OpenBSD virtualisiert

© distrikt3, 123RF

Gepanzert

,
Wichtigste Neuerung der Mitte Mai veröffentlichten Version 5.3 von OpenBSD ist die Integration von VirtIO-Treibern. Mit ihnen kann das Betriebssystem auch unter KVM virtualisiert werden.
Mit Hardware-Beschleunigung und schnellem Netz hilft Desktop-Virtualisierung, Administrationsaufwand und Kosten sparen, ADMIN 04/2013 verrät, wie die ... (mehr)

Pünktlich jedes halbe Jahr veröffentlicht die OpenBSD-Gruppe um Theo de Raadt einen Auszug des aktuellen Betriebssystem-CURRENT als RELEASE und wechselt den Trunk der Quellen auf die nächste Version. Seit dem 1. Mai 2013 ist OpenBSD auf diese Weise bei der Version 5.3 angelangt. Außer den üblichen Fixes und Verbesserungen enthält diese Version jetzt erstmals die für den Betrieb unter KVM notwendigen Treiber für paravirtualisierte Geräte. Die notwendigen drei Basis-VirtIO-Treiber für Festplattenzugriffe (»vioblk« ), Netzwerkkommunikation (»vio« ) und Speicherverwaltung (Memory Ballooning, »viomb« ) sind direkt im Basisbetriebssystem enthalten. Die per »vioblk« automatisch gefundenen Festplattendevices werden als SCSI-Geräte adressiert. Die VirtIO-Implementation wurde von NetBSD übernommen. OpenBSD hat durch die Integration der Treiber in dieser Hinsicht mit FreeBSD 9 gleichgezogen (NetBSD lässt sich unter KVM nicht sinnvoll installieren).

OpenBSD ist das dritte der großen BSD-Betriebssysteme und wird seit 1996 kontinuierlich vom selben Entwicklerteam betreut. OpenBSD entstand als Fork von NetBSD, weil sich die Programmierer nicht über die Geschwindigkeit bei der Weiterentwicklung einigen konnten. Aus diesem Grund sind sich die Kerneldevices dieser beiden Betriebssysteme bis heute recht ähnlich.

Mit Sicherheit

Von Beginn an war das wichtigste Designkriterium für OpenBSD die Sicherheit und man ist im Projekt stolz, dass in den vielen Jahren seit der ersten Version nur zwei Sicherheitslücken in der Standardinstallation gefunden wurden. Das bedeutet aber auch, dass manch liebgewonnene Sicherheitslücke (wie beispielsweise der Telnet-Daemon) seit vielen Jahren nicht mehr standardmäßig in OpenBSD zu finden ist. Dafür sind andere sicherheitsrelevante Projekte wie OpenSSH und freie Daemons wie OpenNTPD daraus entstanden.

Der Hauptgrund für die Bedeutung von OpenBSD ist aber die Firewall-Implemention "pf". OpenBSD mit seinem Paket-Filter bildet die Basis kommerzieller Firewall-Appliances von Firmen wie Genua und Bytemine, denn diese Firewall ist verhältnismäßig einfach zu konfigurieren und gilt als stabil und sicher. Möglich ist die Weiterentwicklung durch Drittfirmen aufgrund der OpenBSD-Lizenz, bei der interne Verbesserungen – anders als bei der GPL – nicht zurück in die Basis-Quelltexte fließen müssen.

OpenBSD ist primär ein Server-Betriebssystem, trotzdem findet man als externe Softwarepakete die grafischen Oberflächen Gnome 3 und KDE 3. Es kann also durchaus auch auf Desktop-Computern und mobilen Geräten wie Laptops installiert werden. Allerdings werden beim Anwender sehr viel tiefere Unix-Kenntnisse und erheblich mehr Engagement als bei Linux vorausgesetzt.

Kompromisslos

Was es grundsätzlich nicht gibt – das macht den Betrieb auf Endanwendergeräten teilweise problematisch – sind proprietäre Hardware-Treiber. Auf Mauscheleien mit Herstellern lässt man sich beim OpenBSD-Projekt nicht ein. Non-Disclosure-Agreements werden – anders als von Linux-Entwicklern – nicht unterschrieben. Die klaren Aussagen des Chefentwicklers Theo de Raadt wirken diesbezüglich zum Teil auch sehr militant. Die Abkapselung geht so weit, dass Anwendungen, die nicht unter einer BSD-Lizenz stehen, immer weiter aus dem Basisbetriebssystem entfernt werden, selbst die originalen BSD-Paketverwaltungsprogramme wurden, unter anderem wegen der Lizenz, durch Perl-Skripte ersetzt. Die unter der verpönten GPL stehende Bash ist ebenfalls nicht im Basissystem zu finden, sondern ist durch eine Korn-Shell mit Public-Domain-Lizenz ersetzt.

Die Verwandtschaft zwischen NetBSD, FreeBSD und OpenBSD ist an vielen Kleinigkeiten zu erkennen, nicht nur am Kernel. Die Paketverwaltung (bei OpenBSD wie bei FreeBSD "Ports" genannt) orientiert sich an den Package Sources von NetBSD und an den Ports von FreeBSD, geht aber auch eigene Wege. Der Aufbau des Basissystems mit einem kleinen Rumpfsystem inklusive des Apache 1 mit Programmen in »/bin« und »/usr/bin« ist BSD-typisch. Wie bei FreeBSD wandert alles, was aus den Ports stammt, bei der Installation nach »/usr/local« .

Wie bei NetBSD und anders als bei FreeBSD wird bei OpenBSD »X« als eigener Fork der grafischen Oberfläche gepflegt. Das Xenocara genannte System wird direkt bei der Betriebssysteminstallation auf Wunsch und dann wahlweise nach »/usr/X11R6« (also in den alten Pfad) installiert. Wer mit OpenBSD einen Server betreibt, sollte X aber nicht installieren, denn für die grafische Oberfläche muss die Sicherheitsstufe des Systems verringert werden.

Ähnliche Artikel

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019