OpenBSD

OpenBSD

"Gratuit, sécurisé et fonctionnel"
Société / promoteur	Le projet OpenBSD
OS famille	BSD
État de fonctionnement	Courant
modèle de Source	Open source
Première publication	1 Octobre 1996
Dernière version stable	5,2 (1 Novembre 2012 (La 2012-11-01)) [±] [ ±]
Dernière version instable	5.2.1 courant (en cours) [±] [ ±]
gestionnaire de package	Outils pour les paquets et OpenBSD arborescence des ports
Plates-formes supportées	68 000, Alpha, AMD64, i386, MIPS, PowerPC, SPARC 32/64, VAX, Zaurus et d'autres
Type Kernel	Monolithique
Userland	BSD
Par défaut Interface utilisateur	Modifié pdksh, FVWM 2.2.5 pour X11
Licence	BSD, ISC
Site officiel	http://www.openbsd.org

OpenBSD est un Unix ordinateur système d'exploitation est descendu de Berkeley Software Distribution (BSD), un Unix dérivé développé au Université de Californie, Berkeley. C'était fourchue de NetBSD par le chef de projet Theo de Raadt à la fin de 1995. En plus du système d'exploitation, le projet OpenBSD a produit des versions portables de nombreux sous-systèmes, notamment PF, OpenSSH et OpenNTPD, qui sont très largement disponibles sous forme de paquets dans d'autres systèmes d'exploitation.

Le projet est aussi largement connue pour l'insistance des développeurs sur open-source code et la documentation de qualité, position intransigeante sur licences de logiciels, et se concentrer sur la sécurité et le code correcte. Le projet est coordonné de la maison de de Raadt à Calgary , Alberta, Canada. Son logo et la mascotte est un pufferfish nommé Puffy.

OpenBSD comprend un certain nombre de fonctions de sécurité absents ou facultative dans d'autres systèmes d'exploitation, et a une tradition dans laquelle les développeurs vérifier le code source de bogues logiciels et les problèmes de sécurité. Le projet maintient des politiques strictes sur les licences et préfère l' open-source licence BSD et ses variantes dans le passé, cela a conduit à une vérification de la licence globale et se déplace de supprimer ou de remplacer le code sous licences trouvé moins acceptable.

Comme avec la plupart des autres systèmes d'exploitation BSD, l'OpenBSD noyau et userland programmes, tels que la coque et des outils communs comme chat et ps, sont développés dans un même référentiel de code source. Les logiciels tiers est disponible sous forme de paquets binaires ou peut être construit à partir de source en utilisant la arborescence des ports. En outre, comme la plupart des systèmes d'exploitation BSD modernes, il est capable d'exécuter du code binaire compilé pour Linux dans une architecture d'un ordinateur compatible à pleine vitesse dans mode de compatibilité.

Le projet OpenBSD maintient ports pour 17 différents matériel les plates-formes, y compris la DEC Alpha, Intel i386, Hewlett Packard PA-RISC, AMD AMD64 et Motorola 68000 processeurs, d'Apple s ' Machines PowerPC, Soleil SPARC et Ordinateurs basés SPARC64, la VAX et le Sharp Zaurus.

Utilisations

Sécurité

Les améliorations de sécurité de OpenBSD, intégré dans la cryptographie et le PF Packet Filter costume pour une utilisation dans l'industrie de la sécurité, par exemple sur les pare-feu, systèmes de détection d'intrusion et VPN passerelles.

OpenBSD 4.9 consécutive X.Org avec le défaut FVWM gestionnaire de fenêtres.

Les systèmes propriétaires de plusieurs fabricants sont basés sur OpenBSD, y compris les dispositifs de Armorlogic (Profense application web pare-feu), Calyptix sécurité, GeNUA mbH, RTMX Inc, et .vantronix GmbH. Les versions ultérieures de Microsoft s ' Services for UNIX, une extension de la de Windows système d'exploitation qui fournit des fonctionnalités de type Unix, utilisent beaucoup de code d'OpenBSD inclus dans le Interix suite de l'interopérabilité, développé par Softway Systems Inc., qui Microsoft a acquis en 1999. CORE FORCE, un produit de sécurité pour Windows, est basé sur OpenBSD pare-feu PF.

Bureau

OpenBSD est fourni avec le système de fenêtrage X et est adapté pour une utilisation sur le bureau. Forfaits pour les outils bureautiques courantes sont disponibles, y compris les environnements de bureau GNOME , KDE, et Xfce; navigateurs Web Konqueror, Mozilla Firefox et Chrome; et programmes multimédias MPlayer, VLC media player et xine. Le projet soutient également minimalistes philosophies de gestion de fenêtre en incluant les cwm empilage gestionnaire de fenêtres dans la distribution principale.

Entreprise

Ouvrir conseil en logiciels "M: Niveau" a déployé OpenBSD sur les serveurs, les ordinateurs de bureau et les pare-feu dans les environnements d'entreprise de nombreuses grandes sociétés Fortune 500. "M: niveau" également parrainé le portage de l'open source suite de travail collaboratif Zarafa à OpenBSD comme une alternative à Microsoft Exchange.

Serveur

OpenBSD dispose d'une suite complète du serveur et est facilement configuré comme un serveur de messagerie, le serveur web, serveur ftp, serveur DNS, routeur, pare-feu, ou NFS serveur de fichiers. Logiciel fournir un soutien pour d'autres protocoles de serveur tels que SMB ( Samba) est disponible sous forme de paquets.

Projets de composants OpenBSD

Malgré la petite taille de l'équipe et relativement faible utilisation d'OpenBSD, le projet a filé avec succès hors versions portables largement disponibles de nombreuses parties du système de base, y compris:

• OpenBGPD, une implémentation libre de la Border Gateway Protocol 4 (BGP-4)
• OpenOSPFD, une implémentation libre de la Open Shortest Path First (OSPF) protocole de routage
• OpenNTPD, une alternative simple à ntp.org de Network Time Protocol (NTP)
• OpenSMTPD, gratuit Simple Mail Transfer Protocol (SMTP) démon à l'aide IPv4 / IPv6, PAM, Maildir et domaines virtuels soutien
• OpenSSH, une mise en œuvre très apprécié de la Shell (SSH) protocole sécurisé
• OpenIKED, une implémentation libre de la Internet Key Exchange (IKEv2) protocole
• Adresse commune Redundancy Protocol (CARP), une alternative libre à Le breveté de CISCO HSRP / Protocoles de redondance de serveur VRRP
• PF, un IPv4 / IPv6 pare-feu dynamique avec NAT, PAT, QoS et de la normalisation du trafic soutien
• pfsync, un protocole de synchronisation des pare-feu pour les Etats PF pare-feu avec Soutien de haute disponibilité à l'aide CARP
• spamd, un filtre anti-spam avec une capacité de greylisting conçu pour interopérer avec le PF pare-feu
• tmux, une alternative libre, sécurisé et maintenable à la GNU multiplexeur de terminal à écran
• sndio, un audio compact et cadre MIDI
• Xenocara, une personnalisé Infrastructure de construction X.Org
• MCG, un gestionnaire de fenêtres empilage

Certains des sous-systèmes ont été intégrés dans le système de plusieurs autres projets BSD de base, et tous sont largement disponibles sous forme de paquets pour une utilisation dans d'autres systèmes de type Unix, et dans certains cas dans Microsoft Windows.

processus de développement et la libération

Le développement est continu, et la gestion de l'équipe est ouverte et étagée. Toute personne ayant les compétences appropriées peut contribuer, avec commettre droits étant accordés sur le mérite et de Raadt agissant en tant que coordinateur. Deux versions officielles sont faites par an, avec le numéro de version incrémenté de 0,1, et ceux-ci sont pris en charge pour chaque douze mois. Snapshot de presse sont également disponibles à des intervalles très fréquents. correctifs de maintenance pour les versions prises en charge peuvent être appliquées manuellement ou en mettant à jour régulièrement le système contre la branche des correctifs de la CVS pour cette version.

Alternativement, un administrateur système peut choisir de mettre à niveau en utilisant un communiqué de snapshot et ensuite mettre à jour régulièrement le système contre la branche «courant» du référentiel CVS, afin de gagner l'accès pré-version de fonctionnalités récemment ajoutées.

Le noyau GENERIC OpenBSD standard, comme le soutient le projet, est fortement recommandé pour une utilisation universelle et noyaux personnalisés ne sont pas pris en charge par le projet, en ligne avec la philosophie que «les tentatives de personnaliser ou" optimiser "le noyau provoque plus de problèmes qu'ils résoudre ».

Forfaits en dehors du système principal accumulation sont maintenus par CVS via un arborescence des ports et sont de la responsabilité des responsables individuels (connus comme porteurs). Ainsi que du maintien de la branche courante jusqu'à ce jour, est prévu le portier d'un paquet d'appliquer correction de bogue et correctifs de maintenance appropriée aux succursales de l'ensemble des versions supportées. Ports ne sont pas soumis à la même vérification rigoureuse continue comme système principal parce que le projet n'a pas la main-d'oeuvre pour ce faire.

Les paquets binaires sont construits au centre de l'arbre des ports pour chaque architecture. Ce processus est appliqué pour la version actuelle, pour chaque version prise en charge, et pour chaque cliché. Les administrateurs sont invités à utiliser le mécanisme de paquet plutôt que de construire le paquet dans l'arborescence des ports, sauf se ils ont besoin pour effectuer leurs propres changements de source.

Histoire et popularité

Diagramme à barres montrant la proportion d'utilisateurs de chaque variante de BSD d'une enquête de 2005 de l'utilisation BSD. Chaque participant a été autorisé à indiquer variantes BSD multiples.

En Décembre 1994, NetBSD co-fondateur Theo de Raadt a été invité à démissionner de son poste en tant que développeur senior et membre de l'équipe de base de NetBSD. La raison pour laquelle ce ne est pas tout à fait clair, même si certains affirment que ce était en raison de conflits de personnalité au sein du projet NetBSD et sur son listes de diffusion.

En Octobre 1995, de Raadt fondée OpenBSD, un nouveau projet de NetBSD 1.0 fourchue. La version initiale, OpenBSD 1.2, a été faite en Juillet 1996, suivie en Octobre de la même année par OpenBSD 2.0. Depuis lors, le projet a suivi un programme d'une version tous les six mois, dont chacun est maintenu et soutenu pendant un an. La dernière version, OpenBSD 5.2, apparu le 1er Novembre de 2012.

Le 25 Juillet 2007, OpenBSD développeur Bob Beck a annoncé la formation de la Fondation OpenBSD, un Canadien sans but lucratif formé pour «agir comme un point de contact pour les personnes et les organisations nécessitant une entité juridique à traiter quand ils souhaitent soutenir OpenBSD seule."

Juste comment est utilisé largement OpenBSD est difficile à déterminer: ses développeurs ni publier ni recueillir des statistiques d'utilisation, et il ya peu d'autres sources d'information. En Septembre 2005, le Groupe de Certification BSD naissante effectué une enquête qui a révélé que l'utilisation de 32,8% des utilisateurs de BSD (1420 de 4330 répondants) utilisait OpenBSD, le plaçant deuxième des quatre variantes principales BSD, derrière FreeBSD avec 77% et devant NetBSD avec 16,3%.

Licences

Un but du projet OpenBSD est de «maintenir l'esprit de l'Unix de Berkeley originale droits d'auteur ", qui a permis une« distribution relativement peu encombrée source d'Unix ". A cette fin, la Internet Systems Consortium (ISC) de licence, une version simplifiée de la licence BSD avec libellé enlevé qui ne est pas nécessaire dans le cadre du Convention de Berne, est préféré pour le nouveau code, mais le Licences MIT ou BSD sont acceptées. La largement utilisé GNU General Public License est considérée comme trop restrictive par rapport à ceux-ci.

En Juin 2001 déclenchée par les inquiétudes sur la modification de Darren Reed de licence la formulation de IPFilter, une vérification de licence systématique des ports d'OpenBSD et d'arbres de source a été entrepris. Code dans plus d'une centaine de dossiers dans tout le système a été jugée sans licence, ambiguë licence ou en cours d'utilisation contre les termes de la licence. Pour se assurer que toutes les licences ont été correctement respectées, une tentative a été faite pour contacter tous les détenteurs de droits d'auteur concernés: certains ont été retirés des morceaux de code, beaucoup ont été remplacés, et d'autres, y compris le multidiffusion outils de routage, mrinfo et plan-mbone, qui ont été autorisées par Xerox pour la recherche uniquement, ont été relicenciée sorte que OpenBSD pouvait continuer à les utiliser; également supprimé au cours de cette vérification était tout logiciel produit par Daniel J. Bernstein. À l'époque, Bernstein a demandé que toutes les versions modifiées de son code être approuvés par lui avant la redistribution, une exigence à laquelle les développeurs OpenBSD ne étaient pas disposés à consacrer du temps ou d'effort. La suppression conduit à un affrontement avec Bernstein, qui sentait le retrait de son logiciel pour être déplacé. Il a cité le Netscape navigateur web autant moins librement sous licence et a accusé les développeurs OpenBSD d'hypocrisie pour permettre Netscape de rester tout en retirant de son logiciel. La position du projet OpenBSD est que Netscape, mais pas open source, avait des conditions de licence qui pourraient être plus facilement remplies. Ils ont affirmé que la demande de Bernstein pour le contrôle des produits dérivés conduirait à beaucoup de travail supplémentaire et que l'enlèvement était le moyen le plus approprié pour se conformer à ses exigences.

L'équipe OpenBSD a développé un logiciel à partir de zéro, ou adopté logiciel existant appropriée, en raison de préoccupations licence. On notera en particulier le développement, après les restrictions de licence ont été imposées IPFilter, de la pf filtre de paquets, qui est apparu dans OpenBSD 3.0 et est maintenant disponible en DragonFly BSD, NetBSD et FreeBSD. Développeurs OpenBSD ont également remplacé les outils sous licence GPL (comme diff, grep et pkg-config) avec BSD licence équivalents et a fondé de nouveaux projets, y compris le OpenBGPD démon de routage et OpenNTPD démon service de temps. A également développé à partir de zéro était le logiciel OpenSSH utilisé à l'échelle mondiale.

Financement

Bien que le système d'exploitation et ses composants mobiles sont largement utilisés dans les produits commerciaux, de Raadt dit que peu de financement pour le projet vient de l'industrie: «traditionnellement tout notre financement provient de dons des utilisateurs et les utilisateurs qui achètent nos CD (nos autres produits ne nous rend pas vraiment beaucoup d'argent). De toute évidence, cela n'a pas eu beaucoup d'argent. "

Pour une période de deux ans au début des années 2000, le projet a reçu un financement DARPA, qui "a payé les salaires des cinq personnes à travailler à plein temps complètement, acheté environ 30k $ en matériel, et payé 3 hackathons."

De Raadt a exprimé une certaine inquiétude à propos de l'asymétrie de financement: «Je pense que les contributions auraient dû venir d'abord de vendeurs, d'autre part des utilisateurs de l'entreprise, et troisièmement des utilisateurs individuels, mais la réponse a été presque entièrement le contraire, avec presque un. 15-1 ratio de dollars en faveur des petites gens. Merci un lot, petites gens! "

La sécurité et l'audit de code

Peu de temps après la création de OpenBSD, Theo de Raadt a été contacté par une entreprise de logiciels de sécurité local nommé Secure Networks, Inc. ou SNI. Ils ont été au point un "outil d'audit de sécurité réseau" appelé Ballista (plus tard renommé Cybercop Scanner après SNI a été acheté par Network Associates), qui visait à trouver et tentative de exploiter les éventuelles failles de sécurité des logiciels. Cela a coïncidé bien avec l'intérêt de la sécurité de Raadt, pour un temps les deux coopéré, une relation qui était d'une utilité particulière menant à la version d'OpenBSD 2.3 et aidé à définir la sécurité comme le point focal du projet.

OpenBSD inclut des fonctionnalités conçues pour améliorer la sécurité. Il se agit notamment additions API, comme le strlcat et strlcpy fonctions; modifications de l'ensemble des outils, y compris une limites statiques de dames; techniques de protection de la mémoire pour se prémunir contre les accès non valides, tels que ProPolice et W ^ X (W xor X) Cette page fonction de protection; et la cryptographie et fonctions de randomisation.

Pour réduire le risque d'une vulnérabilité ou une mauvaise configuration permettant une escalade de privilège, certains programmes ont été écrits ou adaptés pour faire usage de la séparation des privilèges, la révocation de privilèges et chroot. La séparation des privilèges est une technique, pionnier sur OpenBSD et inspiré par le principe du moindre privilège, où un programme est divisé en deux ou plusieurs parties, l'une qui effectue des opérations privilégiées et l'autre, presque toujours la majeure partie des codes-pistes sans privilège. La révocation de privilèges est similaire et implique un programme d'effectuer les opérations nécessaires avec les privilèges Il commence avec ensuite les laisser tomber. Chrooter consiste à limiter à une application d'une section de la le système de fichiers, lui interdisant d'accéder à des zones qui contiennent des fichiers privés ou du système. Les développeurs ont appliqué ces fonctionnalités pour les versions d'OpenBSD d'applications courantes, y compris tcpdump et la Apache le serveur web.

Développeurs OpenBSD ont contribué à la naissance de-et le projet continue à déve- OpenSSH, un remplacement sécurisé pour Telnet. OpenSSH est basé sur l'original suite SSH et développé par l'équipe OpenBSD. Il est apparu dans OpenBSD 2.6 et est maintenant mise en œuvre la plus populaire SSH, disponible sur de nombreux systèmes d'exploitation.

Le projet a pour politique de toujours l'audit de code pour des problèmes, travailler ce développeur Marc Espie a décrit comme "jamais fini ... plus une question de processus que d'un bug spécifique traqué". Il a ensuite énuméré plusieurs étapes typiques fois un bug se trouve, y compris l'examen de l'arbre source entier pour les mêmes et d'autres questions similaires, "essayer [ant] de savoir si la documentation doit être modifiée" et de vérifier si "ce est possible pour augmenter la compilateur de mettre en garde contre ce problème spécifique ".

Alléguée porte dérobée FBI enquête

Le 11 Décembre 2010, Gregory Perry a envoyé un courriel à Theo de Raadt, alléguant que le FBI avait payé certains ex-développeurs OpenBSD dix années auparavant pour insérer des portes dérobées sur le Structure cryptographique d'OpenBSD. Theo de Raadt a fait l'email public le 14 Décembre en le transférant à la liste de diffusion OpenBSD-tech et a suggéré un audit de la Codebase IPsec. La réponse de Raadt était sceptique du rapport et il a invité tous les développeurs d'examiner indépendamment le code correspondant. Dans les semaines qui suivirent, bugs ont été corrigés, mais aucune preuve de portes dérobées ont été trouvés.

Slogan

Le site dispose d'OpenBSD une référence de premier plan à l'enregistrement de sécurité de l'installation par défaut. Jusqu'à Juin 2002, le libellé lire "Cinq ans sans un trou à distance dans l'installation par défaut!" Une OpenSSH bug a ensuite découvert que fait-il possible pour un attaquant distant de prendre racine dans OpenBSD et dans l'un des nombreux autres systèmes exécutant OpenSSH à l'époque. Il a été rapidement fixé, comme il est normal avec des trous de sécurité connus. Le slogan a été modifié pour "Un trou à distance dans l'installation par défaut, en près de six années!" En 2007 une vulnérabilité liée au réseau a été trouvé, qui a également été vite résolu. La citation a été modifié par la suite à "Seuls deux trous distants dans l'installation par défaut, dans un sacré bout de temps!" En Décembre 2012 cette formulation reste.

Cette déclaration a été critiquée parce que l'installation par défaut contient quelques services en fonctionnement, et la plupart des utilisateurs va commencer plus de services et d'installer des logiciels supplémentaires. Le projet stipule que l'installation par défaut est intentionnellement minimaux pour assurer les utilisateurs novices "ne ont pas besoin de devenir des experts en sécurité durant la nuit", ce qui correspond avec l'open-source et les pratiques d'audit de code ont fait valoir des éléments importants d'un système de sécurité.

La distribution et la commercialisation

OpenBSD est disponible librement dans diverses manières: la source peut être récupéré par CVS anonyme, et les versions binaires et des instantanés de développement peut être téléchargé soit par FTP ou HTTP. Préemballé Ensembles de CD-ROM peuvent être commandés en ligne pour une somme modique, avec un assortiment d'autocollants et une copie de la chanson thème de la libération. Ceux-ci, avec leurs oeuvres d'art et autres primes, sont l'une des rares sources de revenus, de matériel de financement du projet, la bande passante et d'autres dépenses.

En commun avec d'autres systèmes d'exploitation, OpenBSD fournit un système de gestion de paquet pour l'installation et la gestion facile des programmes qui ne font pas partie du système d'exploitation de base. Forfaits sont des fichiers binaires qui sont extraits, gérés et éliminés en utilisant les outils de l'emballage. Sur OpenBSD, la source de paquets est le système des ports, une collection de Makefiles et autres infrastructures nécessaires pour créer des packages. Dans OpenBSD, les ports et le système d'exploitation de base sont élaborés et publiés en même temps pour chaque version: cela signifie que les ports ou les packages publiés avec, par exemple, 4,6 ne sont pas adaptés pour une utilisation avec 4.5 et vice versa.

OpenBSD utilise d'abord le démon BSD mascotte créée par Phil Foglio, mis à jour par John Lasseter et copyright Marshall Kirk McKusick. Les versions ultérieures ont vu variations, pour finalement se établir sur Puffy, décrit comme un pufferfish. Depuis Puffy est apparu sur OpenBSD matériel promotionnel et présenté dans les chansons de libération et des illustrations. Le matériel promotionnel des premières versions d'OpenBSD ne avait pas un thème cohérent ou design, mais plus tard, les CD-ROM, libération des chansons, des affiches et des tee-shirts pour chaque version ont été produits avec un seul style et le thème, parfois contribué par Ty Semaka de la Plaid Tongued Devils. Elles sont devenues une partie de OpenBSD plaidoyer, à chaque nouvelle version élargissant un point moral ou politique important au projet, souvent par le biais parodie. Thèmes passés ont inclus: dans OpenBSD 3.8, le pirates du RAID Lost, une parodie de Indiana Jones liée aux nouveaux outils de RAID en vedette dans le cadre de la libération; The Wizard of OS, qui fait ses débuts dans OpenBSD 3.7, basé sur le travail de Pink Floyd et une parodie de Le Magicien d'Oz lié au projet de récente travaux sans fil; Puff et d'OpenBSD 3.3 le Barbare, y compris une chanson rock des années 80 de style et parodie de Conan le Barbare, faisant allusion à ouvrir la documentation.