Festplatte installieren lässt
- jggimi
- MarBSD:[37] Rettungs- und Testsystem in mehreren Varianten (für i386, amd64 und sparc64) <section end="Distros" />
Derivate
<section begin="Derivate" />* ÆrieBSD
- MirOS BSD
- Bitrig
- LibertyBSD <section end="Derivate" />
Siehe auch
Literatur
- Peter N.M. Hansteen: The Book of PF, A No-Nonsense Guide to the OpenBSD Firewall (3rd Edition). ISBN 978-1-59327-589-1.
- Yanek Korff, Paco Hope, Bruce Potter: Mastering FreeBSD and OpenBSD Security. ISBN 0-596-00626-8.
- Jacek Artymiak: Building Firewalls with OpenBSD and PF: Third Edition. ISBN 83-60869-02-2.
- Brandon Palmer, Jose Nazario: Secure Architectures with OpenBSD. ISBN 0-321-19366-0.
- Michael W. Lucas: Absolute OpenBSD, Unix for the Practical Paranoid (2nd Edition). ISBN 978-1-59327-476-4.
- Wes Sonnenreich, Tom Yates: Building Linux and OpenBSD Firewalls. ISBN 0-471-35366-3.
- Harris Brakmic: OpenBSD – Serveraufbau, Sicherheit, Firewall. ISBN 3-936546-21-5.
- René Maroufi, Jörg Braun: OpenBSD. ISBN 978-3-936546-21-7.
Weblinks
- ↑ Adam Glass: Theo De Raadt(sic). Mitteilung an netbsd-users, 23. Dezember 1994.
- ↑ Peter Wayner: Free For All: How Linux and the Free Software Movement Undercut the High Tech Titans. Vorlage:Webarchiv 2000.
- ↑ Theo de Raadt gives it all to OpenBSD. Linux.com, 30. Januar 2001.
- ↑ Is Linux For Losers? Forbes, 16. Juni 2005.
- ↑ Theo de Raadt: Vorlage:Webarchiv E-Mail an openbsd-announce, 18. Oktober 1996.
- ↑ Vorlage:Webarchiv (PDF) BSD Certification site.
- ↑
- ↑ Webseite von Chuck Cranor
- ↑ Copyright Richtlinien. OpenBSD.org.
- ↑ BSD cognoscenti on Linux. Linux.com, 15. Juni 2005.
- ↑
- ↑ Theo de Raadt: Vorlage:Webarchiv Mail to openbsd-misc, 24. August 2001.
- ↑ DJ Bernstein: Vorlage:Webarchiv Mail to openbsd-misc, 27. August 2001.
- ↑ Marc Espie: Vorlage:Webarchiv Mail to openbsd-misc, 28. August 2001.
- ↑
- ↑
- ↑ Staying on the cutting edge. The Age, 8. Oktober 2004.
- ↑ Vorlage:Webarchiv ONLamp.com. Interview with OpenBSD developers, 17. Juli 2003.
- ↑ Theo de Raadt zu SNI: „Ohne ihre Unterstützung zur rechten Zeit würde diese Version vermutlich nicht existieren.“ aus Vorlage:Webarchiv
- ↑ Vorlage:Webarchiv Internet Security Systems, 26. Juni 2002.
- ↑ Vorlage:Webarchiv
- ↑ OpenBSD's IPv6 mbufs remote kernel buffer overflow. Core Security Technologies, 13. März 2007. Abgerufen am 7. Juni 2011.
- ↑ David A. Wheeler: Secure Programming for Linux and Unix HOWTO. 2.4. Is Open Source Good for Security? 3. März 2003.
- ↑ Vorlage:Webarchiv O’Reilly Network, 18. März 2004.
- ↑ Vorlage:Man
- ↑
- ↑
- ↑ Untersuchungsergebnisse und Fazit. fefe.de.
- ↑ Nick Holland: Re: OpenBSD Benchmarked… results: poor! E-Mail zu openbsd-misc, 19. Oktober 2003.
- ↑ Trying out the new OpenBSD 3.8. Linux.com, 2. November 2005.
- ↑ Review: OpenBSD 3.5. Linux.com, 22. Juli 2004.
- ↑ OpenBSD – For Your Eyes Only. Distrowatch, 2004.
- ↑ Vorlage:Webarchiv
- ↑ IX Magazin – OpenBSD 6.0 – Das letzte Mal auf CD
- ↑ openbsdfoundation.org
- ↑ Vorlage:Webarchiv
- ↑ Vorlage:Webarchiv