CHIP "Open Source professionell" 6/2005
Transcrição
CHIP "Open Source professionell" 6/2005
62_Free BSD_neu.qxd 112 28.09.2005 | KNOW-HOW 12:07 Seite 112 SPECIAL OPENOFFICE.ORG 2.0 | NETZWERK & INTERNET | ANWENDUNGEN k FreeBSD | Betriebssystem FreeBSD Alternative zu Linux Das Unix-Derivat FreeBSD besticht durch seine klare Struktur, den hohen Sicherheitsgrad und seine Stabilität. Besonders im Einsatz als Server für ISP-Lösungen wird das freie Betriebssystem hoch geschätzt. Dieser Beitrag gibt einen Überblick und bringt Ihnen die Arbeitsweise von FreeBSD näher. k Das FreeBSD-Projekt entstand 1993 auf Initiative von Nate Williams, Rod Grimes und Jordan Hubbard aus dem „Unofficial 386BSD Patchkit“ und den „Net/2“-Sourcen aus Berkeley. Das Betriebssystem „386BSD 0.5“ stammte ursprünglich von Bill Jolitz, der sich aus dem Projekt aber sehr früh zurückzog. David Greenman prägte schließlich den neuen Namen FreeBSD, während die drei Koordinatoren aus dem Patchkit das erste stabile und freie Betriebssystem fertig stellten. Heute besticht FreeBSD durch seine klare Struktur, den hohen SicherAbstract: FreeBSD wird hauptsächlich auf Servern heitsgrad und seine Stabilität. Beeingesetzt. Es ist sehr sonders im Einsatz als Server für schlank und arbeitet ausgeISP-Lösungen wird das freie Besprochen ressourcenschotriebssystem hoch geschätzt. nend. Die Autoren Angelika Gößler (Mitglied im BSDZertifizierungsprojekt) und Axel S. Gruner (Autor des Jail-Howtos) arbeiten täglich mit FreeBSD und zeigen, wie es installiert wird oder wo die Unterschiede zu Linux liegen, und geben einen Überblick über Konzepte und Strukturen. Vorbereitungen Für Personen, die bereits mit Unix oder Gentoo Linux gearbeitet haben, ist der Umstieg sehr leicht. Andere Linux-Nutzer müssen sich lediglich an die sehr strikte Ordnung im System gewöhnen. Empfehlenswert sind in jedem Fall aber Grundkenntnisse eines Unix-Texteditors wie zum Beispiel vi. Für den ersten Versuch verwendet man idealerweise eine i386-Hardware (keine Laptops) mit möglichst einfachen Komponenten wie Realtek-Netzwerkkarte (oder kompatibel), VGA-Grafik und IDE-Controllern, um nicht durch Treiberprobleme vom Verstehen des Systems abgelenkt zu werden. Auf der sicheren Seite ist man, wenn man über ein Zweitgerät jederzeit online in der Dokumentation (FreeBSD Handbook) nachschlagen kann. Am besten beginnt man den Einstieg in den FreeBSDServerbetrieb mit der so genannten Mini-Installation, die man sich als ISO-Image herunterlädt und auf eine CD brennt. Die Vollversion (mindestens zwei CDs) benötigt man nur, wenn k DVD-CODE System k FreeBSD Mini Installation Auf der Heft-DVD finden Sie die Mini-Installation des FreeBSD-Betriebssystems. Es überzeugt durch seine hohe Sicherheit und arbeitet besonders ressourcenschonend. Brennen Sie das zirka 20 MByte große Image mit einem entsprechenden Brennprogramm auf CD (etwa mit Nero Burning ROM). CHIP | PROFESSIONELL man vorher schon weiß, dass man zahlreiche Binärpakete oder eine grafische Oberfläche benötigt und die Software nicht auf den letzten Stand updaten muss. Letzteres ist im Serverbetrieb zumeist eher hinderlich. Die Grundinstallation von CD dauert für geübte Administratoren weniger als fünf Minuten, eine aktuelle Ausgabe dieser Distribution gehört auch deswegen in jeden AdministrationsNotfallkoffer. Eine Installation via FTP ist auch möglich, dafür benötigt man lediglich zwei Floppies und die entsprechenden Images. FreeBSD installieren Nach Einlegen der CD und Einschalten des Rechners beginnt der Boot-Prozess. Beantworten Sie die Zwischenfragen, bis das Hauptmenü erscheint. Mit dem Menüpunkt „Standardinstallation“ wird man schrittweise durch die Systemeinrichtung geleitet. Spätestens jetzt wird es Zeit, sich zu überlegen, wofür der FreeBSD-Server verwendet werden soll. Typische Einsatzgebiete sind: Internetrouter mit Packet Filtering und Masquerading für DMZs oder lokale Netzwerke, Mailrouter oder -server, Webserver, DNS oder auch Intranet-Dienste wie Fileserver, LDAP und Datenbanken. Für alle diese Services reicht die Textkonsole; aufgrund der einfachen Konfigurierbarkeit können auch Anfänger ohne grafische Oberfläche arbeiten. Durch den Verzicht auf ein X-Window-System und Window-Manager können auch betagtere Rechner für viele dieser Dienste eingesetzt werden. Softwarepakete installieren Jeder für FreeBSD bereitgestellte Download wird über einen Hash-Key (md5-Prüfsumme) verifiziert. Passen die Prüfsummen nicht zusammen, wird die Installation sofort abgebrochen. Anwendungen können über vorkompilierte Binärpakete eingespielt werden. Dafür gibt es Paketverwaltungs-Tools wie pkg_info oder pkg_add und ein Administrations-Tool (/stand/sysinstall). Wirklich effizient und erfolgreich nutzt man FreeBSD aber über das Portsystem. Jedes Programm kann auch manuell im Portsystem aus dem Quellcode erzeugt werden – mit den üblichen Vorteilen von Open-Source-Software: Spezielle Anforderungen an Hardware und System sind leicht anzupassen; bei Sicherheitsrisiken reicht es oft, den Port neu zu kompilieren anstatt sich mit komplizierten Patches herumzuschlagen oder gar einen Serviceausfall zu riskieren. Die Ports sind aber nicht nur ein sauber aufgeräumtes Softwarearchiv, sondern haben noch weitere Vorteile: Sie verwenden dieselben Registrierungsmechanismen wie die Paketverwaltung und sorgen dafür, dass alle Software im System einheitlich regis- 62_Free BSD_neu.qxd 28.09.2005 12:07 Seite 113 113 AUS DER PRAXIS: WORKALOG OHG Mehr Sicherheit durch FreeBSD-Jails Bei Servern steigt die Anfälligkeit gegenüber Eindringlingen mit der Anzahl der Dienste. FreeBSD-Jails sorgen für Abhilfe, denn mit ihnen lassen sich Dienste in virtuelle Server einsperren. Ein Eindringling, der über den Dienst A in das System eindringt, hat somit nur Zugriff auf die Daten und Prozesse, die zu Dienst A gehören. Die FreeBSD-Jails sind eine Weiterentwicklung des chrootKonzepts. Anders als bei einer chroot-Umgebung wird eine vir- PROJEKTZENTRALE FreeBSD.org ist die zentrale Kommunikationsdrehscheibe des Open-Source-Projekts. triert und leicht verwaltbar ist. Die Ports selbst enthalten eigentlich noch keine Quellcodes, sondern nur Namen der Software, Prüfsummen und Download-Quellen. So wird garantiert, dass man nur den Code laden muss, den man wirklich braucht. Durch die zentrale Package-Registrierung werden Abhängigkeiten zu anderen Softwarepaketen automatisch geregelt. System-Updates werden ebenfalls binär (über das Wartungstool /stand/sysinstall) oder per Update über die Quellcodes durchgeführt. Mitgelieferte CVS-Tools, die der Versionskontrolle dienen, aktualisieren den Code in /usr/src und die makeworld-Befehle täglich. Updates von System und Anwendungen werden so trotz scheinbarer Komplexität zur trivialen Angelegenheit: „cd /usr/port/meine_Anwendung“ und „make && make install && make clean“ eingeben, Anwendungsprozess neu starten, fertig. Die globale Ordnung einhalten FreeBSD ist sehr streng – und das ist gut so. Man braucht nicht lange zu suchen, denn es gibt nur wenige Orte, wo Programme, Bibliotheken, Skripte und Konfigurationen zu finden sind: Systemprogramme liegen grundsätzlich unter „/bin“ und „/sbin“. Systemkonfigurationen finden sich unter „/etc“, wobei der Datei „/etc/rc.conf“ eine zentrale Rolle zukommt. Sie ist die Steuerungsdatei für Netzwerk-, Hardware-, Sicherheits- und Prozesskontrolle. Komponenten und Programme werden üblicherweise mit „prozessname_enable="yes"“ eingeschaltet. Die Standardeinstellungen sind im Verzeichnis „/etc/defaults/rc.conf“ nachzulesen. Vorsicht: Die Datei darf nicht geändert werden. Alle Komponenten außerhalb des Basissystems werden unter „/usr/local“ installiert, lokale Konfigurationen unter „/usr/lo- tuelle Instanz des Betriebssystems mit eigenem Filesystem, eigener Benutzerverwaltung und einer IP angelegt. Weitere Einschränkungen machen die Jails ausbruchsicher und lassen keine ungewollten Aktionen zu. Anders als bei virtuellen Maschinen wird dabei keine Hardware simuliert – so verursachen die Jails selbst keine Last. Um Dienste von einem Server abzuschotten, legt man mit Jails virtuelle Server in einem virtuellen Netz auf dem Loopback-Device (lo) an. Die Dienste – etwa http, mysql, mail oder dns – werden jeweils auf einem vServer installiert. Mithilfe von Port-Forwarding werden die Ports vom Host-System mit der öffentlichen IP an die Dienste auf den vServer weitergeleitet. Mit FreeBSD-Jails lassen sich Dienste sicher und effektiv abschotten, da ein Einbruch durch einen Dienst nicht das ganze Sys- „Mit FreeBSD-Jails lassen sich Dienste sicher abschotten“ CHRISTIAN FEHMER Mitgründer, Entwickler und technischer Leiter bei der workalog oHG Mit den Geschäftsbereichen Corporate Communications, Portale, SAP-Services und Training bietet die workalog oHG Unternehmen aller Größen eine ausgeprägte Dienstleistungsvielfalt an. k www.workalog.com tem betrifft. Es lassen sich aber auch virtuelle Server für Kunden anlegen, ohne die Nachteile von virtuellen Maschinen oder die Einschränkungen traditioneller chroot-Umgebungen in Kauf nehmen zu müssen. Die workalog oHG nutzt diese Vorteile in ihrer internen Infrastruktur und stellt das Hosting der TYPO3-Angebote auf FreeBSD um. cal/etc“ abgelegt. Anwendungen werden entweder ebenfalls über einen Eintrag in „/etc/rc.conf“ gestartet (etwa „apache_enable="yes"“) oder erhalten ein Startskript in dem Verzeichnis „/usr/local/etc/rc.d/“. E-Mails, Prozess-IDs und Ähnliches wird unter „/var“ gespeichert. Kernel und Boot-Parameter liegen direkt im Rootverzeichnis bzw. in „/boot“. Das Verzeichnis „/tmp“ erscheint Linux-Usern vermutlich verhältnismäßig klein, reicht aber für den Standardbetrieb. Nur wer FreeBSD als Desktop-Version einsetzen will und die LinuxEmulation verwendet, sollte „/tmp“ gleich größer planen. „/usr/src“ enthält sämtliche Quellcodes zum Neuerstellen von Kernel und System, in „/usr/ports“ liegen die Quellen für das Portsystem. Kontrollieren und testen Ein Dienst ist schnell installiert. Ein Administrator muss aber auch die richtige Funktionsweise testen können. Dafür muss ein Betriebssystem entsprechende Befehle oder Tools bereitstellen, wie etwa der Befehl „telnet localhost <Portnummer>“; dieser kontrolliert, ob der installierte Dienst wirklich auf dem gewünschten Port läuft. Der Befehl „nmap <ipadresse>“ prüft die Firewall auf Dichtigkeit (Vorsicht: Bei diesem Portscan schließen manche Provider ihre Kanäle, man sollte also den Portscan immer in unmittelbarer (Netzwerk-)Nähe der zu überprüfenden Maschine und ohne dazwischen liegende Router oder Firewalls ausführen). Zum Überwachen der Netzwerkaktivitäten dient „netstat“, Pakete überwacht der Befehl „tcpdump“. Diese Werkzeuge unterstützen die Absicherung der Maschine, das Thema, um das sich nach erfolgreicher Installation alles dreht. k CHIP | PROFESSIONELL 62_Free BSD_neu.qxd 114 KNOW-HOW 28.09.2005 | 12:07 Seite 114 SPECIAL OPENOFFICE.ORG 2.0 | NETZWERK & INTERNET Dokumentation nutzen Pflichtlektüre ist für jeden FreeBSD-Nutzer das FreeBSD Handbook und nach der Installation die Man-Pages der Befehle und Tools. Die wichtigsten Passagen im Handbook, vor allem für den Anfang, sind vollständig ins Deutsche übersetzt. Auch hier gilt: Das FreeBSD Handbook ist gut geordnet und wird zentral verwaltet. Es wird nur wenige Gelegenheiten geben, wo man anderswo schlauer wird und das Handbook dazu schweigt – und wenn es dann wirklich irgendwo keine Antwort weiß, bieten die Mitglieder der IRC-Channel und Online-Foren auch spontan und rasch Unterstützung und Hilfe. FreeBSD optimal einsetzen FreeBSD hat sich vor allem bei Internetservice-Providern durchgesetzt: Die mehrschichtigen Sicherheitssysteme (die einmal verstanden werden müssen, aber dann wie Selbstläufer agieren), die hohe Performance im System (ohne Overheads) und die gute Wartung durch die Community (die zu einem nicht unwesentlichen Teil selbst berufliches Interesse an der Stabilität des Systems hat) reduzieren den Wartungsaufwand im Verhältnis zu einem anderen System drastisch. Die FreeBSD Community besteht vorrangig aus Systemadministratoren, welche die Qualität des Systems schätzen. Als logische Konsquenz findet sich eine relativ gute Hardware-Unterstützung bei Neuerungen im Serverbereich wie SCSI-Treiber oder SMP-Unterstützung. Auf der anderen Seite fehlt FreeBSD der von einer Massen-Community getragene Hype, wie es beispielsweise bei Linux der Fall war: FreeBSD verbreitet sich hauptsächlich aufgrund von Empfehlungen. FreeBSD absichern Die Sicherheit jedes Systems steht in direktem Zusammenhang mit der Kompetenz der Person, die es administriert. Dennoch: Nicht jedes System bietet von Haus aus so umfangreiche und einfach zu bedienende Sicherheitsservices wie FreeBSD. Selbstverständlich sind alle sonst auch üblichen, unixoiden Sicherheitsprodukte wie Intrusion Detection, Honeypots und vieles mehr verfügbar, die auch ausreichend dokumentiert sind. Die Sicherheitskonzepte von FreeBSD waren oft Wegbereiter für andere Systeme und finden sich nicht selten auch in reduzierten Formen in Hardware implementiert (etwa in Routern). Tools wie IPSec, Jails (virtuelle Server), Securelevel, ein mehrschichtiges Benutzerrechtesystem wurden maßgeblich in der FreeBSD-Welt entwickelt und durchziehen heute als Standards die gesamte Unix-Welt. Ist das System einmal installiert, dreht sich die Wartung fast nur mehr um das Absichern des Systems. Um das Basissystem von FreeBSD aktuell zu halten und rechtzeitig von Sicherheitslecks zu erfahren, sollten Sie die Mailinglisten „freebsd-securitynotifications“ und „freebsd-security“ abonnieren. Zum Thema Security werden auch RSS-Feeds und natürlich auch Informationen auf der FreeBSD-Website angeboten. Rootrechte vergeben Gerade für Linux-User gibt es in der Userverwaltung eine kleine Falle. Während man auf Standarddistributionen daran gewöhnt CHIP | PROFESSIONELL | ANWENDUNGEN k FreeBSD | Die besten FreeBSD-Tipps im Web Homepagek www.freebsd.org Homepage des FreeBSD-Projekts in sieben Sprachen Dokumentation k www.freebsd.org/handbook Wichtige Online-Referenz für die Arbeit mit FreeBSD Österreichische Usergroup k www.bugat.at Erfahrungs- und Informationsaustausch, FAQs etc. Online-Forum k www.bsdforen.de Größtes deutschsprachiges Forum zu FreeBSD ist, dass jeder Benutzer, der das Passwort kennt, Rootrechte über den Befehl „su“ erlangen kann, gibt es unter BSD weitere Einschränkungen: Rootrechte erhält nur derjenige, der explizit zu der Gruppe „wheel“ hinzugefügt wird. Die nächste Falle ist die Vorkonfiguration des SSH-Daemons: Ein SSH-Login als Root ist standardmäßig nicht erlaubt. Daher gehört das Einrichten eines Nutzers mit Gruppenzugehörigkeit „wheel“ zu den üblichen Aufgaben direkt nach der Installation. Nicht vergessen sollte man auch das Setzen eines Passworts für den User „toor“ („root“ rückwärts geschrieben). Es gibt zwei Strategien, den „toor“-User zu verwenden: „toor“ ist der absolute Notfalluser. Er erhält ein Passwort, das niemand kennt und welches für Notfälle im Firmensafe aufbewahrt wird. Der „toor“-User kann aber auch vom zweiten Administrator verwendet werden, wenn man unbedingt verschiedene Passwörter verwenden möchte. Securelevel und Security Flags nutzen Eine einfache, aber effiziente Art und Weise, das System grundlegend abzusichern, bieten Security Flags und die verschiedenen Securelevel an. Die Security Flags werden mittels des Befehls „schg“ auf Filesystem-Ebene vergeben und mittels „noschg“ wieder aufgehoben. Derart markierte Dateien können weder gelöscht noch verändert werden – in Kombination mit aktiviertem Securelevel nicht einmal mit Rootrechten. Erst wenn ein Securitiy Flag explizit aufgehoben wird, ist eine Manipulation wieder möglich. Werden die Security Flags mit dem Securelevel entsprechend kombiniert, kann verhindert werden, dass potenzielle Hacker System-Binaries oder sensible Dateien tauschen können. Diese Securelevel werden beim Booten über entsprechende Einträge in der Datei „/etc/rc.conf“ gesetzt. Ein Securelevel wird gesetzt über „/etc/rc.conf“, kann manuell während der Laufzeit erhöht, jedoch nicht reduziert werden: "sysctl kern.securelvel=$securelevel" -1: Standardwert der keinen Schutz bietet. 0: wird nur beim Booten genutzt. 1: Die Flags „schg“ und „sappnd“ können nicht manipuliert werden, Kernelmodule können zur Laufzeit nicht geladen oder entladen werden. 2: Wie Level 1, aber Disks können nicht zum Schreiben geöffnet werden (außer für mount). Die Kernel-Zeit kann nur um maximal eine Sekunde verändert werden. 3: Netzwerksicherheitsmodus. Nun können die Regeln der Firewall (PF, IPFW und ipfilter) zur Laufzeit sowie die zugehörigen Konfigurationsdateien nicht verändert werden. 62_Free BSD_neu.qxd 28.09.2005 12:07 Seite 115 115 Der Sicherheitsgrad kann bis hin zu einer völligen Installationssperre hochgedreht werden, in diesem Fall ist eine Systemadministration nur mehr im Single User Mode (Zurücksetzen der Maschine auf eine Art Sicherheitsmodus, kein Netzwerkbetrieb, nur eine Konsole möglich, Direktzugang notwendig) möglich. Arbeiten mit Jails Jails stellen ein Sicherheitskonzept dar, das wie vieles zuvor Hersteller von anderen Unix-Systemen zu Innovationen motiviert hat (lesen Sie dazu auch den Kasten auf s113). So findet sich inzwischen ein ähnliches Konzept in Solaris 10 (OpenSolaris). Grob übersetzt könnte man Jails als „Virtuelle Server“ bezeichnen, die aber keinen eigenen Kernel besitzen und sich daher vom Linux-Konzept unterscheiden. Anders wie bei VMWare wird auch keine Hardware emuliert. Andererseits ist es mehr als nur eine „Change Root“-Umgebung, da es seine eigene Userund Prozessverwaltung besitzt. Jails eignen sich hervorragend, um sicherheitskritische Dienste zu kapseln (DNS, Mailrouter, Datenbanken) oder Dienste, die unter dem Rootuser laufen müssen, vom Hostsystem abzutrennen. Die Jail-Verwaltung ist sehr bequem – ein lauffähiges Jail ist in sich so abgeschlossen, dass es in ein Tar-Paket verpackt und an beliebiger Stelle lauffähig wieder entpackt werden kann. Dadurch wird eine extrem niedrige Downtime bei etwaigen Kompromittierungen erreicht. Bindungen auf spezielle IP-Adressen erlauben ein optimales Netzwerk-Management. Die Last am Hostsystem wird kaum beeinträchtigt, lediglich ausreichend Arbeitsspeicher sollte vorhanden sein. Für den Rootuser im Jail benimmt sich dieses wie ein vollwertiges System mit Ausnahme der Möglichkeiten, auf die Hardware direkt zuzugreifen. Daher werden Jails gerne auch benutzt, um mehreren Personen auf derselben Maschine (weniger Hardware- und Administrationsressourcen) Rootservices und Entwicklungsumgebungen anzubieten, ohne dass diese sich in die Quere kommen können. Firewalls einsetzen FreeBSD unterstützt drei sehr gute Firewalls: Neben der Standard-Firewall IPFW (IP Forward) gibt es noch IPFilter und die sehr starke aus dem OpenBSD-Projekt portierte PF Firewall (Packet Filtering). Während IPFW direkt nach der Installation über ein Kernelmodul aktiviert werden kann (einfach „firewall_enable="yes"“ und den gewünschten Typ in die „/etc/rc.conf“ eintragen), sind trotzdem eine intensivere Auseinandersetzung mit Firewalls und eine eventuelle Einkompilierung in den Kernel empfehlenswert. Besonders die neue PF-Firewall sticht durch ihre einfache Konfigurationsmöglichkeit und sehr gute Performance heraus. Sie braucht den Vergleich mit kommerziellen HardwareFirewalls nicht zu scheuen, denn auch viele dieser bekannten „Black Boxes“ setzen auf BSD auf und nutzen die vorhandene Technologie. PF ist aber nicht nur einfach noch eine Firewall, die TCP/IP filtert, NAT und RDR beherrscht. Man kann sie auch mit CARP und pfsync kombinieren und erhält damit eine freie Alternative zum bekannten VRRP-Protokoll. KNOW-HOW FreeBSD im Ministerium Im österreichischen Gesundheitsministerium ist FreeBSD seit Juni 1997 durchgehend im produktiven Einsatz. Alexander Hausner, Systemadministrator und Mitglied der BSD Usergroup Austria (BUGAT) meint: „Durch die Stabilität und einfache Wartbarkeit sind im Laufe der Jahre immer mehr, zumeist Open-Sourcebasierte Dienste und Applikationen unter FreeBSD zum Einsatz gekommen.“ Auf rund 20 Servern laufen Services wie Spam-Erkennung, ein OWL-basiertes Dokumenten-Management-System (http://owl.sourceforge.net), Webmail (Horde/IMP), Subversion, FTP- DNS- und Webserver sowie Datenbanken, aber auch kommerzielle Lösungen wie ein E-Learning-System oder Eigenentwicklungen basierend auf Perl und PHP. Einige Maschinen werden als dezidierte Mail-Gateways mit Exim oder als redundante Router beziehungsweise Proxyserver eingesetzt, basierend auf einer Squid-Lösung mit CARP und Hausners Eigenentwicklung ifdepd (www.freebsd.org/cgi/ ports.cgi?quer y=ifdepd& stype=all). Besonders interessant und unkonventionell ist das selbst entwickelte und datenbankbasierte Netzwerkmanagement, das mit Perl Net::SNMP und MySQL realisiert wurde. Diese Innovation ist vor allem im betrieblichen Umfeld wesentlich geworden: Bei einem Ausfall der Firewall wäre die Firma von der Außenwelt abgekapselt. Mit CARP und pfsync kann nun mit einfachster Hardware für Ausfallsicherheit und Redundanz gesorgt werden. Fällt die primäre Firewall aus, übernimmt die sekundäre die Aufgaben und die IP-Adressen der ersten in Echtzeit, so dass nicht einmal bei einem Livestream ein derartiger Ausfall bemerkt würde – die Unterbrechung beträgt nur 150 bis 200 Millisekunden. Sourcecode regelmäßig überprüfen Kompromittierungen über veralteteten Code sind das größte Sicherheitsproblem. Dagegen hilft das Tool „portaudit“, das selbst über das Portsystem installiert werden kann. Eine nächtliche, vollautomatische Überprüfung untersucht die installierten Ports nach bekannten Schwachstellen, der anschließend erstellte Report wird inklusive Referenz zum Security Advisory (Beschreibung des Fehlers und der Fehlerbehebung auf der FreeBSDWebsite) per E-Mail zugesandt. Die portaudit-Datenbank wird von Committern und dem FreeBSD Security Team gepflegt. Trusted BSD nutzen Im Bezug auf Security setzt FreeBSD für die gesamte IT-Industrie Maßstäbe. TrustedBSD zählt daher zu den logischen Konsequenzen in einer immer angreifbarer werdenen IT-Welt. Dieses Projekt bietet fertige Codesammlungen und Dokumentationen für erweiterte Sicherheitskonzepte (Access Control Lists, MACbasiertes Authentifizierungssystem etc.) an. FreeBSD am Desktop verwenden FreeBSD hat den Ruf, ein Server-Betriebssystem zu sein und als Desktop nicht zu taugen. Das ist inzwischen aber wohl eher ein k CHIP | PROFESSIONELL 62_Free BSD_neu.qxd 116 KNOW-HOW 28.09.2005 | 12:08 Seite 116 SPECIAL OPENOFFICE.ORG 2.0 | NETZWERK & INTERNET Gerücht. Das Projekt DesktopBSD und die Reaktionen in den Foren zeigen, dass das Interesse an FreeBSD am Desktop kontinuierlich wächst. Ausschlaggebend für diesen Trend sind ebenfalls die einfache Struktur und die ausführliche Dokumentation. Gerade die deutsche Community bemüht sich sehr um den Desktop-Bereich und hat dazu vor nicht allzu langer Zeit sogar ein Buch herausgebracht. Derzeit gibt es zwei FreeBSD-Projekte, die sich mit der Anwendung am Desktop beschäftigen. Im Mittelpunkt stehen in beiden Fällen die Benutzungsfreundlichkeit und die grafischen Oberflächen, Vorbild sind die grafischen Installer gängiger Linux-Distributionen. PCBSD und DesktopBSD sind Projekte, die etwa zur selben Zeit geboren wurden und zuerst parallel geführt wurden, inzwischen aber zunehmend versuchen, Synergien zu finden. Beide haben grafische Installer und greifen auf KDE als WindowManager zurück. PCBSD geht sogar einen Schritt weiter: mit PIB-Paketen, die in der grafischen Oberfläche nur mehr doppelt angeklickt werden müssen, verschwimmen die Grenzen vom Server-Betriebssystem hin zu einem benutzerfreundlichen Desktop-System. Die Systemkonfiguration erfolgt zentral gesteuert über das KDEKontrollzentrum, ein Eingriff in die Tiefen des Systems ist damit nicht mehr notwendig. Wer in FreeBSD einfach nur mal hineinschnuppern will oder keinen Platz auf der Festplatte mehr hat, dem bietet sich die LiveCD FreeSBIE an. Auf der Website des FreeSBIE-Projekts finden Sie außerdem ausführliche Anleitungen, Skripts und Tools, wie man sich seine eigene FreeSBIE-Distribution bauen kann. DesktopBSD liegt derzeit in der Version 1.0-RC2, pcBSD in der Version 0.8 vor. Mac OS X, die jüngere Schwester von FreeBSD Mit der Integration von FreeBSD in Mac OS X wurde etwas aufgezeigt, was in den nächsten Jahren wohl Schule machen wird: Ein freies System wird mit proprietären Komponenten verschmolzen und bietet nun das Beste aus beiden Welten: die gewohnte, grafische Oberfläche und die Mac-eigene Benutzungsfreundlichkeit mit der vollen Unterstützung der OpenSource-Tools. | ANWENDUNGEN k FreeBSD | Mit diesem Schritt hat Chefstratege Steve Jobs ein OpenSource-Businessmodell am Desktop weltweit etabliert, gleichzeitig wurde der bis dato DTP-Anwendern vorbehaltene AppleComputer zur Allroundermaschine aufgewertet: X11 als zusätzliche Umgebung erlaubt die Installation von fast allen gängigen Open-Source-Programmen auch am Mac, wie zum Beispiel OpenOffice, GIMP oder Konsolenprogrammen und ServerDienste wie Postgres, Apache und andere. Die Software selbst wird ähnlich wie unter FreeBSD organisiert: Sourcecode-basiertes Paketmanagement über die Darwinports, alternativ dazu gibt es auch Debian-ähnliche Paketverwaltungstools namens „fink“. Möglich wurde diese Entwicklung durch die BSD-Lizenz, die als eine der liberalsten Open-Source-Lizenzen gilt. Denn im Gegensatz zur GPL verpflichtet sie die Programmierer nicht zwingend, alle Weiterentwicklungen ins Projekt zurückeinzubringen. FreeBSD auf dem Notebook einsetzen Laptops bergen ein hohes Sicherheitsrisiko für Firmen, wenn das Gerät gestohlen würde. Um dem vorzubeugen, können alle wichtigen Unternehmensdaten auf der Festplatte (inklusive der Daten im Swap-Laufwerk) verschlüsselt werden. GBDE wurde im Rahmen des neuen GEOM-Frameworks mit FreeBSD 5 eingeführt und bietet eine transparente Festplattenverschlüsselung mit vier zu überwindenden Barrieren. Bis zu vier Personen können einen so genannten „lock-sector“ für die Masterkeys nutzen. Der Masterkey selbst ist mit 256 Bit AES verschlüsselt, jeder Sektor der verschlüsselten Partition wiederum mit einem 128-Bit-AES-Schlüssel. Die Nachteile von GBDE: Es bietet nur dann einen Schutz der Daten, wenn das Laufwerk nicht gemountet ist. Für CD-ROMs eignet sich die Technologie nur sehr eingeschränkt, da CDROMs über keinen Random Access verfügen – am besten wird sie nur zur Archivierung eingesetzt. Und nicht zuletzt muss beachtet werden, dass von GBDE-Laufwerken nicht gebootet werden kann, wichtige Daten deshalb also unbedingt auf eine andere Partition gehören. Die manpage zu GBDE („man gbde“) ist sehr ausführlich und bietet Praxisbeispiele. Über „man 4 gbde“ erfahren Sie mehr Details, wie GBDE funktioniert. Und so könnte man GBDE zum Beispiel konfigurieren: Ändern Sie in der Datei „/etc/fstab“ den Eintrag „/dev/ad0s1b“ in „/dev/ad0s1b.bde“ (beziehungsweise Ihr Swap-Laufwerk). In die Datei „/etc/rc.conf“ tragen Sie anschließend folgende Zeile „gbde_swap_enable="YES"“ ein. Die BSD-Zertifizierung FREEBSD FÜR DEN DESKTOP PCBSD greift auf KDE als Window-Manager zurück und setzt auf grafische Gimmicks und elegante Designs. CHIP | PROFESSIONELL Anfang 2005 wurde die BSD-Zertifizierung als eine der ersten Marketingmaßnahmen für BSD ins Leben gerufen. Hiermit soll eine fundierte, praxisorientierte und international gleichgesetzte Ausbildung definiert werden, die auch Open-SourceKnow-how für Arbeitgeber messbar macht. Derzeit wird die Implementierung entwickelt. Das ganze Projekt ist deshalb einzigartig, weil es das erste seiner Art ist, das wirklich von einer internationalen Community getragen wird. Angelika Gößler, Axel S. Gruner