人們可能已經疲於應付最新Windows版本糟糕的安全狀況,無疑,人們也都知道大多數Unix版本的操作系統都有其主要的安全漏洞,比如最近在HP-UX中發現的Telnet緩衝區溢出漏洞
。我猜人們心中都有疑問,是否有一個網路操作系統能讓人得到網路安全,答案是:有,OpenBSD就是這樣的一個操作系統。
和其它操作系統不一樣(除了與OpenBSD有緊密聯繫的NetBSD外),安全開放的OpenBSD是在安全的基礎上建立起來的。它是如何做到這一點的呢?主要來說,這是OpenBSD的製作人員堅持不懈地不斷對可能引起系統潛在安全問題的代碼進行審核的結果。
例如,全部OpenBSD的代碼都經受過使用最頻繁的網路安全漏洞——「緩衝區溢出」的檢驗。從1996年起,OpenBSD就成立了一個專門司職查找潛在安全問題,並在這些問題形成安全漏洞之前修復它們的安全審核小組。OpenBSD一般用在Intel平台上,但現在也被移植到許多其它平台上使用,它堅持向公眾發布所有已經發現的潛在網路安全問題,並立即攻克、修復這些問題。和其它許多操作系統供應商不同的是,OpenBSD的全體工作人員把對安全問題的事前預防看得比事後處理更重要。
你有沒有關注過蘋果,微軟,以及所有Unix的供應商?他們的技術並沒有飛速前進,僅僅計算機方面的技術提高了;確保系統安全的測試質量卻很一般。
在安裝OpenBSD的時候,你就可以感受到它對系統安全的保證。大部分操作系統的預設安裝都在服務中安裝通用組件,這包括Linux和其它的BSD版本。與此相反,OpenBSD採取了一種「安全預設」的方式進行安裝,在這種方式中系統禁止了所有非基本的服務。例如,在初始安裝完畢后你必須選擇是否啟動網路文件系統(NFS)和Web伺服器。
OpenBSD還在操作系統中內置了加密功能。另外一些帶有自己EFS(文件加密系統)的操作系統,如Windows XP,其加密功能是在操作系統之上實現的,不是在操作系統中完成。在OpenBSD中,實現Kerberos IV和V認證協議的KDS' Heimdal演算法是進入窗口和登錄系統的核心部分,並且,從1997年起OpenBSD就實現了帶有互聯網安全協議(IPSec)的TCP/IP協議堆棧。
這些都意味著,OpenBSD和其他操作系統不一樣。在IPSec常被當作虛擬專用網路(VPN)中一個選項的情況下,網路安全與基本網路協議堆棧是一體的。解決網路安全的一個簡單方法是:在網路協議堆棧中廣泛置入支持開放安全標準的協議,這樣就無需用戶將其添加到系統中了。
我一直懷疑其他的操作系統製造商能否從OpenBSD那裡學會這些安全技術,大部分系統製造商都喜歡為系統安全添加一些中看不中用的特點,而不是從實地開始鞏固安全。我向近期準備在操作系統中增加特色功能的操作系統供應商(除Sun以外)提出忠告,領導開發OpenBSD的Theo de Raadt說過,「刪除功能部件通常會提高安全性,但增加無用部件卻不會」。我非常同意此種說法,這是人們能保持系統簡潔性安全性所能採取的更容易的方式。
不管你是否接受本文觀點,專家們都同意OpenBSD是當前最安全的伺服器操作系統這一說法。但為什麼你以前不知道這一點呢?部分原因在於OpenBSD不是一個主流操作系統,它甚至是符合開放源碼標準的,只有一小部分集成商和諮詢商支持它,這也限制了它的發展。
OpenBSD上也可運行大部分的Linux,BSD和許多Solaris應用,這對我們來說是有利的。如果你了解Solaris,Linux或者BSD,並且想升級到一個更安全的系統,或者,你已經厭煩透了安全漏洞,正好希望升級到新的更安全的操作系統,那麼OpenBSD就是你最佳的選擇。
