allegutendinge

OpenBSD 6.5 (stable) Setup auf einem PC oder Notebook

Stand: 15.08.2019 Seit kurzem verwende ich OpenBSD auch auf mehreren PCs und Notebooks. Obwohl andere BSD-Varianten beliebter sind, finde ich dass OpenBSD das schnellste und einfachste out-of-the-box Erlebnis inklusive grafischer Oberfläche bietet.

Die Installation des Betriebssystems ist recht einfach und schnell gemacht und soll hier auch nicht weiter besprochen werden. Einfach alles nach den Standardvorgaben installieren und fertig.

Nach der Installation sollten jedoch einige Anpassungen vorgenommen werden. Ich dokumentiere hier komprimiert meine Einstellungen, die ich als sinnvoll erachte. Diese sind ausgerichtet auf Benutzung des Systems als Desktop, also als System, welches nur temporär läuft und ausschließlich lokale Benutzer hat. Viele der Einstellungen stammen von https://www.c0ffee.net/blog/openbsd-on-a-laptop/

Der Artikel wird ständig aktualisiert

doas einrichten

doas ist ein leichtgewichtiger sudo-Ersatz, der unter OpenBSD zum Einsatz kommt

echo 'permit persist keepenv USERNAME' > /etc/doas.conf

Notebooks: Powermanagement einrichten

rcctl enable apmd
rcctl set apmd flags -A
rcctl start apmd

Einrichtung Unicode und Befehls-Historie

~/.profile

# Befehlshistorie sichern
HISTFILE=~/.ksh_history

#Bash-ähnlicher Prompt:
export PS1='\u@\h:\w$ '

# Unicode
export LC_CTYPE="en_US.UTF-8"

Xenocara (Xorg) Einstellungen

Nerviges xconsole Fenter abstellen

sed -i 's/xconsole/#xconsole/' /etc/X11/xenodm/Xsetup_0
echo 'xset b off' >> /etc/X11/xenodm/Xsetup_0

Window-Manager Einstellungen ~/.xsession

# Unicode
export LC_CTYPE="en_US.UTF-8"

# specify location of kshrc
export ENV=$HOME/.kshrc

# load Xresources file
xrdb -merge $HOME/.Xresources

# set your background color
xsetroot -solid dimgray

# xidle will lock your display after a period of inactivity
xidle &

# deutsche Tastatur
# Ist unnötig, wenn das Tastaturlayout in /etc/kbdtype festgelegt ist
setxkbmap de

# starte Windowmanager, cwm mit dem Windowmanager deiner Wahl ersetzen
exec cwm

Dienste deaktivieren

Es gibt ein paar Dienste, die nicht unbedingt auf einer Workstation oder einem Notebook laufen müssen:

• smtpd(8) ist ein Dienst zum empfangen von Mails (so genannter MTA). Die wenigsten dürften ihren eigenen Mailserver auf dem Desktop betrieben. Allerdings werden auch diverse Systemmeldungen, u.a. von Cron und syspatch, über smtpd an das lokale Postfach verschickt. Kann man auf diese Mails verzichten (z. B. weil man sie eh nicht liest) und denkt daran, das System regelmäßig zu patchen kann das Mailsystem m.E. abgestellt werden. Alternativ kann auch ein leichtgewichtiger smtp-Client wie msmtp installiert werden (nicht getestet).

• slaacd(8) ist ein Dienst, der aus Router-Advertisements IPv6-Adressen und Routen erstellt. Benötigt man kein IPv6 kann der Dienst abgestellt werden. Manchmal wird IPv6 benötigt, ohne dass man es weiß (ggf. für LL-Multicast). Allerdings ist IPv6 in OpenBSD sowieso standardmäßig abgestellt.

• sshd(8) ist ein Dienst welches einloggen auf dem Rechner aus der Ferne über einen verschlüsselten Kanal ermöglicht. Arbeitet man immer direkt (lokal) am Rechner, und möchte man nicht aus der Ferne auf ihn zugreifen, benötigt man den Dienst nicht.

# SMTP (Mail) Server
rcctl stop smtpd
rcctl disable smtpd

# IPv6 brauch ich derzeit nicht
rcctl stop slaacd
rcctl disable slaacd

# SSH-Dienst auf einem PC/Notebook muss nicht sein
rcctl stop sshd
rcctl disable sshd

Performance Einstellungen

Jeder Benutzer wird unter OpenBSD einer bestimmten Login-Klasse zugeteilt. Diese Klasse bestimmt darüber, wie viel Ressourcen benutzt werden können. Am wenigsten Rechte hat die default Klasse. Mehr Rechte hatt die staff-Klasse. Als Hauptbenutzer sollte man sich in die staff Klasse einordnen

usermod -G staff USERNAME
usermod -L staff USERNAME

Anschließend sollten die Rechte des staff Klasse noch erweitert werden /etc/login.conf

staff:\
        :datasize-cur=1536M:\
        :datasize-max=infinity:\
        :maxproc-max=1024:\
        :maxproc-cur=512:\
        :openfiles-cur=4096:\
        :openfiles-max=8192:\
        :ignorenologin:\
        :requirehome@:\
        :tc=default:

sysctl erlaubt es bestimmte Kerneleinstellungen zu setzen. Wir schalten hier Hyperthreading ein, was standardmäßig aus Sicherheitsgründen bei OpenBSD abgestellt ist. Nach meiner Erfahrung bringt dies einen Performance-Gewinn, sofern die CPU Hyperthreading wirklich unterstützt. Überprüfen kann man dies wie folgt:

• top aufrufen, nachsehen wie viel CPUs angezeigt werden
• mit sysctl hw.smt=1 Hyperthreading anschalten
• Erneut top aufrufen. Werden nun doppelt so viele CPUs angezeigt handelt es sich um “echtes” Hyperthreading und es wird einen Performancegweinn geben (z.B. lädt Firefox nach meinen Messungen ca. 20% schneller)

Man sollte sich aber klar sein, dass man damit einen Sicherheitsmechanismus abstellt.

/etc/sysctl.conf

# Hyperthreading einschalten, siehe oben
hw.smt=1


# Hinweis: Folgende Settings werden von Cullum Smith im o. g. Blog 
# empfohlen (ausgerichtet auf eine Maschine mit 16 GB RAM)
# Einige OpenBSD-Nutzer meinen jedoch, sie bringen nichts,
# daher hier auskommentiert. YMMV

# shared memory limits (chrome needs a ton)
#kern.shminfo.shmall=3145728
#kern.shminfo.shmmax=2147483647
#kern.shminfo.shmmni=1024

# semaphores
#kern.shminfo.shmseg=1024
#kern.seminfo.semmns=4096
#kern.seminfo.semmni=1024

#kern.maxproc=32768
#kern.maxfiles=65535
#kern.bufcachepercent=90
#kern.maxvnodes=262144
#kern.somaxconn=2048

Um die Performance der Festplatte zu erhöhen sollte man die Mount-Optionen anpassen und jeweils softdep,noatime hinzufügen

/etc/fstab

0364c44477d30004.b none swap sw
0364c44477d30004.a / ffs rw,softdep,noatime 1 1
0364c44477d30004.l /home ffs rw,softdep,noatime,nodev,nosuid 1 2

Updates

Das OpenBSD-Basissystem von -STABLE kann mit dem Befehl syspatch aktualisiert werden

Für Binärpakete aus den Ports von -STABLE bietet OpenBSD keine Updates an. Möchte man aktuelle Sicherheitsfixes, was dringend zu empfehlen ist, müsste man sich die entsprechenden Pakete aus den Ports selbst bauen.

Update 15.08.2019: Seit dem 14.08.2019 bietet OpenBSD auch Sicherheitupdates für den -STABLE-Zweig an, siehe https://marc.info/?l=openbsd-announce&m=156577865917831&w=2

Um in den Genuss dieser Updates zu kommen muss man nichts weiter tun, als pkg_add -u auszuführen (sofern der Standard mit ungesetztem PKG_PATH beibehalten wurde).

Nachfolgend zu Dokumentationszwecken einige inoffizielle Repos, die ebenfalls aktuelle Updates bereit halten (oder hielten). Teilweise können diese Pakete anbieten, die nicht in den offiziellen -STABLE updates enthalten sind),

• https://stable.mtier.org/updates/ (ehem. stable Repo von M:Tier)
• https://packages.rhaalovely.net/ (Updates zu Mozilla Software)
• https://obsd.compudus.de/ (stable Updates zu Mozilla-Software und webkitgtk4 vom Autor dieser Zeilen)

Bei Nutzung dieser Repos muss der entsprechende Signify Key runter geladen und nach /etc/signify kopiert werden.

Änderungen:

• 04.07.2019: Anmerkungen zum Abstellen der Dienste hinzugefügt (Danke an @dah)
• 04.07.2019: Anmerkungen zu Hypterthreading ergänzt
• 05.07.2019 Link zum Port von msmtp geändert. Danke an @solene für ihre neue OpenBSD Ports Webseite https://ports.perso.pw/
• 14.07.2019: Anmerkung zum Tastaturlayout, Danke an @reyk
• 15.08.2019: Änderungen zu den Updates, da OpenBSD nun auch -STABLE updates binärer Pakete bereit stellt

Einleitung

IT-Sicherheit ist heute ein riesiges Betätigungsfeld. Menschen, die im ITSec-Umfeld tätig sind werden mit Begriffen überschwemmt. Der Markt hält ebenso viele Sicherheits-Produkte bereit.

Während der Admin überlegt, wie er nach ITIL vorgeht um die neue NextGen2-SIEM-Firewall zu integrieren und dabei noch die DSGVO beachten muss, und sich außerdem dringend mal dem Thema APT widmen will, dringen Angreifer über ein längst vergessenes Wordpress-Plugin in den Webserver ein und greifen Daten ab.

Es ist Zeit sich von der Begriffsverwirrung und der Produktschwemme zu befreien. Zeit einen Schritt zurück zu treten und sich darüber Gedanken zu machen, welche Grundprinzipien IT-Sicherheit ausmachen.

1. Kenne deine Systeme

Lerne dein System so gut wie möglich kennen. Wenn Du dein System nicht kennst kannst Du es auch nicht verteidigen. Verstehe, welche Komponenten und Dienste dein System benutzt. Stellst Du einen unnötigen Dienst fest (siehe 2. Halte dein System klein und einfach) stelle ihn ab. Stelle fest, welche Risiken durch die laufenden Dienste entstehen können.

Verlasse dich nicht nur auf externen Support (z.B. des Herstellers). Dies macht Dich abhängig vom Supporter und kann schnell zur Katastrophe führen, wenn er nicht reagiert oder das Problem nicht beheben kann. Open Source Software zu verwenden ist hier sehr hilfreich, weil diese meist sehr gut dokumentiert ist und ihre Funktionsweise daher gut erlernbar ist.

Dokumentiere deine Systeme und Komponenten. Ein guter Überblick ist wichtig um zu sehen, wo Schwachstellen entstehen können.

Verhindere, dass Angreifer dein System besser kennen als Du. Verwende Verschlüsselung bei der Kommunikation und, dort wo es nötig ist, bei der Speicherung von Daten

Beobachte Systemmeldungen und Protokolle (Log-Dateien). Oft beinhalten Sie wertvolle Hinweise. Auch darüber, wo noch Maßnahmen nötig sein könnten.

2. Halte dein System klein und einfach

Systeme und Applikationen sollen so klein und einfach wie möglich sein. Komplexität ist der Feind der Sicherheit. Verwende immer das einfachstmögliche System. Zum einen vermeidet man so Komplexität, zum anderen schont man so Ressourcen.

Füge einem System nicht mehr Komponenten oder Features hinzu als unbedingt benötigt werden. Lass nicht mehr Dienste laufen als unbedingt nötig. Verzichte auf alle unnötige Software. So wird die Angriffsfläche verkleinert, ebenso wie die Wahrscheinlichkeit, dass etwas schief gehen kann. Falls das System schon bei Lieferung zu komplex ist, passe es an. Hilfreich ist es in dieser Hinsicht Open Source Software zu verwenden.

Beispiel: Verzichte auf Web-Interfaces zur Administration einer Firewall. Das Webinterface benötigt einen HTTP-Server und implementiert eine Schnittstelle zur Umsetzung der Eingaben im Webinterface in Kommandozeilen-Befehle für die Firewall. Dies sind zwei zusätzliche, aber unnötige Angriffsvektoren. Lerne stattdessen, die Kommandozeile direkt zu benutzen.

(Exkurs: OpenBSD gilt als das sicherste Betriebssystem der Welt, nicht zuletzt deswegen weil es im Vergleich zu anderen Betriebssystemen sehr schlank ist. Der Linux Kernel besteht aus fast 30 Millionen Zeilen Code, der OpenBSD Kernel hat gerade mal 2,9 Millionen Zeilen, also 10% des Umfangs des Linux Kernels.)

Fast das gleiche gilt für Daten: Lösche sensitive Daten wenn sie nicht mehr gebraucht werden. Speicher sie erst gar nicht, wenn sie nicht benötigt werden.

Auch bei der Rechtevergabe sollte Minimalismus vorherrschen. Gib jeder Person und jedem Prozess nur die Rechte, die unbedingt benötigt werden.

3. Verwende gut dokumentierte, offene und gebräuchliche Systeme

Dies ist Voraussetzung dafür, zu wissen was man einsetzt. Vermeide den Einsatz von “Blackboxen”, deren Inhalt Du nicht kennst. Wieder ist es von Vorteil, Open Source Software zu benutzen. Gebräuchliche und verbreitete Open Source Software ist gut dokumentiert und der Quellcode liegt offen. Vermeide jedoch Exoten, die kaum jemand einsetzt und schlecht dokumentiert sind. Verwende robuste und stabile Systeme, die gut geprüft sind.

4. Verwende Information und nutze Informationsaustausch

All zu leicht zieht man sich in eine Filterblase zurück und bekommt kaum noch Informationen von der Welt da draußen mit, während Angreifer sich ständig über neue Möglichkeiten informieren.

Vernetze dich mit der “Community”, also mit Leuten denen es ähnlich geht wie Dir. Tausch Dich mit Ihnen aus, z.B. über Mailinglisten. Gehe zu Community-Veranstaltungen mit Schwerpunkt Security (nicht aber zu reinen Produkt-Werbeveranstaltungen von Herstellern). Gute Adressen vor Ort sind oft der CCC oder die Linux User Group (LUG).

Informiere Dich bei CERTs und Security-Mailinglisten über neue Sicherheitslücken. Dies ist Voraussetzung dafür dein System zu kennen (Punkt 1.).

5. Überprüfe deine Systeme

Um zu wissen ob deine Systeme korrekt und sicher laufen müssen sie überprüft werden. Verwende Monitoring, um deine Systeme zu überprüfen. Lege Parameter fest, innerhalb der deine Systeme laufen sollen. Falls ein System außerhalb diese Parameter läuft, sollte es Alarmmeldungen geben.

Beobachte Systemprotokolle (siehe auch Punkt 2.) Halte Logs einfach (im Textformat) und zentralisiere das Logging. Verwende Filter für Logmeldungen, um nicht von der Flut der Meldungen erschlagen zu werden.

Verwende Informationen (siehe Punkt 4.), um zu überprüfen, ob deine Systeme Sicherheitslücken aufweisen. Patche die Systeme schnell, denn Angreifer wissen spätestens mit der Veröffentlichung des Patches über die Angreifbarkeit Bescheid.

6. Isoliere deine Systeme

Große All-in-One-Systeme sind oft bequem und komfortabel zu nutzen. Leider sind sie auch überaus komplex und bieten daher eine große Angriffsfläche.

Systeme und Funktionen sollten daher so weit wie möglich voneinander getrennt werden. Bei Problemen ist so immer nur eine Komponente betroffen. Separiere Systeme voneinander, auf möglichst unterschiedlichen Ebenen. Verwende verschiedene Netzwerksegmente, da wo es angebracht ist. Verwende unterschiedliche Hosts für einzelne Dienste. Verwende dabei Virtualisierung, keine Containerisierung.

(Exkurs: Obwohl alle Welt von Docker spricht, sollten Docker und andere Containerlösungen nicht für produktive Systeme verwendet werden. Container laufen im selben Kernelspace ab wie der Container-Host und andere Container auf diesem. Das bedeutet, wird ein Container erfolgreich angegriffen, sind alle anderen Container die auf derselben physikalischen Maschine laufen, ebenfalls betroffen. Container bieten keine ausreichende Isolierung).

Verwende Schnittstellen, um die Kommunikation zwischen den isolierten System herzustellen und kontrolliere diese.

Jede Komponente sollte immer genau eine Aufgabe erfüllen, und diese gut. Verwende daher keine Universalisten, sondern Spezialisten. Vergiss aber nicht, dass diese einfach und klein sein sollen.

7. Gestalte deine Systeme fehlertolerant

Frag Dich bei jedem System: “Was ist, wenn es ausfällt? Ist dann das gesamte Gefüge betroffen, oder kann es ohne das System weiter funktionieren?” Erstelle einen Notfall-Plan, der sagt was Ausfällen zu tun ist. Denn früher oder später wird jedes System gestört sein oder ausfallen.

Sorge bei kritischen Systemen dafür, dass eine Reservesystem zeitnah bereit steht ( gestalte es z. B. als hochverfügbares System). Aktuelle Daten benötigen aktuelle Backups und sollten zeitnah wieder eingespielt werden können.

Je kleiner und einfacher die Systeme sind (Punkt 2.) desto besser sind sie fehlertolerant zu gestalten. Auch die Isolierung (Punkt 6.) unterstützt dabei, fehlertolerante Systeme einfach aufbauen zu können.

Auch Sicherheitsmaßnahmen können ausfallen. Wenn ein Account oder ein Zertifikat kompromittiert wird, muss es Maßnahmen geben, die den damit eingehenden Risiken entgegenwirken.

8. Beachte die Verhältnismäßigkeit

Sicherheit kostet Zeit, Geld und Aufwand. Bei jedem vorangegangenen Punkt sollte man sich daher fragen: Ist das noch verhältnismäßig?

Man kauft sich schließlich auch keinen 1000-Euro-Safe um darin 100 Euro zu lagern. Daher sollte geprüft werden, was man mit der Sicherheitsmaßnahme eigentlich schützen will und welche Auswirkungen die Maßnahme auf den Betrieb hat. Die Datenbank mit den Ergebnissen der Betriebs-Fußballmannschaft braucht sicher weniger Schutz, als die Datenbank mit den Firmenpatenten (Beides liegt auf demselben Server? Dann hast Du Punkt 6. nicht beachtet.)

Ein guter Weg, um die die Verhältnismäßigkeit festzustellen, sind folgende Fragen:

1. Muss das System geschützt werden und in wie weit?
2. Welche Sicherungsmaßnahme hat die geringste Auswirkung auf den laufenden Betrieb?
3. Welches ist die einfachste und kostengünstigste Lösung für die Sicherungsmaßnahme (Hinweis: oft lautet die Antwort “Open Source Software”).

Schlusswort

Jedes einzelne dieser Grundprinzipien ist ein wichtiger Baustein. Jedoch sind sie um so wirksamer wenn sie zusammen arbeiten. Wenn man sich diese Grundprinzipien vor Augen führt, können sie dabei helfen, Ordnung in die Flut von Buzzwörtern der ITSec-Industrie zu bekommen und auch im eigenen Netz die Übersicht zu behalten.

Die Systeme zu kennen, zu separieren, klein und einfach zu halten und zu überprüfen kann die NextGen2-SIEM-Firewall überflüssig machen. Wenn man die Prinzipien kennt, muss man nicht unbedingt ITIL und ISO 27001 im Detail kennen – vieles von dem was dort steht wird sich daraus automatisch ergeben. Weiterführende Literatur: The Information Security Practice Principles, Craig Jackson, Scott Russell, and Susan Sons, University Center for Applied Cybersecurity Research

© Henry Jensen 2019, lizenziert unter CC-BY-SA 4.0