刀光剑影 安全第一
——OpenBSD的魅力体验
秦钢
---- 尽善尽美的操作系统是永远不会存在的,但程序员大都有追求完美的天性,开放源代码
软件程序员更是如此,他们习惯把编程视为一种精神追求,不同的追求导致不同风格的操作
系统的产生。在开放源代码操作系统的世界中,BSD(Berkeley System Distribution)家族
就是一个最好的例子。BSD三兄弟当初正是因为目标取向不同而分开的。NetBSD的目标是成为
可移植性最好、能够在最广泛的平台上运行的的操作系统;FreeBSD立志要做PC平台上最好的
Internet/Intranet服务器操作系统;而OpenBSD当初把安全放在第一位,要做出Internet上
最安全的操作系统。
---- 如今,三兄弟已经各自奋斗了几年,当初的目标也已几近完成。其中,OpenBSD已经被
认为是网络上最安全的操作系统。
安全第一
---- 安全并不等于封闭。恰如其名,OpenBSD是通过开放来加强安全性的。众所周知,美国
法律对含有加密算法的软件出口有严格的限制,这在相当程度上制约了一些软件的推广和普
及。为了自由地发展,OpenBSD选择没有加密算法出口限制的加拿大作为开发基地,让全世界
的用户能够平等、方便地得到OpenBSD。
---- OpenBSD的源代码是完全公开的,与其他开放源代码操作系统相比,OpenBSD的设计哲学
是把安全放在第一位(Security by default),开发者编写每一个函数都要认真检查是否可能
引入安全问题。从1996年起,OpenBSD专门成立了一个监控小组(auditing team),来逐个
检查关键软件包的每一段源代码,以找出安全漏洞或程序本身的错误。监控小组的成员多任
职于网络安全公司,具有丰富的经验和严谨的态度。同时,OpenBSD也鼓励用户检测系统的安
全问题,报告一经证实就会立即着手修改。受益于这种开发模式,OpenBSD已经连续3年未被
发现有严重漏洞。在BugTraq等系统安全论坛的操作系统漏洞报告中,我们很难发现OpenBSD
的名字,而其他系统暴露出的安全问题,常有网友指出OpenBSD早已在上一个版本中改正了。
OpenBSD开发组织认为这是对自己工作的最高奖赏。
---- 我们知道,加密算法是网络安全的基础。OpenBSD的特征之一就是内置了各种加密模块
,如SSH2、伪随机数产生器、加密哈希(hash)函数库、变换算法库等。OpenBSD还包含了对
各种加密硬件的支持,包括智能卡设备、硬件随机数产生器等。无疑,OpenBSD已成为开发安
全软件的优秀平台。
---- 事实上,安全不可能是绝对的。系统只是提供了一个平台,真正的价值在于系统上运行
的应用,而安全问题可能由应用程序或用户的不当配置引入。OpenBSD也只能保证初次安装、
使用默认配置的系统是安全的,即Security by default,这在业界已经是遥遥领先的了。
稳步发展
---- 自从1996年OpenBSD诞生以来,以Theo de Raadt为首的开发者们一直坚守承诺,默默耕
耘。近两年来,随着Linux、FreeBSD等开放源码操作系统的崛起,OpenBSD也加快了前进步伐
。1999年底发布的2.6版得到了业内人士的高度评价。2000年6月15日,OpenBSD再次出新,发
布了2.7版。OpenBSD 2.7引入了众多的新特性,细看下来,我们也不难发现“安全第一”的
原则贯穿于始终,并得到了稳步的发展。
---- SSH2:SSH2作为一种安全的远程登录和管理工具,已经缓慢而稳定地获得了越来越广泛
的支持。然而直到最近,还只有一些商业软件包提供对SSH2的完整支持。SSH2的优点是可以
避开需要商业授权的RSA,取而代之的是可自由使用的DSA加密算法,OpenBSD启动了OpenSSH
计划,开发出完全符合SSH2标准并可免费使用的SSH软件。同时仍支持SSH1标准,保持了良好
的兼容性。
---- 更强的安全性: 增加了加密交换区功能、VLAN的支持,更好地集成了Kerberos、VPN、
SSL等技术。
---- 实用的文档: 文档经过了深入的扩展和修改,用户手册中充实了大量实例,帮助用户理
解有关概念。
---- 丰富的应用软件: 包括500多个已经编译好并经过测试的常用软件包;大量经过修改、移
植和测试的新版本应用软件源代码,用户可以平滑地进行编译、安装。
---- 更新的第三方组件: 包括ipf 3.3.14、gcc 2.95.2、AME IPv6、KTH Kerberos以及sen
dmail 8.10.1等通用的或安全方面的应用程序。
---- 增强的硬件支持: 包括IPSEC硬件加速设备、有线/无线网络设备、USB设备的驱动程序
支持。
---- 其他增强: 加入或更新了对Linux模拟、FAT32文件系统、pthread线程库、网桥等技术
的支持。
大有作为
---- 随着Internet的高速发展,安全问题日益突出,OpenBSD的安全性使其赢得了大量忠实
的用户。据统计,到2000年上半年,OpenBSD的用户数已经达到7000个,并伴随着快速增长的
趋势。
---- OpenBSD的下一步计划主要是进一步丰富i386平台的硬件驱动程序、加入硬件IPSec的支
持、扩展到UltraSparc平台以及支持SMP。在保证安全的前提下,OpenBSD已经开始加强通用
性等其他因素的追求,努力使自己的应用范围进一步扩大。另一方面,OpenBSD的安全性、公
开性和良好的可移植性吸引了众多厂商开发基于OpenBSD的嵌入式设备,尤其是Internet信息
设备(Internet Appliance,IA),比如网络安全检测仪器、嵌入式防火墙等。可以预计,
继Linux、FreeBSD闻名天下之后,OpenBSD将成为下一颗开放源代码操作系统的新星。
OpenBSD小资料
---- 主页:
http://www.openbsd.org
---- 性质: 开放源代码,应用程序基于GPL或Berkeley授权形式。
---- 价格: 28美元(不含邮费)邮购CD,也可以从Internet上免费获得系统本身及其源代码
,但为了生存和发展的需要,OpenBSD开发组织鼓励用户购买。
---- 目前支持(正在维护和发展)的平台,包括Alpha、Amiga、HP300/400、i386、mac68k
(Apple Macintosh)、Mvme68k、Pmax、Powerpc、Sparc(Sun4, Sun4c和Sun4m)、sun3。
---- 服务: 在多个国家和地区提供安装、系统安全、防火墙设置等收费服务。
