深度探索 OpenBSD（2）

look_w

安装 OpenBSD如果不能全面了解 OpenBSD 的优点，新用户可能会倾向于使用熟悉的 Linux 分发版，因为他们对 BSD 复杂的安装过程感到害怕。大多数用户可能对这个安装过程并不熟悉，本文将对其进行简要的概述，以说明这个安装过程是非常简单的。花一点时间了解 OpenBSD 的安装过程可以节省锁定 Linux 分发版所花费的大量时间，因为 Linux 分发版不是缺省安全的，这样做通常是很实际的选择。
有几种不同的安装方法，根据平台的不同，其具体步骤也有所区别。我主要介绍通过创建您自己的一套 CD 在 i386 服务器（例如，一台运行 IBM 服务器的计算机）上基于 CD-ROM 进行安装。在官方的 FAQ 中并没有介绍这个过程。
第 1 步. 获得该分发版首先，请访问 OpenBSD.org 下载页面（请参见部分），选择列表中的任何镜像，然后转到 /3.9/i386/。如果您习惯于安装 Linux 分发版，那么从这里开始您将发现一些不同之处。唯一的 .iso 文件是一个 5MB 的、名为 cd39.iso 的文件。是这个文件吗？不用担心：在 OpenBSD 的安装过程中，这个启动 CD 只是基本核心，您可以下载相关文件并将其刻录到附加 CD（或从 OpenBSD.org 购买一套 CD 以帮助支持该项目）中，其余的内容将从这些文件中提取。请确保您下载了 cd39.iso 以及所有的 .tgz 文件、bsd、bsd.rd 和 bsd.mp。（或者，要简化这个过程，只需下载该目录中的所有内容。）
第 2 步. 创建安装媒体从 cd39.iso 创建启动 CD，并将其标注为 Disk 1， 所示。使用 /3.9/i386/ 目录中所有其他的文件创建一张常规的 CD，并将其标注为 Disk 2，如2所示。其他的可选方法包括购买一套 CD、执行网络安装或构建自定义 .iso 文件，但我发现这种两张 CD 的方法最简单。
清单 1. 使用 cd39.iso 创建启动 CD

1	cd39.iso                02-Mar-2006 03:10   4.6M

清单 2. 将下列文件放入到 Disk 2 上名为 /3.9/i386/ 的目录中

1 2 3 4 5 6 7 8 9 10 11 12 13 14

base39.tgz              02-Mar-2006 03:10  38.6M   bsd                     02-Mar-2006 03:10   5.2M   bsd.mp                  02-Mar-2006 03:10   5.2M   bsd.rd                  02-Mar-2006 03:10   4.5M   comp39.tgz              02-Mar-2006 03:10  71.8M   etc39.tgz               02-Mar-2006 03:10   1.1M   game39.tgz              02-Mar-2006 03:10   2.5M   man39.tgz               02-Mar-2006 03:10   7.1M   misc39.tgz              02-Mar-2006 03:10   2.2M   xbase39.tgz             10-Mar-2006 12:04  10.1M   xetc39.tgz              10-Mar-2006 12:04    88k   xfont39.tgz             10-Mar-2006 12:04  31.7M   xserv39.tgz             10-Mar-2006 12:04  19.0M   xshare39.tgz            10-Mar-2006 12:04   2.0M

第 3 步. 开始进行安装在创建了这些安装 CD 之后，从 Disk 1 启动新服务器。命令提示符将指导您完成相应的安装过程。您可以在 OpenBSD FAQ的第 4 部分中找到详细的说明。
其中最复杂的部分是设置磁盘 部分，但通过选择将所有的磁盘用于 OpenBSD（如果您不需要保留任何其他的分区），您可以跳过其中大量的信息。无论您的分区决定如何，请确保按照创建磁盘标签 部分中的说明一步一步地进行安装，如果需要，您只需单独创建更大的 /usr 和 /home 分区。请注意 OpenBSD 中的两层 分区系统。第 1 步设置了传统的 fdisk 可视分区，而第 2 步磁盘标签设置了 OpenBSD 的子分区。
除此之外，唯一需要进行调整的地方（对于使用两张 CD 安装套件的方法）是在下面的步骤中切换 CD：

1 2	Let's install the sets! Location of sets? (cd disk ftp http or 'done') [cd]

从 Disk 1 切换到 Disk 2（包含 /3.9/i386/ 中所有文件的 CD）。
第 4 步. 开始使用该系统！在对所有的内容进行了设置之后，您就可以开始使用该系统了。
听起来很不错，现在我应该如何使用它呢？与了解如何确保系统安全相比（它已经具有了许多合理的缺省设置），在您作为一个新的 OpenBSD 用户开始管理您的系统之前，可能希望弄清楚一些相关的步骤。
第一点，在缺省情况下，wheel 组中不包含任何用户，这意味着尝试使用 su 命令将会失败。使用 adduser 命令从命令行创建新的用户，该命令将引导您通过简单的提问和回答过程来设置缺省值（一次性的过程），并创建您的第一个用户。
比方说，您创建了一个名为 bsdadmin 的用户。如果将 bsdadmin 作为主要的管理帐户，那么您需要能够使用 su 命令快速地访问 root 帐户。要完成该任务，以 root 帐户登录，然后编辑 /etc/group 文件，以便在 wheel 组中包含 bsdadmin。只需将 bsdadmin 追加到第一行（这一行的内容为 wheel:*:0:root）。
第二点，检查 /etc/ 目录中系统的缺省设置。在这里进行小心地处理，因为出于某种原因，在缺省情况下关闭了大多数服务。OpenBSD 使用 rc.conf 来启动大多数的启动守护进程。您将看到在缺省情况下关闭了一些服务，如 httpd 和 nfs，甚至关闭了 PF。作为示例，您可以通过在 /etc/rc.conf 中添加 httpd=YES 这行代码，以便打开 Apache (httpd)。
尽管 OpenBSD 没有提供基于图形的工具以帮助用户进行系统管理，但 OpenBSD 开发人员非常关注于为该操作系统中的每个组成部分提供大量精确的 man 页面。当您遇到疑问或需要了解某个新工具时，我建议您随时使用可靠的 man 命令。
我还能用它完成其他哪些任务呢？OpenBSD 预先打包了一组第三方组件，其目的同样是关注于安全性和稳定性，而不是用来完成各种各样的日常工作。下面是 OpenBSD Version 3.9 中包含的包的缺省列表：

• OpenSSH Version 4.3
• X.org Version 6.9.0（i386 分发版中包含了 V3.3 XFree86 服务器）
• GCC Versions 2.95.3 和 3.3.5（缺省情况下启用了 Propolice 栈保护技术）
• Perl Version 5.8.6（包含来自 OpenBSD 团队的修补程序和改进程序）
• Apache Version 1.3.29 Web 服务器（包括 mod_ssl Version 2.8.16 和动态共享对象 (DSO) 支持）
• OpenSSL Version 0.9.7g（包含来自 OpenBSD 团队的修补程序和改进程序）
• Groff Version 1.15
• Sendmail Version 8.13.4（包含 libmilter）
• BIND Version 9.3.1（包含对 chroot 操作和其他安全相关问题的改进）
• Lynx Version 2.8.5rel.4（添加了对安全套接字层 (HTTPS) 的 HTTP 支持，并包含来自 OpenBSD 团队的修补程序）
• Sudo Version 1.6.8p9
• Ncurses Version 5.2
• KAME IPv6
• Heimdal Version 0.7（包含修补程序）
• Arla Version 0.35.7
• gdb Version 6.3

您还可以使用一些附加的第三方包，使用 OpenBSD 的 pkg_add 应用程序可以很容易地对其进行安装。您可以在 OpenBSD 镜像的 /3.9/packages/i386/ 目录中找到完整的列表。pkg_add 应用程序接受包的名称作为输入，自动地确定依赖关系，并安装所需的全部包。
尽管上面列出的这些包是专门为 OpenBSD 进行移植的，但该平台的另一条原则是二进制兼容性。OpenBSD 支持通过二进制模拟的方式来运行大多数为 Linux、Solaris、HP-UX 和其他格式的 BSD 编译的软件。这个功能在缺省情况下是关闭的。要打开该功能，只需在 /etc/sysctl.conf 的下面一行中删除前面的注释 (#) 字符，然后重新启动您的系统：

1	#kern.emul.linux=1      # enable running Linux binaries

通过这种方法，您可以运行简单的、静态链接的 Linux 应用程序。要运行更多类型的软件，还需要按照前面所描述的，使用 pkg_add 安装 Redhat/base 包。
总结OpenBSD 已经成为世界上最安全的 UNIX 派生系统，并且几乎实现了所有相关的内容。其中的一些设计原则，如代码审核、加密处理的广泛使用以及仔细的配置选择，它们组合在一起可以确保实现 OpenBSD 的缺省安全 的思想。尽管 OpenBSD 安装一般用于安全服务器和防火墙，但 OpenBSD 广泛的硬件和软件支持使得该操作系统适用于各种各样的目的。UNIX 和 Linux 专家都会发现对 OpenBSD 中的许多部分非常熟悉，并且他们很可能会重视其中一些有意偏离的领域。