original in en Georges Tarbouriech
en to de Hermann-Josef Beckers
Georges ist ein langj�hriger Unix-Benutzer. Er ist vernarrt in die freien Versionen dieses gro�artigen Systems.
Die meisten Leute "denken Linux", wenn �ber freie Unix-Varianten gesprochen
wird. Sicher ist Linux sehr verbreitet und jeder (naja, fast jeder) hat dar�ber
schon geh�rt. Die Anzahl neuer Anwender w�chst weiter und die Medien (entweder
"spezialisiert" oder nicht) machen viel "L�rm" darum. Einer der Hauptgr�nde f�r
diesen Erfolg r�hrt daher, dass Linux vor allem auf Intel-Maschinen l�uft,
welches die am weitesten verbreitete Computer-Architektur ist. Nat�rlich kann es auf vielen anderen Prozessoren laufen, da eine der Ideen hinter Unix war "wir k�mmern uns nicht um Prozessoren". Nichtsdestoweniger w�re Linux sicher nicht so ein Erfolg geworden, wenn es f�r einen mehr "geheimen" Prozessor entwickelt worden w�re, oder es h�tte zumindest viel l�nger gedauert.
Aber freies Unix ist nicht auf Linux beschr�nkt: es gibt auch die BSD-"Familie".
Es gibt drei Hauptrichtungen: FreeBSD, NetBSD und OpenBSD. BSD steht f�r Berkeley Software Distribution. Wenn Sie mehr Informationen �ber die Unix-Geschichte wissen m�chten, k�nnen Sie sich Artikel 176 ansehen. (Lassen Sie sich gesagt sein, das dieser Artikel nicht �ber die Unterschiede zwischen BSD und System V spricht: daf�r w�re ein Buch n�tig.)
Jede Richtung hat etwas Besonderes:
Wie andere freie Software kann FreeBSD von der FreeBSD-Webseite abgerufen werden. Dies erfordert allerdings eine schnelle Verbindung. Keine Sorge: Sie k�nnen �berall auf der Welt CDs erstehen.
Die aktuelle Version (zum Zeitpunkt dieses Artikels) ist 4.6. Der Artikel befa�t sich mit der i386-Version.
Die FreeBSD-Installation von CD-ROM (oder anderen Medien) ist einfach ... auch wenn es keine grafische Oberfl�che daf�r gibt! Stattdessen benutzen Sie ncurses. Folgen Sie einfach den Anweisungen und FreeBSD landet auf Ihrer Festplatte. Wie �blich m�ssen Sie Ihre Festplatte partitionieren und einige wenige Sachen wie Netzwerk oder sogar (optional) Ihren Kernel konfigurieren. Als n�chstes treffen Sie auf sysinstall, ein sehr gutes Werkzeug, das - wie der Name sagt - viele der Installationsarbeiten �bernimmt. Ob Sie den ganzen Haufen an Paketen installieren oder nur einige davon, ist Ihrer Wahl �berlassen. Sie k�nnen sie jederzeit hinzuf�gen.
Die Paketverwaltung ist auch offensichtlich. Sie k�nnen wie unter Solaris die pkg-Befehle nutzen, oder Sie bevorzugen die ports. Kurz gesagt, entsprechen die pkg-Befehle den RPMs oder DEBs f�r Linux, w�hrend es sich bei den ports um Archive handelt, die mit make und make install kompiliert werden. In anderen Worten: nichts komplexes oder schwieriges.
Da wir mit Linux vergleichen, sollten wir hinzuf�gen, dass es ein Linux-Kompabilit�ts-Paket gibt, das Sie installieren sollten: dies gestattet es Ihnen, Linux-Anwendungen zu kompilieren und zu nutzen.
Erneut, alles ist sehr offensichtlich und - nur f�r den Fall - es wird ein sehr gutes Handbuch mitgeliefert, das jeden Schritt erl�utert. Dieses existiert in verschiedenen Sprachen.
Entsprechend brauchen wir nicht allzu viel Zeit mit diesem Teil verbringen.
Erneut werden wir nicht alles erw�hnen k�nnen. Das Wichtigste ist zu wissen, wo sich die wesentlichen Dateien befinden. Wie �blich finden Sie diese im /etc-Verzeichnis. Sie werden rc.irgendetwas genannt und k�nnen viele verschiedene Teile verwalten: allgemeine Konfiguration, Netzwerk, sysctl usw.
Die Datei rc.conf ist sehr wichtig, da - wie es der Name sagt - hier die Konfiguration angepasst werden kann. In dieser Datei k�nnen Sie dem System mitteilen, ob einige D�monen (sshd, sendmail, etc) gestartet werden sollen oder nicht, die Art Ihrer Firewall, ob Sie Kernel-Sicherheitsebenen aktivieren wollen oder nicht, ob Sie IPv6 nutzen wollen oder nicht, usw. Es gibt eine Menge an Optionen und Sie k�nnen alle in derDefault -Datei sehen, die �berraschenderweise /etc/defaults/rc.conf hei�t. Lassen Sie sich nicht verwirren: diese Datei enth�lt die Standard-Einstellungen, keine Beispiele. D. h., die /etc/rc.conf-Datei �berschreibt diese Standard-Einstellungen. In anderen Worten, kopieren Sie nicht die /etc/defaults/rc.conf nach /etc/rc.conf und versuchen Sie nicht, sie zu �ndern. Die �nderungen m�ssen in /etc/rc.conf vorgenommen werden.
Zu Ihrer Information, die von sysinstall vorgenommenen �nderungen werden automatisch in /etc/rc.conf eingef�gt (Netzwerkkarten-Konfiguration, Hostname, Sicherheitsebene usw.).
Ein sehr wichtiger Hinweis: FreeBSD kommt mit keinen aktivierten Diensten in /etc/inetd.conf. Das hei�t, dass beim ersten Start die von inetd verwalteten D�monen standardm��ig abgeschaltet sind. Meiner bescheidenen Meinung nach sollte das f�r jedes Unix-System verpflichtend sein. Auf jeden Fall ein guter Punkt!
Die anderen rc-Dateien erlauben Ihnen entweder die Konfiguration der Firewall oder des sysctl-Teils und vieler anderer Bereiche. Dies bringt uns nat�rlich zur Feineinstellung von FreeBSD.
Eines der besten Programme f�r die Feineinstellung nennt sich sysctl (auch unter Linux!). Sie k�nnen es von der Befehlszeile nutzen, um einen speziellen Wert zu definieren oder eine sysctl.conf-Datei erstellen (empfohlen, es sei denn, Sie benutzen die Befehlszeile f�r Testzwecke).
Wenn Ihre Maschine z. B. als Gateway genutzt wird, k�nnen Sie mittels sysctl die IP-Weiterleitung erlauben: sysctl -w net.inet.ip.forwarding=1.
Zur erh�hten Sicherheit k�nnen Sie �berpr�fen, ob die Pakete, die �ber eine Schnittstelle hereinkommen, auch die entsprechende IP-Adresse enthalten mittels des Befehls: sysctl -w net.inet.ip.check_interface=1. Sie k�nnen fast alle Aspekte Ihres Systems mit sysctl steuern; lesen Sie die Handbuchseite. Wenn Sie diese Befehle in eine sysctl.conf-Datei schreiben wollen, f�gen Sie einfach die Argumente ohne den sysctl-Befehl selbst ein. Die Datei benutzt das
Variable = Wert-Format. Die obigen Beispiele werden zu:
net.inet.ip.forwarding=1
net.inet.ip.check_interface=1
Nat�rlich wird Ihre eigene sysctl.conf-Datei mehr als zwei Zeilen enthalten, da sie alles auf Kernelebene steuern kann, naja, fast alles!
Am Anfang dieses Artikels sprachen wir �ber Sicherheitsebenen. Es gibt vier verschiedene Ebenen, von -1 bis 3. -1 repr�sentiert die Unsicherheits-Ebene und 3 repr�sentiert die h�chste Sicherheitsebene. Es ist sehr wichtig zu verstehen, was jede Ebene bewirkt, bevor eine ausgew�hlt wird. Die Benutzung anderer Ebenen als -1 oder 0 kann zu einem System f�hren, das nicht so arbeitet wie Sie es erwarten. Der erste R�ckschlag kommt mit Ebene 1, weil es verhindern kann, dass Sie den X-Server richtig nutzen k�nnen. Au�erdem k�nnen Sie z. B. keine Kernel-Module laden oder entladen. Sie sind gewarnt!
Diese hohen Sicherheitsebenen k�nnen jedoch f�r spezielle Server erforderlich sein, die hohe Sicherheit ben�tigen. Als Privatanwender sollten Sie die Ebene 0 nutzen, aber es liegt an Ihnen ...
Der chflags-Befehl bezieht sich auf die Sicherheitsebenen. Untersuchen Sie es, lesen Sie die Handbuchseite. Es ist ein sehr m�chtiger Befehl.
Hier weiterzumachen, w�rde diesen Artikel zu einem �ber "Sicherung von FreeBSD" machen, deswegen gehen wir zum n�chsten Kapitel.
Lassen Sie uns annehmen, dass Sie gerade einen CD-Satz mit FreeBSD 4.5 erworben haben. Einige Tage sp�ter wird FreeBSD 4.6 ver�ffentlicht. Welch ein Pech!
Machen Sie sich keine Sorgen: FreeBSD enth�lt ein Aktualisierungssystem per CVS. Sie k�nnen entweder anonymes CVS oder CVSup nutzen. Ersteres ist leichter zu nutzen, w�hrend das zweite effizienter ist. Mit diesen Werkzeugen besteht die Aufgabe nur darin, den neuen Quellcode-Baum abzurufen und zu synchronisieren.
Als n�chstes m�ssen Sie das ganze neue Zeug mittels make buildworld kompilieren.
Wie Sie dies machen, ist im zur Verf�gung gestellten Handbuch sehr gut erl�utert. Der wichtige Punkt ist, dass dieses Verfahren Ihnen erlaubt, ein neues System immer aktuell zu halten.
Dies ist jedoch noch nicht das Ende. Wie immer, wenn es um freie Software geht, werden Verwundbarkeiten gefunden und sehr schnell gel�st. Im Gegensatz zu vielen propriet�ren Systemen, wo eine Verwundbarkeit f�r immer (und 1 Tag) ungel�st bleiben kann, reagieren Leute, die sich mit freier Software besch�ftigen, mit Lichtgeschwindigkeit und versorgen Sie mit Fehlerkorrekturen. Nat�rlich ist es Ihre Aufgabe zu pr�fen, was so l�uft. Die FreeBSD-Webseite verf�gt �ber einen Sicherheitsabschnitt, der nach Release geordnete Hinweise enth�lt. Sie k�nnen dort .asc-Dateien (Textdateien) abrufen, die Ihnen mitteilen, was Sie wissen m�ssen: eine Beschreibung des Problems und dessen L�sung. Auch andere Webseiten bieten Ihnen diese Informationen. Lassen Sie uns z. B.
linuxsecurity, CERT, usw. erw�hnen.
Das bedeutet nat�rlich, dass Sie Ihr System aktualisieren m�ssen.
Sie m�chten doch keine bekannten Verwundbarkeiten in Ihrem System behalten, oder? FreeBSD bietet Ihnen - wie die anderen Unix-Varianten - Patche. Besorgen Sie sich diese Patche und wenden Sie diese an. F�r Linux-Benutzer besteht der Hauptunterschied daran, dass sie kein korrigiertes Paket erhalten, sondern stattdessen einen Quelltext-Patch. D. h., dass Sie den Kernel nach dem Patchen des Quellcodes neu kompilieren m�ssen, was nat�rlich voraussetzt, dass der Quellcode bereits auf Ihrem Rechner installiert ist. Dies gilt auch f�r Linux, aber die Personen rufen eher z. B. ein modifiziertes rpm-Paket zumindest f�r die korrigierte Anwendung ab, aber auch f�r korrigierte Kernel.
Einer der wichtigsten Unterschiede zwischen Linux und FreeBSD findet sich im Kernelbereich. FreeBSD basiert auf BSD 4.4 und hat keine verschiedenen Kernel-Versionen wie die Linuxwelt. Das bedeutet, dass der Kernel stabil ist, aber im Laufe der Zeit auch immer gr��er wird, da er eher monolitisch ist, obwohl er auch von Modulen profitieren kann. Der Nachteil ist, dass Sie Ihren Kernel �fter als unter Linux kompilieren m�ssen, wenn Sie Ihr System so sicher wie m�glich halten wollen.
Ich bevorzuge jedenfalls diese Philosophie gegen�ber der von Linux, aber das ist nur meine Meinung. Ich glaube nicht, dass z. B. 3 verschiedene Kernel "in Arbeit" zu besonderer Stabilit�t f�hren. Ich m�chte auch nur die Anwendungen erw�hnen, die von Version zu Version portiert werden m�ssen, besonders diejenigen, die ihren Schwerpunkt auf Sicherheit legen. Ein weiteres Beispiel k�nnte das Paketfilter-System sein: 3 Kernel-Versionen, 3 verschiedene Paketfilter-Softwareversionen! Und so weiter ...
Ich habe viel Respekt f�r die Leute, die diesen gro�artigen Job machen, aber ist das der richtige Weg. Verbesserung ist immer ein Bed�rfnis, aber ist es koh�rent, immer alles zur gleichen Zeit zu �ndern? Macht nichts!
Nat�rlich k�nnen Sie auch einen neuen Kernel kompilieren, um ihn an Ihre Bed�rfnisse anzupassen ... und dann ist es wie unter Linux. Der Weg dazu ist sehr detailliert im Handbuch beschrieben, damit k�nnen wir uns etwas anderem zuwenden.
Wie bereits gesagt, ein gro�er Teil freier Software-Anwendungen (wenn nicht alle) arbeiten auch unter FreeBSD. Sie brauchen nicht die oben erw�hnten ports oder packages. Sie k�nnen die meisten der verf�gbaren Archive kompilieren, einerlei um welchen Softwaretyp es sich handelt.
F�r die Oberfl�chen-Abh�ngigen sind Gnome und KDE verf�gbar ... und in der Distribution enthalten. Das gleiche gilt f�r Window-Manager. Das gro�arte GNUstep-Rahmenwerk l�uft auch unter FreeBSD sehr gut. Zu dessen Kompilierung ben�tigen Sie eine neuere gcc-Version als die in der Distribution enthaltene: kein Problem! Holen Sie sich das entsprechende Archiv und kompilieren Sie den neuen Compiler. Nat�rlich arbeiten die GNUstep-Anwendungen wie GNUMail.app, Gorm.app oder ProjectBuider.app auch gleicherma�en gut.
Wirklich, all die Software, die Sie unter Linux benutzen, ist auch f�r FreeBSD verf�gbar ... und es gibt viele andere!
Z. B. kommt FreeBSD mit einer Menge an Programmen, die die Sicherheit betreffen. �berwachungsprogramme, Verwaltungsprogramme usw. sind Teil der Distribution.
Firewalls, Proxies, Port-Scanner, IDS usw. sind auch verf�gbar. So k�nnen Sie z. B. zwischen IPsec oder ipfw ausw�hlen. Sie k�nnen nessus, nmap, portsentry usw. benutzen. Erneut, die meisten von ihnen sind Teil der Distribution und nichts h�lt Sie davon ab, die aktuellsten Versionen abzurufen und zu kompilieren.
Wir haben bereits �ber Arbeitsumgebungen und Window-Manager gesprochen, aber wir haben noch kein Wort dar�ber verloren, was zu deren Benutzung erforderlich ist: das X Window System. XFree 4.* ist nun der Standard. Nur zur Information: bis zu FreeBSD 4.5 war XFree 3.* der Standard. D. h., XFree 4.* war in der Distribution enthalten, aber der Installationsproze� w�hlte XFree 3.* aus. Nun ist XFree 4.* der Standard, aber Sie k�nnen immer noch Version 3.* benutzen, wenn Sie dies vorziehen.
Da wir �ber die i386-Version sprechen, sollten wir sagen, dass fast alle verf�gbare Hardware unter FreeBSD arbeitet, selbst wenn sie etwas �lter ist. Z. B. wird eine alte 3Com Combo-Netzwerkkarte ohne Probleme arbeiten, sobald Sie den Medientyp im ifconfig-Befehl definieren. Wenn Sie eine BNC-Verbindung benutzen, reicht es, media 10base2/BNC am Ende der ifconfig-Zeile in /etc/rc.conf hinzuzuf�gen.
Das gleiche gilt f�r einige alte Grafikkarten: Die Benutzung von XFree 4.* wird die meisten der Probleme l�sen. Dies ist besonders wahr f�r ziemlich alte ATI-Karten.
Jedenfalls sollten Sie die Hardware-Hinweise auf der FreeBSD-Webseite konsultieren, um sicher zu sein.
Wir erw�hnten bereits einige Programme wie Firewalls, Port-Scanner usw. FreeBSD kommt mit vielen weiteren Sicherheitsprogrammen. OpenSSH, OpenSSL, Kerberos, MD5 usw. sind Teil der Distribution. Wie �blich, kann man ohne diese Werkzeuge nicht leben und nat�rlich m�ssen Sie auf eventuelle Verwundbarkeiten achten.
Ein aktuelles Beispiel zeigt die Wichtigkeit, sehr vorsichtig zu sein. Nehmen wir an, Ihnen wurde mitgeteilt, dass z. B. in OpenSSH eine Verwundbarkeit entdeckt wurde. Das richtige Verhalten ist, sich auf die Webseite zu bewegen und die korrigierte Version abzurufen.
Ja, aber das ist nicht genug! Bitte �berpr�fen Sie die Pr�fsumme des Paketes.
Das Beispiel von OpenSSH wurde nicht willk�rlich gew�hlt. Vor einigen Wochen ersetzte jemand das Original-Archiv mit einer manipulierten Version. Wie �blich reagierten die Menschen bei OpenSSH recht schnell. Wenn jedoch jemand in dieser kurzen Zeitspanne das Paket abgerufen hat, ohne die Pr�fsumme zu verifizieren, dann wird eine "schlechte" Version installiert. Daher der Bedarf, eine Pr�fsumme zu nutzen ... und diese zu kontrollieren.
Selbst wenn es au�erhalb dieses Artikels liegt, sollten wir auf dem Hinweis beharren, dass Sicherheit vor allem eine Verhaltensweise ist.
Vernetzung unter FreeBSD ist recht gut entwickelt. Die IPv6-Implementation ist sehr gut verwaltet. Die aktuellen Mittel zur Kommunikation werden nicht au�er acht gelassen. Wenn Sie ein ADSL- oder Kabel-Modem nutzen, ist die Konfiguration sehr einfach.
Viele ISPs benutzen heutzutage PPPoE. FreeBSD verwaltet dies auf eine sehr einfache Art: einige wenige Zeilen in der ppp.conf-Datei reichen aus. Hinsichtlich PPPoA (ATM) wird derzeit nur das Alcatel-Modem unterst�tzt. Dies sollte sich in naher Zukunft �ndern (vielleicht gibt es schon andere unterst�tzte Modems).
Das mitgelieferte Handbuch ist nicht die einzige verf�gbare Dokumentation. Sie finden ferner eine FAQ, Installations-Handbuch usw. auf der FreeBSD-Webseite. Eine weitere wichtige Informationsquelle findet sich unter http://www.freebsd-howto.com.
Dies ist eine recht kurze �bersicht zu FreeBSD. Dieses System ist wie die anderen freien Unix-Varianten ein sehr interessantes. Es hat viele gro�e F�higkeiten und verdient wirklich einen Versuch. Ungl�cklicherweise kann dieser Artikel keine vollst�ndige Besprechung sein und eine Menge wichtiger Eigenschaften wurde gar nicht erw�hnt.
FreeBSD erfordert mehr Unix-Wissen als einige "Windows-artige"-Linux-Distributionen, aber es bleibt doch recht einfach zu nutzen.
Nat�rlich kann jemand ohne Unix-Wissen in Schwierigkeiten kommen, wenn er nach Aktualisierungen des Systems den Kernel neu kompilieren muss. Dies ist jedoch ein guter Weg des Lernens, selbst wenn es "etwas" Zeit in Anspruch nimmt. Die Menschen scheinen heutzutage zu vergessen, dass Unix von Entwicklern f�r Entwickler erschaffen wurde, nicht f�r den Heim- oder Normal-Benutzer.
Zum Gl�ck f�r diesen Personenkreis haben freie und propriet�re Unix-Versionen diesen Ansatz ge�ndert. Dank an die vielen Entwickler, die dies erm�glicht haben. In den 80er Jahren w�ren viele der heutigen Linux-Benutzer vor Unix weggelaufen, allein schon wegen des Installationsprozesses. Die Distributionen wurden auf Band ausgeliefert und die Installationsphase konnte einen ganzen Arbeitstag in Anspruch nehmen, der Konfigurationsproze� mindestens einen weiteren. Dabei reden wir noch gar nicht vom Konfigurieren der Anwendungen! Und heute mit Systemen wie Mac OS X k�nnen Sie Unix benutzen, ohne es zu kennen. Dies war schon zu Beginn der 90er Jahre m�glich mit dem "Vater" von OS X, NeXTstep.
Dies scheint nicht zum Thema zu geh�ren, aber nichtsdestoweniger wies NeXTstep den Weg f�r die freien und propriet�ren Unix-Varianten ... und einige andere! Linux dem Normalbenutzer nahe zu bringen, war eine Herausforderung, aber es ist geschehen. Gl�ckwunsch an alle die Menschen, die an dieser Herausforderung beteiligt waren, einerlei, ob sie f�r Geld oder frei gearbeitet haben. Diejenigen, die ohne Entlohnung gearbeitet haben, verdienen eine besondere Erw�hnung und viel mehr Dank ;-)
Die Tatsache, dass FreeBSD mit Apple "gemeinsame Sache" macht, sieht f�r mich sehr gut aus. Jeder profitiert vom anderen in der richtigen Art. Propriet�re Software hat schon immer freie Software genutzt ... ohne das allzusehr "herauszuposaunen". Apple macht das und so auch SGI. Einige andere scheinen das auch zu tun ... jedoch mit Hintergedanken. Einerlei, ich denke weiterhin, dass es "Raum" f�r alle gibt ... naja, mit Ausnahme des Einen, der bereits den ganzen "Raum" h�lt und dies hat nichts mit Unix zu tun!
Der "L�rm" um Linux h�lt die anderen Unix-Versionen im Dunklen: so weit, so gut. Dies kann auch eine gute Seite haben ...und dies ist der Hauptgrund, warum ich FreeBSD nutze. Nat�rlich behalte ich Linux (und viele andere): Ich liebe Vielfalt!
Wenn Ihnen nun danach ist, FreeBSD einmal zu testen, dann war dieser Artikel nicht umsonst. Testen Sie es selbst und Sie werden eine Menge an Sachen entdecken, die hier nicht erw�hnt wurden.
Ich habe es bereits gesagt: Wir leben in einer gro�artigen Zeit!