kommerzieller einsatz von openbsd - bytemine.net · dns – named(8) ntp ... zentraler...
TRANSCRIPT
![Page 2: Kommerzieller Einsatz von OpenBSD - bytemine.net · DNS – named(8) ntp ... Zentraler Asterisk-Server auf OpenBSD ... Am OpenBSD-Stand kann man OpenBSD-CDs und](https://reader036.vdocuments.pub/reader036/viewer/2022062908/5ae11bbb7f8b9afd1a8ece9c/html5/thumbnails/2.jpg)
2
Fahrplan
● Vorstellung OpenBSD
● Einsatzzwecke von OpenBSD
● Vorstellung verschiedener OpenBSD-basierter Produkte
● Blick hinter die Kulissen
● Fragen und Antworten
![Page 3: Kommerzieller Einsatz von OpenBSD - bytemine.net · DNS – named(8) ntp ... Zentraler Asterisk-Server auf OpenBSD ... Am OpenBSD-Stand kann man OpenBSD-CDs und](https://reader036.vdocuments.pub/reader036/viewer/2022062908/5ae11bbb7f8b9afd1a8ece9c/html5/thumbnails/3.jpg)
3
Überblick OpenBSD
● Freies unixoides Betriebssystem
● Basierend auf 4.4 BSD lite
● ‘95 von Theo de Raadt gegründet
● Entwickler von OpenSSH
● Die mit dem Kugelfisch und den schicken T-Shirts
● Details: http://www.openbsd.org/
![Page 4: Kommerzieller Einsatz von OpenBSD - bytemine.net · DNS – named(8) ntp ... Zentraler Asterisk-Server auf OpenBSD ... Am OpenBSD-Stand kann man OpenBSD-CDs und](https://reader036.vdocuments.pub/reader036/viewer/2022062908/5ae11bbb7f8b9afd1a8ece9c/html5/thumbnails/4.jpg)
4
Projektziele OpenBSD● Ein sicheres, BSD-lizensiertes Betriebssystem
– Zwei Remote-Holes in der Default-Install in 10 Jahren
● Bestmögliche Entwicklungsplattform
● Komponenten sollen unter freien Lizenzen stehen (BSD, ISC)
● Einhaltung von Standards (POSIX, X/Open)
● Regelmäßiger Releasezyklus
– Alle sechs Monate eine neue Version
– Die letzten zwei Versionen werden mit Sicherheitspatches versorgt
![Page 5: Kommerzieller Einsatz von OpenBSD - bytemine.net · DNS – named(8) ntp ... Zentraler Asterisk-Server auf OpenBSD ... Am OpenBSD-Stand kann man OpenBSD-CDs und](https://reader036.vdocuments.pub/reader036/viewer/2022062908/5ae11bbb7f8b9afd1a8ece9c/html5/thumbnails/5.jpg)
5
OpenBSD auf die Schnelle
● Entwickelt von einem Team
– Knapp 90 aktive Entwickler
– Hackathons und Peer-Review
● Evolution statt Revolution
● Kryptographie und Sicherheit
● Entwickler sind für Ihre Dokumentation verantwortlich
– Fehlende Dokumentation ist ein Bug
● OpenBSD Ports und Pakete
![Page 6: Kommerzieller Einsatz von OpenBSD - bytemine.net · DNS – named(8) ntp ... Zentraler Asterisk-Server auf OpenBSD ... Am OpenBSD-Stand kann man OpenBSD-CDs und](https://reader036.vdocuments.pub/reader036/viewer/2022062908/5ae11bbb7f8b9afd1a8ece9c/html5/thumbnails/6.jpg)
6
Infrastruktur mit OpenBSD
● Routing
– bgpd(8)
– ospfd(8)
– ripd(8)
● DNS
– named(8)
● ntp – Zeitsynchronisation
– ntpd(8)
![Page 7: Kommerzieller Einsatz von OpenBSD - bytemine.net · DNS – named(8) ntp ... Zentraler Asterisk-Server auf OpenBSD ... Am OpenBSD-Stand kann man OpenBSD-CDs und](https://reader036.vdocuments.pub/reader036/viewer/2022062908/5ae11bbb7f8b9afd1a8ece9c/html5/thumbnails/7.jpg)
7
● Firma msys aus Basel
● Entwickler verschiedener Treiber für Zeitempfänger
– mgb(4)
– umbg(4)
– udcf(4)
● Via line discipline an ntpd
OpenBSD Zeitserver
![Page 8: Kommerzieller Einsatz von OpenBSD - bytemine.net · DNS – named(8) ntp ... Zentraler Asterisk-Server auf OpenBSD ... Am OpenBSD-Stand kann man OpenBSD-CDs und](https://reader036.vdocuments.pub/reader036/viewer/2022062908/5ae11bbb7f8b9afd1a8ece9c/html5/thumbnails/8.jpg)
8
Infrastruktur mit OpenBSD
● VPN
– IPSec: isakmpd(8) und ipsecctl(8)
● Firewalling
– Der Paketfilter: pf(8)
– Redundanz: carp(4) – Alternative zu VRRP von Cisco
● SNMP
– snmpd(8)
● Lastverteilung
– relayd(8)
![Page 9: Kommerzieller Einsatz von OpenBSD - bytemine.net · DNS – named(8) ntp ... Zentraler Asterisk-Server auf OpenBSD ... Am OpenBSD-Stand kann man OpenBSD-CDs und](https://reader036.vdocuments.pub/reader036/viewer/2022062908/5ae11bbb7f8b9afd1a8ece9c/html5/thumbnails/9.jpg)
9
● Firma .vantronix aus Hannover
● Verschiedene Modelle verfügbar
– Loadbalancer
– High-Performance-Firewall
OpenBSD Firewall - Lastverteiler
![Page 10: Kommerzieller Einsatz von OpenBSD - bytemine.net · DNS – named(8) ntp ... Zentraler Asterisk-Server auf OpenBSD ... Am OpenBSD-Stand kann man OpenBSD-CDs und](https://reader036.vdocuments.pub/reader036/viewer/2022062908/5ae11bbb7f8b9afd1a8ece9c/html5/thumbnails/10.jpg)
10
OpenBSD VPN Konzentrator
● Anbindung von mobilen Clients
– OpenVPN
● Anbindung von Standorten
– IPSec
● Redundanz mittels carp(4)
– Dank sasyncd(8) auch IPSec-Redundanz
● Basierend auf Soekris net5501 oder NexGate
![Page 11: Kommerzieller Einsatz von OpenBSD - bytemine.net · DNS – named(8) ntp ... Zentraler Asterisk-Server auf OpenBSD ... Am OpenBSD-Stand kann man OpenBSD-CDs und](https://reader036.vdocuments.pub/reader036/viewer/2022062908/5ae11bbb7f8b9afd1a8ece9c/html5/thumbnails/11.jpg)
11
OpenBSD VPN Konzentrator
● Soekris:
– Max. 20 Watt Stromverbrauch
– Solid State
– Platzsparend
– Redundanz auf einer Höheneinheit
![Page 12: Kommerzieller Einsatz von OpenBSD - bytemine.net · DNS – named(8) ntp ... Zentraler Asterisk-Server auf OpenBSD ... Am OpenBSD-Stand kann man OpenBSD-CDs und](https://reader036.vdocuments.pub/reader036/viewer/2022062908/5ae11bbb7f8b9afd1a8ece9c/html5/thumbnails/12.jpg)
12
OpenBSD VPN Konzentrator
![Page 13: Kommerzieller Einsatz von OpenBSD - bytemine.net · DNS – named(8) ntp ... Zentraler Asterisk-Server auf OpenBSD ... Am OpenBSD-Stand kann man OpenBSD-CDs und](https://reader036.vdocuments.pub/reader036/viewer/2022062908/5ae11bbb7f8b9afd1a8ece9c/html5/thumbnails/13.jpg)
13
ISP-Einsatz von OpenBSD
● Serverdienste
– E-Mail-Infrastruktur● Auch kommerzielle Viren-Scanner verfügbar
– Webserver● Hosting auf i386 und sparc64
● Serieller Konsolenserver
● Monitoringsystem
– Nagios und Zabbix verfügbar
– Sicherheitskritisch wg. SSH-Checks
![Page 14: Kommerzieller Einsatz von OpenBSD - bytemine.net · DNS – named(8) ntp ... Zentraler Asterisk-Server auf OpenBSD ... Am OpenBSD-Stand kann man OpenBSD-CDs und](https://reader036.vdocuments.pub/reader036/viewer/2022062908/5ae11bbb7f8b9afd1a8ece9c/html5/thumbnails/14.jpg)
14
Unterwegs mit OpenBSD
● Ideal für Roadwarrior
– Anbindung ans Firmen-VPN
● Sehr gute UMTS/3G-Unterstützung
– GPRS, UMTS, HSDPA
– PC Card Express, Cardbus, PCMCIA
– USB
– MiniPCI Express
![Page 15: Kommerzieller Einsatz von OpenBSD - bytemine.net · DNS – named(8) ntp ... Zentraler Asterisk-Server auf OpenBSD ... Am OpenBSD-Stand kann man OpenBSD-CDs und](https://reader036.vdocuments.pub/reader036/viewer/2022062908/5ae11bbb7f8b9afd1a8ece9c/html5/thumbnails/15.jpg)
15
Unterwegs mit OpenBSD
● Unterstützung vieler Wireless-Chipsätze
– Mittlerweile auch WPA/WPA2 :)
● Festplattenverschlüsselung
– vnd(4) vs. softraid(4)
● Leider noch unvollständiger ACPI-Support
– Auf vielen neuen Notebooks noch kein “Schlafen” möglich
![Page 16: Kommerzieller Einsatz von OpenBSD - bytemine.net · DNS – named(8) ntp ... Zentraler Asterisk-Server auf OpenBSD ... Am OpenBSD-Stand kann man OpenBSD-CDs und](https://reader036.vdocuments.pub/reader036/viewer/2022062908/5ae11bbb7f8b9afd1a8ece9c/html5/thumbnails/16.jpg)
16
UMTS Access-Point
● “Instant-Internet-Anywhere”
● Auch als VPN-Router für unterwegs nutzbar
![Page 17: Kommerzieller Einsatz von OpenBSD - bytemine.net · DNS – named(8) ntp ... Zentraler Asterisk-Server auf OpenBSD ... Am OpenBSD-Stand kann man OpenBSD-CDs und](https://reader036.vdocuments.pub/reader036/viewer/2022062908/5ae11bbb7f8b9afd1a8ece9c/html5/thumbnails/17.jpg)
17
Internet auf der Ostsee
![Page 18: Kommerzieller Einsatz von OpenBSD - bytemine.net · DNS – named(8) ntp ... Zentraler Asterisk-Server auf OpenBSD ... Am OpenBSD-Stand kann man OpenBSD-CDs und](https://reader036.vdocuments.pub/reader036/viewer/2022062908/5ae11bbb7f8b9afd1a8ece9c/html5/thumbnails/18.jpg)
18
OpenBSD ThinClient● Hardware
– C7 1000 Mhz
– Diskless via NFS● Alternativ: CompactFlash – Industrial Grade
– Stromsparend: 6 – 11 Watt
– Kryptographie in Hardware
● Software
– OpenBSD 4.4
– JWM als schlanker Window Manager
– Zenity für Dialoge
![Page 19: Kommerzieller Einsatz von OpenBSD - bytemine.net · DNS – named(8) ntp ... Zentraler Asterisk-Server auf OpenBSD ... Am OpenBSD-Stand kann man OpenBSD-CDs und](https://reader036.vdocuments.pub/reader036/viewer/2022062908/5ae11bbb7f8b9afd1a8ece9c/html5/thumbnails/19.jpg)
19
OpenBSD ThinClient
● Protokolle
– Remote Desktop
– VNC
– NoMachine
● Token-Authentifizierung
● Erweiterbar um VPN-Funktionalität
● Sicherheitsupdates erhältlich
● Mittels Technologiepartner Vor-Ort-Service
![Page 20: Kommerzieller Einsatz von OpenBSD - bytemine.net · DNS – named(8) ntp ... Zentraler Asterisk-Server auf OpenBSD ... Am OpenBSD-Stand kann man OpenBSD-CDs und](https://reader036.vdocuments.pub/reader036/viewer/2022062908/5ae11bbb7f8b9afd1a8ece9c/html5/thumbnails/20.jpg)
20
OpenBSD ThinClient
![Page 21: Kommerzieller Einsatz von OpenBSD - bytemine.net · DNS – named(8) ntp ... Zentraler Asterisk-Server auf OpenBSD ... Am OpenBSD-Stand kann man OpenBSD-CDs und](https://reader036.vdocuments.pub/reader036/viewer/2022062908/5ae11bbb7f8b9afd1a8ece9c/html5/thumbnails/21.jpg)
21
OpenBSD ThinClient im Team
● VPN-Router mit OpenBSD
– Mit UMTS als UMTS AP?
● OpenBSD-ThinClient
● Snom Telefon 370
● Zentraler Asterisk-Server auf OpenBSD
● Voila!
![Page 22: Kommerzieller Einsatz von OpenBSD - bytemine.net · DNS – named(8) ntp ... Zentraler Asterisk-Server auf OpenBSD ... Am OpenBSD-Stand kann man OpenBSD-CDs und](https://reader036.vdocuments.pub/reader036/viewer/2022062908/5ae11bbb7f8b9afd1a8ece9c/html5/thumbnails/22.jpg)
22
Update und Patchmanagement
● OpenBSD vertreibt nur Sourcepatches
● Für das Handling von vielen Maschinen nicht praktikabel
● Binpatchng, basierend auf binpatch
– Verwendung der OpenBSD pkg_* Tools
– Komplett Rollback-fähig
– http://binpatchng.puffy-at-work.org/
● Für Packages gibt es Updates
● Distribution mittels puppet
![Page 23: Kommerzieller Einsatz von OpenBSD - bytemine.net · DNS – named(8) ntp ... Zentraler Asterisk-Server auf OpenBSD ... Am OpenBSD-Stand kann man OpenBSD-CDs und](https://reader036.vdocuments.pub/reader036/viewer/2022062908/5ae11bbb7f8b9afd1a8ece9c/html5/thumbnails/23.jpg)
23
Hinter den Kulissen
● Immer wieder die gleichen Komponenten
– OpenBSD
– IPSec / OpenVPN
– binpatches
– Ports / Packages
● Firmen mit Spaß an ihrer Arbeit und den eigenen Produkten
![Page 24: Kommerzieller Einsatz von OpenBSD - bytemine.net · DNS – named(8) ntp ... Zentraler Asterisk-Server auf OpenBSD ... Am OpenBSD-Stand kann man OpenBSD-CDs und](https://reader036.vdocuments.pub/reader036/viewer/2022062908/5ae11bbb7f8b9afd1a8ece9c/html5/thumbnails/24.jpg)
24
Was fehlt OpenBSD?
● Anbindung an Verzeichnissdienste zur Authentifizierung
– ypldap(8) in Arbeit
● Vollständige ACPI-Implementierung
● “Moderne” Dateisystemfunktionen (wie z. B. in ZFS und HAMMER)
● Ein BSD-lizensierter Compiler
– pcc ist in Arbeit
– BSDFund.org
![Page 25: Kommerzieller Einsatz von OpenBSD - bytemine.net · DNS – named(8) ntp ... Zentraler Asterisk-Server auf OpenBSD ... Am OpenBSD-Stand kann man OpenBSD-CDs und](https://reader036.vdocuments.pub/reader036/viewer/2022062908/5ae11bbb7f8b9afd1a8ece9c/html5/thumbnails/25.jpg)
25
Die berühmte (fast) letzte Seite
● Vielen Dank an die Organisatoren des Linux-Infotages Oldenburg und den ffis!
● Die Weiterentwicklung von OpenBSD wird am besten durch Spenden an das Projekt unterstützt
● Am OpenBSD-Stand kann man OpenBSD-CDs und -T-Shirts erwerben
● Einmal im Jahr: OpenCON
– http://www.opencon.org/
![Page 26: Kommerzieller Einsatz von OpenBSD - bytemine.net · DNS – named(8) ntp ... Zentraler Asterisk-Server auf OpenBSD ... Am OpenBSD-Stand kann man OpenBSD-CDs und](https://reader036.vdocuments.pub/reader036/viewer/2022062908/5ae11bbb7f8b9afd1a8ece9c/html5/thumbnails/26.jpg)
26
Vielen Dank für die Aufmerksamkeit!
bytemine
Marie-Curie-Str. 126129 Oldenburg
[email protected]://www.bytemine.net
+49-441-3091970VoIP: [email protected]