人们可能已经疲于应付最新Windows版本糟糕的安全状况,无疑,人们也都知道大多数Unix版本的操作系统都有其主要的安全漏洞,比如最近在HP-UX中发现的Telnet缓冲区溢出漏洞
。我猜人们心中都有疑问,是否有一个网络操作系统能让人得到网络安全,答案是:有,OpenBSD就是这样的一个操作系统。
和其它操作系统不一样(除了与OpenBSD有紧密联系的NetBSD外),安全开放的OpenBSD是在安全的基础上建立起来的。它是如何做到这一点的呢?主要来说,这是OpenBSD的制作人员坚持不懈地不断对可能引起系统潜在安全问题的代码进行审核的结果。
例如,全部OpenBSD的代码都经受过使用最频繁的网络安全漏洞——“缓冲区溢出”的检验。从1996年起,OpenBSD就成立了一个专门司职查找潜在安全问题,并在这些问题形成安全漏洞之前修复它们的安全审核小组。OpenBSD一般用在Intel平台上,但现在也被移植到许多其它平台上使用,它坚持向公众发布所有已经发现的潜在网络安全问题,并立即攻克、修复这些问题。和其它许多操作系统供应商不同的是,OpenBSD的全体工作人员把对安全问题的事前预防看得比事后处理更重要。
你有没有关注过苹果,微软,以及所有Unix的供应商?他们的技术并没有飞速前进,仅仅计算机方面的技术提高了;确保系统安全的测试质量却很一般。
在安装OpenBSD的时候,你就可以感受到它对系统安全的保证。大部分操作系统的缺省安装都在服务中安装通用组件,这包括Linux和其它的BSD版本。与此相反,OpenBSD采取了一种“安全缺省”的方式进行安装,在这种方式中系统禁止了所有非基本的服务。例如,在初始安装完毕后你必须选择是否启动网络文件系统(NFS)和Web服务器。
OpenBSD还在操作系统中内置了加密功能。另外一些带有自己EFS(文件加密系统)的操作系统,如Windows XP,其加密功能是在操作系统之上实现的,不是在操作系统中完成。在OpenBSD中,实现Kerberos IV和V认证协议的KDS'' Heimdal算法是进入窗口和登录系统的核心部分,并且,从1997年起OpenBSD就实现了带有互联网安全协议(IPSec)的TCP/IP协议堆栈。
这些都意味着,OpenBSD和其他操作系统不一样。在IPSec常被当作虚拟专用网络(VPN)中一个选项的情况下,网络安全与基本网络协议堆栈是一体的。解决网络安全的一个简单方法是:在网络协议堆栈中广泛置入支持开放安全标准的协议,这样就无需用户将其添加到系统中了。
我一直怀疑其他的操作系统制造商能否从OpenBSD那里学会这些安全技术,大部分系统制造商都喜欢为系统安全添加一些中看不中用的特点,而不是从实地开始巩固安全。我向近期准备在操作系统中增加特色功能的操作系统供应商(除Sun以外)提出忠告,领导开发OpenBSD的Theo de Raadt说过,“删除功能部件通常会提高安全性,但增加无用部件却不会”。我非常同意此种说法,这是人们能保持系统简洁性安全性所能采取的更容易的方式。
不管你是否接受本文观点,专家们都同意OpenBSD是当前最安全的服务器操作系统这一说法。但为什么你以前不知道这一点呢?部分原因在于OpenBSD不是一个主流操作系统,它甚至是符合开放源码标准的,只有一小部分集成商和咨询商支持它,这也限制了它的发展。
OpenBSD上也可运行大部分的Linux,BSD和许多Solaris应用,这对我们来说是有利的。如果你了解Solaris,Linux或者BSD,并且想升级到一个更安全的系统,或者,你已经厌烦透了安全漏洞,正好希望升级到新的更安全的操作系统,那么OpenBSD就是你最佳的选择。