OpenBSD Installation/Update

radiohead

Well-Known Member
Moin,

ich versuche heute eine Firewall auf OpenBSD Basis aufzubauen und habe dazu ein Paar Fragen.

1. Ich habe nun OpenBSD 4.1 installiert. Was muss man nach der Installation tun, um das System auf den aktuellen Stand zu bringen, heisst Security Patches usw einspielen?

2. Kann man IPSec, OpemVPN und HTTP Proxy Dienste mit Content Scanning und AV Scanning nutzen?

Danke fuer eure Hilfe!
 
1. 'man afterboot' und in die FAQ gucken, dort steht, wie man Patches einspielt.

2. Sicherlich, wobei ich nichts zu Content Scanning (es sei denn Du meinst damit Squid) und AV Scanning sagen kann.

HTH
 
Okay, sowas scheint es wirklich nur in current zu geben. Wie ist denn so die allgemeine Meinung hier von current auf einer Firewall? Ist das current so "unstable" wie Debian Sid oder kann man das so nicht vergleichen?

Habt ihr current auf wichtigen Servern laufen?
 
Ich persönlich würde keine current-Maschine produktiv einsetzen wollen. Dansguardian ist nur für die private Nutzung kostenlos. Eventuell ist "jesred" eine Alternative für dich, das ist in den ports enthalten. Da ich jedoch ausschließlich squidguard einsetze habe ich keine Erfahrung mit jesred.

Um die http-Daten vom Proxy-Server nach Viren durchsuchen zu lassen, brauchst du schon einiges an Rechenleistung. Ausserdem solltest du berücksichtigen, dass https-Daten nicht gescannt werden können. Ein praktisches Beispiel mit OpenVPN/IPSec und Content Scanning habe ich nicht parat, was willst du da scannen/filtern?
 
Ich persönlich würde keine current-Maschine produktiv einsetzen wollen. Dansguardian ist nur für die private Nutzung kostenlos. Eventuell ist "jesred" eine Alternative für dich, das ist in den ports enthalten. Da ich jedoch ausschließlich squidguard einsetze habe ich keine Erfahrung mit jesred.

Um die http-Daten vom Proxy-Server nach Viren durchsuchen zu lassen, brauchst du schon einiges an Rechenleistung. Ausserdem solltest du berücksichtigen, dass https-Daten nicht gescannt werden können. Ein praktisches Beispiel mit OpenVPN/IPSec und Content Scanning habe ich nicht parat, was willst du da scannen/filtern?

Es handelt sich hier auch "nur" um eine Maschine im privaten Umfeld. Die soll aber nicht offen sein ;)

Also kann ich dafuer dann ruhig current nehmen. Ich moechte einfach nur Schmuddel Seiten und Fremdenfeinliche Sachen usw blocken. Ein Nachbar surft ab und zu ueber uns mit und das moechte ich dann gerne kontrollieren ;)

Virenscanning dann im Http Bereich, damit seine Windowsgurke sicher ist. Der OpenBSD Rechner hat auch genug Power (viel zu viel warscheinlich). Ist ein Amd64 X2 3800+ EE mit 1GB RAM.
 
Ich habe ja nun stable installiert. Wie komme ich nun nach -current? Reicht es ein cvs -d$CVSROOT checkout -P src zu machen und dann den Kernel und das Userland neu zu bauen?

Oder geht das nicht? Ich habe schon was von snapshots gelesen? Muss das darueber laufen? Geht das dann auch ohne von einer CD zu booten aus dem laufenden System heraus?
 
wie du zu verschiedenen versionen zu openbsd kommst, steht deutlich in der faq unter punkt 5. release -> snapshot -> -current-sources ziehen und bauen. wie du das genau anstellst, steht in der faq.

hth,
marc
 
Okay. Dann ziehe ich mir jetzt also die Snapshots base41.tgz, etc41.tgz usw. Entpacke diese mit den flags xvfzp nach / und baue dann nen neuen Kernel und das Userland. Habe ich das so korrekt aus der FAQ verstanden?
 
ja, aber die faq sagt auch, dass das nicht unbedingt der empfohlene weg ist, ein system hochzuziehen. schau auch vorher in die mailinglisten, dass der snapshot korrekt bootet, falls du keinen physischen zugriff auf die kiste hast (wenn du es hast, solltest du das system per cd updaten). anschließend sourcen ziehen und -current bauen. ebenso auch das system entsprechend der homepage aktualisieren.
 
Last edited:
Also kann ich dafuer dann ruhig current nehmen. Ich moechte einfach nur Schmuddel Seiten und Fremdenfeinliche Sachen usw blocken. Ein Nachbar surft ab und zu ueber uns mit und das moechte ich dann gerne kontrollieren ;)
ME ist dafür squidguard das was du suchst. Bedenke aber, dass du entweder
a) einen transparenten Proxy brauchst
oder
b) per Firewall sicherstellen musst, dass über ein Gateway keine Pakete des Nachbarn ins Internet kommen/aus dem Internet zu ihm gelangen.

Denn wenn er sich ein Gateway in die Netzwerkkonfiguration einträgt/den Proxy raus nimmt, Kann er ohne den Filter/Cache surfen.

Virenscanning dann im Http Bereich, damit seine Windowsgurke sicher ist. Der OpenBSD Rechner hat auch genug Power (viel zu viel warscheinlich). Ist ein Amd64 X2 3800+ EE mit 1GB RAM.
Sollte reichen ;) Sicher bist du damit aber noch nicht. Dazu gehört eine Filterung am Client.
 
Okay, was ich nun gemacht habe ist mir einen Snapshot von http://mirror.paranoidbsd.org/pub/OpenBSD/snapshots/amd64/ geladen, also die wichtigen *.tgz ohne die X-Server Geschichten.

Dann habe ich hier von einer OpenBSD 4.1 gebootet und ein Upgrade gemacht (als Installsource habe ich dann das Verzeichnis angegeben, wo ich die Files hingelegt habe).

Nach dem Neustart habe ich dann im /usr Verzeichnis ein cvs -d$CVSROOT checkout -P src gemacht und mir dann den Kernel so wie in http://openbsd.org/faq/faq5.html beschrieben gebaut. Wieder einen Neustart gemacht. Und wenn ich mich nun anmelde sehe ich trotzdem folgendes:

Code:
Last login: Wed Jul 18 16:52:53 2007 from 10.240.1.1
OpenBSD 4.1-stable (GENERIC.MP) #0: Wed Jul 18 16:47:34 UTC 2007

Welcome to OpenBSD: The proactively secure Unix-like operating system.

Please use the sendbug(1) utility to report bugs in the system.
Before reporting a bug, please try to reproduce it with the latest
version of the code.  With bug reports, please try to ensure that
enough information to reproduce the problem is enclosed, and if a
known fix for it exists, include that as well.

Da steht ja immernoch stable? Ist da was falsch gelaufen? Jetzt habe ich dann ein make build gemacht, um mein Userland zu kompilieren, habe aber noch nicht rebootet. Muss man das noch machen?
 
sysctl -a | grep version

Dann kommt folgendes:

Code:
kern.version=OpenBSD 4.1-stable (GENERIC.MP) #0: Wed Jul 18 16:47:34 UTC 2007
kern.posix1version=199009
kern.osversion=GENERIC.MP#0
net.inet6.ip6.kame_version=OpenBSD-current
user.posix2_version=199212
 
hmmm, vielleicht hattest du noch alte sourcen drin? ich würde mir nen snapshot ziehen (ist das ein offizieller mirror?), updaten (dann sollte bereits ein -current-kernel sich zum dienst melden), dann /usr/src komplett löschen und nen neuen checkout anfertigen...
 
Wo ich den Mirror her hatte, weiss ich nicht. Dann sauge ich nochmal und installiere erneut. Muss ich sonst noch was beachten?
 
Okay. Habe nun einen anderen Mirror genommen und de-updated. Nun sehe ich auch ein -current Kernel nach dem Reboot. Nun checke ich gerade den src Tree aus und baue dann das Userland und nen neuen MP Kernel. Dann sollte auch alles funktionieren.

Danke fuer eure Hilfe!
 
dansguardian oder squidguard beides in den (current) ports

Kann es sein, dass beides nicht mehr in den current ports ist? Ich habe wie folgt gesucht:

cd /usr/ports
make search key=dansguardian

Dann kommt aber nichts raus. Den Tree hatte ich mir ueber den Befehl

cvs -d$CVSROOT checkout -P ports

gezogen....
 
Back
Top