OpenBSD

OpenBSD, 4.4BSD tabanlı, özgür ve çok platformlu bir UNIX benzeri işletim sistemidir.^【1】 Proje; taşınabilirlik (portability), standartlara uyum, doğruluk, proaktif güvenlik ve bütünleşik kriptografi üzerine yoğunlaşmaktadır. OpenBSD, tamamen gönüllü geliştiriciler tarafından yürütülmekte olup geliştirme ortamı, The OpenBSD Foundation aracılığıyla toplanan bağışlarla finanse edilmektedir.

OpenBSD; özellikle sistem güvenliği söz konusu olduğunda, "varsayılan olarak güvenli" (secure by default) ilkesiyle tasarlanmıştır. ^【2】 Bu ilke çerçevesinde, taze kurulumda tüm ihtiyaç duyulmayan birçok servis devre dışı bırakılır ve yöneticiler yalnızca ihtiyaç duydukları servisleri etkinleştirmeye teşvik edilir. Proje, bu yaklaşımla "varsayılan kurulumda uzun süredir yalnızca iki uzak güvenlik açığı" sloganını sembol olarak benimsemiştir.

OpenBSD indirme ekranı (Flickr, Görüntü "jar" tarafından hazırlandı.)

OpenBSD, Theo de Raadt tarafından 1 Kasım 1995'te, NetBSD'den çatallanarak (fork) başlatılmıştır. De Raadt, daha önce NetBSD projesinin kurucu üyelerinden biri olmuş; ancak proje yönetimi ve güvenlik felsefesine ilişkin görüş ayrılıkları nedeniyle o projeden ayrılmıştır.

İlk resmi sürüm olan OpenBSD 2.0, Ekim 1996'da yayımlanmıştır. Proje, kuruluşunun hemen ardından kapsamlı bir kaynak kodu denetimi (security audit) sürecine girmiştir. ^【3】 1996 yazından itibaren sürdürülen bu denetim sürecinde binlerce güvenlik açığı tespit edilerek giderilmiştir.

Projenin en önemli dönüm noktalarından biri, 1999 yılında OpenSSH'ın hayata geçirilmesidir. ^【4】 Tatu Ylönen'in SSH 1.2.12 sürümünden çatallanarak geliştirilen OpenSSH, OpenBSD 2.6 ile birlikte yayımlanmış ve kısa sürede dünyanın en yaygın kullanılan güvenli uzak bağlantı protokol yazılımı hâline gelmiştir. OpenBSD, kuruluşundan bu yana yaklaşık altı ayda bir yeni sürüm yayımlamaktadır.

OpenBSD projesinin temel varoluş amacı, güvenliği en ön sıraya koyan, özgür lisanslı, taşınabilir ve doğru davranan bir işletim sistemi sunmaktır. ^【5】 Proje hedefleri resmi olarak şu şekilde sıralanmaktadır:

• Güvenlik: Sektörün en güvenli işletim sistemi olmayı hedeflemek; proaktif denetim ve tam açıklama (full disclosure) ilkesini benimsemek.

• Kriptografi: Kriptografik yazılımları sistemin her katmanına entegre etmek. Proje Kanada'dan yönetildiğinden Kanada ihracat mevzuatı kapsamında kripto serbestçe dağıtılabilmektedir.^【6】

• Taşınabilirlik: Kaynak ağacını mümkün olduğunca platformdan bağımsız tutmak ve geniş donanım desteği sağlamak.

OpenBSD'nin varsayılan komut satırı kabuğu (shell), ksh'tır; bu, OpenBSD tarafından bakımı üstlenilmiş pdksh (Public Domain Korn Shell) türevidir. Metin editörü olarak vi ve Emacs uyumlu hafif editör mg sisteme gömülü olarak gelir. Paket yönetimi pkg_add aracıyla sağlanır.

İzin yükseltme için OpenBSD, sudo'nun yerini alan doas'ı kullanır. ^【7】 Ted Unangst tarafından 2015'te geliştirilen doas, sudo'ya kıyasla çok daha sade bir yapıya ve daha küçük bir saldırı yüzeyine (attack surface) sahiptir.

OpenBSD çekirdeği (kernel), monolitik bir yapıya sahiptir. Kernel, BSD 4.4 mirasını sürdürmekle birlikte onlarca özgün güvenlik yeniliğini barındırmaktadır. ^【8】 Öne çıkan güvenlik mekanizmaları şunlardır:

• W^X (Write XOR Execute): Belleğin aynı anda hem yazılabilir hem çalıştırılabilir olmasını engelleyen politika; OpenBSD 3.3 ile tanıtılmış, 6.0'dan itibaren katı biçimde zorunlu kılınmıştır.

• ASLR (Address Space Layout Randomization): OpenBSD 3.4, bu teknolojiyi varsayılan olarak sunan ilk yaygın işletim sistemi olmuştur.

• PIE (Position Independent Executables): OpenBSD 5.3, yedi donanım platformunda PIE'yi varsayılan olarak etkinleştiren ilk yaygın işletim sistemidir.

• Kernel Relinking at Boot: Her yeniden başlatmada çekirdek nesne dosyaları rastgele sırayla yeniden bağlanır; böylece her önyüklemede benzersiz bir adres alanı elde edilir.

• pledge(2) ve unveil(2): Süreç düzeyinde sistem çağrısı kısıtlaması (pledge) ve dosya sistemi erişim kısıtlaması (unveil) sağlayan süreç ve dosya sistemi erişim kısıtlaması sağlayan sistem çağrıları.

• ProPolice / Stack Protector: OpenBSD 3.3, yığın koruma mekanizmasını sistem genelinde varsayılan olarak etkinleştiren ilk işletim sistemidir.

• Randomized malloc(): Bellek tahsis işlemlerinde rastgelelik sağlanarak bellek bozulma saldırılarının güçleştirilmesi.

OpenBSD'nin yerleşik güvenlik duvarı olan PF (Packet Filter), lisans sorunları nedeniyle lisanssız ipf'in kaldırılmasının ardından Daniel Hartmeier ve Henning Brauer tarafından geliştirilmiş ve OpenBSD 3.0 ile sisteme dahil edilmiştir. PF; durum takibi, NAT, trafik yönlendirme ve yük dengeleme gibi pek çok özelliği birleşik bir kural dili aracılığıyla sunar. Mimarisi ve lisans yapısı nedeniyle FreeBSD, macOS (XNU) ve çeşitli ticari güvenlik cihazlarında da benimseniştir.

OpenBSD, geniş bir donanım yelpazesini desteklemektedir. ^【9】 Resmi olarak desteklenen platformlar şunlardır:

• amd64 – AMD/Intel 64-bit sistemler

• arm64 – 64-bit ARM sistemler (Raspberry Pi 3/4, Apple M serisi vb.)

• i386 – Intel i386 ve uyumlu işlemciler

• riscv64 – 64-bit RISC-V sistemler

• sparc64 – Sun UltraSPARC ve Fujitsu SPARC64

• powerpc64, alpha, hppa, loongson ve daha fazlası

OpenBSD, grafik arayüz olarak X Window System'i desteklemektedir. Sistemin kendine özgü, düşük kaynak tüketimine odaklanan pencere yöneticisi cwm'dir (Calm Window Manager). cwm, Marius Aamodt Eriksen tarafından 2004'te başlatılmış ve OpenBSD 4.2'de projeye dahil edilmiştir. Bunların yanı sıra portlar (ports) aracılığıyla GNOME, KDE, Xfce gibi popüler masaüstü ortamları da kurulabilmektedir; ancak OpenBSD, öncelikli olarak sunucu, güvenlik cihazı ve geliştirici iş istasyonu kullanım senaryoları için tasarlanmıştır.

OpenBSD, çeşitli sunucu rollerinde kullanılmak üzere yerleşik uygulamalar içermektedir:

• httpd(8): Privilege separation ve chroot destekli yerleşik HTTP sunucu.

• OpenSMTPD (smtpd): Güvenli ve sade SMTP posta sunucusu.

• OpenNTPD (ntpd): Güvenli, basit NTP zaman senkronizasyon arka plan programı.

• OpenBGPD (bgpd): BGP yönlendirme protokolü uygulaması.

• OpenIKED (iked): IKEv2 tabanlı VPN çözümü.

• relayd: Uygulama katmanı yük dengeleyici ve proxy.

OpenBSD'nin proaktif güvenlik modeli ve sade sistem mimarisi, onu özellikle hassas ortamlarda tercih edilen bir platform hâline getirmektedir:

• Güvenlik duvarı ve yönlendirici: PF, CARP ve pfsync bileşenleri sayesinde OpenBSD, yedekli ve durum bilgili güvenlik duvarı çözümleri için çeşitli yapılarda kullanılmaktadır. pfSense ve OPNsense gibi popüler güvenlik duvarı dağıtımları başlangıçta OpenBSD'nin PF'ini temel almıştır.

• Ağ altyapı sunucuları: Kendi içinde barındırdığı DNS (unwind), DHCP, SMTP ve HTTP sunucuları ile küçük ağların tüm altyapısı tek bir OpenBSD makinesinde çalıştırılabilir.

• VPN uç noktaları: OpenIKED sayesinde IKEv2 tabanlı kurumsal VPN altyapısı kurulabilmektedir.

• BGP yönlendirici: OpenBGPD, büyük internet servis sağlayıcıları ve içerik dağıtım ağları (CDN) dahil pek çok ağ operatörü tarafından üretim ortamında BGP yönlendirmesi için kullanılmaktadır.

• Güvenlik araştırması ve geliştirme: Sıkı kaynak kodu denetim kültürü ve proaktif güvenlik yaklaşımı nedeniyle OpenBSD, güvenlik araştırmacıları için bir referans platform niteliği taşır.

• OpenSSH çalıştıran her sistem: OpenSSH'ın bağımsız kullanımı değerlendirildiğinde, dünya genelindeki milyonlarca Linux, macOS, Windows ve gömülü sistem sunucusunun OpenBSD projesinden doğan yazılımla korunduğu görülmektedir. ^【10】

OpenBSD, yalnızca kendi işletim sistemini değil; günümüzde bağımsız olarak geniş bir kullanıcı tabanına ulaşmış çok sayıda alt projeyi de bünyesinde barındırır:^【11】

OpenSSH

OpenSSH, SSH protokolünü kullanan uzak bağlantılar için yaygın olarak kullanılan SSH uygulamalarından biridir. ^【12】 Tüm trafiği şifreleyerek gizlice dinleme, bağlantı ele geçirme ve benzeri saldırıları ortadan kaldırır. Aaron Campbell, Bob Beck, Markus Friedl, Niels Provos ve Theo de Raadt tarafından Tatu Ylönen'in SSH 1.2.12 sürümünden çatallanmış; Eylül 1999'da projeye dahil edilmiş ve OpenBSD 2.6 ile yayımlanmıştır.

LibreSSL

LibreSSL, 2014 yılında OpenSSL 1.0.1g'den çatallanarak Ted Unangst, Bob Beck, Joel Sing ve diğerleri tarafından başlatılmış TLS/kriptografi yığınıdır. ^【13】 Hedefleri kod tabanını modernize etmek, kod tabanını modernize etmek ve geliştirme süreçlerini yeniden düzenlemektir. Birincil geliştirmesi OpenBSD kaynak ağacı içinde sürdürülmekte; düzenli aralıklarla Linux, FreeBSD ve Windows gibi diğer işletim sistemlerine taşınabilir (portable) sürümü hazırlanmaktadır.

OpenBGPD

OpenBGPD, Claudio Jeker ve Henning Brauer tarafından geliştirilen, Aralık 2003'te projeye dahil edilen ve OpenBSD 3.5 ile yayımlanan özgür bir BGP yönlendirme protokolü uygulamasıdır. Güvenlik ve sadelik odaklı mimarisiyle üretim ağlarında geniş kullanım alanı bulmuştur.

OpenNTPD

OpenNTPD, Henning Brauer tarafından yazılmış, basit ve güvenli bir NTP istemci/sunucu uygulamasıdır. Mayıs 2004'te projeye dahil edilmiş ve OpenBSD 3.6 ile birlikte yayımlanmıştır.

OpenSMTPD

OpenSMTPD, Gilles Chehade tarafından başlatılan ve OpenBSD 4.6 ile yayımlanan tam özellikli, güvenlik odaklı bir SMTP posta sunucusudur. Privilege separation mimarisi ve sade konfigürasyon diliyle öne çıkar.

OpenIKED

OpenIKED, Reyk Flöter tarafından geliştirilmiş, IKEv2 protokolünü uygulayan özgür bir VPN çözümüdür. OpenBSD 4.8 ile tanıtılmış olup site-to-site ve uzaktan erişim VPN yapılandırmalarını destekler.

mandoc

mandoc, Kristaps Dzonsons tarafından başlatılan ve Ingo Schwarze'nin önemli katkılarıyla geliştirilen man sayfası işleme araç setidir. OpenBSD 4.8 ile dahil edilmiştir. Man sayfası işleme araçlarının neredeyse eksiksiz bir yeniden uygulamasıdır.

rpki-client

rpki-client, internet yönlendirme güvenliğini (BGP öneki kaynak doğrulaması) sağlamak amacıyla Kristaps Dzonsons tarafından başlatılan ve OpenBSD 6.7 ile yayımlanan bir RPKI doğrulama istemcisidir.