OpenBSD系統(tǒng) v7.6官方版

OpenBSD是一個(gè)從NetBSD衍生出來的Unix操作系統(tǒng)之一，包含了一些在其他操作系統(tǒng)缺少或是選擇性的安全功能，可以在17種不同的硬件環(huán)境下運(yùn)作，包含DEC Alpha、Intel i386、Hewlett-Packard PA-RISC、AMD64、Motorola 68000、PowerPC、Sun SPARC等。專案領(lǐng)導(dǎo)人Theo de Raadt在1995年發(fā)起了OpenBSD專案，希望創(chuàng)造一個(gè)注重安全的操作系統(tǒng)，所以O(shè)penBSD極度重視程式碼的品質(zhì)，任何對(duì)核心的修改都需要經(jīng)過嚴(yán)格的程式碼審閱，他以高品質(zhì)的文件、堅(jiān)持開放程式碼以及嚴(yán)格的軟件授權(quán)著名，被稱為世界上最安全的操作系統(tǒng)。

OpenBsd 7.6是目前官方發(fā)布的新版本，更新主要改善了硬件支持，修復(fù)諸多安全問題，并優(yōu)化了各種用戶軟件等。比如初步支持高通 Snapdragon X1 Elite (X1E80100) SoC，對(duì)三星 Galaxy Book4 Edge 在 ACPI 模式下的啟動(dòng)支持，在 AMD64 上實(shí)現(xiàn)了對(duì) AVX-512 的支持，支持 Meteor Lake Arc Graphics 和更新的 Intel DRM 驅(qū)動(dòng)，改進(jìn)了各種網(wǎng)絡(luò)驅(qū)動(dòng)程序等等，可以更好的適用于需要高安全性的環(huán)境。

OpenBSD安裝教程

一、安裝準(zhǔn)備

下載安裝虛擬機(jī)如vmware player，并且準(zhǔn)備好安裝文件，設(shè)置根據(jù)自己的需求配置好虛擬機(jī)，然后載入OpenBSD的ISO鏡像

 

二、OpenBSD安裝

啟動(dòng)虛擬機(jī)，等一會(huì)，進(jìn)入安裝第一步，如下圖：

有三個(gè)選項(xiàng)，輸入I進(jìn)入安裝過程，輸入U(xiǎn)進(jìn)入升級(jí)過程，輸入S則進(jìn)入一個(gè)shell環(huán)境，進(jìn)入shell環(huán)境后可以輸入install重新進(jìn)入安裝程序。

輸入I進(jìn)行安裝，進(jìn)入Choose your keyboard layout(選擇鍵盤布局)選項(xiàng)，一般都為us，也可以輸入L列出鍵盤布局備選選項(xiàng)查看，然后選擇自己的鍵盤布局。下一步進(jìn)入Choose your keyboard layout(設(shè)置主機(jī)名)選項(xiàng)，這里設(shè)置為VM1，下一步進(jìn)入網(wǎng)絡(luò)配置部分，系統(tǒng)列出了當(dāng)前全部的網(wǎng)卡，這里有兩個(gè)vic0和vlan0，其中vic0是我們虛擬機(jī)配置里那個(gè)采用橋接方式的那個(gè)網(wǎng)卡，選擇配置那一塊網(wǎng)卡，默認(rèn)為vic0，回車，進(jìn)入配置ipv4地址選項(xiàng)，默認(rèn)是dhcp，我們采用靜態(tài)ip，輸入ipv4的地址：192.168.1.123回車，進(jìn)入設(shè)置掩碼選項(xiàng)，默認(rèn)為255.255.255.0，如不對(duì)，自己在后面填寫正確的掩碼，回車，不配置ipv6地址，默認(rèn)none，回車，再一次進(jìn)入選擇網(wǎng)卡進(jìn)行配置的選項(xiàng)，如果有多個(gè)網(wǎng)卡，這里可以配置下一個(gè)，這里選擇done完成網(wǎng)卡配置，回車進(jìn)入配置網(wǎng)關(guān)地址選項(xiàng)，填入19.168.1.1回車，進(jìn)入設(shè)置dns域名的選項(xiàng)，如果公司有域名這里可以填寫如( openbsd.org或者baidu.com等)這里我填寫openbsd.org。那么我的機(jī)器將來的唯一標(biāo)識(shí)則是主機(jī)名加上域名，即為:VM1.openbsd.org。填寫好回車，進(jìn)入DNS解析服務(wù)器的ip地址，多個(gè)dns解析服務(wù)器的ip用逗號(hào)隔開，我填寫：202.106.195.68。以上操作步驟如下圖:

回車，系統(tǒng)詢問還要進(jìn)行其他的網(wǎng)絡(luò)配置嗎，默認(rèn)no回車，進(jìn)入設(shè)置用戶密碼的選項(xiàng)，不回顯。連續(xù)輸入兩次?；剀?，系統(tǒng)詢問是否默認(rèn)啟動(dòng)sshd服務(wù)，默認(rèn)為yes，建議選擇yes開啟ssh登陸。回車，系統(tǒng)詢問是否默認(rèn)啟動(dòng)ntpd服務(wù)，這是個(gè)時(shí)間同步服務(wù)，可以開啟也可以不開啟，如果系統(tǒng)需要準(zhǔn)確的時(shí)間，建議開啟以便和網(wǎng)絡(luò)上的時(shí)間服務(wù)器進(jìn)行時(shí)間同步，默認(rèn)為no，這里選擇不開啟，回車系統(tǒng)詢問是否期望運(yùn)行X window系統(tǒng)，默認(rèn)為yes，這里可以選擇yes也可以選擇no，我這里選擇yes，回車系統(tǒng)詢問是否默認(rèn)運(yùn)行x window ，默認(rèn)值為no，這里選擇默認(rèn)值，即不啟動(dòng)x window，回車系統(tǒng)詢問change the console to com0默認(rèn)no即可。下一步系統(tǒng)讓新建用戶，這里不新建用戶選擇no即可，下一步，選擇時(shí)區(qū)，可以輸入L查看備選選項(xiàng)，這里選擇Asia/Shanghai選項(xiàng)，下一步系統(tǒng)列出了當(dāng)前可用的磁盤，如果有多快磁盤，選擇指定的磁盤回車，系統(tǒng)提示是否在/etc/fstab里面使用DUIDS替代默認(rèn)的設(shè)備名稱，默認(rèn)為yes即可，下一步系統(tǒng)提示是使用整個(gè)磁盤還是編輯MBR以使用部分磁盤，這里選擇Whole全部即可，如下圖:

下一步，系統(tǒng)會(huì)默認(rèn)有一個(gè)分區(qū)方案，如果同意的話輸入A采用自動(dòng)分區(qū)方案，或者輸入E編輯自動(dòng)分區(qū)的方案或者輸入c采用自定義分區(qū)方案，這里我采用自定義分區(qū)方案，輸入c如圖：

下一步進(jìn)入自定義分區(qū)，輸入？可以查看分區(qū)命令，分區(qū)編號(hào)可以是a到p的任何字母，但要注意，分區(qū)的時(shí)候，兩個(gè)分區(qū)號(hào)代表特殊意義，即 b代表交換分區(qū)，c代表整個(gè)磁盤，所以添加第一個(gè)分區(qū) a  a即可，添加交換分區(qū) a b ，不能使用a c，添加第三個(gè)分區(qū) a

offset是分區(qū)開始的地方，size是分區(qū)的大小，fs type默認(rèn)即可，mount point填入掛載點(diǎn)。這里我給/分區(qū)分了10G的空間，交換分區(qū)分了1G空間，剩下29G分給了/opt分區(qū)。

完成后，系統(tǒng)進(jìn)入選擇安裝介質(zhì)的選項(xiàng)，默認(rèn)cd回車即可，選擇cd0，第一個(gè)光驅(qū)，回車，選擇路徑，默認(rèn)即可。系統(tǒng)列出了都有哪些包可以安裝，如圖：

取消選擇的包可以使用-包名的方式,如-game51.tgz，選擇一個(gè)包輸入報(bào)名回車即可，選擇好所要安裝的包后回車開始安裝openbsd系統(tǒng)。如圖：

安裝完成后進(jìn)入shell，為了使系統(tǒng)生效，我們需要重新啟動(dòng)系統(tǒng)，輸入reboot：

重新啟動(dòng)過程中，系統(tǒng)會(huì)生成rsa密鑰對(duì)等等，啟動(dòng)完成后，如輸入root 密碼進(jìn)入系統(tǒng)：

可以看看我們的分區(qū)：

3.1、ports方式安裝

下載ports壓縮包，移動(dòng)到/usr目錄下，并解壓(解壓過程比較長(zhǎng))。

 ports安裝方式是一種源碼編譯安裝方式，本質(zhì)是一對(duì)makefile文件，安裝過程中，會(huì)從網(wǎng)絡(luò)上下載源代碼編譯安裝，會(huì)將依賴的包一并編譯安裝上，openbsd默認(rèn)沒有安裝bash，這里我們安裝下bash。進(jìn)入/usr/ports/shell/bash/下執(zhí)行make install如圖：

編譯過程檢查依賴關(guān)系并下載編譯安裝依賴的軟件庫(kù)：

編譯過程：

編譯完成：

編譯過程中，會(huì)將編譯好的文件打包放到/usr/ports/packages/i386/all目錄下，方便下次使用該文件，我們看下安裝bash編譯了那些軟件和庫(kù)：

改變r(jià)oot默認(rèn)shell，重新登錄起效：

3.2、package安裝方式

package是預(yù)編譯的二進(jìn)制包，不同于ports源碼安裝，事實(shí)上，ports安裝方式也會(huì)打包一個(gè)package二進(jìn)制文件，你完全可以將此二進(jìn)制文件拷貝到別的地方安裝，openbsd默認(rèn)沒有安裝python，現(xiàn)在采用package安裝python2.5.4，采用package安裝方式也會(huì)將依賴的軟件和庫(kù)一并裝上。

安裝過程：

安裝完成：

使用python：

軟件特色

一、OpenSSH

第一個(gè)值得關(guān)注的包是 OpenSSH，所有的 UNIX 和 Linux® 用戶對(duì)它都很熟悉。然而，許多人可能并不知道它來自于 OpenBSD 開發(fā)人員。OpenSSH 最初用于 OpenBSD，后來成為標(biāo)準(zhǔn)的安全 Shell (SSH) 包，并移植到幾乎所有版本的 UNIX、Linux 和 Microsoft® Windows® 操作系統(tǒng)。OpenSSH 包括用于安全登錄的 ssh、用于安全復(fù)制的 scp 和 sftp，后者是 ftp 的安全替代方法。所有的源代碼都符合開放源代碼 BSD 許可，必須遵守 OpenBSD 的規(guī)程以杜絕在該分發(fā)版中出現(xiàn)任何專用代碼和限制性許可計(jì)劃（這是創(chuàng)建新版本的 SSH 的原動(dòng)力）。OpenBSD中所包含的每個(gè)軟件部分都是完全免費(fèi)的，并且在使用上沒有任何限制

二、加密

因?yàn)镺penBSD項(xiàng)目是在加拿大進(jìn)行的，所以其中應(yīng)用的加密技術(shù)不受美國(guó)的出口限制，這使得該分發(fā)版可以充分利用各種現(xiàn)代的加密算法。幾乎可以在該操作系統(tǒng)的任何地方找到加密處理，從文件傳輸?shù)轿募到y(tǒng)，乃至網(wǎng)絡(luò)。OpenBSD 中還包含偽隨機(jī)數(shù)生成器，它可以確保無法根據(jù)系統(tǒng)狀態(tài)預(yù)測(cè)隨機(jī)數(shù)。其他的特性還包括加密哈希函數(shù)、加密轉(zhuǎn)換庫(kù)和加密硬件支持

三、IP安全協(xié)議

OpenBSD中另一個(gè)主要的部分是IP安全協(xié)議 (IPSec)，該操作系統(tǒng)中沒有依賴先天不安全的TCP/IP Version 4 (IPV4)，而使用了這個(gè)協(xié)議。（IPV4 選擇信任所有的人和所有的事物。）IPSec 對(duì)數(shù)據(jù)包進(jìn)行加密和驗(yàn)證以保護(hù)數(shù)據(jù)的保密性，并確保在傳輸過程中不會(huì)對(duì)數(shù)據(jù)包進(jìn)行任何更改。隨著TCP/IP Version 6 (IPV6) 的引入，IPSec 成為標(biāo)準(zhǔn)的 Internet 協(xié)議中不可或缺的部分，這使得未來的 Internet 在缺省情況下更加安全

四、防火墻

1、因?yàn)镺penBSD很小并且很安全，所以O(shè)penBSD實(shí)現(xiàn)的最常見目標(biāo)之一是用作防火墻。防火墻從底層對(duì)大多數(shù)安全單元進(jìn)行操作，并且 OpenBSD 的包過濾實(shí)現(xiàn)是非常優(yōu)秀的。Packet Filter (PF)，OpenBSD 開發(fā)社區(qū)設(shè)計(jì)的開放源代碼解決方案，它是 OpenBSD 所選擇的方法。與 OpenBSD 軟件的其他許多部分一樣，這種方法非常成功，以至于其他的 BSD 變種紛紛將其移植到自己的分發(fā)版中

2、OpenBSD配置為缺省安全，所以在設(shè)置堅(jiān)如磐石的防火墻時(shí)，您無需關(guān)閉過多的服務(wù)。您需要啟用第二個(gè) Ethernet 接口，并根據(jù)需要配置 PF。有關(guān)介紹如何將 OpenBSD 服務(wù)器設(shè)置為防火墻的文章鏈接

四、加密和隨機(jī)數(shù)

1、大多數(shù)操作系統(tǒng)很少在其關(guān)鍵組成部分中包含加密處理，這使得它們先天就缺乏安全性。導(dǎo)致這種缺陷的一個(gè)重要原因是，大多數(shù)的操作系統(tǒng)來自美國(guó)，不允許開發(fā)人員出口健壯的加密軟件。OpenBSD中的加密哈希庫(kù)包括 MD5、SHA1 和 RIPEMD160。OpenBSD中的加密轉(zhuǎn)換庫(kù)包括 Blowfish、數(shù)據(jù)加密標(biāo)準(zhǔn) (DES)、3DES和Cast

2、大部分加密處理都在底層進(jìn)行，這樣一來，用戶就不用為了保護(hù)系統(tǒng)安全而必須成為加密方面的專家。OpenBSD 開發(fā)團(tuán)隊(duì)很清楚，大多數(shù)管理員并不是安全方面的專家，并且不應(yīng)該指望他們煞費(fèi)周折地加強(qiáng)他們的環(huán)境。那些認(rèn)為 OpenBSD 不是用戶友好的操作系統(tǒng)的人，大部分是受到了誤導(dǎo)。如果大多數(shù)管理員愿意花時(shí)間使用 OpenBSD 的缺省安全措施來替代任何其他的分發(fā)版，那么他們很可能會(huì)改變其思維方式

3、隨機(jī)數(shù)是確保安全性的重要組成部分。OpenBSD 內(nèi)核使用中斷信息創(chuàng)建不斷變化的熵池，它可以為加密函數(shù)提供種子數(shù)據(jù)，并為事務(wù) ID 提供數(shù)值。例如，偽隨機(jī)數(shù)可用于進(jìn)程 ID和包 ID，這使得那些想要進(jìn)行攻擊的人很難進(jìn)行欺騙。OpenBSD 甚至在 bind(2) 系統(tǒng)調(diào)用中使用了隨機(jī)端口分配。大多數(shù)源于 UNIX 的操作系統(tǒng)要么創(chuàng)建順序的 ID，要么使用可預(yù)測(cè)其結(jié)果的簡(jiǎn)單算法

更新日志

v7.6版本

一）、各平臺(tái)改進(jìn)：

一、arm64版

1、針對(duì)arm64實(shí)施Spectre-V4緩解措施。

2、擴(kuò)展了對(duì)Cortex-A57的Spectre-BHB緩解支持。

3、啟用arm64上可用的增強(qiáng)特權(quán)訪問禁止（EPAN）。

4、識(shí)別Cortex-A520AE（Hayes AE）和Cortex-A720AE（Hunter AE）CPU

5、使LED在SolidRun ClearFog CN9130 Base上工作。

6、增加了高通公司Snapdragon X Elite（X1E80100）支持。

7、實(shí)現(xiàn)了對(duì)PSCI提供的更深空閑狀態(tài)的支持，減少了空閑功耗。

8、根據(jù)識(shí)別的功能位和ID寄存器值的凈化值填充arm64 HWCAP和HWCAP2標(biāo)志。

9、在ACPI模式下啟動(dòng)三星Galaxy Book4 Edge（x1e80100）。

10、與amd64一樣，使用FEAT_RNG將熵輸入arm64上的隨機(jī)子系統(tǒng)。

二、amd64版

1、緩解了Intel Atom CPU中存在的RFDS（注冊(cè)文件數(shù)據(jù)采樣）漏洞（需要更新固件）。

2、實(shí)現(xiàn)了對(duì)AVX-512的支持。

3、縮短dmesg（8）當(dāng)緩存信息行與前一個(gè)CPU相同時(shí)，通過抑制緩存信息行輸出。

4、簡(jiǎn)化了中amd64 CPU標(biāo)志的標(biāo)志信息的顯示dmesg（8）.

5、將cpuid提供的AMD Secure Encrypted Virtualization（SEV）相關(guān)信息添加到dmesg（8）.

6、在amd64總線dma中實(shí)現(xiàn)AMD SEV的反彈緩沖。

7、在amd64上實(shí)現(xiàn)了MSI和MSI-X的硬件屏蔽。

8、在amd64上實(shí)現(xiàn)喚醒中斷。

9、確保在amd64和i386上從掛起到空閑期間選擇了最深的可能C狀態(tài)。

10、關(guān)閉amd64（和i386）機(jī)器電源時(shí)，將目標(biāo)ACPI設(shè)置為S5，而不是嘗試將設(shè)備置于D3電源狀態(tài)。

11、通過避免使用“使用”計(jì)數(shù)緩存屬于內(nèi)存范圍的頁(yè)面，以保持低頁(yè)面可用，避免頁(yè)面耗盡，從而防止了amd64上的活鎖。

三、riscv64版

1、當(dāng)固件支持時(shí)，使用SBI調(diào)用重新啟動(dòng)或關(guān)閉電源。

2、通過DMA標(biāo)簽通信緩存相干DMA狀態(tài)主總線（4）.

3、支持Milk-V先鋒板。

4、已在riscv64上啟用UVM percpu緩存。

四、powerpc版

1、導(dǎo)出了基本的HWCAP位，以便應(yīng)用程序檢測(cè)powerpc64上的Altivec和VSX。

2、導(dǎo)出了基本的HWCAP位，以便應(yīng)用程序在powerpc上檢測(cè)Altivec。

五、mips64版

1、在mips64（以及sparc64和luna88k）上啟用了uvm per-cpu頁(yè)面緩存

六、alpha版

1、將alpha轉(zhuǎn)換為MI mplock代碼。

二）、各種內(nèi)核改進(jìn)：

1、減少dmesg只打印有關(guān)啟用的資源的PCI資源沖突的輸出。

2、刪除了msyscall機(jī)制，現(xiàn)在由更嚴(yán)格的機(jī)制取代可模仿和松叫聲.

3、改變質(zhì)押,mmap的MAP_STACK和松叫聲無法使用uprintf而不是寫進(jìn)dmesg.

4、制造見證人顯示鎖周期超過兩個(gè)鎖。

5、進(jìn)行“現(xiàn)場(chǎng)見證”展示見證人鎖定子類型ddb.

6、制造ddb通過在ddb-show-mbuf中實(shí)現(xiàn)/c和/p修飾符來打印mbuf鏈和數(shù)據(jù)包列表。

7、修復(fù)arm64 ddb上的回溯打印。

8、補(bǔ)充pathconfat:路徑conf但使用at-fd和flags參數(shù)，后者支持獲取符號(hào)鏈接的時(shí)間戳解析。

9、確保pmap _創(chuàng)建在內(nèi)核虛擬空間不足的情況下等待。

10、通過將extract_entropy（）與enqueue_randomens（）邏輯解耦，使arc4random（）依賴于更少的子系統(tǒng)。

11、確保對(duì)dequeue_randomens（）的并發(fā)調(diào)用將使用一些不同的事件。

12、努力支持S0睡眠狀態(tài)，改善現(xiàn)代硬件上的暫停/恢復(fù)體驗(yàn)。

- 在amd64上添加了“suspend-to-idle”的實(shí)現(xiàn)，在不支持S3的機(jī)器上啟用了suspend。

- 當(dāng)FADT指示FADT_POWER_S0_IDLE_CAPABLE時(shí)，開始在acpi:sleep狀態(tài)行上打印“S0ix”而不是“S0”，假設(shè)供應(yīng)商同意這些機(jī)器的S0掛起與S3一樣好或更好。

- 添加了一個(gè)臨時(shí)方法，通過machdep.lidaction=-1強(qiáng)制S0越過S3。我們還沒有準(zhǔn)備好根據(jù)FADT中的S0ix位選擇S0-over-S3，但這將允許測(cè)試。

- 修復(fù)了許多驅(qū)動(dòng)程序中與暫停/恢復(fù)相關(guān)的錯(cuò)誤。

13、使exit1（）等待系統(tǒng)“allprocess”循環(huán)可防止由于并發(fā)進(jìn)程exit1（）而導(dǎo)致內(nèi)核崩潰。

14、防止在以下情況下發(fā)生潛在碰撞保險(xiǎn)絲使用ufs索引節(jié)點(diǎn)。

15、確保在所有文件系統(tǒng)中，通過readdir名稱驗(yàn)證傳回的文件名不包含“/”字符，以避免在不受信任的文件系統(tǒng)上意外地進(jìn)行路徑遍歷。

16、修復(fù)了ELF二進(jìn)制文件中無效的pin表導(dǎo)致的內(nèi)核崩潰。

17、將AF_UNIX的默認(rèn)緩沖區(qū)大小從8192增加到32768，避免了sshd當(dāng)網(wǎng)絡(luò)堆棧被推到足以消耗大部分允許內(nèi)存時(shí)，就會(huì)觸發(fā)這種情況。

......