|
Назвал я статью первой частью больше для порядку, скорее всего на вторую часть меня не хватит, то есть ее может не быть, или ее, возможно, напишет другой автор.
Итак, установка openBSD. Позволил себе разбить вопрос на составляющие пункты, чтобы читателю было проще и может кто даже сразу "прыгнет" в нужный текст.
0. Преамбула.
Текст написан новичком в OpenBSD, но ветераном во FreeBSD, так что сравнение пойдет с классической версией bsdi и более ни с чем. Общие разговоры о Windows и Linux в сравнении с BSD здесь опущены.
1. Зачем openBSD?
Действительно, у наших пользователей на утро понедельника, после нашей установочной возни в выходные, возник именно такой вопрос. Каково целеполагание, так сказать. Честно признаюсь, на ру-борде (начальству сообщено по-другому) реклама и отзывы знакомых сыграли свою игру. Ну, действительно, заходишь на сайт, там написано - одна дыра за семь лет при дефолтной установке. Это очень брало за душу, хотя теперь (русское "опосля") выясняются детали, но тогда сроки жали, а так хотелось надежной защиты!
Ведь ситуация у нас сложилась такая - хакнули нашу хваленую FreeBSD, да еще как - подслушали TCP, забрали логины с паролями и вошли как хозяева. Никаких тебе брутальных взломов или дырок, вошли прямо через дверь. Поставили "ухи" на входы по ftp, vnc, pptpd и, я так понимаю, за неделю все и получили.
Хакеры оказались не звери, ознакомили нас с ситуацией, после небольшого изучения выяснилось, что надо соединения пускать в так называемых тунелях, все кодировать через ключи и что подобная технология назывется "секретной оболочкой" или Secure Shell, сокращенно SSH.
Потом добавилось, что бесплатной версией OpenSSH заправляют апологеты этого дела из OpenBSD, да и сама система (а) BSD совместимая, (б) бесплатная, что и решило дело.
2. Начало установки.
Уже с первого момента как мы решили поставить OpenBSD, было ясно, с чем мы имеем дело. Читатель может назвать это неудобством (или как это больше смахивает на параною), но во мне это вызывает только чувство уважения, ну и лишней уверенности за обещанную секретность.
Если вы хотите FreeBSD ставить, вы пойдете и скачаете себе ISO последней версии, а уж применительно к русской действительности и местному трафику, вы может скачаете его совсем не с официального сайта, а то неровен час, купите готовый диск в переходе.
В случае с OpenBSD, ISO у них нет. Или вы покупаете у них с сайта фирменный диск, или ставитесь онлайн с ФТП. Конечно, в сети полно копий ISO, я уверен и в переходе диск найдется, но читаем на сайте (в переводе), что де мы сами образов дисков не делаем, и если вы где-то скачали таковой, кто даст гарантию, что в него уже не вмонтирован троян? Поскольку OpenBSD людьми ставится в целях секретности (я лично больше ни в каких других целях не советую), такое возражение сразу принимается как веское.
В общем вы угадали, мы стали ставить с FTP.
Второе заподло - полная спартанщина. BSD-шники меня поймут - нету sysinstall!! Это не все, автоматических предположений по разделу диска тоже не будет, бери калькулятор, и вот еще что - грузи на другом компе FAQ, чтобы читать по ходу, без них никак. Нельзя сказать, что инсталляция не дает никаких подсказок, но лучше читать FAQ, потому как подсказки с толку сбивают.
Пример - в самом начале, установка ехидно спрашивает, хотим ли мы весь диск отдать под систему. Мы конечно хором сказали "да", а вот и нет! Надо отвечать "нет", тогда дадут возможность разбиться на разделы и лейблы повесить, а если сказать, что весь диск не жалко, то он весь как один раздел пройдет и вернется ошибкой.
Третий момент - вот раздел прошел, предлагают пакеты выбрать, скачать и поставить, мы взяли все, тем более, что описания и пояснения все равно там отсутствуют. Думали - полная инсталяция, все в себя возьмет, а как результат - портов нет. Порты, "да будет вам известно", это угроза секретности, мало ли кто там что запостил, поэтому их сама система не ставит, а если так уж хочется портов - "под свою ответственность" скачиваете дерево в ручную.
Ответили на все формальности (сетка, рут пароль, имя хоста и т.п.), перегружаемся
3. Отладка установки.
Пока грузились, видели что RSA ключи генерировались - сердце порадовалось. Вошли в систему, она нам сразу "не входите рутом, пользуйтесь su" - тоже приятно.
Далее грузим и читаем man afterboot - очень подробно написано, что надо сделать, чтобы для себя считать установку законченной.
Первое неудобство, отмеченное на этом этапе для меня было отсутствие Midnight Commander, причем полное. Его нет ни в пакетах (рекомендованный способ установки программ для OpenBSD это пакеты, а не порты, так как пакетные версии хотя бы как-то проверены на надежность), ни в портах. Старик Нортон - это тоже угроза секретности, у него было открыто несколько дырок и посему он был полностью отбайкочен. Мы конечно зашли куда надо и скачали сырцы от свежей версии 4.6.0, они поставились сразу (к слову, на FreeBSD cразу не поставились, требовали недостающих библиотек glib или правильно к ним прописанных путей).
Вся остальная отладка прошла относительно легко (относительность читай в минусах). Apache уже вмонтирован и работает сразу, более того, SSL модуль подкачан заранее и видимо правильно настроен, что отдельно создать до этого не удавалось.
MySql надо качать и ставить, по дефолту будет все запрещено, сразу идите и делайте GRANT ALL PERMISSIONS, опять же, новой четвертой версии нет, только если непроверенную из портов брать.
Bash надо ставить отдельно.
Ну и такой нюанс - будете ставить других юзеров, su не работает. Только с определенными ключами, я себе выбрал -fKm. После пары соединений начинает проходить и простой su тоже, причины мне пока неизвестны.
4. Плюсы.
Что еще приходит сразу - SSH (конечно!). Не только терминал, но и sftp - сразу работает без никаких настроек. Как и в FreeBSD, sendmail подгружен, иксы в базовом варианте тоже, мало того, конфигурация работает (!).
Есть такой баг в FreeBSD, после установки иксов, скрипт говорит, что конфигурация ошибочная, надо переставлять (на это все кладут большой эскейп), но вот приятно - в OpenBSD тот же скрипт работает БЕЗ ошибок. Да, после установки (изначально), наибольшей радостью будет разглядывание WindowMakerа, но об этом, уже в минусах. Gnom первый есть в пакетах.
5. Минусы.
В книге "Hackers Beware" нарисован треугольник с тремя вершинами: секретность, функциональность и простота использования. Если ОС склоняется к одной из вершин, остальные удаляются, так вот, OpenBSD находится на вершине секретности, не потому что так секретна, а потому что мало в ней всего остального.
Раньше я так считал, Linux это для станций, а FreeBSD это для серверов. Полно есть примеров, когда линуксовые программы не работают нормально под Фрей, даже если все библиотеки загружены. Так вот с точки зрения OpenBSD, FreeBSD это просто XP какое-то.
Ситуация такая: порты не приветствуются, в пакеты все попадает с большой задержкой. Gnome 2, Bind 9, apache 2 ... - или ставить на свой страх из портов или сырцов, или забыть пока ОТК не примет.
6. Интересное мнение.
После всех мытарств, набрели мы тут на одно интересное мнение, которое нельзя не упомянуть. Дело в том, что польза от системы заключается в ее использовании, а таковое происходит через сервисы, что на ней исполняются. Так вот секретность и отсутствие дырок системы напрямую зависит от секретности и не-дырочности сервисов, а это в основном вне компетенции ОС, хотя OpenBSD и старается на это влиять.
7. Заключение.
Мы остались на OpenBSD. Аскетичность в нашем случае очень подходит, а лишнее спокойствие никогда не мешает. Все-таки даже если сервер держать под FreeBSD или (а что?) Windows, нужно постоянно следить за всем периметром защиты, а если кто-то как-то даем нам хоть какую-то надежду на уменьшение работы ... как тут не воспользоваться?
Хорошие материалы на русском можно найти здесь.
Инструкция по запуску MySQL как демона на OpenBSD здесь.
Еще на английском: заметки по инсталяции, очень детальная и практичная статья по апгрейду, полный официальный гид по инсталяции.
Желаю вам всем удачи,
hunalex.
|
