Theo de Raadt:セキュリテイの セキュリテイによる セキュリテイのためのOS
Linuxが単なるカーネルであるのに対し て、OpenBSDは複雑なUnixシステムであり、カーネル、デバイス・ドライバ、ライブラリ、userland、開発環境、マニュアル、そして開発の 継続に必要なすべてのツールが含まれています。
Theo :Linuxを使ったことは一度もない
宗教さえ感じるすごい発言です。 自分などbsd,linuxの間で右往左往してます。
なお一般的日本人もキリスト教会で式を上げ 葬式は仏教でと 右往左往だよね。
menu.lst
# menu.lst produced by grub4dosconfig-v1.9.1
color white/blue black/cyan white/black cyan/black
#splashimage=/splash.xpm
timeout 10
default 0
# Frugal installed Puppy
title DebianDog Jessie in sda1=NTFS
root=(hd0,1)
kernel /live/vmlinuz1 noauto from=/ changes=/live/
initrd /live/initrd1.xz
title openbsd
root=(hd0,3)
chainloader +1
title arch linux
root=(hd0,6)
kernel /boot/vmlinuz-linux root=/dev/sda6 rw quiet
initrd /boot/initramfs-linux.img
title Puppy precise 5.7.1JP (sda2/p571)
uuid 7386abd0-b5a9-4555-84ea-4bcf6f3ff73e
kernel /p571/vmlinuz pmedia=atahd psubdir=p571 pfix=fsck
initrd /p571/initrd.gz
title Zdrv tahr64 6.0.5 (sda2/tahr)
uuid 7386abd0-b5a9-4555-84ea-4bcf6f3ff73e
kernel /tahr/vmlinuz pmedia=atahd psubdir=tahr pfix=fsck
initrd /tahr/initrd.gz
# Full installed Linux
# Windows
# this entry searches Windows on the HDD and boot it up
title Windows\nBoot up Windows if installed
errorcheck off
find --set-root --ignore-floppies --ignore-cd /bootmgr
chainloader /bootmgr
find --set-root --ignore-floppies --ignore-cd /ntldr
chainloader /ntldr
find --set-root --ignore-floppies --ignore-cd /io.sys
chainloader /io.sys
errorcheck on
# Advanced Menu
title Advanced menu
configfile /menu-advanced.lst
commandline
http://www.excite.co.jp/News/column_g/20160315/Cobs_412667.html より
「OpenBSD 5.9」の新機能を発表。
i386カーネルにおけるW^Xのサポート
pledge(2)システムコール機能の導入
\802.11nサポートの強化
Xen domUサポートの向上
UTF-8サポートの改善
amd64におけるEFIサポート(32ビット、64ビット)
ネットワークスタックにおけるMP機能の改善
新しいハードウェアサポートの追加と既存のドライバのアップデート
pledge(2)はFreeBSDで導入されたCapsicumと呼ばれるセキュリティ機能(ケーパビリティ)の実装に類似したもので、OpenBSDのベースシステム
2015年11月16日までにpledge(2)が適用されたコマンド
ac acpidump addr2line apm apply apropos ar arp as at atq atrm awk
b64decode b64encode banner basename batch bc bgpctl bgpd biff c++
c++filt cal cap_mkdb captoinfo cat cc chgrp chmod chown ci cksum clear
clri cmp co col colrm column comm compress comsat config cp cpio cpp
cron crontab crunchgen csh csplit ctags cu cut date dc dd deroff
dev_mkdb df diff diff3prog dig dirname disklabel dmesg doas du
dvmrpctl echo ed egrep eigrpctl eigrpd encrypt env ex expand expr
fdisk fgen fgrep file find finger fingerd flex flex++ fmt fold from
fsck_ext2fs fsck_ffs fsck_msdos fsdb fsirand fstat ftp ftpd fuser g++
gcc gencat getcap getent getopt getty grep group groupadd groupdel
groupinfo groupmod groups gunzip gzcat gzip head help hexdump host
htpasswd httpd id ident identd ikectl iked indent inetd info infocmp
infokey infotocap install-info iscsictl join jot kdump kill ksh
kvm_mkdb lam last lastcomm ld ldapctl ldapd ldconfig ldpctl ldpd leave
less lesskey lex ln lndir locate locate.bigram locate.code lock
lockspool logger login_activ login_crypto login_passwd login_reject
login_skey login_snk login_tis login_token login_yubikey logname look
ls m4 mailwrapper make makeinfo makewhatis makewhatis man mandoc md5
merge mesg mg mkdir mklocale mktemp more nc ncheck ncheck_ffs
netgroup_mkdb nice nl nm nohup nologin nslookup ntpctl ntpd objcopy
objdump od opencvs openssl ospf6ctl ospfctl ospfd otp-md5 otp-rmd160
otp-sha1 paste patch pax pflogd pgrep ping ping6 pkill portmap pr
printenv printf ps pwd pwd_mkdb radiusctl radiusd radiusd_bsdauth
radiusd_radius ranlib rarpd rcs rcsclean rcsdiff rcsmerge rdate
readelf readlink rebound relayctl relayd renice reset rev ripctl rksh
rlog rm rmdir rmt route route6d rpcgen rs rtadvd savecore scan_ffs scp
script sdiff sed sendbug sftp sh sha1 sha256 sha512 signify size skey
skeyaudit skeyinfo sleep slowcgi smtpctl smtpd snmpctl sort spamdb
spellprog split sshd stat strings strip stty su syslogc syslogd
systrace tail tar tcpbench tcpdump tee telnet test texindex tftp
tftp-proxy tftpd tic time tmux top touch tput tr traceroute
traceroute6 tradcpp tset tsort tty tunefs ul uname uncompress unexpand
unifdef uniq units unvis uptime user useradd userdel userinfo usermod
users uudecode uuencode vi view vipw vis w wall wc what whatis whereis
which who whoami whois write x99token xargs yacc yes ypcat ypldap zcat
zdump zegrep zfgrep zgrep zic zzz ZZZ
rewite .profile
# export PKG_PATH=http://ftp.jaist.ac.jp/pub/OpenBSD/6.1/packages/amd64
pkg_add -iu
2)日本語
どうも scim-setup がうまくいかなく scim-anthy がだめ
よって簡単には
pkg_add ibus-anthy ja-mplus-ttf
cat .profile
# $OpenBSD: dot.profile,v 1.4 2005/02/16 06:56:57 matthieu Exp $
#
# sh/ksh initialization
PATH=$HOME/bin:/bin:/sbin:/usr/bin:/usr/sbin:/usr/X11R6/bin:/usr/local/bin:/usr/local/sbin:/usr/games:.
export PATH HOME TERM
export XMODIFIERS=@im=ibus
export GTK_IM_MODULE="ibus"
export QT_IM_MODULE="ibus"
export LC_CTYPE=ja_JP.UTF-8
export PKG_PATH=http://ftp.jaist.ac.jp/pub/OpenBSD/5.9/packages/i386
あとは ibus-daemon &
他には uim-anthyも使える
こっちは
pkg_add uim anthy uim-gtk
cat .xinitrc
export LANG=ja_JP.UTF-8
export LC_ALL=$LANG
export XMODIFIERS='@im=uim'
export GTK_IM_MODULE='uim'
export QT_IM_MODULE='uim'
uim-xim &
uim-pref-gtk で設定(下2つの図をみてください。 ちょっとだけ面倒)
dhcp
#
# cat /etc/hostname.axe0
up
#
# cat /etc/hostname.bridge0
add bge0
add axe0
up
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 32768
priority: 0
groups: lo
inet6 ::1 prefixlen 128
inet6 fe80::1%lo0 prefixlen 64 scopeid 0x3
inet 127.0.0.1 netmask 0xff000000
lladdr 00:1e:c9:05:78:fc
priority: 0
groups: egress
media: Ethernet autoselect (100baseTX full-duplex,rxpause,txpause)
status: active
inet 192.168.1.244 netmask 0xffffff00 broadcast 192.168.1.255
enc0: flags=0<>
priority: 0
groups: enc
status: active
lladdr 00:0d:0b:6a:34:16
priority: 0
media: Ethernet autoselect (100baseTX full-duplex)
status: active
pflog0: flags=141<UP,RUNNING,PROMISC> mtu 33192
priority: 0
groups: pflog
groups: bridge
priority 32768 hellotime 2 fwddelay 15 maxage 20 holdcnt 6 proto rstp
bge0 flags=3<LEARNING,DISCOVER>
port 1 ifpriority 0 ifcost 0
axe0 flags=3<LEARNING,DISCOVER>
port 4 ifpriority 0 ifcost 0
4)nginx
/etc/nginx/nginx.conf
worker_processes 1;
worker_rlimit_nofile 1024;
events {
worker_connections 800;
}
http {
include mime.types;
default_type application/octet-stream;
index index.html index.htm;
keepalive_timeout 65;
server_tokens off;
server {
listen 80;
server_name localhost; #<-for test
root /var/www/d1;
}
server {
listen 80;
server_name s-himitu.com;
root /var/www/d1;
auth_basic "closed site";
auth_basic_user_file /var/www/1/.htpasswd;
}
}
htpasswd /var/www/1/.htpasswd ID
でいいけど
# ls -l /var/www/1/
-rw-r----- 1 root www 65 Apr 29 11:19 .htpasswd
5)x11vnc
ちょっと便利。
openbsd で あるユーザーでlogin して Xをたちあげてから
linux で ssh でopenbsdにはいって x11vnc
それから linux で xtightvncviewer 192.168.100.200すると openbsdのXが linuxにくる
http://www.openbsd.org/faq/pf/example1.html#pf より
#int_if="{ vether0 em1 em2 em3 }"
int_if="fxp0"
table <martians> { 0.0.0.0/8 10.0.0.0/8 127.0.0.0/8 169.254.0.0/16 \
172.16.0.0/12 192.0.0.0/24 192.0.2.0/24 224.0.0.0/3 \
192.168.0.0/16 198.18.0.0/15 198.51.100.0/24 \
203.0.113.0/24 }
set block-policy drop
set loginterface egress
set skip on lo0
match in all scrub (no-df random-id max-mss 1440)
match out on egress inet from !(egress:network) to any nat-to (egress:0)
block in quick on egress from <martians> to any
block return out quick on egress from any to <martians>
block all
pass out quick inet
pass in on $int_if inet
#pass in on egress inet proto tcp from any to (egress) port 22
# pass in on egress inet proto tcp from any to (egress) port { 80 443 } rdr-to 192.168.1.2
pass in on egress inet proto tcp from any to (egress) port { 22 80 1194 }
なお バックアップは sd1にopenbsdをいれたので
インストール時に
sd1a は /
sd1b は swap
sd1d は /backup
としておきます。
snapshotのCDでブートして upgradeをえらび
アップグレードの対象を sd1 としたあと
ctrl+c で抜けて
mkdir /ma
mkdir -p /md/0303
mount /dev/sd1a /ma
mount /dev/sd1d /md
(cd /ma ; tar cvpf - .)|(cd /md/0303 ; tar xpf -)
nat
新しいopenbsd---wired---> sisi0:古いopenbsd5.9:bwi0----wifi----> wifi router
新しいopenbsd にもwifiがついてるのですが 新しすぎてopenbsdのドライバーがありません。
で 古いopenbsd5.9を介在させました
これにて 新しいopenbsd がインターネットにでれます。
./comment-out.bat /etc/sysctl.conf
net.inet.ip.forwarding=1 # 1=Permit forwarding (routing) of IPv4 packets
./comment-out.bat /etc/hostname.sis0
inet 192.168.1.1 255.255.255.0
comment-out.bat /etc/dhcpd.interfaces <
sis0
$ ./comment-out.bat /etc/dhcpd.conf
option domain-name "my.domain";
option domain-name-servers 8.8.8.8, 192.168.100.254;
subnet 192.168.1.0 netmask 255.255.255.0 {
option routers 192.168.1.1;
range 192.168.1.32 192.168.1.127;
host static-client {
hardware ethernet 22:33:44:55:66:77;
fixed-address 192.168.1.200;
}
host pxe-client {
hardware ethernet 02:03:04:05:06:07;
filename "pxeboot";
next-server 192.168.1.1;
}
cat /etc/pf.conf
int_if="{ sis0 }"
#table <martians> { 0.0.0.0/8 10.0.0.0/8 127.0.0.0/8 169.254.0.0/16 \
172.16.0.0/12 192.0.0.0/24 192.0.2.0/24 224.0.0.0/3 \
192.168.0.0/16 198.18.0.0/15 198.51.100.0/24 \
203.0.113.0/24 }
set block-policy drop
set loginterface egress
set skip on lo0
match in all scrub (no-df random-id max-mss 1440)
match out on egress inet from !(egress:network) to any nat-to (egress:0)
#block in quick on egress from <martians> to any
block return out quick on egress from any to <martians>
block all
pass out quick inet
pass in on $int_if inet
pass in on egress inet proto tcp from any to (egress) port 22
以前の記載から
でどんな風かというと
左上に 時計が
右下に scim-anthy
がありますね。
大きな字の xterm にするために
cd /usr/X11R6/bin/
mv xterm xterm-old
xterm.bat を xterm-old -fn 10x20 &
にして
ln -s xterm.bat xterm
でOKです。
時計は
wmclock &
OpenBSD 5.9.
amd64 can now boot from 32 bit and 64 bit EFI.
cat .xinitrc
fvwm
すると
startxでXが立ち上がります
なお
cat .xinitrc
twm
とすると この上もなく質素なXがきます。