CHIP "Open Source professionell" 6/2005

62_Free BSD_neu.qxd
112
28.09.2005
|
KNOW-HOW
12:07
Seite 112
SPECIAL OPENOFFICE.ORG 2.0
|
NETZWERK & INTERNET
|
ANWENDUNGEN k FreeBSD
|
Betriebssystem FreeBSD
Alternative zu Linux
Das Unix-Derivat FreeBSD besticht durch seine klare Struktur, den hohen Sicherheitsgrad und seine Stabilität.
Besonders im Einsatz als Server für ISP-Lösungen wird das freie Betriebssystem hoch geschätzt. Dieser Beitrag
gibt einen Überblick und bringt Ihnen die Arbeitsweise von FreeBSD näher.
k
Das FreeBSD-Projekt entstand 1993 auf Initiative von
Nate Williams, Rod Grimes und Jordan Hubbard aus
dem „Unofficial 386BSD Patchkit“ und den „Net/2“-Sourcen
aus Berkeley. Das Betriebssystem „386BSD 0.5“ stammte ursprünglich von Bill Jolitz, der sich aus dem Projekt aber sehr früh
zurückzog. David Greenman prägte schließlich den neuen Namen FreeBSD, während die drei Koordinatoren aus dem Patchkit das erste stabile und freie Betriebssystem fertig stellten. Heute besticht FreeBSD durch seine
klare Struktur, den hohen SicherAbstract: FreeBSD wird
hauptsächlich auf Servern
heitsgrad und seine Stabilität. Beeingesetzt. Es ist sehr
sonders im Einsatz als Server für
schlank und arbeitet ausgeISP-Lösungen wird das freie Besprochen ressourcenschotriebssystem hoch geschätzt.
nend. Die Autoren Angelika
Gößler (Mitglied im BSDZertifizierungsprojekt) und
Axel S. Gruner (Autor des
Jail-Howtos) arbeiten täglich mit FreeBSD und
zeigen, wie es installiert
wird oder wo die Unterschiede zu Linux liegen, und
geben einen Überblick über
Konzepte und Strukturen.
Vorbereitungen
Für Personen, die bereits mit Unix
oder Gentoo Linux gearbeitet haben, ist der Umstieg sehr leicht. Andere Linux-Nutzer müssen sich lediglich an die sehr strikte Ordnung
im System gewöhnen. Empfehlenswert sind in jedem Fall aber Grundkenntnisse eines Unix-Texteditors
wie zum Beispiel vi. Für den ersten Versuch verwendet man idealerweise eine i386-Hardware (keine Laptops) mit möglichst
einfachen Komponenten wie Realtek-Netzwerkkarte (oder
kompatibel), VGA-Grafik und IDE-Controllern, um nicht
durch Treiberprobleme vom Verstehen des Systems abgelenkt zu
werden. Auf der sicheren Seite ist man, wenn man über ein
Zweitgerät jederzeit online in der Dokumentation (FreeBSD
Handbook) nachschlagen kann.
Am besten beginnt man den Einstieg in den FreeBSDServerbetrieb mit der so genannten Mini-Installation, die man
sich als ISO-Image herunterlädt und auf eine CD brennt. Die
Vollversion (mindestens zwei CDs) benötigt man nur, wenn
k
DVD-CODE
System
k FreeBSD Mini Installation Auf der Heft-DVD finden
Sie die Mini-Installation des FreeBSD-Betriebssystems. Es
überzeugt durch seine hohe Sicherheit und arbeitet
besonders ressourcenschonend. Brennen Sie das zirka
20 MByte große Image mit einem entsprechenden
Brennprogramm auf CD (etwa mit Nero Burning ROM).
CHIP | PROFESSIONELL
man vorher schon weiß, dass man zahlreiche Binärpakete oder
eine grafische Oberfläche benötigt und die Software nicht auf
den letzten Stand updaten muss. Letzteres ist im Serverbetrieb
zumeist eher hinderlich.
Die Grundinstallation von CD dauert für geübte Administratoren weniger als fünf Minuten, eine aktuelle Ausgabe dieser
Distribution gehört auch deswegen in jeden AdministrationsNotfallkoffer. Eine Installation via FTP ist auch möglich, dafür
benötigt man lediglich zwei Floppies und die entsprechenden
Images.
FreeBSD installieren
Nach Einlegen der CD und Einschalten des Rechners beginnt
der Boot-Prozess. Beantworten Sie die Zwischenfragen, bis das
Hauptmenü erscheint. Mit dem Menüpunkt „Standardinstallation“ wird man schrittweise durch die Systemeinrichtung geleitet. Spätestens jetzt wird es Zeit, sich zu überlegen, wofür der
FreeBSD-Server verwendet werden soll. Typische Einsatzgebiete
sind: Internetrouter mit Packet Filtering und Masquerading für
DMZs oder lokale Netzwerke, Mailrouter oder -server, Webserver, DNS oder auch Intranet-Dienste wie Fileserver, LDAP und
Datenbanken. Für alle diese Services reicht die Textkonsole; aufgrund der einfachen Konfigurierbarkeit können auch Anfänger
ohne grafische Oberfläche arbeiten. Durch den Verzicht auf ein
X-Window-System und Window-Manager können auch betagtere Rechner für viele dieser Dienste eingesetzt werden.
Softwarepakete installieren
Jeder für FreeBSD bereitgestellte Download wird über einen
Hash-Key (md5-Prüfsumme) verifiziert. Passen die Prüfsummen nicht zusammen, wird die Installation sofort abgebrochen.
Anwendungen können über vorkompilierte Binärpakete eingespielt werden. Dafür gibt es Paketverwaltungs-Tools wie pkg_info oder pkg_add und ein Administrations-Tool (/stand/sysinstall). Wirklich effizient und erfolgreich nutzt man FreeBSD
aber über das Portsystem. Jedes Programm kann auch manuell
im Portsystem aus dem Quellcode erzeugt werden – mit den
üblichen Vorteilen von Open-Source-Software: Spezielle Anforderungen an Hardware und System sind leicht anzupassen;
bei Sicherheitsrisiken reicht es oft, den Port neu zu kompilieren
anstatt sich mit komplizierten Patches herumzuschlagen oder
gar einen Serviceausfall zu riskieren.
Die Ports sind aber nicht nur ein sauber aufgeräumtes Softwarearchiv, sondern haben noch weitere Vorteile: Sie verwenden
dieselben Registrierungsmechanismen wie die Paketverwaltung
und sorgen dafür, dass alle Software im System einheitlich regis-
62_Free BSD_neu.qxd
28.09.2005
12:07
Seite 113
113
AUS DER PRAXIS: WORKALOG OHG
Mehr Sicherheit durch FreeBSD-Jails
Bei Servern steigt die Anfälligkeit
gegenüber Eindringlingen mit der
Anzahl der Dienste. FreeBSD-Jails
sorgen für Abhilfe, denn mit ihnen
lassen sich Dienste in virtuelle
Server einsperren. Ein Eindringling, der über den Dienst A in das
System eindringt, hat somit nur
Zugriff auf die Daten und Prozesse,
die zu Dienst A gehören.
Die FreeBSD-Jails sind eine
Weiterentwicklung des chrootKonzepts. Anders als bei einer
chroot-Umgebung wird eine vir-
PROJEKTZENTRALE FreeBSD.org ist die zentrale Kommunikationsdrehscheibe des Open-Source-Projekts.
triert und leicht verwaltbar ist. Die Ports selbst enthalten eigentlich noch keine Quellcodes, sondern nur Namen der Software,
Prüfsummen und Download-Quellen. So wird garantiert, dass
man nur den Code laden muss, den man wirklich braucht.
Durch die zentrale Package-Registrierung werden Abhängigkeiten zu anderen Softwarepaketen automatisch geregelt.
System-Updates werden ebenfalls binär (über das Wartungstool /stand/sysinstall) oder per Update über die Quellcodes
durchgeführt. Mitgelieferte CVS-Tools, die der Versionskontrolle dienen, aktualisieren den Code in /usr/src und die makeworld-Befehle täglich.
Updates von System und Anwendungen werden so trotz
scheinbarer Komplexität zur trivialen Angelegenheit: „cd
/usr/port/meine_Anwendung“ und „make && make install &&
make clean“ eingeben, Anwendungsprozess neu starten, fertig.
Die globale Ordnung einhalten
FreeBSD ist sehr streng – und das ist gut so. Man braucht nicht
lange zu suchen, denn es gibt nur wenige Orte, wo Programme,
Bibliotheken, Skripte und Konfigurationen zu finden sind:
Systemprogramme liegen grundsätzlich unter „/bin“ und „/sbin“.
Systemkonfigurationen finden sich unter „/etc“, wobei der Datei
„/etc/rc.conf“ eine zentrale Rolle zukommt. Sie ist die Steuerungsdatei für Netzwerk-, Hardware-, Sicherheits- und Prozesskontrolle. Komponenten und Programme werden üblicherweise
mit „prozessname_enable="yes"“ eingeschaltet. Die Standardeinstellungen sind im Verzeichnis „/etc/defaults/rc.conf“ nachzulesen. Vorsicht: Die Datei darf nicht geändert werden.
Alle Komponenten außerhalb des Basissystems werden unter
„/usr/local“ installiert, lokale Konfigurationen unter „/usr/lo-
tuelle Instanz des Betriebssystems
mit eigenem Filesystem, eigener
Benutzerverwaltung und einer IP
angelegt. Weitere Einschränkungen machen die Jails ausbruchsicher und lassen keine ungewollten
Aktionen zu. Anders als bei virtuellen Maschinen wird dabei keine Hardware simuliert – so verursachen die Jails selbst keine Last.
Um Dienste von einem Server
abzuschotten, legt man mit Jails
virtuelle Server in einem virtuellen Netz auf dem Loopback-Device
(lo) an. Die Dienste – etwa http,
mysql, mail oder dns – werden jeweils auf einem vServer installiert.
Mithilfe von Port-Forwarding werden die Ports vom Host-System mit
der öffentlichen IP an die Dienste
auf den vServer weitergeleitet.
Mit FreeBSD-Jails lassen sich
Dienste sicher und effektiv abschotten, da ein Einbruch durch
einen Dienst nicht das ganze Sys-
„Mit FreeBSD-Jails
lassen sich Dienste
sicher abschotten“
CHRISTIAN FEHMER
Mitgründer, Entwickler und technischer
Leiter bei der workalog oHG
Mit den Geschäftsbereichen Corporate
Communications, Portale, SAP-Services
und Training bietet die workalog oHG
Unternehmen aller Größen eine
ausgeprägte Dienstleistungsvielfalt an.
k www.workalog.com
tem betrifft. Es lassen sich aber
auch virtuelle Server für Kunden
anlegen, ohne die Nachteile von
virtuellen Maschinen oder die
Einschränkungen traditioneller
chroot-Umgebungen in Kauf nehmen zu müssen. Die workalog
oHG nutzt diese Vorteile in ihrer
internen Infrastruktur und stellt
das Hosting der TYPO3-Angebote
auf FreeBSD um.
cal/etc“ abgelegt. Anwendungen werden entweder ebenfalls über
einen Eintrag in „/etc/rc.conf“ gestartet (etwa „apache_enable="yes"“) oder erhalten ein Startskript in dem Verzeichnis
„/usr/local/etc/rc.d/“.
E-Mails, Prozess-IDs und Ähnliches wird unter „/var“ gespeichert.
Kernel und Boot-Parameter liegen direkt im Rootverzeichnis bzw.
in „/boot“.
Das Verzeichnis „/tmp“ erscheint Linux-Usern vermutlich verhältnismäßig klein, reicht aber für den Standardbetrieb. Nur wer
FreeBSD als Desktop-Version einsetzen will und die LinuxEmulation verwendet, sollte „/tmp“ gleich größer planen.
„/usr/src“ enthält sämtliche Quellcodes zum Neuerstellen von
Kernel und System, in „/usr/ports“ liegen die Quellen für das
Portsystem.
Kontrollieren und testen
Ein Dienst ist schnell installiert. Ein Administrator muss aber
auch die richtige Funktionsweise testen können. Dafür muss ein
Betriebssystem entsprechende Befehle oder Tools bereitstellen,
wie etwa der Befehl „telnet localhost <Portnummer>“; dieser
kontrolliert, ob der installierte Dienst wirklich auf dem gewünschten Port läuft. Der Befehl „nmap <ipadresse>“ prüft die
Firewall auf Dichtigkeit (Vorsicht: Bei diesem Portscan schließen manche Provider ihre Kanäle, man sollte also den Portscan
immer in unmittelbarer (Netzwerk-)Nähe der zu überprüfenden Maschine und ohne dazwischen liegende Router oder Firewalls ausführen). Zum Überwachen der Netzwerkaktivitäten
dient „netstat“, Pakete überwacht der Befehl „tcpdump“. Diese
Werkzeuge unterstützen die Absicherung der Maschine, das
Thema, um das sich nach erfolgreicher Installation alles dreht. k
CHIP | PROFESSIONELL
62_Free BSD_neu.qxd
114
KNOW-HOW
28.09.2005
|
12:07
Seite 114
SPECIAL OPENOFFICE.ORG 2.0
|
NETZWERK & INTERNET
Dokumentation nutzen
Pflichtlektüre ist für jeden FreeBSD-Nutzer das FreeBSD Handbook und nach der Installation die Man-Pages der Befehle und
Tools. Die wichtigsten Passagen im Handbook, vor allem für den
Anfang, sind vollständig ins Deutsche übersetzt. Auch hier gilt:
Das FreeBSD Handbook ist gut geordnet und wird zentral verwaltet. Es wird nur wenige Gelegenheiten geben, wo man anderswo schlauer wird und das Handbook dazu schweigt – und
wenn es dann wirklich irgendwo keine Antwort weiß, bieten die
Mitglieder der IRC-Channel und Online-Foren auch spontan
und rasch Unterstützung und Hilfe.
FreeBSD optimal einsetzen
FreeBSD hat sich vor allem bei Internetservice-Providern
durchgesetzt: Die mehrschichtigen Sicherheitssysteme (die einmal verstanden werden müssen, aber dann wie Selbstläufer agieren), die hohe Performance im System (ohne Overheads) und
die gute Wartung durch die Community (die zu einem nicht unwesentlichen Teil selbst berufliches Interesse an der Stabilität des
Systems hat) reduzieren den Wartungsaufwand im Verhältnis zu
einem anderen System drastisch.
Die FreeBSD Community besteht vorrangig aus Systemadministratoren, welche die Qualität des Systems schätzen. Als logische Konsquenz findet sich eine relativ gute Hardware-Unterstützung bei Neuerungen im Serverbereich wie SCSI-Treiber
oder SMP-Unterstützung. Auf der anderen Seite fehlt FreeBSD
der von einer Massen-Community getragene Hype, wie es beispielsweise bei Linux der Fall war: FreeBSD verbreitet sich
hauptsächlich aufgrund von Empfehlungen.
FreeBSD absichern
Die Sicherheit jedes Systems steht in direktem Zusammenhang
mit der Kompetenz der Person, die es administriert. Dennoch:
Nicht jedes System bietet von Haus aus so umfangreiche und
einfach zu bedienende Sicherheitsservices wie FreeBSD. Selbstverständlich sind alle sonst auch üblichen, unixoiden Sicherheitsprodukte wie Intrusion Detection, Honeypots und vieles
mehr verfügbar, die auch ausreichend dokumentiert sind.
Die Sicherheitskonzepte von FreeBSD waren oft Wegbereiter
für andere Systeme und finden sich nicht selten auch in reduzierten Formen in Hardware implementiert (etwa in Routern).
Tools wie IPSec, Jails (virtuelle Server), Securelevel, ein mehrschichtiges Benutzerrechtesystem wurden maßgeblich in der
FreeBSD-Welt entwickelt und durchziehen heute als Standards
die gesamte Unix-Welt.
Ist das System einmal installiert, dreht sich die Wartung fast
nur mehr um das Absichern des Systems. Um das Basissystem
von FreeBSD aktuell zu halten und rechtzeitig von Sicherheitslecks zu erfahren, sollten Sie die Mailinglisten „freebsd-securitynotifications“ und „freebsd-security“ abonnieren. Zum Thema
Security werden auch RSS-Feeds und natürlich auch Informationen auf der FreeBSD-Website angeboten.
Rootrechte vergeben
Gerade für Linux-User gibt es in der Userverwaltung eine kleine
Falle. Während man auf Standarddistributionen daran gewöhnt
CHIP | PROFESSIONELL
|
ANWENDUNGEN k FreeBSD
|
Die besten FreeBSD-Tipps im Web
Homepagek www.freebsd.org
Homepage des FreeBSD-Projekts in sieben Sprachen
Dokumentation k www.freebsd.org/handbook
Wichtige Online-Referenz für die Arbeit mit FreeBSD
Österreichische Usergroup k www.bugat.at
Erfahrungs- und Informationsaustausch, FAQs etc.
Online-Forum k www.bsdforen.de
Größtes deutschsprachiges Forum zu FreeBSD
ist, dass jeder Benutzer, der das Passwort kennt, Rootrechte über
den Befehl „su“ erlangen kann, gibt es unter BSD weitere Einschränkungen: Rootrechte erhält nur derjenige, der explizit zu
der Gruppe „wheel“ hinzugefügt wird. Die nächste Falle ist die
Vorkonfiguration des SSH-Daemons: Ein SSH-Login als Root
ist standardmäßig nicht erlaubt. Daher gehört das Einrichten
eines Nutzers mit Gruppenzugehörigkeit „wheel“ zu den üblichen Aufgaben direkt nach der Installation.
Nicht vergessen sollte man auch das Setzen eines Passworts
für den User „toor“ („root“ rückwärts geschrieben). Es gibt zwei
Strategien, den „toor“-User zu verwenden: „toor“ ist der absolute Notfalluser. Er erhält ein Passwort, das niemand kennt und
welches für Notfälle im Firmensafe aufbewahrt wird. Der
„toor“-User kann aber auch vom zweiten Administrator verwendet werden, wenn man unbedingt verschiedene Passwörter
verwenden möchte.
Securelevel und Security Flags nutzen
Eine einfache, aber effiziente Art und Weise, das System grundlegend abzusichern, bieten Security Flags und die verschiedenen
Securelevel an.
Die Security Flags werden mittels des Befehls „schg“ auf Filesystem-Ebene vergeben und mittels „noschg“ wieder aufgehoben. Derart markierte Dateien können weder gelöscht noch verändert werden – in Kombination mit aktiviertem Securelevel
nicht einmal mit Rootrechten. Erst wenn ein Securitiy Flag explizit aufgehoben wird, ist eine Manipulation wieder möglich.
Werden die Security Flags mit dem Securelevel entsprechend
kombiniert, kann verhindert werden, dass potenzielle Hacker
System-Binaries oder sensible Dateien tauschen können. Diese
Securelevel werden beim Booten über entsprechende Einträge in
der Datei „/etc/rc.conf“ gesetzt. Ein Securelevel wird gesetzt über
„/etc/rc.conf“, kann manuell während der Laufzeit erhöht, jedoch nicht reduziert werden:
"sysctl kern.securelvel=$securelevel"
-1: Standardwert der keinen Schutz bietet.
0: wird nur beim Booten genutzt.
1: Die Flags „schg“ und „sappnd“ können nicht manipuliert werden, Kernelmodule können zur Laufzeit nicht geladen oder entladen werden.
2: Wie Level 1, aber Disks können nicht zum Schreiben geöffnet
werden (außer für mount). Die Kernel-Zeit kann nur um maximal eine Sekunde verändert werden.
3: Netzwerksicherheitsmodus. Nun können die Regeln der Firewall (PF, IPFW und ipfilter) zur Laufzeit sowie die zugehörigen
Konfigurationsdateien nicht verändert werden.
62_Free BSD_neu.qxd
28.09.2005
12:07
Seite 115
115
Der Sicherheitsgrad kann bis hin zu einer völligen Installationssperre hochgedreht werden, in diesem Fall ist eine
Systemadministration nur mehr im Single User Mode (Zurücksetzen der Maschine auf eine Art Sicherheitsmodus, kein Netzwerkbetrieb, nur eine Konsole möglich, Direktzugang notwendig) möglich.
Arbeiten mit Jails
Jails stellen ein Sicherheitskonzept dar, das wie vieles zuvor Hersteller von anderen Unix-Systemen zu Innovationen motiviert
hat (lesen Sie dazu auch den Kasten auf s113). So findet sich
inzwischen ein ähnliches Konzept in Solaris 10 (OpenSolaris).
Grob übersetzt könnte man Jails als „Virtuelle Server“ bezeichnen, die aber keinen eigenen Kernel besitzen und sich daher vom Linux-Konzept unterscheiden. Anders wie bei VMWare
wird auch keine Hardware emuliert. Andererseits ist es mehr als
nur eine „Change Root“-Umgebung, da es seine eigene Userund Prozessverwaltung besitzt.
Jails eignen sich hervorragend, um sicherheitskritische Dienste zu kapseln (DNS, Mailrouter, Datenbanken) oder Dienste, die
unter dem Rootuser laufen müssen, vom Hostsystem abzutrennen. Die Jail-Verwaltung ist sehr bequem – ein lauffähiges Jail ist
in sich so abgeschlossen, dass es in ein Tar-Paket verpackt und
an beliebiger Stelle lauffähig wieder entpackt werden kann. Dadurch wird eine extrem niedrige Downtime bei etwaigen Kompromittierungen erreicht. Bindungen auf spezielle IP-Adressen
erlauben ein optimales Netzwerk-Management. Die Last am
Hostsystem wird kaum beeinträchtigt, lediglich ausreichend Arbeitsspeicher sollte vorhanden sein.
Für den Rootuser im Jail benimmt sich dieses wie ein vollwertiges System mit Ausnahme der Möglichkeiten, auf die
Hardware direkt zuzugreifen. Daher werden Jails gerne auch benutzt, um mehreren Personen auf derselben Maschine (weniger
Hardware- und Administrationsressourcen) Rootservices und
Entwicklungsumgebungen anzubieten, ohne dass diese sich in
die Quere kommen können.
Firewalls einsetzen
FreeBSD unterstützt drei sehr gute Firewalls: Neben der Standard-Firewall IPFW (IP Forward) gibt es noch IPFilter und die
sehr starke aus dem OpenBSD-Projekt portierte PF Firewall (Packet Filtering). Während IPFW direkt nach der Installation über
ein Kernelmodul aktiviert werden kann (einfach „firewall_enable="yes"“ und den gewünschten Typ in die „/etc/rc.conf“ eintragen), sind trotzdem eine intensivere Auseinandersetzung mit
Firewalls und eine eventuelle Einkompilierung in den Kernel
empfehlenswert.
Besonders die neue PF-Firewall sticht durch ihre einfache
Konfigurationsmöglichkeit und sehr gute Performance heraus.
Sie braucht den Vergleich mit kommerziellen HardwareFirewalls nicht zu scheuen, denn auch viele dieser bekannten
„Black Boxes“ setzen auf BSD auf und nutzen die vorhandene Technologie.
PF ist aber nicht nur einfach noch eine Firewall, die TCP/IP
filtert, NAT und RDR beherrscht. Man kann sie auch mit CARP
und pfsync kombinieren und erhält damit eine freie Alternative
zum bekannten VRRP-Protokoll.
KNOW-HOW
FreeBSD im Ministerium
Im österreichischen Gesundheitsministerium ist FreeBSD
seit Juni 1997 durchgehend im
produktiven Einsatz. Alexander Hausner, Systemadministrator und Mitglied der BSD
Usergroup Austria (BUGAT)
meint: „Durch die Stabilität
und einfache Wartbarkeit sind
im Laufe der Jahre immer
mehr, zumeist Open-Sourcebasierte Dienste und Applikationen unter FreeBSD zum Einsatz gekommen.“
Auf rund 20 Servern laufen
Services wie Spam-Erkennung,
ein OWL-basiertes Dokumenten-Management-System
(http://owl.sourceforge.net),
Webmail (Horde/IMP), Subversion, FTP- DNS- und Webserver
sowie Datenbanken, aber auch
kommerzielle Lösungen wie ein
E-Learning-System oder Eigenentwicklungen basierend auf
Perl und PHP.
Einige Maschinen werden als
dezidierte Mail-Gateways mit
Exim oder als redundante Router beziehungsweise Proxyserver eingesetzt, basierend auf
einer Squid-Lösung mit CARP
und Hausners Eigenentwicklung
ifdepd (www.freebsd.org/cgi/
ports.cgi?quer y=ifdepd&
stype=all).
Besonders interessant und
unkonventionell ist das selbst
entwickelte und datenbankbasierte Netzwerkmanagement,
das mit Perl Net::SNMP und
MySQL realisiert wurde.
Diese Innovation ist vor allem im betrieblichen Umfeld wesentlich geworden: Bei einem Ausfall der Firewall wäre die Firma von der Außenwelt abgekapselt. Mit CARP und pfsync kann
nun mit einfachster Hardware für Ausfallsicherheit und Redundanz gesorgt werden. Fällt die primäre Firewall aus, übernimmt
die sekundäre die Aufgaben und die IP-Adressen der ersten in
Echtzeit, so dass nicht einmal bei einem Livestream ein derartiger Ausfall bemerkt würde – die Unterbrechung beträgt nur 150
bis 200 Millisekunden.
Sourcecode regelmäßig überprüfen
Kompromittierungen über veralteteten Code sind das größte Sicherheitsproblem. Dagegen hilft das Tool „portaudit“, das selbst
über das Portsystem installiert werden kann. Eine nächtliche,
vollautomatische Überprüfung untersucht die installierten Ports
nach bekannten Schwachstellen, der anschließend erstellte Report wird inklusive Referenz zum Security Advisory (Beschreibung des Fehlers und der Fehlerbehebung auf der FreeBSDWebsite) per E-Mail zugesandt. Die portaudit-Datenbank wird
von Committern und dem FreeBSD Security Team gepflegt.
Trusted BSD nutzen
Im Bezug auf Security setzt FreeBSD für die gesamte IT-Industrie Maßstäbe. TrustedBSD zählt daher zu den logischen Konsequenzen in einer immer angreifbarer werdenen IT-Welt. Dieses
Projekt bietet fertige Codesammlungen und Dokumentationen
für erweiterte Sicherheitskonzepte (Access Control Lists, MACbasiertes Authentifizierungssystem etc.) an.
FreeBSD am Desktop verwenden
FreeBSD hat den Ruf, ein Server-Betriebssystem zu sein und als
Desktop nicht zu taugen. Das ist inzwischen aber wohl eher ein k
CHIP | PROFESSIONELL
62_Free BSD_neu.qxd
116
KNOW-HOW
28.09.2005
|
12:08
Seite 116
SPECIAL OPENOFFICE.ORG 2.0
|
NETZWERK & INTERNET
Gerücht. Das Projekt DesktopBSD und die Reaktionen in den
Foren zeigen, dass das Interesse an FreeBSD am Desktop kontinuierlich wächst. Ausschlaggebend für diesen Trend sind ebenfalls die einfache Struktur und die ausführliche Dokumentation.
Gerade die deutsche Community bemüht sich sehr um den
Desktop-Bereich und hat dazu vor nicht allzu langer Zeit sogar
ein Buch herausgebracht.
Derzeit gibt es zwei FreeBSD-Projekte, die sich mit der Anwendung am Desktop beschäftigen. Im Mittelpunkt stehen in
beiden Fällen die Benutzungsfreundlichkeit und die grafischen
Oberflächen, Vorbild sind die grafischen Installer gängiger Linux-Distributionen.
PCBSD und DesktopBSD sind Projekte, die etwa zur selben
Zeit geboren wurden und zuerst parallel geführt wurden, inzwischen aber zunehmend versuchen, Synergien zu finden. Beide
haben grafische Installer und greifen auf KDE als WindowManager zurück.
PCBSD geht sogar einen Schritt weiter: mit PIB-Paketen, die
in der grafischen Oberfläche nur mehr doppelt angeklickt werden müssen, verschwimmen die Grenzen vom Server-Betriebssystem hin zu einem benutzerfreundlichen Desktop-System. Die
Systemkonfiguration erfolgt zentral gesteuert über das KDEKontrollzentrum, ein Eingriff in die Tiefen des Systems ist damit
nicht mehr notwendig.
Wer in FreeBSD einfach nur mal hineinschnuppern will oder
keinen Platz auf der Festplatte mehr hat, dem bietet sich die LiveCD FreeSBIE an. Auf der Website des FreeSBIE-Projekts finden
Sie außerdem ausführliche Anleitungen, Skripts und Tools, wie
man sich seine eigene FreeSBIE-Distribution bauen kann.
DesktopBSD liegt derzeit in der Version 1.0-RC2, pcBSD in
der Version 0.8 vor.
Mac OS X, die jüngere Schwester von FreeBSD
Mit der Integration von FreeBSD in Mac OS X wurde etwas aufgezeigt, was in den nächsten Jahren wohl Schule machen wird:
Ein freies System wird mit proprietären Komponenten verschmolzen und bietet nun das Beste aus beiden Welten: die
gewohnte, grafische Oberfläche und die Mac-eigene Benutzungsfreundlichkeit mit der vollen Unterstützung der OpenSource-Tools.
|
ANWENDUNGEN k FreeBSD
|
Mit diesem Schritt hat Chefstratege Steve Jobs ein OpenSource-Businessmodell am Desktop weltweit etabliert, gleichzeitig wurde der bis dato DTP-Anwendern vorbehaltene AppleComputer zur Allroundermaschine aufgewertet: X11 als zusätzliche Umgebung erlaubt die Installation von fast allen gängigen
Open-Source-Programmen auch am Mac, wie zum Beispiel
OpenOffice, GIMP oder Konsolenprogrammen und ServerDienste wie Postgres, Apache und andere. Die Software selbst
wird ähnlich wie unter FreeBSD organisiert: Sourcecode-basiertes Paketmanagement über die Darwinports, alternativ dazu
gibt es auch Debian-ähnliche Paketverwaltungstools namens
„fink“.
Möglich wurde diese Entwicklung durch die BSD-Lizenz, die
als eine der liberalsten Open-Source-Lizenzen gilt. Denn im
Gegensatz zur GPL verpflichtet sie die Programmierer nicht
zwingend, alle Weiterentwicklungen ins Projekt zurückeinzubringen.
FreeBSD auf dem Notebook einsetzen
Laptops bergen ein hohes Sicherheitsrisiko für Firmen, wenn
das Gerät gestohlen würde. Um dem vorzubeugen, können alle
wichtigen Unternehmensdaten auf der Festplatte (inklusive der
Daten im Swap-Laufwerk) verschlüsselt werden.
GBDE wurde im Rahmen des neuen GEOM-Frameworks mit
FreeBSD 5 eingeführt und bietet eine transparente Festplattenverschlüsselung mit vier zu überwindenden Barrieren.
Bis zu vier Personen können einen so genannten „lock-sector“ für die Masterkeys nutzen. Der Masterkey selbst ist mit 256
Bit AES verschlüsselt, jeder Sektor der verschlüsselten Partition
wiederum mit einem 128-Bit-AES-Schlüssel.
Die Nachteile von GBDE: Es bietet nur dann einen Schutz der
Daten, wenn das Laufwerk nicht gemountet ist. Für CD-ROMs
eignet sich die Technologie nur sehr eingeschränkt, da CDROMs über keinen Random Access verfügen – am besten wird
sie nur zur Archivierung eingesetzt. Und nicht zuletzt muss beachtet werden, dass von GBDE-Laufwerken nicht gebootet werden kann, wichtige Daten deshalb also unbedingt auf eine andere Partition gehören.
Die manpage zu GBDE („man gbde“) ist sehr ausführlich
und bietet Praxisbeispiele. Über „man 4 gbde“ erfahren Sie mehr
Details, wie GBDE funktioniert. Und so könnte man GBDE zum
Beispiel konfigurieren: Ändern Sie in der Datei „/etc/fstab“ den
Eintrag „/dev/ad0s1b“ in „/dev/ad0s1b.bde“ (beziehungsweise
Ihr Swap-Laufwerk).
In die Datei „/etc/rc.conf“ tragen Sie anschließend folgende
Zeile „gbde_swap_enable="YES"“ ein.
Die BSD-Zertifizierung
FREEBSD FÜR DEN DESKTOP PCBSD greift auf KDE als
Window-Manager zurück und setzt auf grafische Gimmicks
und elegante Designs.
CHIP | PROFESSIONELL
Anfang 2005 wurde die BSD-Zertifizierung als eine der ersten
Marketingmaßnahmen für BSD ins Leben gerufen. Hiermit soll
eine fundierte, praxisorientierte und international gleichgesetzte Ausbildung definiert werden, die auch Open-SourceKnow-how für Arbeitgeber messbar macht.
Derzeit wird die Implementierung entwickelt. Das ganze Projekt ist deshalb einzigartig, weil es das erste seiner Art ist, das
wirklich von einer internationalen Community getragen wird.
Angelika Gößler, Axel S. Gruner