OpenBSD是一款多平台、类UNIX操作系统,它是基于4.4BSD内核的一种自由和开源的操作系统。OpenBSD是由Theo de Raadt于1995年创建的,它起源于NetBSD项目的一个分支。OpenBSD和其他BSD衍生出的操作系统(包括FreeBSD和DragonFly BSD)一样,都继承了原始BSD的精神和部分代码,但OpenBSD以其独特的特点和专注于安全性的立场而闻名。六蓝软件园小编给大家分享的新版OpenBsds是目前做出最大改动的版本,其中加入了大量改进,包括硬件支持、通用网络堆栈、安装器、路由后台、用户层网络和安全性,此外还有各种核心组件和包,涵盖了Apache Web服务器、OpenSMTPD、OpenSSH、LibreSSL以及Syslogd。
$ ftp https://stable.mtier.org/openup
$ chmod +x openup
$ sudo openup
===> Checking for openup update
===> Installing/updating binpatch(es)
===> Updating package(s)
二、保护裸机
OpenBSD缺省设置非常安全,没有服务监听端口,除了SSH,SSH监听的是缺省22端口,可以设定服务器只接受来自你的计算机的公共地址,其他IP地址全部屏蔽
$ sudo vi /etc/pf.conf
block in quick from ! x.x.x.x # 这里是你的公共IP地址
pass out quick
改变完成后,通过下面命令激活:
$ sudo pfctl -f /etc/pf.conf
下面是创建SSH key,失效root登录,使得SSH监听另外其他端口。首先是创建key,在Linux/BSD下客户端下可以如下使用-t ed25519,如果是Windows客户端,可以使用-t rsa
$ ssh-keygen -t ed25519
客户端产生Key以后,拷贝这个公共key到~/.ssh/authorized_keys:
$ cp ~/.ssh/id_ed25519.pub ~/.ssh/authorized_keys
复制你的私有key到远程服务器上,注意赋予600权限,设置正常后,可以通过下面命令连接正常:
ssh -i your_private_key your_server_ip
第二步是修改端口,端口号越高越避免扫描。
$ sudo vi /etc/ssh/sshd_config
# 修改缺省监听端口
Port 21598
# Authentication
PasswordAuthentication yes # temporary
PermitRootLogin no
AllowUsers YOUR_USER
AuthorizedKeysFile .ssh/authorized_keys
AllowTcpForwarding no
UsePrivilegeSeparation sandbox # Default for new installations.
Subsystem sftp /usr/libexec/sftp-server
重新启动sshd:
$ sudo /etc/rc.d/sshd restart
再从客户端连接服务器:"ssh -i your_private_key your_server_ip",如果一切正常,我们失效密码登录,修改/etc/ssh/sshd_config行:
PasswordAuthentication no
再重新启动sshd,测试是否成功。下面我们配置ssh key以十进制hex格式连接,ASCII图形方式:
$ sudo vi /etc/ssh/ssh_config
# Display fingerprint in hex and ASCII graphic when connecting
VisualHostKey yes
至此,我们已经设置SSH监听在非标端口,root无法直接登录,授权password失效,基于SSH key进行授权
三、系统和网络
如果你的服务器是基于SSD固态硬盘,那么在fstab文件中加入mount选项softdep和noatime可以提高磁盘性能,同时可以阻止文件属性 "last access time" 的写入
$ sudo vi /etc/fstab
YourDiskDUID.b none swap sw
YourDiskDUID.a / ffs rw,noatime,softdep 1 1
YourDiskDUID.k /home ffs rw,nodev,nosuid,noatime,softdep 1 2
YourDiskDUID.d /tmp ffs rw,nodev,nosuid,noatime,softdep 1 2
YourDiskDUID.f /usr ffs rw,nodev,noatime,softdep 1 2
YourDiskDUID.g /usr/X11R6 ffs rw,nodev,noatime,softdep 1 2
YourDiskDUID.h /usr/local ffs rw,nodev,noatime,softdep 1 2
YourDiskDUID.j /usr/obj ffs rw,nodev,nosuid,noatime,softdep 1 2
YourDiskDUID.i /usr/src ffs rw,nodev,nosuid,noatime,softdep 1 2
YourDiskDUID.e /var ffs rw,nodev,nosuid,noatime,softdep 1 2
如果你的服务器缺省基于DHCP,我们可以修改为手工DNS,这样减少被控制可能,类似windows下网卡中IP的配置,:
$ sudo vi /etc/hostname.vio0
inet 你的服务器公共地址 网络netmask
加入网关地址
$ sudo vi /etc/mygate
服务器网关地址
激活流量分发forward
$ sudo sysctl net.inet.ip.forwarding=1
$ sudo vi /etc/sysctl.conf
net.inet.ip.forwarding=1
DNS
我们可以使用DNSCrypt让我们的DNS请求更加加密安全,不绑定到任何本地DNS缓存:
$ export PKG_PATH=http://ftp.fr.openbsd.org/pub/OpenBSD/5.6/packages/amd64/
$ sudo pkg_add dnscrypt-proxy
$ sudo vi /etc/rc.local
# DNSCrypt
/usr/local/sbin/dnscrypt-proxy -a 127.0.0.1:40 -u _dnscrypt-proxy -d -l /dev/null -R dnscrypt.eu-dk
你能以下面方式选择dnscrypt激活你的DNS服务器:
$ sudo /usr/local/sbin/dnscrypt-proxy -a 127.0.0.1:40 -u _dnscrypt-proxy -d -l /dev/null -R dnscrypt.eu-dk
现在我们配置和激活unbound,这已经包含在基本系统中,配置在/var/unbound目录:
$ sudo vi /var/unbound/etc/unbound.conf
server:
username: _unbound
directory: /var/unbound
chroot: /var/unbound
do-not-query-localhost: no
interface: 127.0.0.1
access-control: 0.0.0.0/0 refuse
access-control: 127.0.0.0/8 allow
access-control: 10.8.0.0/24 allow
hide-identity: yes
hide-version: yes
auto-trust-anchor-file: "/var/unbound/db/root.key"
forward-zone:
name: "." # use for ALL queries
forward-addr: 127.0.0.1@40 # dnscrypt-proxy
不要忘记修改/etc/resolv.conf:
$ sudo vi /etc/resolv.conf
nameserver 127.0.0.1 # unbound 是在监听53端口
运行Unbound,并且在系统启动时激活:
$ sudo /etc/rc.d/unbound start
$ sudo vi /etc/rc.conf.local
# Unbound
unbound_flags="-c /var/unbound/etc/unbound.conf"
测试你的DNS链是否正常工作:
$ host openbsd.org
openbsd.org has address 129.128.5.194
openbsd.org mail is handled by 6 shear.ucar.edu.
openbsd.org mail is handled by 10 cvs.openbsd.org.
Unbound监听在端口53,当连接上后分发到dnscrypt监听的端口40,再接触到外部dnscrypt激活的DNS服务器
2、first是匹配监视端口的IP数量,但是没有加入黑名单
3、retry是匹配监视端口应用加入黑名单的数量
4、ports blocked是被屏蔽加入黑名单的访问端口
5、bruteforce是连接我们的开放SSH端口太多次的IP总数
二、输入I进行安装
1.进入Choose your keyboard layout(选择键盘布局)选项,一般都为us,也可以输入L列出键盘布局备选选项查看,然后选择自己的键盘布局
2.进入Choose your keyboard layout(设置主机名)选项,这里设置为VM1
3.进入网络配置部分,系统列出了当前全部的网卡,这里有两个vic0和vlan0,其中vic0是我们虚拟机配置里那个采用桥接方式的那个网卡,选择配置那一块网卡,默认为vic0,回车
4.进入配置ipv4地址选项,默认是dhcp,我们采用静态ip,输入ipv4的地址:192.168.1.123回车,进入设置掩码选项,默认为255.255.255.0,如不对,自己在后面填写正确的掩码,回车,不配置ipv6地址,默认none,回车
5.再一次进入选择网卡进行配置的选项,如果有多个网卡,这里可以配置下一个,这里选择done完成网卡配置,回车进入配置网关地址选项,填入19.168.1.1回车
6.进入设置dns域名的选项,如果公司有域名这里可以填写如( openbsd.org或者baidu.com等)这里我填写openbsd.org。那么我的机器将来的唯一标识则是主机名加上域名,即为:VM1.openbsd.org。填写好回车,进入DNS解析服务器的ip地址,多个dns解析服务器的ip用逗号隔开,填写:202.106.195.68。以上操作步骤如下图:
三、回车,系统询问还要进行其他的网络配置吗,默认NO回车,进入设置用户密码的选项,不回显
1.连续输入两次。回车,系统询问是否默认启动sshd服务,默认为yes,建议选择yes开启ssh登陆
2.系统询问是否默认启动ntpd服务,这是个时间同步服务,可以开启也可以不开启,如果系统需要准确的时间,建议开启以便和网络上的时间服务器进行时间同步,默认为no,这里选择不开启
3.回车系统询问是否期望运行X window系统,默认为yes,这里可以选择yes也可以选择no,我这里选择yes
4.回车系统询问是否默认运行x window ,默认值为no,这里选择默认值,即不启动x window,回车系统询问change the console to com0默认no即可
5.下一步系统让新建用户,这里不新建用户选择no即可
6.下一步,选择时区,可以输入L查看备选选项,这里选择Asia/Shanghai选项
7.下一步系统列出了当前可用的磁盘,如果有多快磁盘,选择指定的磁盘回车,系统提示是否在/etc/fstab里面使用DUIDS替代默认的设备名称,默认为yes即可
8、下一步系统提示是使用整个磁盘还是编辑MBR以使用部分磁盘,这里选择Whole全部即可
四、下一步,系统会默认有一个分区方案,如果同意的话输入A采用自动分区方案,或者输入E编辑自动分区的方案或者输入c采用自定义分区方案,这里我采用自定义分区方案,输入c如图
五、下一步进入自定义分区,输入?可以查看分区命令,分区编号可以是a到p的任何字母,但要注意,分区的时候,两个分区号代表特殊意义,即 b代表交换分区,c代表整个磁盘,所以添加第一个分区 a a即可,添加交换分区 a b ,不能使用a c,添加第三个分区 a
六、offset是分区开始的地方,size是分区的大小,fs type默认即可,mount point填入挂载点。这里我给/分区分了10G的空间,交换分区分了1G空间,剩下29G分给了/opt分区
七、完成后,系统进入选择安装介质的选项,默认cd回车即可,选择cd0,第一个光驱,回车,选择路径,默认即可。系统列出了都有哪些包可以安装
八、取消选择的包可以使用-包名的方式,如-game51.tgz,选择一个包输入报名回车即可,选择好所要安装的包后回车开始安装openbsd系统
九、安装完成后进入shell,为了使系统生效,我们需要重新启动系统,输入reboot
十、重新启动过程中,系统会生成rsa密钥对等等,启动完成后,如输入root密码进入系统
2、amd64:基于 AMD64 的系统
3、Cat:Strongarm 110 评估板 (Evaluation Board)
4、hp300:Hewlett-Packard HP 9000 系列的 300 和 400 工作站
5、HP/PA:Hewlett-Packard Precision Architecture (PA-RISC) 系统
6、i386:基于 Intel® i386 体系结构和兼容处理器的标准计算机
7、luna88k:Omron LUNA-88K 和 LUNA-88K2 工作站
8、mac68k:基于 Motorola 680x0 的带 MMU 的 Apple Macintosh
9、macppc:从 iMac 开始,基于 Apple PowerPC 的计算机
10、mvme68k:基于 Motorola 680x0 的 VME 系统
11、mvme88k:基于 Motorola 881x0 的 VME 系统
12、SGI:基于 SGI MIPS 的工作站
13、SPARC:Sun sun4-、sun4c- 和 sun4m 级的 SPARC 系统
14、SPARC64:Sun UltraSPARC 系统
15、VAX:基于 Digital VAX 的系统
16、Zaurus:Sharp Zaurus C3x00 PDA
Version 6.9.0(i386 分发版中包含了 V3.3 XFree86 服务器)
GCC Versions 2.95.3 和 3.3.5(缺省情况下启用了 Propolice 栈保护技术)
Groff Version 1.15
Sendmail Version 8.13.4(包含 libmilter)
BIND Version 9.3.1(包含对 chroot 操作和其他安全相关问题的改进)
Lynx Version 2.8.5rel.4(添加了对安全套接字层 (HTTPS) 的 HTTP 支持,并包含来自 OpenBSD 团队的修补程序)
Sudo Version 1.6.8p9
Ncurses Version 5.2
KAME IPv6
Heimdal Version 0.7(包含修补程序)
Arla Version 0.35.7
gdb Version 6.3
Perl Version 5.8.6(包含来自 OpenBSD 团队的修补程序和改进程序)
Apache Version 1.3.29 Web 服务器(包括 mod_ssl Version 2.8.16 和动态共享对象 (DSO) 支持)
OpenSSL Version 0.9.7g(包含来自 OpenBSD 团队的修补程序和改进程序)
第一个值得期待的包是 OpenSSH,全部的 UNIX 和 Linux®消费者对它都不陌生。但是,很多人也许并不了解它来自于 OpenBSD 开发者。OpenSSH 最开始用以 OpenBSD,并成为规范的安全性 Shell (SSH) 包,并植入到绝大多数版本 UNIX、Linux 和 Microsoft® Windows®操作系统。OpenSSH 包括用于安全登录的 ssh、用以安全性复制 scp 和 sftp,第二种是 ftp 的安全性替代方法。全部的源码都能满足开放源码 BSD 批准,要遵守 OpenBSD 的技术规范以避免在这个分发版里有任何的专用型代码和约束性批准方案(这也是建立新版本的 SSH 的原动力)。OpenBSD中所包含的每一个手机软件部分都是完全免费的,而且在使用上没有任何限制
二、加密
由于OpenBSD新项目要在加拿大所进行的,因此在其中运用的加密技术性不会受到美国的出口限定,这也使得该分发版充分利用了各种各样现代化的加密优化算法。基本上可以在这个操作系统的每个地方寻找加密解决,从文件传送到文件目录,甚至互联网。OpenBSD 中也包含伪随机数生成器,它能够确保没法依据系统性能预测分析随机数字。别的的特点还包含加密哈希函数、加密变换库和加密硬件设备
三、IP安全协议书
OpenBSD中另一个关键的部分是IP安全协议书 (IPSec),该操作系统里没有依靠先天性危险的TCP/IP Version 4 (IPV4),而采用了这个协议。(IPV4 挑选信赖所有人和所有的事情。)IPSec 对数据文件开展加密和测试以保障数据库的安全性,以确保在传输过程中也不会对数据文件做出任何变更。伴随着TCP/IP Version 6 (IPV6) 的引入,IPSec 变成标准化的 Internet 合同中不可或缺的部分,这也使得将来的 Internet 在默认前提下更安全
四、防火墙
1.由于OpenBSD不大而且十分安全,因此OpenBSD完成的最常见目标之一是用作防火墙。防火墙从基层对大部分安全性模块来操作,而且 OpenBSD 的包过滤完成是非常优秀的。Packet Filter (PF),OpenBSD 开发社区定制的开放源码解决方法,这是 OpenBSD 所挑选的办法。与 OpenBSD app的别的很多一部分一样,此方法很成功,以至于其他的 BSD 变异陆续把它移殖到我们的分发版里
2.OpenBSD配置为默认安全性,因此在设计稳如泰山的防火墙时,您不用关掉过多服务项目。你需要开启第二个 Ethernet 插口,并依据需要配置 PF。相关详细介绍如何把 OpenBSD 端口设置为防火墙的文章链接
四、加密和随机数字
1.大部分操作系统非常少则在重要构成部分其中包含加密解决,这也使得他们天生就欠缺安全系数。造成这种缺陷的一个重要原因是,绝大多数操作系统来源于美国,不可以开发者出口强壮的加密手机软件。OpenBSD里的加密哈希库包含 MD5、SHA1 和 RIPEMD160。OpenBSD里的加密变换库包含 Blowfish、数据信息加密规范 (DES)、3DES和Cast
2.绝大多数加密解决都在底层开展,这样一来,客户也就不用为了维护系统优化而必须变成加密方面的专家。OpenBSD 软件开发团队比较清楚,大部分管理人员并非安全方面的权威专家,而且不该寄希望于她们煞费周折地提升他的自然环境。这些觉得 OpenBSD 并不是用户友好的操作系统得人,绝大多数是受到了欺诈。假如大部分管理人员愿意花时间应用 OpenBSD 的默认安全防范措施取代所有其他的分发版,那他们很可能会改变其思维模式
3.随机数字是保证安全系数不可或缺的一部分。OpenBSD 核心应用终断信息内容建立瞬息万变的熵池,它能够为加密函数公式给予种籽数据信息,并且为事务管理 ID 给予标值。比如,伪随机数适合于过程 ID移动和包 ID,这也使得那些想要发动攻击的人很难开展蒙骗。OpenBSD 甚至是在 bind(2) 系统进程中使用了任意端口号分派。大部分来源于 UNIX 的操作系统要不建立先后次序 ID,要不应用可预测最终的结果的简单算法
OpenBSD是一个功能丰富、安全性高、稳定性和性能出色的类UNIX操作系统。它适用于需要高度安全性、稳定性和灵活性的环境和用户。
OpenBsd安全配置使用
一、为了更加安全,为了更加容易更新升级系统和包,可以使用 M:Tier的openup$ ftp https://stable.mtier.org/openup
$ chmod +x openup
$ sudo openup
===> Checking for openup update
===> Installing/updating binpatch(es)
===> Updating package(s)
二、保护裸机
OpenBSD缺省设置非常安全,没有服务监听端口,除了SSH,SSH监听的是缺省22端口,可以设定服务器只接受来自你的计算机的公共地址,其他IP地址全部屏蔽
$ sudo vi /etc/pf.conf
block in quick from ! x.x.x.x # 这里是你的公共IP地址
pass out quick
改变完成后,通过下面命令激活:
$ sudo pfctl -f /etc/pf.conf
下面是创建SSH key,失效root登录,使得SSH监听另外其他端口。首先是创建key,在Linux/BSD下客户端下可以如下使用-t ed25519,如果是Windows客户端,可以使用-t rsa
$ ssh-keygen -t ed25519
客户端产生Key以后,拷贝这个公共key到~/.ssh/authorized_keys:
$ cp ~/.ssh/id_ed25519.pub ~/.ssh/authorized_keys
复制你的私有key到远程服务器上,注意赋予600权限,设置正常后,可以通过下面命令连接正常:
ssh -i your_private_key your_server_ip
第二步是修改端口,端口号越高越避免扫描。
$ sudo vi /etc/ssh/sshd_config
# 修改缺省监听端口
Port 21598
# Authentication
PasswordAuthentication yes # temporary
PermitRootLogin no
AllowUsers YOUR_USER
AuthorizedKeysFile .ssh/authorized_keys
AllowTcpForwarding no
UsePrivilegeSeparation sandbox # Default for new installations.
Subsystem sftp /usr/libexec/sftp-server
重新启动sshd:
$ sudo /etc/rc.d/sshd restart
再从客户端连接服务器:"ssh -i your_private_key your_server_ip",如果一切正常,我们失效密码登录,修改/etc/ssh/sshd_config行:
PasswordAuthentication no
再重新启动sshd,测试是否成功。下面我们配置ssh key以十进制hex格式连接,ASCII图形方式:
$ sudo vi /etc/ssh/ssh_config
# Display fingerprint in hex and ASCII graphic when connecting
VisualHostKey yes
至此,我们已经设置SSH监听在非标端口,root无法直接登录,授权password失效,基于SSH key进行授权
三、系统和网络
如果你的服务器是基于SSD固态硬盘,那么在fstab文件中加入mount选项softdep和noatime可以提高磁盘性能,同时可以阻止文件属性 "last access time" 的写入
$ sudo vi /etc/fstab
YourDiskDUID.b none swap sw
YourDiskDUID.a / ffs rw,noatime,softdep 1 1
YourDiskDUID.k /home ffs rw,nodev,nosuid,noatime,softdep 1 2
YourDiskDUID.d /tmp ffs rw,nodev,nosuid,noatime,softdep 1 2
YourDiskDUID.f /usr ffs rw,nodev,noatime,softdep 1 2
YourDiskDUID.g /usr/X11R6 ffs rw,nodev,noatime,softdep 1 2
YourDiskDUID.h /usr/local ffs rw,nodev,noatime,softdep 1 2
YourDiskDUID.j /usr/obj ffs rw,nodev,nosuid,noatime,softdep 1 2
YourDiskDUID.i /usr/src ffs rw,nodev,nosuid,noatime,softdep 1 2
YourDiskDUID.e /var ffs rw,nodev,nosuid,noatime,softdep 1 2
如果你的服务器缺省基于DHCP,我们可以修改为手工DNS,这样减少被控制可能,类似windows下网卡中IP的配置,:
$ sudo vi /etc/hostname.vio0
inet 你的服务器公共地址 网络netmask
加入网关地址
$ sudo vi /etc/mygate
服务器网关地址
激活流量分发forward
$ sudo sysctl net.inet.ip.forwarding=1
$ sudo vi /etc/sysctl.conf
net.inet.ip.forwarding=1
DNS
我们可以使用DNSCrypt让我们的DNS请求更加加密安全,不绑定到任何本地DNS缓存:
$ export PKG_PATH=http://ftp.fr.openbsd.org/pub/OpenBSD/5.6/packages/amd64/
$ sudo pkg_add dnscrypt-proxy
$ sudo vi /etc/rc.local
# DNSCrypt
/usr/local/sbin/dnscrypt-proxy -a 127.0.0.1:40 -u _dnscrypt-proxy -d -l /dev/null -R dnscrypt.eu-dk
你能以下面方式选择dnscrypt激活你的DNS服务器:
$ sudo /usr/local/sbin/dnscrypt-proxy -a 127.0.0.1:40 -u _dnscrypt-proxy -d -l /dev/null -R dnscrypt.eu-dk
现在我们配置和激活unbound,这已经包含在基本系统中,配置在/var/unbound目录:
$ sudo vi /var/unbound/etc/unbound.conf
server:
username: _unbound
directory: /var/unbound
chroot: /var/unbound
do-not-query-localhost: no
interface: 127.0.0.1
access-control: 0.0.0.0/0 refuse
access-control: 127.0.0.0/8 allow
access-control: 10.8.0.0/24 allow
hide-identity: yes
hide-version: yes
auto-trust-anchor-file: "/var/unbound/db/root.key"
forward-zone:
name: "." # use for ALL queries
forward-addr: 127.0.0.1@40 # dnscrypt-proxy
不要忘记修改/etc/resolv.conf:
$ sudo vi /etc/resolv.conf
nameserver 127.0.0.1 # unbound 是在监听53端口
运行Unbound,并且在系统启动时激活:
$ sudo /etc/rc.d/unbound start
$ sudo vi /etc/rc.conf.local
# Unbound
unbound_flags="-c /var/unbound/etc/unbound.conf"
测试你的DNS链是否正常工作:
$ host openbsd.org
openbsd.org has address 129.128.5.194
openbsd.org mail is handled by 6 shear.ucar.edu.
openbsd.org mail is handled by 10 cvs.openbsd.org.
Unbound监听在端口53,当连接上后分发到dnscrypt监听的端口40,再接触到外部dnscrypt激活的DNS服务器
OpenBsd防火墙属性说明
1、total代表屏蔽黑名单的IP地址数量2、first是匹配监视端口的IP数量,但是没有加入黑名单
3、retry是匹配监视端口应用加入黑名单的数量
4、ports blocked是被屏蔽加入黑名单的访问端口
5、bruteforce是连接我们的开放SSH端口太多次的IP总数
OpenBsd安装教程
一、打开OpenBsd安装包,并进入安装第一步,此时会出现三个选项,输入I进入安装过程,输入U进入升级过程,输入S则进入一个shell环境,进入shell环境后可以输入install重新进入安装程序二、输入I进行安装
1.进入Choose your keyboard layout(选择键盘布局)选项,一般都为us,也可以输入L列出键盘布局备选选项查看,然后选择自己的键盘布局
2.进入Choose your keyboard layout(设置主机名)选项,这里设置为VM1
3.进入网络配置部分,系统列出了当前全部的网卡,这里有两个vic0和vlan0,其中vic0是我们虚拟机配置里那个采用桥接方式的那个网卡,选择配置那一块网卡,默认为vic0,回车
4.进入配置ipv4地址选项,默认是dhcp,我们采用静态ip,输入ipv4的地址:192.168.1.123回车,进入设置掩码选项,默认为255.255.255.0,如不对,自己在后面填写正确的掩码,回车,不配置ipv6地址,默认none,回车
5.再一次进入选择网卡进行配置的选项,如果有多个网卡,这里可以配置下一个,这里选择done完成网卡配置,回车进入配置网关地址选项,填入19.168.1.1回车
6.进入设置dns域名的选项,如果公司有域名这里可以填写如( openbsd.org或者baidu.com等)这里我填写openbsd.org。那么我的机器将来的唯一标识则是主机名加上域名,即为:VM1.openbsd.org。填写好回车,进入DNS解析服务器的ip地址,多个dns解析服务器的ip用逗号隔开,填写:202.106.195.68。以上操作步骤如下图:
三、回车,系统询问还要进行其他的网络配置吗,默认NO回车,进入设置用户密码的选项,不回显
1.连续输入两次。回车,系统询问是否默认启动sshd服务,默认为yes,建议选择yes开启ssh登陆
2.系统询问是否默认启动ntpd服务,这是个时间同步服务,可以开启也可以不开启,如果系统需要准确的时间,建议开启以便和网络上的时间服务器进行时间同步,默认为no,这里选择不开启
3.回车系统询问是否期望运行X window系统,默认为yes,这里可以选择yes也可以选择no,我这里选择yes
4.回车系统询问是否默认运行x window ,默认值为no,这里选择默认值,即不启动x window,回车系统询问change the console to com0默认no即可
5.下一步系统让新建用户,这里不新建用户选择no即可
6.下一步,选择时区,可以输入L查看备选选项,这里选择Asia/Shanghai选项
7.下一步系统列出了当前可用的磁盘,如果有多快磁盘,选择指定的磁盘回车,系统提示是否在/etc/fstab里面使用DUIDS替代默认的设备名称,默认为yes即可
8、下一步系统提示是使用整个磁盘还是编辑MBR以使用部分磁盘,这里选择Whole全部即可
四、下一步,系统会默认有一个分区方案,如果同意的话输入A采用自动分区方案,或者输入E编辑自动分区的方案或者输入c采用自定义分区方案,这里我采用自定义分区方案,输入c如图
五、下一步进入自定义分区,输入?可以查看分区命令,分区编号可以是a到p的任何字母,但要注意,分区的时候,两个分区号代表特殊意义,即 b代表交换分区,c代表整个磁盘,所以添加第一个分区 a a即可,添加交换分区 a b ,不能使用a c,添加第三个分区 a
六、offset是分区开始的地方,size是分区的大小,fs type默认即可,mount point填入挂载点。这里我给/分区分了10G的空间,交换分区分了1G空间,剩下29G分给了/opt分区
七、完成后,系统进入选择安装介质的选项,默认cd回车即可,选择cd0,第一个光驱,回车,选择路径,默认即可。系统列出了都有哪些包可以安装
八、取消选择的包可以使用-包名的方式,如-game51.tgz,选择一个包输入报名回车即可,选择好所要安装的包后回车开始安装openbsd系统
九、安装完成后进入shell,为了使系统生效,我们需要重新启动系统,输入reboot
十、重新启动过程中,系统会生成rsa密钥对等等,启动完成后,如输入root密码进入系统
OpenBsd可运行的硬件
1、Alpha:基于 Digital Alpha的系统2、amd64:基于 AMD64 的系统
3、Cat:Strongarm 110 评估板 (Evaluation Board)
4、hp300:Hewlett-Packard HP 9000 系列的 300 和 400 工作站
5、HP/PA:Hewlett-Packard Precision Architecture (PA-RISC) 系统
6、i386:基于 Intel® i386 体系结构和兼容处理器的标准计算机
7、luna88k:Omron LUNA-88K 和 LUNA-88K2 工作站
8、mac68k:基于 Motorola 680x0 的带 MMU 的 Apple Macintosh
9、macppc:从 iMac 开始,基于 Apple PowerPC 的计算机
10、mvme68k:基于 Motorola 680x0 的 VME 系统
11、mvme88k:基于 Motorola 881x0 的 VME 系统
12、SGI:基于 SGI MIPS 的工作站
13、SPARC:Sun sun4-、sun4c- 和 sun4m 级的 SPARC 系统
14、SPARC64:Sun UltraSPARC 系统
15、VAX:基于 Digital VAX 的系统
16、Zaurus:Sharp Zaurus C3x00 PDA
OpenBSD缺省列表
OpenSSH Version 4.3Version 6.9.0(i386 分发版中包含了 V3.3 XFree86 服务器)
GCC Versions 2.95.3 和 3.3.5(缺省情况下启用了 Propolice 栈保护技术)
Groff Version 1.15
Sendmail Version 8.13.4(包含 libmilter)
BIND Version 9.3.1(包含对 chroot 操作和其他安全相关问题的改进)
Lynx Version 2.8.5rel.4(添加了对安全套接字层 (HTTPS) 的 HTTP 支持,并包含来自 OpenBSD 团队的修补程序)
Sudo Version 1.6.8p9
Ncurses Version 5.2
KAME IPv6
Heimdal Version 0.7(包含修补程序)
Arla Version 0.35.7
gdb Version 6.3
Perl Version 5.8.6(包含来自 OpenBSD 团队的修补程序和改进程序)
Apache Version 1.3.29 Web 服务器(包括 mod_ssl Version 2.8.16 和动态共享对象 (DSO) 支持)
OpenSSL Version 0.9.7g(包含来自 OpenBSD 团队的修补程序和改进程序)
OpenBsd功能特色
一、OpenSSH第一个值得期待的包是 OpenSSH,全部的 UNIX 和 Linux®消费者对它都不陌生。但是,很多人也许并不了解它来自于 OpenBSD 开发者。OpenSSH 最开始用以 OpenBSD,并成为规范的安全性 Shell (SSH) 包,并植入到绝大多数版本 UNIX、Linux 和 Microsoft® Windows®操作系统。OpenSSH 包括用于安全登录的 ssh、用以安全性复制 scp 和 sftp,第二种是 ftp 的安全性替代方法。全部的源码都能满足开放源码 BSD 批准,要遵守 OpenBSD 的技术规范以避免在这个分发版里有任何的专用型代码和约束性批准方案(这也是建立新版本的 SSH 的原动力)。OpenBSD中所包含的每一个手机软件部分都是完全免费的,而且在使用上没有任何限制
二、加密
由于OpenBSD新项目要在加拿大所进行的,因此在其中运用的加密技术性不会受到美国的出口限定,这也使得该分发版充分利用了各种各样现代化的加密优化算法。基本上可以在这个操作系统的每个地方寻找加密解决,从文件传送到文件目录,甚至互联网。OpenBSD 中也包含伪随机数生成器,它能够确保没法依据系统性能预测分析随机数字。别的的特点还包含加密哈希函数、加密变换库和加密硬件设备
三、IP安全协议书
OpenBSD中另一个关键的部分是IP安全协议书 (IPSec),该操作系统里没有依靠先天性危险的TCP/IP Version 4 (IPV4),而采用了这个协议。(IPV4 挑选信赖所有人和所有的事情。)IPSec 对数据文件开展加密和测试以保障数据库的安全性,以确保在传输过程中也不会对数据文件做出任何变更。伴随着TCP/IP Version 6 (IPV6) 的引入,IPSec 变成标准化的 Internet 合同中不可或缺的部分,这也使得将来的 Internet 在默认前提下更安全
四、防火墙
1.由于OpenBSD不大而且十分安全,因此OpenBSD完成的最常见目标之一是用作防火墙。防火墙从基层对大部分安全性模块来操作,而且 OpenBSD 的包过滤完成是非常优秀的。Packet Filter (PF),OpenBSD 开发社区定制的开放源码解决方法,这是 OpenBSD 所挑选的办法。与 OpenBSD app的别的很多一部分一样,此方法很成功,以至于其他的 BSD 变异陆续把它移殖到我们的分发版里
2.OpenBSD配置为默认安全性,因此在设计稳如泰山的防火墙时,您不用关掉过多服务项目。你需要开启第二个 Ethernet 插口,并依据需要配置 PF。相关详细介绍如何把 OpenBSD 端口设置为防火墙的文章链接
四、加密和随机数字
1.大部分操作系统非常少则在重要构成部分其中包含加密解决,这也使得他们天生就欠缺安全系数。造成这种缺陷的一个重要原因是,绝大多数操作系统来源于美国,不可以开发者出口强壮的加密手机软件。OpenBSD里的加密哈希库包含 MD5、SHA1 和 RIPEMD160。OpenBSD里的加密变换库包含 Blowfish、数据信息加密规范 (DES)、3DES和Cast
2.绝大多数加密解决都在底层开展,这样一来,客户也就不用为了维护系统优化而必须变成加密方面的专家。OpenBSD 软件开发团队比较清楚,大部分管理人员并非安全方面的权威专家,而且不该寄希望于她们煞费周折地提升他的自然环境。这些觉得 OpenBSD 并不是用户友好的操作系统得人,绝大多数是受到了欺诈。假如大部分管理人员愿意花时间应用 OpenBSD 的默认安全防范措施取代所有其他的分发版,那他们很可能会改变其思维模式
3.随机数字是保证安全系数不可或缺的一部分。OpenBSD 核心应用终断信息内容建立瞬息万变的熵池,它能够为加密函数公式给予种籽数据信息,并且为事务管理 ID 给予标值。比如,伪随机数适合于过程 ID移动和包 ID,这也使得那些想要发动攻击的人很难开展蒙骗。OpenBSD 甚至是在 bind(2) 系统进程中使用了任意端口号分派。大部分来源于 UNIX 的操作系统要不建立先后次序 ID,要不应用可预测最终的结果的简单算法
OpenBSD是一个功能丰富、安全性高、稳定性和性能出色的类UNIX操作系统。它适用于需要高度安全性、稳定性和灵活性的环境和用户。