OpenBSD: Freies und sicheres Betriebssystem

Di, 6. April 2021, Niklas

OpenBSD ist ein unabhängig entwickeltes Betriebssystem, das ursprünglich von der Berkeley Software Distribution abstammt und ist laut einer Umfrage von 2005 das zweitbeliebteste BSD Derivat direkt nach FreeBSD, allerdings mit grossem Abstand. Besonderen Wert legen die Entwickler des Betriebssystems auf die Sicherheit.

Das Projekt wurde im Jahr 1995 von Theo de Raadt gestartet, der zuvor ein Projektleiter bei NetBSD war. Zu Beginn war die Freiheit von Quellcode und Dokumentation ein besonderes Anliegen von OpenBSD. So setzte das Projekt als erstes Betriebssystem überhaupt einen öffentlichen CVS Versionsverwaltungsserver auf.

Der Name OpenBSD entstand aufgrund der Offenlegung des Quellcodes, der Kugelfisch als Maskottchen kommt hingegen vom verwendeten Blowfish Algorithmus in OpenSSH. Man legt grossen Wert auf die Verwendung von freien Lizenzen. Für Betriebssystembestandteile sind ISC, BSD und MIT Lizenzen erwünscht, GPL wird als zu einschränkend abgelehnt.

Nachdem im Jahr 1996 eine schwerwiegende Sicherheitslücke gefunden wurde, arbeitete man mit einem externen Sicherheitsunternehmen zusammen, um den Code regelmässig zu überprüfen. Heute wird die Überprüfung vom OpenBSD Team selbst durchgeführt. Bis heute gab es nur zwei "Remote holes" in der Standardinstallation von OpenBSD.

Ausserdem enthält OpenBSD standardmässig einige zusätzliche Sicherheitsfunktionen, die bei anderen Systemen manuell aktiviert werden müssen, falls sie überhaupt vorhanden sind. Dazu gehören beispielsweise die Blowfish-Blockverschlüsselung für Passwörter oder die Verwendung von Privilegientrennung, Privilegienverminderung oder Chroots zur Verhinderung von Privilegieneskalation.

Mit diesem enormen Bonus an Sicherheit eignet sich das Betriebssystem vor allem für Server ganz ausgezeichnet, aber auch auf Desktop Computern kann es genutzt werden. Das X Window System lässt sich bei der Systeminstallation gleich mitinstallieren, eine Desktop-Oberfläche muss allerdings von Hand dazu installiert werden.

Ansonsten ist der Installationsvorgang von OpenBSD aber alles andere als benutzerfreundlich: Es handelt sich dabei um ein Terminalprogramm, das Fragen stellt, die Anfänger schwierig bis gar nicht beantworten können und ist nicht besonders übersichtlich aufgebaut. Hat man sich einmal vertippt, muss man von vorne beginnen - Es gibt kein zurück. Das geht bei anderen BSD Varianten wie etwa dem kürzlich vorgestellten FreeBSD deutlich einfacher.

Ich habe mich für MATE als Desktop entschieden, was ich mithilfe von pkg_add mate ganz einfach installieren konnte. Der Display-Manager xenodm sollte automatisch starten, wenn das bei der Systeminstallation korrekt eingestellt wurde. Um anschliessend in den MATE Desktop zu kommen, muss im Home Verzeichnis die Datei .xsession mit dem Inhalt "mate-session" erstellt werden.

Ganz so gross wie bei den meisten Linux Distributionen ist die Auswahl hier nicht: Cinnamon, Budgie und LXDE sind nicht im Repository verfügbar. Bei den normalen Programmen ist die Auswahl schon erfreulicher: Bei den Browsern kann man unter anderem zwischen bekannten Grössen wie Firefox und Chromium oder Nischenprodukten wie Otter Browser, GNOME Web und Midori wählen, als Office Suiten stehen LibreOffice und KDE Calligra zur Verfügung.

Das Paketverwaltungsprogramm von OpenBSD gefällt mir allerdings gar nicht. Mit pkg_add [programmname] wird ein Programm mitsamt seinen Abhängigkeiten ohne weitere Nachfrage installiert. Welche und wie viele Abhängigkeiten benötigt werden, wird nie aufgelistet, nur während der Installation schrittweise aufgezählt. Den benötigten Speicher kann man auch nirgendwo erkennen.

Zusammenfassend kann man sagen, dass OpenBSD ein solides Betriebssystem mit grösstmöglicher Sicherheit ist und in dieser Hinsicht auf jeden Fall empfehlenswert ist, auch wenn es kleine Schwächen in der Benutzerfreundlichkeit hat. Für Anfänger ist es eher weniger geeignet, aber wer gerade mit dem Gedanken spielt, einen Server aufzusetzen, sollte OpenBSD auf jeden Fall eine Chance geben.

OpenBSD steht für viele verschiedene Prozessorarchitekturen und in verschiedenen Versionen für USB-Sticks und DVDs zum Download bereit.

Quellen:

kragil
Geschrieben von kragil am 7. April 2021

Immer wenn sich Spezialisten den BSD Code wirklich genau ansehen, dann sieht der gar nicht mehr so sicher aus.

Daher ist die Aussage, dass OpenBSD irgendwie sicherer sie als Linux totale Kaffeesatzleserei ohne faktische Qualität.

Joël Admin
Geschrieben von Joël am 7. April 2021

Danke für deinen Kommentar. Wenn du uns Quellen zu den Unsicherheiten bei OpenBSD liefern kannst, werden wir uns das genauer ansehen und evtl. ein Update liefern. Danke!

kragil
Geschrieben von kragil am 7. April 2021

Das war mal ein Talk vom C3 https://www.youtube.com/watch?v=AvSPqo3_3vM

Da wurde gesagt NetBSD und FreeBSD sind viel schlechter und unprofessioneller als Linux und OpenBSD ist gut, aber letztlich nicht wirklich besser als Linux. Linux wird ständig von 1000+ Entwicklern getestet und weiterentwickelt und viele $Megacorps setzten auf Linux als Fundament. Da wird sich der Code schon auch mal ganz genau angeschaut. Für Linux gibt es auch ständig neue Sicherheitsreviews wie: https://outflux.net/blog/archives/2021/04/05/security-things-in-linux-v5-9/

tux.
Geschrieben von tux. am 6. April 2021

> Das X Window System lässt sich bei der Systeminstallation gleich mitinstallieren, eine Desktop-Oberfläche muss allerdings von Hand dazu installiert werden.

Nö, eine Desktopoberfläche wird auch installiert - nur halt eine eher schlichte.

> Es handelt sich dabei um ein Terminalprogramm, das Fragen stellt, die Anfänger schwierig bis gar nicht beantworten können

Welche Frage ist für Anfänger "schwierig bis gar nicht" zu beantworten?

> Welche und wie viele Abhängigkeiten benötigt werden, wird nie aufgelistet, nur während der Installation schrittweise aufgezählt. Den benötigten Speicher kann man auch nirgendwo erkennen.

pkg_add -sn [Paketname] führt eine "Trockeninstallation" mit anschließender Ausgabe des Speicherplatzes durch. Ist aber natürlich Geschmackssache.

nipos
Geschrieben von nipos am 7. April 2021

Es wird ein Window Manager vorinstalliert, keine vollwertige Desktopumgebung. Hier fehlen wichtige Programme, die fuer alltaegliche Arbeiten notwendig sind, wie beispielsweise ein Dateimanager und ein Programm fuer Systemeinstellungen.
Ich hab mir extra fuer dich den Installationsprozess nochmal genau angeschaut. Die erste Frage, ueber die ich stolpere: Welches Netzwerkinterface soll benutzt werden? Durch meine Erfahrung kann ich abschaetzen, dass es wohl wpi0 sein muss, aber jemandem, der gerade zum ersten Mal eine Alternative zu Windows ausprobieren will, wuerde ich diese Frage nicht zutrauen. Danach das Sicherheitsprotokoll... WPA-PSK oder doch WEP? Offen ist es wohl kaum, das ist aber der Vorschlag, wenn ich einfach Enter betaetige. Warum wird das nicht automatisch ermittelt? Dann soll ich auch noch meine DNS Nameserver angeben. Warum wird hier nicht die Information aus DHCP benutzt? 1.1.1.1 kann ich mir ja gerade so noch auswendig merken, aber auch das muss man erstmal wissen. Bei der verwendeten Festplatte und den Partitionen kann man oft Standardeinstellungen verwenden, das gefaellt mir. Wenn ich die Sets installieren soll, wuerde ich als Anfaenger aber endgueltig scheitern. OpenBSDs Vorschlag "cd0" funktioniert nicht, wenn ich von einem USB Stick installiere. Ich musste den richtigen Ordner, wo die auf dem USB Stick liegen, erstmal finden und dann von Hand angeben. Weiter fuehre ich diesen Versuch heute Abend nicht mehr fort.
Danke fuer den Tipp mit pkg_add -sn [programmname], das ist sehr nuetzlich. Aber meine Kritik bleibt bestehen, da ich die Information aktiv selbst ermitteln muss. Ich werde vor einer Programminstallation nicht automatisch aufgeklaert, was das alles runterladen wird und gefragt, ob ich das wirklich tun will. Zudem ist es im FAQ auf https://www.openbsd.org/faq/faq15.html#PkgInstall nicht beschrieben. Erst in der genauen Dokumentation des Programms unter https://man.openbsd.org/pkg_add stosse ich darauf. Also ich stimme dir zu, dass diese Moeglichkeit besteht, aber sie ist einfach viel zu gut versteckt.