EWEEK LABS: ОБЗОР
Безопасная ОС предлагает богатый набор функций, но перейти на неё не так-то просто
Приложив массу усилий и мастерства, персонал ИТ может обезопасить любую программную систему, но чтобы надежная защита обеспечивалась чуть ли не сама по себе - это уже нечто из области фантастики. И все же именно такую возможность предлагает самая безопасная операционная система Интернета под названием OpenBSD, выпуск очередной версии которой произошел 1 ноября.
Прошлое лето для этой ОС выдалось весьма мрачным. В одном из компонентов предыдущей версии OpenBSD 3.1 под названием OpenSSH (Open Secure Shell - открытая безопасная оболочка) была обнаружена брешь. Но версия OpenBSD 3.2 (в которую конечно же вошел обновленный OpenSSH 3.5) снова наглядно продемонстрировала, почему именно ее разработчики лидируют в области безопасности.
OpenBSD 3.2, содержащая исправленный вариант OpenSSH, - лучший выбор для обеспечения высокой безопасности систем
От производителей ПО (причем не только Microsoft) часто можно слышать о новых средствах защиты, которые должны в корне изменить ситуацию. Все это, конечно, приятно, но истинным мерилом успеха здесь может служить только время. Единственное свидетельство надежности защиты, достойное серьезного внимания, - это снижение количества брешей, рано или поздно обнаруживающихся в коде.
Послужной список OpenBSD - всего одна брешь в стандартной установке за шесть лет пребывания на рынке - свидетельство того, что эта ОС просто не имеет себе равных.
Правда, и на солнце бывают пятна. OpenBSD, например, явно не хватает внимания со стороны разработчиков ПО и производителей аппаратных средств, да и команда ее создателей всего лишь год назад официально объявила о поддержке каждой выпускаемой версии. В дополнение к этому механизм обновления ОС порой вызывает сбои в ее структуре. Но как бы то ни было, подход к вопросам безопасности в ней настолько эффективен (и, к сожалению, настолько же редок), что Тестовый центр eWeek Labs решил присвоить OpenBSD 3.2 почетное звание “Выбор аналитика”.
Это в полном смысле наш выбор, как бы высоки ни были ставки. В инфраструктуре OpenHack, которую eWeek Labs развернул для проверки систем безопасности, работает семь различных серверов на базе OpenBSD 3.2. На сегодняшний день в мире просто нет других ОС, более пригодных для размещения и запуска систем, предъявляющих повышенные требования к безопасности. Особенно наглядно это проявляется при установке сетевых экранов и маршрутизаторов: встроенный в OpenBSD фильтр пакетов под названием pf предлагает функции блокировки трафика, переключения портов и трансляции сетевых адресов.
OpenBSD 3.2 можно скачать через Интернет бесплатно, а загрузочный компакт-диск с этой ОС предлагается на узле www.openbsd.org за $40. Система способна работать на нескольких семействах ЦП, но симметричная многопроцессорная обработка в ней не поддерживается. Именно это стало одним из главных факторов, препятствующих применению безопасной ОС на старших серверах. Даже при установке на машине с несколькими процессорами она использует только один из них.
Хотя OpenBSD и не входит в число операционных систем, широко поддерживаемых разработчиками ПО, ее компакт-диск содержит довольно много серверных приложений с открытым кодом. Все они уже транслированы и готовы к установке.
Сама же OpenBSD устанавливается невероятно быстро. Начав с девственно чистого диска, мы уже через какие-то 10 мин имели полностью функциональный и при этом безопасный Web-сервер или сервер доменных имен. В дополнение к этому здесь предлагается централизованное конфигурирование, благодаря которому можно включать и отключать различные серверные пакеты, не покидая своего рабочего места.
Система позволяет легко следить за тем, что запущено в данный момент, а что нет, но это не все. Политика безопасности OpenBSD гениально проста: по умолчанию отключить или не устанавливать по возможности большее число функций. Почему такой очевидный и эффективный подход к обеспечению безопасности не получает широкого распространения, для нас остается загадкой (даже производителям Linux остается только позавидовать создателям этой ОС).
Еще одно огромное преимущество OpenBSD 3.2 - использование функций защиты памяти, встраиваемых в современные ЦП для блокирования атак с переполнением буфера. Эта ОС способна отмечать стековую память как область неисполняемого кода, а при работе с процессорами SPARC и Alpha в такое же состояние могут переводиться и сегменты данных программ.
Команда разработчиков продолжает активно редактировать и уже написанные исходные тексты, благодаря чему ей удалось значительно сократить количество программ, требующих для работы установки флага setuid. В результате резко снизилось и число программ, для работы которых необходимы привилегии суперпользователя.
На это указывает и Тео де Раадт, менеджер проекта OpenBSD из Калгари (пров. Альберта, Канада): “Потенциальные последствия от брешей в безопасности стали теперь менее значительными. В версии 3.1 было 40 программ с жестко заданным setuid, теперь же 31 из них вообще не устанавливает этот флаг или оставляет его на тривиальном уровне”.
Именно такое внимание к деталям, систематическое устранение даже минимальных пробелов в системе безопасности выделяют OpenBSD на общем фоне.
И все же, несмотря на внимание разработчиков к деталям, при использовании новой версии не так-то просто сохранить тот высокий уровень безопасности, который достигается при ее начальной установке. В этой ОС не предусмотрены средства модернизации, и единственный способ обновить ее - скачать еще один фрагмент кода, а затем перекомпилировать ядро и пользовательские программы. Такой процесс может продолжаться до 12 ч, а то и больше, причем порой он крайне негативно сказывается на работе системы.
К сожалению, ожидать изменения такой ситуации в ближайшее время не приходится. “У нас просто не хватает сил для этого, и мы продолжаем работать по-старому”, - поясняет де Раадт. Он имеет в виду, что очень важно регулярно - примерно раз в полгода - полностью обновлять всю операционную систему, а выполнить такую задачу даже с применением программных заплат очень сложно.
“Может быть, мы начнем создавать стабильные моментальные снимки и публиковать их через пару месяцев после выпуска системы вплоть до появления следующей версии, - сказал де Раадт. - Как мне кажется, все, кому нужна стабильность, согласятся: за полгода теряется смысл любой заплаты”.
OpenBSD - вовсе не такой “самосборный” Unix, как Linux или Solaris. Это отличный инструмент для тех пограничных точек сети, где все должно получаться с первой попытки.
С техническим директором eWeek Labs на западном побережье США Тимоти Диком можно связаться по адресу: timothy_dyck@ziffdavis.com.
Резюме для руководителей
OpenBSD 3.2
Компактность OpenBSD и высокий уровень безопасности этой операционной системы должны привлечь внимание организаций, которым недостает опыта безопасной настройки обычных ОС, а также владельцев аппаратных брандмауэров.
ЦЕНОВОЙ АНАЛИЗ
О цене самой системы говорить не приходится - она распространяется бесплатно. Основные затраты при использовании OpenBSD связаны с ее сопровождением, особенно после выпуска обновленных версий, устанавливать которые далеко не просто. В то же время если вспомнить, что цена аппаратных брандмауэров может достигать десятков тысяч долларов, становится ясно, что OpenBSD дает реальную экономию.
( + ) Безопасность по умолчанию; встроенные фильтры пакетов, значительно повышающие потенциал сетевого экранирования, пересылки трафика и трансляции сетевых адресов; централизованное конфигурирование настроек; оперативный выпуск обновлений в случае обнаружения уязвимых мест; богатый выбор включенных в комплект приложений.
( - ) Отсутствие агента обновления ПО; небольшой срок (около года) поддержки прежних версий; недостаточное внимание со стороны разработчиков ПО и крупных производителей систем, вследствие чего приложения зачастую тестируются и поддерживаются только организацией OpenBSD; невозможность симметричной многопроцессорной обработки данных.
КРАТКИЙ СПИСОК СОПЕРНИКОВ
- Linux
- Аппаратные сетевые экраны
- Другие операционные системы на базе BSD
www.openbsd.org