OpenBSD: відмінності між версіями
R (обговорення | внесок) Створена сторінка: {{SEO |title=OpenBSD — безпечна UNIX-подібна операційна система з фокусом на аудит коду, криптографію, мережі й простоту |description=OpenBSD — Wiki-стаття про вільну 4.4BSD-based UNIX-like операційну систему, відому фокусом на security by default, аудитом коду, OpenSSH, PF firewall, LibreSSL, pledge, unveil, signify,... |
R (обговорення | внесок) Немає опису редагування |
||
| Рядок 1: | Рядок 1: | ||
'''Головне правило:''' OpenBSD найкраще функціонує, коли платформа проста, роль сервера зрозуміла, а адміністратор читає документацію. | '''Головне правило:''' OpenBSD найкраще функціонує, коли платформа проста, роль сервера зрозуміла, а адміністратор читає документацію. '''softraid''' в OpenBSD застосовується для для програмного RAID і шифрування дисків. Вона дуже сильна у своїх нішах, але не намагається бути універсальною для кожного сценарію. Якщо диск пошкоджено або втрачено пароль, інформаційні дані можуть бути недоступні. * OpenBSD часто прибирає або переписує код, якщо вважає його небезпечним або надто складним.== Security by default == | ||
'''Небезпека:''' найпростіший спосіб зламати OpenBSD — намагатися перетворити її на Linux і не читати документацію.<div style="background:#e7f3ff; border-left:6px solid #2b7cff; padding:12px; margin:12px 0;"> | |||
== pf.conf == | |||
'''Основна ідея:''' OpenBSD — це операційна платформа, яка не намагається бути наймоднішою.== doas == | |||
* | |||
* | Основні команди: | ||
* DNS | |||
* | </div> | ||
* | |||
* | * OpenSMTPD; | ||
* spamd; | |||
* Dovecot через packages; | |||
* rspamd через packages; | |||
* DKIM tools; | |||
* TLS; | |||
* DNS records; | |||
* mail aliases; | |||
* local delivery; | |||
* relay host. Офіційна сторінка релізу зазначає, що це 59-й реліз OpenBSD. * очікувати поведінку Linux; | |||
* не читати man pages; | * не читати man pages; | ||
* вмикати зайві сервіси; | * вмикати зайві сервіси; | ||
| Рядок 23: | Рядок 32: | ||
* плутати packages і ports; | * плутати packages і ports; | ||
* очікувати ідеальний desktop experience; | * очікувати ідеальний desktop experience; | ||
* не перевіряти hardware compatibility. | * не перевіряти hardware compatibility. '''Правило:''' OpenBSD дає хороший контроль, але приватність залежить від поведінки користувача, мережі, браузера й сервісів, якими він користується. * Маскот OpenBSD — риба Puffy.<div style="background:#f0eaff; border-left:6px solid #8e44ad; padding:12px; margin:12px 0;"> | ||
''' | |||
<div style="background:# | <div style="background:#fff4e5; border-left:6px solid #f39c12; padding:12px; margin:12px 0;"> | ||
OpenBSD виникла як відгалуження від NetBSD у 1995 році. OpenBSD має дуже сильну культуру документації через '''man pages'''. '''Практична роль:''' у OpenBSD логи часто прості, текстові й зрозумілі — це дуже оптимізує під час діагностики.</div> | |||
< | == rc.conf.local == | ||
<syntaxhighlight lang="sh"> | |||
OpenBSD | У OpenBSD критично не редагувати системні файли без потреби, а використовувати правильні локальні конфігураційні механізми. Типові джерела: | ||
! * У світі OpenBSD “простий” часто означає “безпечніший, зрозуміліший і легший для аудиту”.== Приклади команд OpenBSD == | |||
Це лише навчальний приклад. OpenBSD після встановлення зазвичай має небагато увімкнених сервісів. Можливі проблеми: | |||
'''Security by default''' означає, що платформа після встановлення має бути максимально обережною.</div> | |||
<div style="background:#fdecea; border-left:6px solid #e74c3c; padding:12px; margin:12px 0;"> | |||
Програма здатна бачити лише ті частини файлової системи, які їй явно відкриті. '''Критично:''' перед оновленням сервера потрібно мати backup, доступ до консолі або out-of-band management і план відновлення. Навіть якщо людина ніколи не встановлювала OpenBSD, вона майже напевно користувалася OpenSSH. Приклад команди: | |||
Можливі сценарії: | Можливі сценарії: | ||
| Рядок 62: | Рядок 64: | ||
* документації; | * документації; | ||
* lightweight hosting.</div> | * lightweight hosting.</div> | ||
== | '''relayd''' — OpenBSD daemon для relay, load balancing і proxy-сценаріїв.== unveil == | ||
Ports корисні для: | |||
<syntaxhighlight | </syntaxhighlight> | ||
pass out | |||
* читання файлів; | |||
* мережа; | |||
* stdio; | |||
* DNS; | |||
* робота з process; | |||
* інші чітко визначені групи можливостей.<div style="background:#eafaf1; border-left:6px solid #2ecc71; padding:12px; margin:12px 0;"> | |||
rcctl start sshd | |||
! Ви самі відкриваєте тільки ті, які справді потрібні.== Man pages == | |||
== Загальний SEO-опис == | |||
<syntaxhighlight lang="text"> | |||
Вона застосовується для для: | |||
* перегляд системного коду; | |||
* пошук небезпечних функцій; | |||
* спрощення реалізації; | |||
* видалення застарілого коду; | |||
* перевірку меж буферів; | |||
* криптографічний review; | |||
* аналіз privilege separation; | |||
* пошук логічних помилок; | |||
* перевірку default configuration.<div style="background:#fff4e5; border-left:6px solid #f39c12; padding:12px; margin:12px 0;"> | |||
rcctl застосовується для для: | |||
Такий підхід дає: | |||
'''Практична роль:''' rcctl робить керування службами в OpenBSD простим і передбачуваним.<div style="background:#fff4e5; border-left:6px solid #f39c12; padding:12px; margin:12px 0;"> | |||
'''OpenBSD 7.8''' — актуальний реліз OpenBSD, випущений 22 жовтня 2025 року. Складний pf.conf без документації швидко перетворюється на пастку для адміністратора. * OpenBSD ports and packages documentation. OpenBSD має обмеження. ! ! Це набір інструментів для безпечного віддаленого доступу, копіювання файлів і тунелювання. :contentReference [oaicite:7]{index=7} | |||
* | |||
<div style="background:#eafaf1; border-left:6px solid #2ecc71; padding:12px; margin:12px 0;"> | <div style="background:#eafaf1; border-left:6px solid #2ecc71; padding:12px; margin:12px 0;"> | ||
| Рядок 106: | Рядок 113: | ||
* не встановлювати зайві daemon-и; | * не встановлювати зайві daemon-и; | ||
* контролювати браузер і web-застосунки; | * контролювати браузер і web-застосунки; | ||
* не плутати privacy з anonymity. | * не плутати privacy з anonymity. '''pf.conf''' — конфігураційний файл PF. Критерій | ||
''' | |||
pass in on egress proto tcp to port 22 | |||
Аудит здатна включати: | Аудит здатна включати: | ||
== Filesystem і storage == | == Filesystem і storage == | ||
! Приклади: | |||
! | '''критично:''' security by default не означає “можна нічого не налаштовувати”. Критерій | ||
''' | |||
* походження з BSD; | * походження з BSD; | ||
| Рядок 193: | Рядок 132: | ||
* створення LibreSSL після проблем у OpenSSL-екосистемі; | * створення LibreSSL після проблем у OpenSSL-екосистемі; | ||
* регулярні релізи приблизно кожні пів року; | * регулярні релізи приблизно кожні пів року; | ||
* технічна підтримка різних апаратних платформ. '''Цікавий факт:''' OpenBSD часто реагує на проблеми не косметично, а хірургічно: якщо код поганий, його можуть радикально почистити.< | * технічна підтримка різних апаратних платформ. '''Цікавий факт:''' OpenBSD часто реагує на проблеми не косметично, а хірургічно: якщо код поганий, його можуть радикально почистити. * FFS; | ||
* disklabel; | |||
* softraid; | |||
* encrypted disks; | |||
* swap; | |||
* mount points; | |||
* dump/restore; | |||
* fsck; | |||
* partitions; | |||
* backups. офіційний changelog 7.8 містить детальний перелік змін між 7.7 і 7.8. '''OpenNTPD''' — NTP daemon від OpenBSD для синхронізації часу.<div style="background:#eafaf1; border-left:6px solid #2ecc71; padding:12px; margin:12px 0;"> | |||
</div> | |||
<syntaxhighlight lang="sh"> | <syntaxhighlight lang="sh"> | ||
OpenBSD можна використовувати для DNS-сервісів. OpenBSD | |||
pkg_delete package_name | |||
''' | '''критично:''' firewall-правила мають бути простими й зрозумілими. ! tail -f /var/log/authlog | ||
<div style="background:#fef2f2; border-left:6px solid #ef4444; padding:12px; margin:12px 0;"> | <div style="background:#fef2f2; border-left:6px solid #ef4444; padding:12px; margin:12px 0;"> | ||
<syntaxhighlight lang="sh"> | |||
<div style="background:#fff4e5; border-left:6px solid #f39c12; padding:12px; margin:12px 0;"> | <div style="background:#fff4e5; border-left:6px solid #f39c12; padding:12px; margin:12px 0;"> | ||
== OpenBSD і FreeBSD == | == OpenBSD і FreeBSD == | ||
=== Подивитися auth logs === | |||
</div> | </div> | ||
| Рядок 261: | Рядок 178: | ||
* minimal desktop для досвідчених користувачів; | * minimal desktop для досвідчених користувачів; | ||
* розробки secure software; | * розробки secure software; | ||
* експериментів із BSD-системами. | * експериментів із BSD-системами. Йдеться саме про стандартну інсталяцію з мінімумом увімкнених сервісів.</div> | ||
<div style="background:#e7f3ff; border-left:6px solid #2b7cff; padding:12px; margin:12px 0;"> | <div style="background:#e7f3ff; border-left:6px solid #2b7cff; padding:12px; margin:12px 0;"> | ||
Типові серверні сценарії: | |||
man rcctl | |||
OpenSSH | * TCP relay; | ||
* HTTP relay; | |||
* TLS termination у відповідних конфігураціях; | |||
* load balancing; | |||
* health checks; | |||
* reverse proxy; | |||
* internal service routing. OpenBSD не виступає як найкращою ОС для кожного користувача. * OpenSSH, один із найважливіших security-інструментів у світі, походить із OpenBSD. OpenBSD має власний підхід до файлових систем і storage.<div style="background:#e8f8f5; border-left:6px solid #16a085; padding:12px; margin:12px 0;"> | |||
< | <syntaxhighlight lang="sh"> | ||
OpenBSD | * security patches; | ||
* errata patches; | |||
* швидкого оновлення версій base system; | |||
* підтримки актуального стану; | |||
* production-серверів. офіційний сайт OpenBSD прямо зазначає, що popular OpenSSH software comes from OpenBSD.</div> | |||
!<div style="background:#fff4e5; border-left:6px solid #f39c12; padding:12px; margin:12px 0;"> | |||
== | '''pledge''' — механізм OpenBSD, який дає можливість програмі добровільно обмежити свої функції ERP.== Mail server == | ||
!</syntaxhighlight> | |||
* keyboard-driven роботи; | |||
== | * легкого desktop; | ||
* старішого hardware; | |||
* простого X11-середовища; | |||
* користувачів, які не хочуть важкий desktop environment. Він здатна використовуватися для: | |||
OpenBSD добре підходить для компактних серверів із чіткою роллю.== rcctl == | |||
'''OpenSMTPD''' — поштовий сервер, створений у межах OpenBSD-проєкту. * У OpenBSD дуже серйозно ставляться до man pages.<div style="background:#fff4e5; border-left:6px solid #f39c12; padding:12px; margin:12px 0;"> | |||
'''Висновок:''' NetBSD славиться переносимістю, а OpenBSD — безпекою, аудитом і мінімалістичним дизайном. pkg_add -u | |||
</div> | </div> | ||
'''Практична порада:''' mail server — одна з найскладніших серверних задач.== Тематичні мітки == | |||
== Серверне використання == | |||
tail -f /var/log/messages | |||
== pledge == | |||
Це корисно для: | |||
OpenBSD часто використовують як firewall/router через PF, стабільній мережевій підсистемі й мінімалістичному підходу. :contentReference [oaicite:9]{index=9} | |||
''' | OpenBSD можна використовувати для поштової інфраструктури. Можливі компоненти: | ||
'''Практична роль:''' OpenBSD створює не лише ОС, а й важливі мережеві daemon-и з акцентом на простоту й безпеку. * Документація щодо pledge, unveil, signify, rcctl, syspatch, sysupgrade і OpenBSD security. Філософію OpenBSD можна описати кількома словами: | |||
</div> | |||
* | * SMTP; | ||
* | * mail relay; | ||
* | * локальної доставки пошти; | ||
* | * простих mail-серверів; | ||
* | * relay-сценаріїв; | ||
* | * системних повідомлень; | ||
* | * інтеграції з іншими mail-компонентами. Безпечна ОС не рятує від слабких паролів, відкритих сервісів і неоновлених пакетів.<div style="background:#e7f3ff; border-left:6px solid #2b7cff; padding:12px; margin:12px 0;"> | ||
Приклад ідеї правила PF: | Приклад ідеї правила PF: | ||
<div style="background:#e7f3ff; border-left:6px solid #2b7cff; padding:12px; margin:12px 0;"> | <div style="background:#e7f3ff; border-left:6px solid #2b7cff; padding:12px; margin:12px 0;"> | ||
| Рядок 351: | Рядок 248: | ||
<div style="background:#ecfdf5; border-left:6px solid #10b981; padding:12px; margin:12px 0;"> | <div style="background:#ecfdf5; border-left:6px solid #10b981; padding:12px; margin:12px 0;"> | ||
'''Практична роль:''' OpenBSD добре підходить для невеликих DNS-серверів, де потрібна проста й контрольована конфігурація.= | '''Практична роль:''' OpenBSD добре підходить для невеликих DNS-серверів, де потрібна проста й контрольована конфігурація. '''Цікава ідея:''' pledge схожий на договір між програмою й ОС: “я буду робити тільки це, а якщо раптом спробую більше — зупини мене”. '''Головна перевага:''' OpenBSD змушує думати про систему як про інженерний об’єкт: що ввімкнено, навіщо, як це захищено і як це документовано. * unwind; | ||
* unbound; | |||
* nsd; | |||
* DNS forwarding; | |||
* caching resolver; | |||
* authoritative DNS; | |||
* DNSSEC у відповідних сценаріях. :contentReference [oaicite:4]{index=4} | |||
Для приватності критично: | |||
'''Висновок:''' Linux краще для масових задач і hardware compatibility, а OpenBSD — для простих, контрольованих, security-focused систем. * OpenSSH documentation. '''критично:''' OpenBSD — це не без зусиль “ще один BSD”. * OpenBSD не боїться бути нішевою.== DNS == | |||
* sandboxing; | |||
* обмеження шкоди від багів; | |||
* | * зменшення доступу до зайвих файлів; | ||
* | * простішого security review; | ||
* | * захисту конфігурацій і даних; | ||
* | * принципу least privilege. * читати `man afterboot`; | ||
* | |||
* регулярно встановлювати syspatch; | * регулярно встановлювати syspatch; | ||
* оновлювати packages через `pkg_add -u`; | * оновлювати packages через `pkg_add -u`; | ||
| Рядок 399: | Рядок 281: | ||
'''Висновок:''' pfSense зручніший як готовий firewall із web UI, а OpenBSD — як чиста платформа для тих, хто хоче повний контроль через конфігурацію. * OpenBSD man pages. NetBSD | '''Висновок:''' pfSense зручніший як готовий firewall із web UI, а OpenBSD — як чиста платформа для тих, хто хоче повний контроль через конфігурацію. * OpenBSD man pages. NetBSD | ||
Окремо варто відзначити яка відома дуже сильним фокусом на безпеку, простоту, аудит коду, криптографію, якість документації і мінімалістичний підхід до стандартної інсталяції виступає ключовою рисою '''OpenBSD'''. | Окремо варто відзначити яка відома дуже сильним фокусом на безпеку, простоту, аудит коду, криптографію, якість документації і мінімалістичний підхід до стандартної інсталяції виступає ключовою рисою '''OpenBSD'''.</div> | ||
<div style="background:#e7f3ff; border-left:6px solid #2b7cff; padding:12px; margin:12px 0;"> | |||
== Ports tree == | |||
! pfctl -f /etc/pf.conf | |||
=== Оновити систему до наступного релізу === | |||
== Джерела == | |||
'''Практична роль:''' OpenBSD особливо добре функціонує, коли сервер має одну зрозумілу роль і мінімум зайвого. OpenBSD має систему binary packages.</div> | |||
</div> | |||
Інший цікавий факт: '''OpenSSH''', один із найважливіших інструментів безпечного віддаленого доступу у світі UNIX/Linux, походить саме з OpenBSD.<div style="background:#eafaf1; border-left:6px solid #2ecc71; padding:12px; margin:12px 0;"> | |||
</div> | </div> | ||
</div> | </div> | ||
| Рядок 441: | Рядок 323: | ||
== httpd == | == httpd == | ||
sysupgrade | sysupgrade | ||
Під час інсталяції налаштовуються: | Під час інсталяції налаштовуються: | ||
'''Помилка:''' ставити OpenBSD лише через репутацію безпеки, не розуміючи її обмежень, hardware support і відмінностей від Linux. :contentReference [oaicite:2]{index=2} | |||
|- | |||
| Тип | |||
| Цілісна BSD-система | |||
| Ядро + дистрибутиви | |||
|- | |||
| Фокус | |||
| Security, correctness, simplicity | |||
| Дуже широкий спектр задач | |||
|- | |||
| Пакети | |||
| pkg_add, ports | |||
| Залежить від дистрибутива | |||
|- | |||
| Hardware support | |||
| Обмеженіший | |||
| Зазвичай ширший | |||
|- | |||
| Desktop | |||
| Нішевий | |||
| Масовий у Linux-світі | |||
|- | |||
| Server | |||
| Добрий для чітких ролей | |||
| Дуже широкий server/cloud ecosystem | |||
|} | |||
dmesg | |||
<div style="background:#e7f3ff; border-left:6px solid #2b7cff; padding:12px; margin:12px 0;"> | |||
<div style="background:#ecfdf5; border-left:6px solid #10b981; padding:12px; margin:12px 0;"> | |||
</div> | </div> | ||
| Рядок 452: | Рядок 363: | ||
OpenBSD регулярно випускає нові релізи.<div style="background:#e7f3ff; border-left:6px solid #2b7cff; padding:12px; margin:12px 0;"> | OpenBSD регулярно випускає нові релізи.<div style="background:#e7f3ff; border-left:6px solid #2b7cff; padding:12px; margin:12px 0;"> | ||
</div> | </div> | ||
'''unveil''' — механізм OpenBSD для обмеження доступу програми до файлової системи.== Приклад простого pf.conf == | |||
<div style="background:#ecfdf5; border-left:6px solid #10b981; padding:12px; margin:12px 0;"> | |||
<div style="background:#fff7ed; border-left:6px solid #fb923c; padding:12px; margin:12px 0;"> | |||
'''Перевага:''' OpenBSD добре підходить для тих, хто хоче систему з чіткою логікою, сильними man pages і security-first культурою. Linux | |||
OpenBSD можна використовувати як desktop, але це не її головна масова ніша.== OpenBSD і NetBSD == | |||
<div style="background:#eafaf1; border-left:6px solid #2ecc71; padding:12px; margin:12px 0;"> | |||
block all | |||
< | Компоненти можуть включати: | ||
OpenSSH застосовується для в багатьох операційних системах далеко за межами OpenBSD. Це зменшує attack surface.== OpenBSD 7.8 == | |||
== історія продукту OpenBSD == | |||
<syntaxhighlight lang="pf"> | |||
Рекомендовано: | |||
</div> | |||
<syntaxhighlight lang="sh"> | |||
* NAT; | |||
* packet filtering; | |||
* VPN; | |||
< | * routing; | ||
* DHCP; | |||
* DNS forwarding; | |||
* traffic segmentation; | |||
* small office gateway; | |||
* home lab firewall; | |||
* bastion network; | |||
* network experiments.=== Прочитати поради після встановлення === | |||
<syntaxhighlight lang="sh"> | |||
Desktop на OpenBSD здатна включати: | |||
</div> | </div> | ||
syspatch корисний для: | |||
uname -a | |||
* менше відкритих портів; | |||
* менше випадкових сервісів; | |||
* менше неочевидних залежностей; | |||
* простіший аудит; | |||
* кращу передбачуваність; | |||
* зрозумілішу систему для адміністратора; | |||
* безпечнішу стартову точку. * Матеріали щодо BSD, UNIX-like systems, firewall, SSH, network security і server hardening. '''Практична роль:''' правильний час у системі — це дрібниця лише до першого випадку, коли логи різних серверів неможливо зіставити.== Приватність == | |||
== OpenBGPD == | |||
</div> | </div> | ||
pass in on egress proto tcp to port 22 | |||
rcctl enable sshd | |||
'''Цікава деталь:''' OpenBSD desktop часто більше схожий на інструментальну майстерню, ніж на блискучий торговий центр.</syntaxhighlight> | |||
== OpenNTPD == | |||
<syntaxhighlight lang="sh"> | |||
'''cwm''' — легкий window manager, який входить в OpenBSD. :contentReference [oaicite:3]{index=3} | |||
== Інсталяція OpenBSD == | |||
Приклад ідеї: | |||
</syntaxhighlight> | |||
</syntaxhighlight> | |||
PF застосовується для для: | |||
* прибрати небезпечний або застарілий код; | |||
* спростити реалізацію; | |||
* провести аудит; | |||
* зробити бібліотеку більш підтримуваною; | |||
* зменшити складність; | |||
* зберегти потрібну сумісність у межах можливого. * firewall; | |||
* router; | * router; | ||
* SSH bastion; | * SSH bastion; | ||
| Рядок 497: | Рядок 452: | ||
* контрольована мережева інфраструктура; | * контрольована мережева інфраструктура; | ||
* вивчення PF; | * вивчення PF; | ||
* UNIX-середовище без зайвої складності. | * UNIX-середовище без зайвої складності.<syntaxhighlight lang="pf"> | ||
<div style="background:#fdecea; border-left:6px solid #e74c3c; padding:12px; margin:12px 0;"> | |||
Особливо важлива сторінка: | |||
Основні конкурентні переваги OpenBSD: | |||
</div> | </div> | ||
=== Оновити пакети === | |||
= | <div style="background:#fff4e5; border-left:6px solid #f39c12; padding:12px; margin:12px 0;"> | ||
pkg_add vim | |||
</div> | |||
''' | '''Практична роль:''' PF — одна з причин, чому OpenBSD часто обирають для firewall і мережевих шлюзів. З часом OpenBSD сформувала власну культуру: відкритість коду, жорсткий аудит, мінімалізм, криптографія, чистота реалізації та дуже прямий підхід до security. * `ssh`; | ||
* | * `sshd`; | ||
* | * `scp`; | ||
* | * `sftp`; | ||
* | * `ssh-keygen`; | ||
* | * `ssh-agent`; | ||
* | * `ssh-add`; | ||
* | * port forwarding; | ||
* security | * key-based authentication; | ||
* secure remote administration. офіційний сайт описує OpenBSD як '''FREE, multi-platform 4.4BSD-based UNIX-like operating system''' із фокусом на portability, standardization, correctness, proactive security та integrated cryptography. pkg_add package_name | |||
'''LibreSSL''' — криптографічна бібліотека, розроблена проєктом OpenBSD як форк OpenSSL після гучних проблем у OpenSSL-екосистемі. Це проєкт із дуже виразною філософією: краще менше, але якісніше, простіше й безпечніше.</div> | |||
</div> | |||
'''signify''' — інструмент OpenBSD для цифрового підпису й перевірки файлів. FreeBSD | |||
* security by default; | * security by default; | ||
| Рядок 543: | Рядок 497: | ||
* хороший вибір для bastion host; | * хороший вибір для bastion host; | ||
* чистий design; | * чистий design; | ||
* менше зайвої складності. '''критично:''' OpenBSD — не “найкраща ОС для всього”. !<div style="background:# | * менше зайвої складності. '''критично:''' OpenBSD — не “найкраща ОС для всього”. Критерій | ||
!<syntaxhighlight lang="sh"> | |||
<div style="background:#fff4e5; border-left:6px solid #f39c12; padding:12px; margin:12px 0;"> | |||
</div> | |||
man afterboot | |||
== OpenSMTPD == | |||
'''doas''' — простіший інструмент для виконання команд з іншими правами, часто як альтернатива sudo. На офіційному сайті проєкту довгий час застосовують, коли потрібно фраза: '''“Only two remote holes in the default install, in a heck of a long time!”''' Це не означає, що будь-яка платформа OpenBSD автоматизовано невразлива.== Хороші практики OpenBSD == | |||
== | |||
OpenBSD має легендарну репутацію в security-спільноті.</div> | |||
'''Висновок:''' OpenBSD частіше обирають за security-first підхід, а FreeBSD — за універсальність, продуктивність, ZFS і ширші серверні сценарії. Офіційна сторінка релізу OpenBSD 7.8, як приклад, згадує signify pubkeys для релізу. через '''Практична роль:''' unveil користувачі можуть зробити так, щоб програма не могла випадково або навмисно читати те, що їй не потрібно. Він текстовий, швидкий і не намагається бути красивим.<syntaxhighlight lang="sh"> | |||
</div> | </div> | ||
'''Головна думка:''' OpenBSD — це операційна платформа для людей, які цінують простоту, документацію, безпеку й контроль більше, ніж блискучі функції та максимальну універсальність. Вона відома OpenSSH, PF firewall, якісною документацією, мінімальною стандартною інсталяцією, аудитом коду, pledge, unveil, signify, LibreSSL і культурою простоти. Man pages часто виступає як першим і найкращим джерелом інформації. pfctl -sr | |||
Вона оптимізує зрозуміти, що зробити після першого встановлення. Сьогодні OpenSSH використовують не лише користувачі OpenBSD, а й Linux-сервери, macOS, мережеве обладнання, хмарні платформи й багато enterprise-систем.<div style="background:#fdecea; border-left:6px solid #e74c3c; padding:12px; margin:12px 0;"> | |||
<div style="background:#e8f8f5; border-left:6px solid #16a085; padding:12px; margin:12px 0;"> | |||
== Firewall і router == | |||
'''Цікава деталь:''' doas — це приклад того, як OpenBSD часто створює маленькі альтернативи великим інструментам, якщо вважає їх надто складними. block all | |||
</div> | |||
</div> | </div> | ||
<div style="background:#e8f8f5; border-left:6px solid #16a085; padding:12px; margin:12px 0;"> | |||
'''Цікавий момент:''' OpenBSD не без зусиль додає нові “захисні фічі”, а часто прибирає зайву складність, бо складність сама по собі виступає як джерелом багів. * OpenBSD FAQ. '''OpenBSD''' — це вільна UNIX-подібна операційна платформа з родини BSD, яка стала символом security-first підходу. Проєкт не намагається подобатися всім.</div> | |||
doas має мінімалістичну конфігурацію й відповідає стилю OpenBSD: менше коду, менше складності, зрозумілі правила.<div style="background:#fff4e5; border-left:6px solid #f39c12; padding:12px; margin:12px 0;"> | |||
'''OpenSSH''' — один із найважливіших проєктів, що походить з OpenBSD. * OpenBSD 7.8 Release.== LibreSSL == | |||
</div> | |||
'''Ports tree''' — платформа для збирання програм із вихідного коду. OpenBSD здатна використовуватися для VPN-сценаріїв. Саме тому простота PF дуже цінується. OpenBSD дає хороші інструменти, але DNS, репутація, spam і TLS усе одно потребують уваги. Для більшості задач достатньо pkg_add. Вона намагається бути простою, зрозумілою, правильною й безпечною за замовчуванням. як приклад, програма здатна “пообіцяти”, що їй потрібні лише: | |||
=== Увімкнути SSH daemon === | |||
<syntaxhighlight lang="sh"> | |||
Приклади: | |||
<div style="background:#e7f3ff; border-left:6px solid #2b7cff; padding:12px; margin:12px 0;"> | |||
<div style="background:# | |||
<div style="background:# | * backup; | ||
* sysupgrade; | |||
* package update; | |||
* reading upgrade notes; | |||
* config file changes; | |||
* reboot; | |||
* errata patches; | |||
* перевірка сервісів; | |||
* перевірка PF; | |||
* перевірка packages. signify застосовується для для: | |||
<div style="background:#fff4e5; border-left:6px solid #f39c12; padding:12px; margin:12px 0;"> | |||
! Якщо функція ускладнює систему або створює небажані ризики, її можуть не прийняти. :contentReference [oaicite:8]{index=8} | |||
Він мінімалістичний, швидкий і добре відповідає OpenBSD-стилю. '''rc.conf.local''' — файл для локальних налаштувань служб. * OpenBSD 7.8 Changelog. '''Практична роль:''' у OpenBSD зазвичай простіше встановлювати готові binary packages, а ports використовувати тоді, коли справді треба збирати самостійно.<syntaxhighlight lang="sh"> | |||
У OpenBSD 7.8 передбачено численні зміни в ядрі, драйверах, мережевій підсистемі, архітектурній підтримці, userland, пакетах і безпеці. Не варто переносити Linux-звички без читання документації.== softraid і шифрування == | |||
* `/var/log/messages`; | |||
* `/var/log/authlog`; | |||
* daemon logs; | |||
* PF logs; | |||
* mail logs; | |||
* application logs; | |||
* dmesg; | |||
* cron logs.</syntaxhighlight> | |||
<div style="background:#e7f3ff; border-left:6px solid #2b7cff; padding:12px; margin:12px 0;"> | |||
== Коли OpenBSD здатна бути невдалим вибором == | |||
</div> | |||
</div> | |||
</div> | </div> | ||
</syntaxhighlight> | |||
permit persist admin as root | |||
</syntaxhighlight> | |||
OpenBSD має багато security-механізмів.<div style="background:#eafaf1; border-left:6px solid #2ecc71; padding:12px; margin:12px 0;"> | |||
<div | OpenBSD має власний простий web server — '''httpd'''.</div> | ||
'''критично:''' поштовий сервер завжди потребує уважної конфігурації: DNS, SPF, DKIM, DMARC, TLS, relay rules і spam control. OpenBSD | |||
''' | Він застосовується для для: | ||
</syntaxhighlight> | |||
У ньому можна описувати: | |||
OpenBSD добре підходить, якщо потрібно: | |||
* мінімум увімкнених сервісів; | |||
* безпечніші конфігурація за замовчуванням; | |||
* регулярний аудит коду; | |||
* вбудовані exploit mitigations; | |||
* консервативна конфігурація; | |||
* якісні man pages; | |||
* прості інструменти; | |||
* ручне ввімкнення додаткових сервісів; | |||
* уважне ставлення до криптографії; | |||
* принцип “краще вимкнено, доки не потрібно”. Документація виступає як частиною культури проєкту.<div style="background:#fff4e5; border-left:6px solid #f39c12; padding:12px; margin:12px 0;"> | |||
</syntaxhighlight> | |||
* keyboard layout; | * keyboard layout; | ||
| Рядок 689: | Рядок 609: | ||
* sshd; | * sshd; | ||
* mirrors; | * mirrors; | ||
* packages у частині сценаріїв. ''' | * packages у частині сценаріїв. '''критично:''' VPN потрібно налаштовувати обережно: криптографія, ключі, маршрути, firewall і access control мають бути узгоджені. Синхронізація часу важлива для: | ||
{| class="wikitable" | |||
Основні історичні напрями: | |||
'''OpenBGPD''' — реалізація BGP daemon від OpenBSD. OpenBSD підтримує кілька апаратних архітектур. Для gaming, multimedia або нових ноутбуків Linux чи інша desktop-ОС часто буде простішою. pfSense | |||
</div> | |||
</div> | </div> | ||
rcctl enable sshd | |||
Можливі варіанти: | |||
|- | |||
| базовий фокус | |||
| Безпека, correctness, minimalism | |||
| Продуктивність, сервери, storage, ширша універсальність | |||
|- | |||
| Firewall | |||
| PF як центральний інструмент | |||
| PF, IPFW, інші варіанти | |||
|- | |||
| Desktop | |||
| Можливий, але не головна ніша | |||
| Частіше застосовується для як desktop/server у BSD-світі | |||
|- | |||
| Storage | |||
| Простішій підхід | |||
| ZFS — одна з сильних сторін | |||
|- | |||
| Культура | |||
| Security-first і консервативна | |||
| Більш універсальна й performance-oriented | |||
|} | |||
== Висновок == | |||
== PF firewall == | |||
Типові теми оновлення версій: | |||
</syntaxhighlight> | |||
OpenBSD часто приваблює користувачів, які цінують контроль над системою. * gaming; | |||
* desktop для новачка; | * desktop для новачка; | ||
* hardware з проблемною підтримкою; | * hardware з проблемною підтримкою; | ||
| Рядок 715: | Рядок 659: | ||
* домашнього користувача, якому потрібен “щоб усе працювало саме”.<syntaxhighlight lang="sh"> | * домашнього користувача, якому потрібен “щоб усе працювало саме”.<syntaxhighlight lang="sh"> | ||
<div style="background:#eafaf1; border-left:6px solid #2ecc71; padding:12px; margin:12px 0;"> | <div style="background:#eafaf1; border-left:6px solid #2ecc71; padding:12px; margin:12px 0;"> | ||
'''Цікава деталь:''' інсталятор OpenBSD здатна виглядати старомодно, але його цінують за те, що він швидкий, зрозумілий і не приховує важливі рішення для бізнесу. це вільна UNIX-подібна операційна платформа з родини BSD. Саме portability виступає як однією з офіційно зазначених цілей проєкту.</div> | |||
</div> | |||
</div> | |||
sysupgrade | |||
''' | '''критично:''' перед встановленням потрібно перевірити hardware compatibility для конкретної версії OpenBSD і конкретної архітектури. '''провідний внесок:''' навіть якщо OpenBSD не стоїть на вашому сервері, OpenSSH здатна бути щоденним інструментом вашої роботи.</syntaxhighlight> | ||
''' | |||
</syntaxhighlight> | </syntaxhighlight> | ||
'''PF''' або '''Packet Filter''' — firewall, який з’явився в OpenBSD і став одним із найвідоміших BSD firewall-рішень. | '''PF''' або '''Packet Filter''' — firewall, який з’явився в OpenBSD і став одним із найвідоміших BSD firewall-рішень. '''Практична роль:''' syspatch дає можливість простіше встановлювати важливі виправлення без ручної збірки системи. OpenBSD | ||
<syntaxhighlight lang="sh"> | |||
== Архітектури == | == Архітектури == | ||
| Рядок 732: | Рядок 680: | ||
</div> | </div> | ||
</syntaxhighlight> | </syntaxhighlight> | ||
<div style="background:#e7f3ff; border-left:6px solid #2b7cff; padding:12px; margin:12px 0;"> | <div style="background:#e7f3ff; border-left:6px solid #2b7cff; padding:12px; margin:12px 0;"> | ||
'''Критично:''' навіть OpenBSD можна зробити небезпечною поганою конфігурацією. | '''Критично:''' навіть OpenBSD можна зробити небезпечною поганою конфігурацією. * збірки з нестандартними опціями; | ||
* підтримки пакетів; | |||
* розробки портів; | |||
* тестування; | |||
* адаптації програм під OpenBSD; | |||
* участі в ports@ спільноті. ! man afterboot | |||
<div style="background:#eafaf1; border-left:6px solid #2ecc71; padding:12px; margin:12px 0;"> | |||
== | * security by default; | ||
* correctness; | |||
* simplicity; | |||
* code audit; | |||
* clean design; | |||
* minimalism; | |||
* integrated cryptography; | |||
* якісна документація; | |||
* відмова від зайвої складності; | |||
* консервативний підхід до функцій; | |||
* ручне й свідоме ввімкнення сервісів. * логів; | |||
* TLS; | |||
* Kerberos; | |||
* distributed systems; | |||
* audit; | |||
* monitoring; | |||
* scheduled tasks; | |||
* debugging; | |||
* security events.== Аудит коду == | |||
syspatch | |||
OpenBSD | <div style="background:#eafaf1; border-left:6px solid #2ecc71; padding:12px; margin:12px 0;"> | ||
</div> | |||
'''Практична роль:''' OpenBSD має передбачуваний ритм релізів, тому адміністратору критично планувати оновлення версій, а не залишати систему на старій версії роками. :contentReference [oaicite:5]{index=5} | |||
'''Критично:''' не застосовуйте firewall-правила на віддаленому сервері без тесту, резервного доступу й плану відкату.== signify == | |||
</syntaxhighlight> | </syntaxhighlight> | ||
man afterboot | |||
* X11; | |||
* xenodm; | |||
* cwm; | |||
* fvwm; | |||
* різні window managers; | |||
* Firefox; | |||
* Chromium; | |||
* LibreOffice; | |||
* редактори; | |||
* термінали; | |||
* mail clients; | |||
* development tools. Це означає, що початкова точка безпечніша, але адміністратор усе одно відповідає за конфігурацію. * PF firewall з OpenBSD вплинув на інші BSD-екосистеми й firewall-рішення. '''Цікавий факт:''' OpenBSD часто стоїть “на краю мережі”, де помилки конфігурації особливо помітні. * PF User's Guide. {| class="wikitable" | |||
== Коли варто використовувати OpenBSD == | |||
</div> | </div> | ||
OpenSSH містить: | |||
Можливі задачі: | |||
<div style="background:#fff4e5; border-left:6px solid #f39c12; padding:12px; margin:12px 0;"> | |||
* перевірки релізів; | |||
* перевірки пакетів; | |||
* | * підпису важливих файлів; | ||
* | * простішої криптографічної перевірки; | ||
* | * захисту supply chain; | ||
* | * довіри до оновлень.<syntaxhighlight lang="sh"> | ||
* | '''Практична порада:''' у OpenBSD краще працювати “як задумано системою”, а не ламати стандартну структуру конфігурацій. OpenBSD відома культурою аудиту коду.== OpenBSD і Linux == | ||
* | * офіційний сайт OpenBSD. серверів забезпечується через OpenBSD часто використовують; так само реалізовано firewall, маршрутизаторів, VPN-шлюзів, DNS, mail-серверів, навчання UNIX, розробки системного програмного забезпечення, security research і середовищ, де важливі передбачуваність, контроль і невелика attack surface. * secure defaults; | ||
* code audit; | * code audit; | ||
* privilege separation; | * privilege separation; | ||
| Рядок 796: | Рядок 764: | ||
* strong cryptography; | * strong cryptography; | ||
* careful daemon design; | * careful daemon design; | ||
* conservative development culture. | * conservative development culture. * encrypted laptop; | ||
* encrypted server disk; | |||
* RAID; | |||
* disk redundancy; | |||
* boot disk encryption у відповідних конфігураціях; | |||
* захист даних при втраті пристрою. Вона не прагне бути найзручнішим desktop, наймасовішою cloud-платформою або найширшою package-екосистемою. Її сила — у контрольованих, зрозумілих, мережевих і security-focused сценаріях: firewall, router, SSH bastion, DNS, mail relay, простий сервер, security lab або навчання UNIX. rcctl start sshd | |||
* WireGuard через packages; | |||
* IPsec; | |||
* OpenVPN через packages; | |||
* SSH tunnels; | |||
* site-to-site VPN; | |||
* remote access VPN; | |||
* encrypted management access.</div> | |||
<div style="background:#f0eaff; border-left:6px solid #8e44ad; padding:12px; margin:12px 0;"> | <div style="background:#f0eaff; border-left:6px solid #8e44ad; padding:12px; margin:12px 0;"> | ||
</div> | </div> | ||
| Рядок 810: | Рядок 783: | ||
Типові теми: | Типові теми: | ||
* OpenBSD має власну культуру релізного artwork: кожен реліз часто супроводжується оригінальними ілюстраціями й темою. | * OpenBSD має власну культуру релізного artwork: кожен реліз часто супроводжується оригінальними ілюстраціями й темою.=== Встановити пакет === | ||
Пакети використовуються для встановлення: | |||
'''Найцікавіше:''' OpenBSD впливає на світ набагато сильніше, ніж здається за її часткою користувачів. '''Практична роль:''' httpd добре вписується в OpenBSD-філософію: простий, зрозумілий, мінімалістичний web server.<div style="background:#e7f3ff; border-left:6px solid #2b7cff; padding:12px; margin:12px 0;"> | |||
{| class="wikitable" | {| class="wikitable" | ||
OpenBSD здатна використовуватися на різних типах hardware, залежно від поточного релізу: | OpenBSD здатна використовуватися на різних типах hardware, залежно від поточного релізу: | ||
| Рядок 831: | Рядок 806: | ||
* специфічна BSD-адміністрація; | * специфічна BSD-адміністрація; | ||
* потрібно читати документацію; | * потрібно читати документацію; | ||
* не підходить для всіх серверних задач. | * не підходить для всіх серверних задач. Вона не завжди зручна для всіх, але дуже приємна для тих, хто цінує порядок і ясність. Проєкт очолив Theo de Raadt.</div> | ||
'''Критично:''' шифрування диска не замінює backup.== VPN == | |||
== relayd == | |||
</div> | </div> | ||
'''Практична порада:''' OpenBSD варто обирати тоді, коли ви готові прийняти її стиль: простота, документація, ручна конфігурація й security-first мислення. * amd64; | |||
* arm64; | |||
* armv7; | |||
* i386 у відповідних старіших/підтримуваних сценаріях; | |||
* sparc64; | |||
* powerpc64; | |||
* riscv64 у сучасних напрямах; | |||
* інші архітектури залежно від релізу.== Мінімальна стандартна інсталяція == | |||
== | == Логування == | ||
* packet filtering; | |||
* NAT; | |||
* port forwarding; | |||
* traffic shaping у відповідних сценаріях; | |||
* firewall gateway; | |||
* router; | |||
* VPN gateway; | |||
* redirection; | |||
* table-based rules; | |||
* network segmentation.<div style="background:#fff4e5; border-left:6px solid #f39c12; padding:12px; margin:12px 0;"> | |||
OpenBSD часто не додає функцію лише тому, що вона популярна. '''Людською мовою:''' OpenBSD — це платформа, яка часто каже “ні” заради того, щоб решта працювала надійніше.</div> | |||
== Безпека OpenBSD == | |||
<div style="background:#e7f3ff; border-left:6px solid #2b7cff; padding:12px; margin:12px 0;"> | |||
'''Увага:''' OpenBSD desktop підійде не всім.== Desktop на OpenBSD == | |||
Він підходить для: | |||
== Обмеження OpenBSD == | |||
OpenBSD використовує класичні UNIX-механізми логування. Розробники шукають помилки не лише після інцидентів, а й проактивно. man pf.conf | |||
rcctl status sshd | |||
man sshd_config | |||
=== Перевірити версію === | |||
= | '''rcctl''' — інструмент для керування системними службами в OpenBSD.<div style="background:#e8f8f5; border-left:6px solid #16a085; padding:12px; margin:12px 0;"> | ||
syspatch | |||
* SSH bastion; | |||
* firewall; | |||
''' | * router; | ||
* VPN gateway; | |||
* DNS server; | |||
* web server; | |||
* mail relay; | |||
* monitoring node; | |||
* small database server; | |||
* internal tools; | |||
* Git server; | |||
* security lab; | |||
* jump host. '''Цікавий факт:''' в OpenBSD фраза “читай man page” часто не грубість, а справді хороша порада — документація там зазвичай якісна й практична. OpenBSD | |||
</syntaxhighlight> | |||
pfctl -nf /etc/pf.conf | |||
== syspatch == | |||
* | * серверного ПЗ; | ||
* | * desktop-застосунків; | ||
* | * мов програмування; | ||
* | * редакторів; | ||
* | * баз даних; | ||
* | * web-серверів; | ||
* | * утиліт; | ||
* | * development tools. Приклади: | ||
OpenBSD застосовується для для: | |||
OpenBSD | OpenBSD походить із BSD-традиції й розвивається як окрема операційна платформа з власним ядром, userland, документацією, інструментами, ports tree і пакетною системою. * увімкнення служб; | ||
* запуску служб; | |||
* зупинки служб; | |||
* перевірки статусу; | |||
* керування параметрами daemon-ів; | |||
* адміністрування server services.</div> | |||
<div style="background:#eafaf1; border-left:6px solid #2ecc71; padding:12px; margin:12px 0;"> | |||
== | '''Практична роль:''' relayd дає можливість будувати невеликі, чисті й контрольовані мережеві архітектури без надмірної складності. У реальному firewall потрібно враховувати інтерфейси, IPv6, ICMP, anti-spoofing, VPN, NAT, logging, management access і ризик втрати віддаленого доступу.== OpenSSH == | ||
'''Підказка:''' базовий набір OpenBSD-адміністратора — `man`, `rcctl`, `pkg_add`, `syspatch`, `sysupgrade`, `pfctl`, `dmesg` і уважне читання `/var/log`. pkg_info | |||
OpenBSD здатна бути не найкращим вибором для: | |||
== оновлення версій OpenBSD == | |||
== | * правила блокування; | ||
* дозволені з’єднання; | |||
* NAT; | |||
* redirection; | |||
* tables; | |||
* macros; | |||
* anchors; | |||
* logging; | |||
* anti-spoofing; | |||
* правила для окремих інтерфейсів.</div> | |||
== Філософія OpenBSD == | |||
''' | '''syspatch''' — інструмент для встановлення binary patches для базової системи OpenBSD. :contentReference [oaicite:1]{index=1} | ||
== cwm == | |||
* routing; | |||
* BGP-сесій; | |||
* мережевих операторів; | |||
* edge routing; | |||
* internet infrastructure; | |||
* lab-середовищ; | |||
* маршрутизації між автономними системами.<div style="background:#fff4e5; border-left:6px solid #f39c12; padding:12px; margin:12px 0;"> | |||
== Типові помилки початківців == | |||
Якщо програма після цього намагається зробити щось неочікуване, платформа здатна її зупинити. rcctl stop sshd | |||
OpenBSD | У OpenBSD це проявляється так: | ||
<div style="background:#eafaf1; border-left:6px solid #2ecc71; padding:12px; margin:12px 0;"> | <div style="background:#eafaf1; border-left:6px solid #2ecc71; padding:12px; margin:12px 0;"> | ||
Офіційна сторінка OpenBSD 7.8 зазначає, що більшість ports доступні як packages на mirrors.</div> | |||
|- | |||
| Походження | |||
| Відгалуження від NetBSD | |||
| BSD-система з фокусом на portability | |||
|- | |||
| базовий акцент | |||
| Security і correctness | |||
| Portability | |||
|- | |||
| Архітектури | |||
| Кілька підтримуваних платформ | |||
| Дуже широкий фокус на різні платформи | |||
|- | |||
| Культура | |||
| Security-first | |||
| “Of course it runs NetBSD” | |||
|} | |||
'''критично:''' ports — це не базовий шлях для кожного користувача.</syntaxhighlight> | |||
pkg_add -u | |||
=== Перевірити PF === | |||
== конкурентні переваги OpenBSD == | |||
<div style="background:#fdecea; border-left:6px solid #e74c3c; padding:12px; margin:12px 0;"> | |||
'''Практична роль:''' signify — приклад OpenBSD-підходу: маленький інструмент, який робить одну важливу річ і робить її зрозуміло. До них належать: | |||
Інсталятор OpenBSD відомий простотою. '''Проста аналогія:''' OpenBSD не дає вам будинок із усіма дверима відчиненими. :contentReference [oaicite:6]{index=6} | |||
</div> | </div> | ||
man pkg_add | |||
== Див. так само == | |||
</div> | </div> | ||
</syntaxhighlight> | |||
== | == Цікаві факти про OpenBSD == | ||
cwm підходить для: | |||
</syntaxhighlight> | </syntaxhighlight> | ||
{{SEO | |||
|title=OpenBSD — безпечна UNIX-подібна операційна система з фокусом на аудит коду, криптографію, мережі й простоту | |||
|description=OpenBSD — Wiki-стаття про вільну 4.4BSD-based UNIX-like операційну систему, відому фокусом на security by default, аудитом коду, OpenSSH, PF firewall, LibreSSL, pledge, unveil, signify, ports, pkg_add, мінімальною стандартною інсталяцією, мережевими сервісами, серверами, роутерами, firewall-системами, розробкою, перевагами, обмеженнями, цікавими фактами і хорошими практиками. | |||
|keywords=OpenBSD, Open BSD, BSD, UNIX-like operating system, 4.4BSD, security by default, OpenSSH, PF firewall, LibreSSL, signify, pledge, unveil, pkg_add, ports, OpenBSD 7.8, Theo de Raadt, secure operating system, UNIX, firewall OS, server OS, network security, операційна система, безпечна ОС | |||
|alternativeTo=Linux для частини серверних і мережевих задач; FreeBSD для security-first сценаріїв; pfSense у простих firewall-сценаріях для досвідчених адміністраторів; складні Linux firewall-дистрибутиви; застарілі UNIX-системи; серверні ОС з великою стандартною attack surface; системи без security by default підходу; хаотично налаштовані домашні сервери | |||
}} | |||
tail -f /var/log/authlog | |||
set skip on lo | |||
* [[BSD]] | LibreSSL став прикладом OpenBSD-підходу: | ||
'''Найлюдяніший факт:''' OpenBSD схожа на інструмент, зроблений майстрами для майстрів. оновлення версій потрібно робити уважно, читаючи upgrade guide. * [[BSD]] | |||
* [[FreeBSD]] | * [[FreeBSD]] | ||
* [[NetBSD]] | * [[NetBSD]] | ||
| Рядок 966: | Рядок 1005: | ||
* [[Приватність даних]] | * [[Приватність даних]] | ||
=== Встановити errata patches === | |||
== | |||
* [[OpenBSD]] | |||
* [[Open BSD]] | * [[Open BSD]] | ||
* [[BSD]] | * [[BSD]] | ||
| Рядок 1030: | Рядок 1025: | ||
* [[Network security]] | * [[Network security]] | ||
* [[Документація]] | * [[Документація]] | ||
Поточна версія на 08:14, 9 травня 2026
Головне правило: OpenBSD найкраще функціонує, коли платформа проста, роль сервера зрозуміла, а адміністратор читає документацію. softraid в OpenBSD застосовується для для програмного RAID і шифрування дисків. Вона дуже сильна у своїх нішах, але не намагається бути універсальною для кожного сценарію. Якщо диск пошкоджено або втрачено пароль, інформаційні дані можуть бути недоступні. * OpenBSD часто прибирає або переписує код, якщо вважає його небезпечним або надто складним.== Security by default ==
Небезпека: найпростіший спосіб зламати OpenBSD — намагатися перетворити її на Linux і не читати документацію.
pf.conf
Основна ідея: OpenBSD — це операційна платформа, яка не намагається бути наймоднішою.== doas ==
Основні команди:
- OpenSMTPD;
- spamd;
- Dovecot через packages;
- rspamd через packages;
- DKIM tools;
- TLS;
- DNS records;
- mail aliases;
- local delivery;
- relay host. Офіційна сторінка релізу зазначає, що це 59-й реліз OpenBSD. * очікувати поведінку Linux;
- не читати man pages;
- вмикати зайві сервіси;
- писати занадто складний pf.conf;
- втрачати SSH-доступ через неправильне firewall-правило;
- не робити backup перед upgrade;
- не оновлювати packages;
- ігнорувати `/var/log/authlog`;
- встановлювати пакети без потреби;
- редагувати системні файли не тим способом;
- плутати packages і ports;
- очікувати ідеальний desktop experience;
- не перевіряти hardware compatibility. Правило: OpenBSD дає хороший контроль, але приватність залежить від поведінки користувача, мережі, браузера й сервісів, якими він користується. * Маскот OpenBSD — риба Puffy.
OpenBSD виникла як відгалуження від NetBSD у 1995 році. OpenBSD має дуже сильну культуру документації через man pages. Практична роль: у OpenBSD логи часто прості, текстові й зрозумілі — це дуже оптимізує під час діагностики.
rc.conf.local
У OpenBSD критично не редагувати системні файли без потреби, а використовувати правильні локальні конфігураційні механізми. Типові джерела:
! * У світі OpenBSD “простий” часто означає “безпечніший, зрозуміліший і легший для аудиту”.== Приклади команд OpenBSD ==
Це лише навчальний приклад. OpenBSD після встановлення зазвичай має небагато увімкнених сервісів. Можливі проблеми:
'''Security by default''' означає, що платформа після встановлення має бути максимально обережною.</div>
<div style="background:#fdecea; border-left:6px solid #e74c3c; padding:12px; margin:12px 0;">
Програма здатна бачити лише ті частини файлової системи, які їй явно відкриті. '''Критично:''' перед оновленням сервера потрібно мати backup, доступ до консолі або out-of-band management і план відновлення. Навіть якщо людина ніколи не встановлювала OpenBSD, вона майже напевно користувалася OpenSSH. Приклад команди:
Можливі сценарії:
<div style="background:#fef2f2; border-left:6px solid #ef4444; padding:12px; margin:12px 0;">
<div style="background:#e8f8f5; border-left:6px solid #16a085; padding:12px; margin:12px 0;">
* простих сайтів;
* статичних сторінок;
* small web services;
* reverse proxy у частині сценаріїв;
* internal tools;
* документації;
* lightweight hosting.</div>
'''relayd''' — OpenBSD daemon для relay, load balancing і proxy-сценаріїв.== unveil ==
Ports корисні для:
pass out
- читання файлів;
- мережа;
- stdio;
- DNS;
- робота з process;
- інші чітко визначені групи можливостей.
rcctl start sshd ! Ви самі відкриваєте тільки ті, які справді потрібні.== Man pages ==
Загальний SEO-опис
Вона застосовується для для:
* перегляд системного коду;
* пошук небезпечних функцій;
* спрощення реалізації;
* видалення застарілого коду;
* перевірку меж буферів;
* криптографічний review;
* аналіз privilege separation;
* пошук логічних помилок;
* перевірку default configuration.<div style="background:#fff4e5; border-left:6px solid #f39c12; padding:12px; margin:12px 0;">
rcctl застосовується для для:
Такий підхід дає:
'''Практична роль:''' rcctl робить керування службами в OpenBSD простим і передбачуваним.<div style="background:#fff4e5; border-left:6px solid #f39c12; padding:12px; margin:12px 0;">
'''OpenBSD 7.8''' — актуальний реліз OpenBSD, випущений 22 жовтня 2025 року. Складний pf.conf без документації швидко перетворюється на пастку для адміністратора. * OpenBSD ports and packages documentation. OpenBSD має обмеження. ! ! Це набір інструментів для безпечного віддаленого доступу, копіювання файлів і тунелювання. :contentReference [oaicite:7]{index=7}
<div style="background:#eafaf1; border-left:6px solid #2ecc71; padding:12px; margin:12px 0;">
* мінімізувати зайві сервіси;
* перевіряти пакети;
* контролювати логи;
* налаштовувати firewall;
* використовувати шифрування диска;
* оновлювати систему;
* не встановлювати зайві daemon-и;
* контролювати браузер і web-застосунки;
* не плутати privacy з anonymity. '''pf.conf''' — конфігураційний файл PF. Критерій
pass in on egress proto tcp to port 22
Аудит здатна включати:
== Filesystem і storage ==
! Приклади:
'''критично:''' security by default не означає “можна нічого не налаштовувати”. Критерій
* походження з BSD;
* відгалуження від NetBSD;
* створення окремої security-first культури;
* дорожня карта розвитку OpenSSH;
* поява PF firewall;
* розробка програмного забезпечення OpenBGPD, OpenNTPD, OpenSMTPD;
* впровадження exploit mitigation;
* дорожня карта розвитку pledge і unveil;
* створення LibreSSL після проблем у OpenSSL-екосистемі;
* регулярні релізи приблизно кожні пів року;
* технічна підтримка різних апаратних платформ. '''Цікавий факт:''' OpenBSD часто реагує на проблеми не косметично, а хірургічно: якщо код поганий, його можуть радикально почистити. * FFS;
* disklabel;
* softraid;
* encrypted disks;
* swap;
* mount points;
* dump/restore;
* fsck;
* partitions;
* backups. офіційний changelog 7.8 містить детальний перелік змін між 7.7 і 7.8. '''OpenNTPD''' — NTP daemon від OpenBSD для синхронізації часу.<div style="background:#eafaf1; border-left:6px solid #2ecc71; padding:12px; margin:12px 0;">
</div>
<syntaxhighlight lang="sh">
OpenBSD можна використовувати для DNS-сервісів. OpenBSD
pkg_delete package_name
'''критично:''' firewall-правила мають бути простими й зрозумілими. ! tail -f /var/log/authlog
<div style="background:#fef2f2; border-left:6px solid #ef4444; padding:12px; margin:12px 0;">
<syntaxhighlight lang="sh">
<div style="background:#fff4e5; border-left:6px solid #f39c12; padding:12px; margin:12px 0;">
== OpenBSD і FreeBSD ==
=== Подивитися auth logs ===
</div>
<div style="background:#e7f3ff; border-left:6px solid #2b7cff; padding:12px; margin:12px 0;">
<div style="background:#eafaf1; border-left:6px solid #2ecc71; padding:12px; margin:12px 0;">
* серверів;
* firewall;
* маршрутизаторів;
* VPN;
* DNS;
* mail-серверів;
* web-серверів;
* bastion hosts;
* security appliances;
* UNIX-навчання;
* системного програмування;
* криптографічних інструментів;
* мережевої інфраструктури;
* minimal desktop для досвідчених користувачів;
* розробки secure software;
* експериментів із BSD-системами. Йдеться саме про стандартну інсталяцію з мінімумом увімкнених сервісів.</div>
<div style="background:#e7f3ff; border-left:6px solid #2b7cff; padding:12px; margin:12px 0;">
Типові серверні сценарії:
man rcctl
* TCP relay;
* HTTP relay;
* TLS termination у відповідних конфігураціях;
* load balancing;
* health checks;
* reverse proxy;
* internal service routing. OpenBSD не виступає як найкращою ОС для кожного користувача. * OpenSSH, один із найважливіших security-інструментів у світі, походить із OpenBSD. OpenBSD має власний підхід до файлових систем і storage.<div style="background:#e8f8f5; border-left:6px solid #16a085; padding:12px; margin:12px 0;">
<syntaxhighlight lang="sh">
* security patches;
* errata patches;
* швидкого оновлення версій base system;
* підтримки актуального стану;
* production-серверів. офіційний сайт OpenBSD прямо зазначає, що popular OpenSSH software comes from OpenBSD.</div>
!<div style="background:#fff4e5; border-left:6px solid #f39c12; padding:12px; margin:12px 0;">
'''pledge''' — механізм OpenBSD, який дає можливість програмі добровільно обмежити свої функції ERP.== Mail server ==
!
- keyboard-driven роботи;
- легкого desktop;
- старішого hardware;
- простого X11-середовища;
- користувачів, які не хочуть важкий desktop environment. Він здатна використовуватися для:
OpenBSD добре підходить для компактних серверів із чіткою роллю.== rcctl ==
OpenSMTPD — поштовий сервер, створений у межах OpenBSD-проєкту. * У OpenBSD дуже серйозно ставляться до man pages.
Висновок: NetBSD славиться переносимістю, а OpenBSD — безпекою, аудитом і мінімалістичним дизайном. pkg_add -u
Практична порада: mail server — одна з найскладніших серверних задач.== Тематичні мітки ==
Серверне використання
tail -f /var/log/messages
pledge
Це корисно для:
OpenBSD часто використовують як firewall/router через PF, стабільній мережевій підсистемі й мінімалістичному підходу. :contentReference [oaicite:9]{index=9}
OpenBSD можна використовувати для поштової інфраструктури. Можливі компоненти: Практична роль: OpenBSD створює не лише ОС, а й важливі мережеві daemon-и з акцентом на простоту й безпеку. * Документація щодо pledge, unveil, signify, rcctl, syspatch, sysupgrade і OpenBSD security. Філософію OpenBSD можна описати кількома словами:
- SMTP;
- mail relay;
- локальної доставки пошти;
- простих mail-серверів;
- relay-сценаріїв;
- системних повідомлень;
- інтеграції з іншими mail-компонентами. Безпечна ОС не рятує від слабких паролів, відкритих сервісів і неоновлених пакетів.
Приклад ідеї правила PF:
Приклад:
Практична роль: OpenBSD добре підходить для невеликих DNS-серверів, де потрібна проста й контрольована конфігурація. Цікава ідея: pledge схожий на договір між програмою й ОС: “я буду робити тільки це, а якщо раптом спробую більше — зупини мене”. Головна перевага: OpenBSD змушує думати про систему як про інженерний об’єкт: що ввімкнено, навіщо, як це захищено і як це документовано. * unwind;
- unbound;
- nsd;
- DNS forwarding;
- caching resolver;
- authoritative DNS;
- DNSSEC у відповідних сценаріях. :contentReference [oaicite:4]{index=4}
Для приватності критично:
Висновок: Linux краще для масових задач і hardware compatibility, а OpenBSD — для простих, контрольованих, security-focused систем. * OpenSSH documentation. критично: OpenBSD — це не без зусиль “ще один BSD”. * OpenBSD не боїться бути нішевою.== DNS ==
- sandboxing;
- обмеження шкоди від багів;
- зменшення доступу до зайвих файлів;
- простішого security review;
- захисту конфігурацій і даних;
- принципу least privilege. * читати `man afterboot`;
- регулярно встановлювати syspatch;
- оновлювати packages через `pkg_add -u`;
- не вмикати зайві сервіси;
- писати простий pf.conf;
- використовувати SSH keys;
- обмежувати root-доступ;
- використовувати doas замість постійної роботи від root;
- робити backup перед sysupgrade;
- читати release notes і upgrade guide;
- перевіряти `/var/log/authlog`;
- не встановлювати зайві packages;
- документувати локальні зміни;
- тримати конфігурації під контролем версій;
- тестувати firewall-правила перед віддаленим застосуванням.
Висновок: pfSense зручніший як готовий firewall із web UI, а OpenBSD — як чиста платформа для тих, хто хоче повний контроль через конфігурацію. * OpenBSD man pages. NetBSD
Окремо варто відзначити яка відома дуже сильним фокусом на безпеку, простоту, аудит коду, криптографію, якість документації і мінімалістичний підхід до стандартної інсталяції виступає ключовою рисою OpenBSD.Ports tree
! pfctl -f /etc/pf.conf
Оновити систему до наступного релізу
Джерела
Інший цікавий факт: OpenSSH, один із найважливіших інструментів безпечного віддаленого доступу у світі UNIX/Linux, походить саме з OpenBSD.
|- | Тип | Загальна UNIX-like ОС | Firewall/router дистрибутив на базі FreeBSD |- | Інтерфейс | CLI, конфігураційні файли | Web UI |- | Firewall | PF | PF у FreeBSD-екосистемі |- | Для кого | Досвідчені адміністратори UNIX/BSD | Користувачі, яким потрібен готовий firewall appliance |- | Гнучкість | Вища на рівні ОС | Вища зручність для типових firewall-сценаріїв |}
pass out
'''критично:''' OpenBSD storage tools можуть відрізнятися від Linux. Критерій
== httpd ==
sysupgrade
Під час інсталяції налаштовуються:
'''Помилка:''' ставити OpenBSD лише через репутацію безпеки, не розуміючи її обмежень, hardware support і відмінностей від Linux. :contentReference [oaicite:2]{index=2}
|-
| Тип
| Цілісна BSD-система
| Ядро + дистрибутиви
|-
| Фокус
| Security, correctness, simplicity
| Дуже широкий спектр задач
|-
| Пакети
| pkg_add, ports
| Залежить від дистрибутива
|-
| Hardware support
| Обмеженіший
| Зазвичай ширший
|-
| Desktop
| Нішевий
| Масовий у Linux-світі
|-
| Server
| Добрий для чітких ролей
| Дуже широкий server/cloud ecosystem
|}
dmesg
<div style="background:#e7f3ff; border-left:6px solid #2b7cff; padding:12px; margin:12px 0;">
<div style="background:#ecfdf5; border-left:6px solid #10b981; padding:12px; margin:12px 0;">
</div>
{| class="wikitable"
== OpenBSD і pfSense ==
OpenBSD регулярно випускає нові релізи.<div style="background:#e7f3ff; border-left:6px solid #2b7cff; padding:12px; margin:12px 0;">
</div>
'''unveil''' — механізм OpenBSD для обмеження доступу програми до файлової системи.== Приклад простого pf.conf ==
<div style="background:#ecfdf5; border-left:6px solid #10b981; padding:12px; margin:12px 0;">
<div style="background:#fff7ed; border-left:6px solid #fb923c; padding:12px; margin:12px 0;">
'''Перевага:''' OpenBSD добре підходить для тих, хто хоче систему з чіткою логікою, сильними man pages і security-first культурою. Linux
OpenBSD можна використовувати як desktop, але це не її головна масова ніша.== OpenBSD і NetBSD ==
<div style="background:#eafaf1; border-left:6px solid #2ecc71; padding:12px; margin:12px 0;">
block all
Компоненти можуть включати:
OpenSSH застосовується для в багатьох операційних системах далеко за межами OpenBSD. Це зменшує attack surface.== OpenBSD 7.8 ==
== історія продукту OpenBSD ==
<syntaxhighlight lang="pf">
Рекомендовано:
</div>
<syntaxhighlight lang="sh">
* NAT;
* packet filtering;
* VPN;
* routing;
* DHCP;
* DNS forwarding;
* traffic segmentation;
* small office gateway;
* home lab firewall;
* bastion network;
* network experiments.=== Прочитати поради після встановлення ===
<syntaxhighlight lang="sh">
Desktop на OpenBSD здатна включати:
</div>
syspatch корисний для:
uname -a
* менше відкритих портів;
* менше випадкових сервісів;
* менше неочевидних залежностей;
* простіший аудит;
* кращу передбачуваність;
* зрозумілішу систему для адміністратора;
* безпечнішу стартову точку. * Матеріали щодо BSD, UNIX-like systems, firewall, SSH, network security і server hardening. '''Практична роль:''' правильний час у системі — це дрібниця лише до першого випадку, коли логи різних серверів неможливо зіставити.== Приватність ==
== OpenBGPD ==
</div>
pass in on egress proto tcp to port 22
rcctl enable sshd
'''Цікава деталь:''' OpenBSD desktop часто більше схожий на інструментальну майстерню, ніж на блискучий торговий центр.
OpenNTPD
'''cwm''' — легкий window manager, який входить в OpenBSD. :contentReference [oaicite:3]{index=3}
== Інсталяція OpenBSD ==
Приклад ідеї:
</syntaxhighlight>
PF застосовується для для:
- прибрати небезпечний або застарілий код;
- спростити реалізацію;
- провести аудит;
- зробити бібліотеку більш підтримуваною;
- зменшити складність;
- зберегти потрібну сумісність у межах можливого. * firewall;
- router;
- SSH bastion;
- простий і безпечний server;
- VPN gateway;
- DNS server;
- mail relay;
- security lab;
- навчання UNIX;
- мінімалістична платформа;
- платформа з хорошими man pages;
- контрольована мережева інфраструктура;
- вивчення PF;
- UNIX-середовище без зайвої складності.
<div style="background:#fdecea; border-left:6px solid #e74c3c; padding:12px; margin:12px 0;"> Особливо важлива сторінка: Основні конкурентні переваги OpenBSD: </div> === Оновити пакети === <div style="background:#fff4e5; border-left:6px solid #f39c12; padding:12px; margin:12px 0;"> pkg_add vim </div> '''Практична роль:''' PF — одна з причин, чому OpenBSD часто обирають для firewall і мережевих шлюзів. З часом OpenBSD сформувала власну культуру: відкритість коду, жорсткий аудит, мінімалізм, криптографія, чистота реалізації та дуже прямий підхід до security. * `ssh`; * `sshd`; * `scp`; * `sftp`; * `ssh-keygen`; * `ssh-agent`; * `ssh-add`; * port forwarding; * key-based authentication; * secure remote administration. офіційний сайт описує OpenBSD як '''FREE, multi-platform 4.4BSD-based UNIX-like operating system''' із фокусом на portability, standardization, correctness, proactive security та integrated cryptography. pkg_add package_name '''LibreSSL''' — криптографічна бібліотека, розроблена проєктом OpenBSD як форк OpenSSL після гучних проблем у OpenSSL-екосистемі. Це проєкт із дуже виразною філософією: краще менше, але якісніше, простіше й безпечніше.</div> </div> '''signify''' — інструмент OpenBSD для цифрового підпису й перевірки файлів. FreeBSD * security by default; * якісна документація; * мінімальна стандартна інсталяція; * OpenSSH; * PF firewall; * pledge; * unveil; * signify; * LibreSSL; * прості конфігураційні файли; * регулярні релізи; * сильна UNIX-культура; * інтегрована базова платформа; * хороший вибір для firewall; * хороший вибір для bastion host; * чистий design; * менше зайвої складності. '''критично:''' OpenBSD — не “найкраща ОС для всього”. Критерій !<syntaxhighlight lang="sh"> <div style="background:#fff4e5; border-left:6px solid #f39c12; padding:12px; margin:12px 0;"> </div> man afterboot == OpenSMTPD == '''doas''' — простіший інструмент для виконання команд з іншими правами, часто як альтернатива sudo. На офіційному сайті проєкту довгий час застосовують, коли потрібно фраза: '''“Only two remote holes in the default install, in a heck of a long time!”''' Це не означає, що будь-яка платформа OpenBSD автоматизовано невразлива.== Хороші практики OpenBSD == OpenBSD має легендарну репутацію в security-спільноті.</div> '''Висновок:''' OpenBSD частіше обирають за security-first підхід, а FreeBSD — за універсальність, продуктивність, ZFS і ширші серверні сценарії. Офіційна сторінка релізу OpenBSD 7.8, як приклад, згадує signify pubkeys для релізу. через '''Практична роль:''' unveil користувачі можуть зробити так, щоб програма не могла випадково або навмисно читати те, що їй не потрібно. Він текстовий, швидкий і не намагається бути красивим.<syntaxhighlight lang="sh"> </div> '''Головна думка:''' OpenBSD — це операційна платформа для людей, які цінують простоту, документацію, безпеку й контроль більше, ніж блискучі функції та максимальну універсальність. Вона відома OpenSSH, PF firewall, якісною документацією, мінімальною стандартною інсталяцією, аудитом коду, pledge, unveil, signify, LibreSSL і культурою простоти. Man pages часто виступає як першим і найкращим джерелом інформації. pfctl -sr Вона оптимізує зрозуміти, що зробити після першого встановлення. Сьогодні OpenSSH використовують не лише користувачі OpenBSD, а й Linux-сервери, macOS, мережеве обладнання, хмарні платформи й багато enterprise-систем.<div style="background:#fdecea; border-left:6px solid #e74c3c; padding:12px; margin:12px 0;"> <div style="background:#e8f8f5; border-left:6px solid #16a085; padding:12px; margin:12px 0;"> == Firewall і router == '''Цікава деталь:''' doas — це приклад того, як OpenBSD часто створює маленькі альтернативи великим інструментам, якщо вважає їх надто складними. block all </div> </div> <div style="background:#e8f8f5; border-left:6px solid #16a085; padding:12px; margin:12px 0;"> '''Цікавий момент:''' OpenBSD не без зусиль додає нові “захисні фічі”, а часто прибирає зайву складність, бо складність сама по собі виступає як джерелом багів. * OpenBSD FAQ. '''OpenBSD''' — це вільна UNIX-подібна операційна платформа з родини BSD, яка стала символом security-first підходу. Проєкт не намагається подобатися всім.</div> doas має мінімалістичну конфігурацію й відповідає стилю OpenBSD: менше коду, менше складності, зрозумілі правила.<div style="background:#fff4e5; border-left:6px solid #f39c12; padding:12px; margin:12px 0;"> '''OpenSSH''' — один із найважливіших проєктів, що походить з OpenBSD. * OpenBSD 7.8 Release.== LibreSSL == </div> '''Ports tree''' — платформа для збирання програм із вихідного коду. OpenBSD здатна використовуватися для VPN-сценаріїв. Саме тому простота PF дуже цінується. OpenBSD дає хороші інструменти, але DNS, репутація, spam і TLS усе одно потребують уваги. Для більшості задач достатньо pkg_add. Вона намагається бути простою, зрозумілою, правильною й безпечною за замовчуванням. як приклад, програма здатна “пообіцяти”, що їй потрібні лише: === Увімкнути SSH daemon === <syntaxhighlight lang="sh"> Приклади: <div style="background:#e7f3ff; border-left:6px solid #2b7cff; padding:12px; margin:12px 0;"> * backup; * sysupgrade; * package update; * reading upgrade notes; * config file changes; * reboot; * errata patches; * перевірка сервісів; * перевірка PF; * перевірка packages. signify застосовується для для: <div style="background:#fff4e5; border-left:6px solid #f39c12; padding:12px; margin:12px 0;"> ! Якщо функція ускладнює систему або створює небажані ризики, її можуть не прийняти. :contentReference [oaicite:8]{index=8} Він мінімалістичний, швидкий і добре відповідає OpenBSD-стилю. '''rc.conf.local''' — файл для локальних налаштувань служб. * OpenBSD 7.8 Changelog. '''Практична роль:''' у OpenBSD зазвичай простіше встановлювати готові binary packages, а ports використовувати тоді, коли справді треба збирати самостійно.<syntaxhighlight lang="sh"> У OpenBSD 7.8 передбачено численні зміни в ядрі, драйверах, мережевій підсистемі, архітектурній підтримці, userland, пакетах і безпеці. Не варто переносити Linux-звички без читання документації.== softraid і шифрування == * `/var/log/messages`; * `/var/log/authlog`; * daemon logs; * PF logs; * mail logs; * application logs; * dmesg; * cron logs.
Коли OpenBSD здатна бути невдалим вибором
</syntaxhighlight> permit persist admin as root
</syntaxhighlight>
OpenBSD має багато security-механізмів.
OpenBSD має власний простий web server — httpd.
критично: поштовий сервер завжди потребує уважної конфігурації: DNS, SPF, DKIM, DMARC, TLS, relay rules і spam control. OpenBSD Він застосовується для для:
</syntaxhighlight>
У ньому можна описувати:
OpenBSD добре підходить, якщо потрібно:
- мінімум увімкнених сервісів;
- безпечніші конфігурація за замовчуванням;
- регулярний аудит коду;
- вбудовані exploit mitigations;
- консервативна конфігурація;
- якісні man pages;
- прості інструменти;
- ручне ввімкнення додаткових сервісів;
- уважне ставлення до криптографії;
- принцип “краще вимкнено, доки не потрібно”. Документація виступає як частиною культури проєкту.
</syntaxhighlight>
- keyboard layout;
- hostname;
- network;
- root password;
- user account;
- disk layout;
- sets;
- time zone;
- sshd;
- mirrors;
- packages у частині сценаріїв. критично: VPN потрібно налаштовувати обережно: криптографія, ключі, маршрути, firewall і access control мають бути узгоджені. Синхронізація часу важлива для:
rcctl enable sshd Можливі варіанти:
| базовий фокус | Безпека, correctness, minimalism | Продуктивність, сервери, storage, ширша універсальність |
| Firewall | PF як центральний інструмент | PF, IPFW, інші варіанти |
| Desktop | Можливий, але не головна ніша | Частіше застосовується для як desktop/server у BSD-світі |
| Storage | Простішій підхід | ZFS — одна з сильних сторін |
| Культура | Security-first і консервативна | Більш універсальна й performance-oriented |
Висновок
PF firewall
Типові теми оновлення версій:
</syntaxhighlight>
OpenBSD часто приваблює користувачів, які цінують контроль над системою. * gaming;
- desktop для новачка;
- hardware з проблемною підтримкою;
- ноутбуків із найновішими Wi-Fi/GPU;
- Kubernetes-heavy інфраструктури;
- AI/ML workstation;
- задач, де потрібна максимальна кількість пакетів;
- систем, де команда знає лише Linux;
- комерційного ПЗ, яке підтримує тільки Linux;
- high-performance storage із ZFS-вимогами;
- домашнього користувача, якому потрібен “щоб усе працювало саме”.
<div style="background:#eafaf1; border-left:6px solid #2ecc71; padding:12px; margin:12px 0;"> '''Цікава деталь:''' інсталятор OpenBSD здатна виглядати старомодно, але його цінують за те, що він швидкий, зрозумілий і не приховує важливі рішення для бізнесу. це вільна UNIX-подібна операційна платформа з родини BSD. Саме portability виступає як однією з офіційно зазначених цілей проєкту.</div> </div> </div> sysupgrade '''критично:''' перед встановленням потрібно перевірити hardware compatibility для конкретної версії OpenBSD і конкретної архітектури. '''провідний внесок:''' навіть якщо OpenBSD не стоїть на вашому сервері, OpenSSH здатна бути щоденним інструментом вашої роботи.
</syntaxhighlight>
PF або Packet Filter — firewall, який з’явився в OpenBSD і став одним із найвідоміших BSD firewall-рішень. Практична роль: syspatch дає можливість простіше встановлювати важливі виправлення без ручної збірки системи. OpenBSD
== Архітектури ==
== pkg_add і пакети ==
<syntaxhighlight lang="sh">
== Цікавий факт ==
</div>
Критично: навіть OpenBSD можна зробити небезпечною поганою конфігурацією. * збірки з нестандартними опціями;
- підтримки пакетів;
- розробки портів;
- тестування;
- адаптації програм під OpenBSD;
- участі в ports@ спільноті. ! man afterboot
- security by default;
- correctness;
- simplicity;
- code audit;
- clean design;
- minimalism;
- integrated cryptography;
- якісна документація;
- відмова від зайвої складності;
- консервативний підхід до функцій;
- ручне й свідоме ввімкнення сервісів. * логів;
- TLS;
- Kerberos;
- distributed systems;
- audit;
- monitoring;
- scheduled tasks;
- debugging;
- security events.== Аудит коду ==
syspatch
Практична роль: OpenBSD має передбачуваний ритм релізів, тому адміністратору критично планувати оновлення версій, а не залишати систему на старій версії роками. :contentReference [oaicite:5]{index=5} Критично: не застосовуйте firewall-правила на віддаленому сервері без тесту, резервного доступу й плану відкату.== signify ==
</syntaxhighlight>
man afterboot
- X11;
- xenodm;
- cwm;
- fvwm;
- різні window managers;
- Firefox;
- Chromium;
- LibreOffice;
- редактори;
- термінали;
- mail clients;
- development tools. Це означає, що початкова точка безпечніша, але адміністратор усе одно відповідає за конфігурацію. * PF firewall з OpenBSD вплинув на інші BSD-екосистеми й firewall-рішення. Цікавий факт: OpenBSD часто стоїть “на краю мережі”, де помилки конфігурації особливо помітні. * PF User's Guide. {| class="wikitable"
Коли варто використовувати OpenBSD
OpenSSH містить:
Можливі задачі:
- перевірки релізів;
- перевірки пакетів;
- підпису важливих файлів;
- простішої криптографічної перевірки;
- захисту supply chain;
- довіри до оновлень.
'''Практична порада:''' у OpenBSD краще працювати “як задумано системою”, а не ламати стандартну структуру конфігурацій. OpenBSD відома культурою аудиту коду.== OpenBSD і Linux == * офіційний сайт OpenBSD. серверів забезпечується через OpenBSD часто використовують; так само реалізовано firewall, маршрутизаторів, VPN-шлюзів, DNS, mail-серверів, навчання UNIX, розробки системного програмного забезпечення, security research і середовищ, де важливі передбачуваність, контроль і невелика attack surface. * secure defaults; * code audit; * privilege separation; * pledge; * unveil; * W^X; * ASLR; * stack protection; * signed packages; * signify; * minimal services; * strong cryptography; * careful daemon design; * conservative development culture. * encrypted laptop; * encrypted server disk; * RAID; * disk redundancy; * boot disk encryption у відповідних конфігураціях; * захист даних при втраті пристрою. Вона не прагне бути найзручнішим desktop, наймасовішою cloud-платформою або найширшою package-екосистемою. Її сила — у контрольованих, зрозумілих, мережевих і security-focused сценаріях: firewall, router, SSH bastion, DNS, mail relay, простий сервер, security lab або навчання UNIX. rcctl start sshd * WireGuard через packages; * IPsec; * OpenVPN через packages; * SSH tunnels; * site-to-site VPN; * remote access VPN; * encrypted management access.</div> <div style="background:#f0eaff; border-left:6px solid #8e44ad; padding:12px; margin:12px 0;"> </div> Типові теми: * OpenBSD має власну культуру релізного artwork: кожен реліз часто супроводжується оригінальними ілюстраціями й темою.=== Встановити пакет === Пакети використовуються для встановлення: '''Найцікавіше:''' OpenBSD впливає на світ набагато сильніше, ніж здається за її часткою користувачів. '''Практична роль:''' httpd добре вписується в OpenBSD-філософію: простий, зрозумілий, мінімалістичний web server.<div style="background:#e7f3ff; border-left:6px solid #2b7cff; padding:12px; margin:12px 0;"> {| class="wikitable" OpenBSD здатна використовуватися на різних типах hardware, залежно від поточного релізу: Поширені помилки: </div> </div> * обмеженіша hardware support, ніж у Linux; * не найкращий вибір для gaming; * менша кількість пакетів; * повільніша технічна підтримка деяких нових пристроїв; * не cloud-native за замовчуванням; * менше tutorial-контенту, ніж для Linux; * деякі програми можуть бути недоступні; * desktop-сценарії потребують більше знань; * нижча продуктивність у деяких workloads; * специфічна BSD-адміністрація; * потрібно читати документацію; * не підходить для всіх серверних задач. Вона не завжди зручна для всіх, але дуже приємна для тих, хто цінує порядок і ясність. Проєкт очолив Theo de Raadt.</div> '''Критично:''' шифрування диска не замінює backup.== VPN == == relayd == </div> '''Практична порада:''' OpenBSD варто обирати тоді, коли ви готові прийняти її стиль: простота, документація, ручна конфігурація й security-first мислення. * amd64; * arm64; * armv7; * i386 у відповідних старіших/підтримуваних сценаріях; * sparc64; * powerpc64; * riscv64 у сучасних напрямах; * інші архітектури залежно від релізу.== Мінімальна стандартна інсталяція == == Логування == * packet filtering; * NAT; * port forwarding; * traffic shaping у відповідних сценаріях; * firewall gateway; * router; * VPN gateway; * redirection; * table-based rules; * network segmentation.<div style="background:#fff4e5; border-left:6px solid #f39c12; padding:12px; margin:12px 0;"> OpenBSD часто не додає функцію лише тому, що вона популярна. '''Людською мовою:''' OpenBSD — це платформа, яка часто каже “ні” заради того, щоб решта працювала надійніше.</div> == Безпека OpenBSD == <div style="background:#e7f3ff; border-left:6px solid #2b7cff; padding:12px; margin:12px 0;"> '''Увага:''' OpenBSD desktop підійде не всім.== Desktop на OpenBSD == Він підходить для: == Обмеження OpenBSD == OpenBSD використовує класичні UNIX-механізми логування. Розробники шукають помилки не лише після інцидентів, а й проактивно. man pf.conf rcctl status sshd man sshd_config === Перевірити версію === '''rcctl''' — інструмент для керування системними службами в OpenBSD.<div style="background:#e8f8f5; border-left:6px solid #16a085; padding:12px; margin:12px 0;"> syspatch * SSH bastion; * firewall; * router; * VPN gateway; * DNS server; * web server; * mail relay; * monitoring node; * small database server; * internal tools; * Git server; * security lab; * jump host. '''Цікавий факт:''' в OpenBSD фраза “читай man page” часто не грубість, а справді хороша порада — документація там зазвичай якісна й практична. OpenBSD
pfctl -nf /etc/pf.conf
syspatch
- серверного ПЗ;
- desktop-застосунків;
- мов програмування;
- редакторів;
- баз даних;
- web-серверів;
- утиліт;
- development tools. Приклади:
OpenBSD застосовується для для:
OpenBSD походить із BSD-традиції й розвивається як окрема операційна платформа з власним ядром, userland, документацією, інструментами, ports tree і пакетною системою. * увімкнення служб;
- запуску служб;
- зупинки служб;
- перевірки статусу;
- керування параметрами daemon-ів;
- адміністрування server services.
Практична роль: relayd дає можливість будувати невеликі, чисті й контрольовані мережеві архітектури без надмірної складності. У реальному firewall потрібно враховувати інтерфейси, IPv6, ICMP, anti-spoofing, VPN, NAT, logging, management access і ризик втрати віддаленого доступу.== OpenSSH == Підказка: базовий набір OpenBSD-адміністратора — `man`, `rcctl`, `pkg_add`, `syspatch`, `sysupgrade`, `pfctl`, `dmesg` і уважне читання `/var/log`. pkg_info
OpenBSD здатна бути не найкращим вибором для:
оновлення версій OpenBSD
- правила блокування;
- дозволені з’єднання;
- NAT;
- redirection;
- tables;
- macros;
- anchors;
- logging;
- anti-spoofing;
- правила для окремих інтерфейсів.
Філософія OpenBSD
syspatch — інструмент для встановлення binary patches для базової системи OpenBSD. :contentReference [oaicite:1]{index=1}
cwm
- routing;
- BGP-сесій;
- мережевих операторів;
- edge routing;
- internet infrastructure;
- lab-середовищ;
- маршрутизації між автономними системами.
Типові помилки початківців
Якщо програма після цього намагається зробити щось неочікуване, платформа здатна її зупинити. rcctl stop sshd
У OpenBSD це проявляється так:
Офіційна сторінка OpenBSD 7.8 зазначає, що більшість ports доступні як packages на mirrors.
|- | Походження | Відгалуження від NetBSD | BSD-система з фокусом на portability |- | базовий акцент | Security і correctness | Portability |- | Архітектури | Кілька підтримуваних платформ | Дуже широкий фокус на різні платформи |- | Культура | Security-first | “Of course it runs NetBSD” |}
критично: ports — це не базовий шлях для кожного користувача.</syntaxhighlight> pkg_add -u
Перевірити PF
конкурентні переваги OpenBSD
Практична роль: signify — приклад OpenBSD-підходу: маленький інструмент, який робить одну важливу річ і робить її зрозуміло. До них належать: Інсталятор OpenBSD відомий простотою. Проста аналогія: OpenBSD не дає вам будинок із усіма дверима відчиненими. :contentReference [oaicite:6]{index=6}
man pkg_add
Див. так само
</syntaxhighlight>
Цікаві факти про OpenBSD
cwm підходить для: </syntaxhighlight>
SEO title: OpenBSD — безпечна UNIX-подібна операційна система з фокусом на аудит коду, криптографію, мережі й простоту
SEO keywords: OpenBSD, Open BSD, BSD, UNIX-like operating system, 4.4BSD, security by default, OpenSSH, PF firewall, LibreSSL, signify, pledge, unveil, pkg_add, ports, OpenBSD 7.8, Theo de Raadt, secure operating system, UNIX, firewall OS, server OS, network security, операційна система, безпечна ОС
</noinclude>
{{SEO
Шаблон для службового SEO-опису сторінки.
}}
tail -f /var/log/authlog
set skip on lo
LibreSSL став прикладом OpenBSD-підходу: Найлюдяніший факт: OpenBSD схожа на інструмент, зроблений майстрами для майстрів. оновлення версій потрібно робити уважно, читаючи upgrade guide. * BSD
- FreeBSD
- NetBSD
- DragonFly BSD
- UNIX
- Linux
- OpenSSH
- PF firewall
- LibreSSL
- signify
- pledge
- unveil
- doas
- OpenBGPD
- OpenNTPD
- OpenSMTPD
- httpd
- relayd
- Firewall
- VPN
- SSH
- DNS
- Сервер
- Операційна система
- Логування
- Безпека застосунків
- Приватність даних