Hi,
Hm, das einzig interessante bei einem Gateway sind ja die
Dienste, die es anbietet - und das sind hier
- Routing
- NAT
- Firewalling
- DHCP
Das war’s. Der IP-Stack ist auch noch interessant.
Jepp, und in vielen Fällen wohl auch noch DNS.
Naja, die Stack-Protection und ähnliche Dinge sind schon ein
beachtlicher Sicherheitsfortschritt gewesen. V.a. auf
i386-Basis findest du sowas defaultmäßig so gut wie nirgends,
höchstens in SE Linux oder so Sachen.
Jaaaaa ist schon nett, ohne Frage. Wie hoch ist das notwendige
Wissen, um das fachgerecht nutzen zu können? (Ernsthaft, ich
hab mich OpenBSD nur mal nebenbei beschäftigt…)
Du brauchst gar kein Wissen darüber. Die Binaries sind bereits so kompiliert und der GCC ist standardmäßig so gepatcht, dass die Stack Protection automatisch aktiviert ist.
Dann gibts seit OpenBSD 3.4 auch endlich für i386 den W^X buffer overflow Schutz, der verhindert, dass jemand einfach mal ausführbaren Code in irgendwelche Speicherbereiche schreiben kann. Damit ist den ganzen Buffer Overflow Exploits schon mal ein ganz schöner Brocken in den Weg gelegt worden.
Und sämtliche Daemons laufen standardmäßig alle in chroots.
Das ist find ich auch das schöne an OpenBSD. Die Standard-Installation ist halt schon komplett auf Sicherheit eingerichtet. Bis du da z.B. ein Linux System so umbaust, vergehen Tage und Wochen und das wälzen vieler man-pages.
Stimmt schon. Ich schrieb ja auch in meiner Antwort „*BSD
draufzimmern“, um mich da nicht unbedingt festzulegen.
Irgendwo muss die OpenSource-Gemeinde ja auch zusammenhalten 
(Proactive Security) 
Das ist so ein Schlagwort, das die OpenBSDler immer gerne
benutzen, ja… Mir ist Theo de Raadt ein wenig zu
egozentrisch, das hat mich von OpenBSD bisher ferngehalten.
Naja, ob er egozentrisch ist, weiß ich nicht. Interessiert mich als Anwender allerdings eigentlich auch nicht. Aber was mir an OpenBSD gefällt, ist, dass man nicht einfach wartet, bis irgendwo eine Lücke auftritt, sondern dass man die schon im Vorfeld beseitigt oder bekämpft. Meist wenn irgendwo ein Loch auftritt kann man dann lesen: „Das wurde in OpenBSD schon vor 6 Monaten behoben“ 
eher einen (subjektiven) Nachteil in der Administrierbarkeit
von OpenBSD 
Naja, der Administrationsaufwand bei meinem Router neigt sich
sehr stark gegen 0, so dass das eigentlich kein wirkliches
Argument ist.
Machst Du keine Updates?
Okay, wenn die Kiste nur Gateway ist, ist das selten nötig,
Richtig, bist jetzt wars erst einmal unmittelbar nötig, als es die Schwachstelle in OpenSSH gab *seufz*.
Ansonsten sind die Lücken bei OpenBSD eher sehr selten und wenn dann nur lokal ausnutzbar, so dass ich nicht sofort reagieren muss. Und das patchen ist eigentlich kein großer Aufwand und immer dieselbe Prozedur. Und wenn die Lücke nicht gerade im Kernel ist, dann ists eh trivial.
sobald da Server drauf laufen wie bei mir (ich hatte einfach
keinen Bock mehr auf den Lärm von vier Rechnern in meiner
Büroküche) ist das schonmal nötig oder gewollt, und da zeigt
sich dann schon die Stärke von FreeBSD. Mein System ist
Desktop-PC, Server und Gateway für mein Notebook zugleich, und
da ist ein funktionierendes Update-Konzept Gold wert.
Das ist wahr. Am Desktop kann ich mich von meinem Debian deshalb gar nicht trennen
Und aufm Notebook hab ich mir inzwischen Gentoo installiert, was eigentlich saugeil ist. V.a. ist das so schön FreeBSD-like, übersichtliche zentrale Konfiguration, Portage-Tree usw.
Mit NetBSD hab ich noch nicht viel gemacht, aber FreeBSD ist vom Administrationsaufwand wirklich sehr hübsch.
Wie
machen denn die OpenBSDler das? Auch „einfach“ cvsup ->
make world?
Also wenn du nur einen Patch einspielen willst, dann lädst du den am besten runter, spielst ihn ein und machst ein „make obj && make depend && make && sudo make install“. Das wars
Willst du’s ganze System updaten, dann aktualisier ich erstmal mit CVS meine Sourcen am Rechner und bau die Sys-Apps dann einfach mit
# cd /usr/src
# rm -r /usr/obj/\*
# make obj && make build
Ist also nicht ganz so bequem wie bei FreeBSD, aber es ist auch eine Sache von wenigen Befehlen.
Gibt’s da auch portupgrade?
AFAIK nicht, unter OpenBSD werden die Packages aus dem Ports-Tree üblicherweise als Binary heruntergeladen und installiert.
Du kannst aber auch ganz normal den Portstree über CVS aktualisieren und dann die Pakete kompilieren, macht aber wenig Sinn.
Aber mit dem Portstree hatte ich noch nicht viel am Hut, hab nur mal der Neugierde wegen damit rumgespielt.
(Wobei, mir fällt doch noch was ein: Kann OpenBSD traffic
shaping? Womit machen die das? Ist das im Grundsystem mit
dabei? Bei zwei Netzen kann Priorisierung durchaus Sinn
machen…)
Ja, kann es. Schimpft sich altq, und ist eine regelbasierte Bandbreiten-Kontrolle die man einfach in die pf.conf reinschreibt. Ist ganz nett, ich nutz es nur, damit mein eMule nicht zuviel Bandbreite braucht 
mfg
deconstruct