vmann/openbsd-talk
1
0
Fork 0
Code Issues Pull requests Packages Projects Releases Wiki Activity

moar slides

Browse source
This commit is contained in:
Thomas Lindner 2023-09-14 01:02:18 +02:00
parent 26a3cf7abc
commit 1f77793991
3 changed files with 78 additions and 23 deletions
Show stats Download patch file Download diff file Expand all files Collapse all files

101
presentation.md
View file

@ -14,9 +14,9 @@ date:
::: columns ::: columns
:::: column :::: column
- x von NetBSD geforked - 1995 von NetBSD geforked
- Halb-jährliche Releases - Halb-jährliche Releases
- Security-Fokus - Entwickelnde&Security-Fokus
- Heimat von OpenSSH, tmux, LibreSSL, ... - Heimat von OpenSSH, tmux, LibreSSL, ...
:::: ::::
@ -30,13 +30,24 @@ date:
demo? demo?
# ports vs base # ports vs base
- Base-System ist vollständiges Betriebssystem (nicht nur Kernel)
- Hackbar: ein Source-Tree, ein Build-System ([`man release`](https://man.openbsd.org/release))
- `release` / `-current` / `-stable`
- `sysupgrade` / `syspatch`
# Upgrades / Updates . . .
- Dritt-Software aus Ports-Tree
- Vorgebaute Binärpakete (Bauen aus dem Tree erzeugt auch Pakete)
- `pkg_add` / `pkg_delete` / `pkg_info` / ...
# Startup # Startup
- Kernel startet `init` - Kernel startet `init`
- `init` führt `/etc/rc` aus (ein Shell-Script) - `init` führt `/etc/rc` aus (ein Shell-Script)
- Konfiguration in `/etc/rc.conf.local` - Konfiguration in `/etc/rc.conf.local`
. . .
``` ```
apmd_flags=-A apmd_flags=-A
httpd_flags= httpd_flags=
@ -53,6 +64,7 @@ xenodm_flags=
rcctl set transmission_daemon rtable 1 rcctl set transmission_daemon rtable 1
rcctl enable transmission_daemon rcctl enable transmission_daemon
rcctl start transmission_daemon rcctl start transmission_daemon
...
``` ```
# rc.d # rc.d
@ -89,14 +101,17 @@ join 36C3 wpaakms 802.1x
inet autoconf inet autoconf
inet6 autoconf inet6 autoconf
``` ```
- Kann bei Änderungen mit `sh /etc/netstart iwm0` wieder angewendet werden
- `inet/inet6 autoconf` markiert das Interface für DHCP bzw. IPv6-Autokonfiguration . . .
- Kann bei Änderungen mit `sh /etc/netstart iwm0` angewendet werden
# WireGuard mit `ifconfig` # WireGuard mit `ifconfig`
- WireGuard kann komplett mit ifconfig konfiguriert werden - WireGuard kann komplett mit ifconfig konfiguriert werden
``` ```
ifconfig wg0 create ifconfig wg0 create
ifconfig wg0 wgkey aGllciBrb21tdCBkZXIgcHJpdmF0ZSBrZXkgaGluLgo= ifconfig wg0 \
wgkey aGllciBrb21tdCBkZXIgcHJpdmF0ZSBrZXkgaGluLgo=
ifconfig wg0 \ ifconfig wg0 \
wgpeer HQHCrq4J6bSpdW1fI5hR/bvcrYa6HgGgwaa5ZY749ik= \ wgpeer HQHCrq4J6bSpdW1fI5hR/bvcrYa6HgGgwaa5ZY749ik= \
wgendpoint 185.213.155.73 51820 \ wgendpoint 185.213.155.73 51820 \
@ -105,8 +120,16 @@ ifconfig wg0 destroy
``` ```
# Routing Domains # Routing Domains
- Host kann mehre unabhängige Routing-Tabellen haben (Routing Domains) - Host kann mehre unabhängige Routingtabellen haben (Routing Domains)
- Interfaces - Interfaces gehören zu einer Routing Domain (default 0)
```
ifconfig wg0 rdomain 1
```
- Programme laufen in einer Routing Domain und nutzen die zugehörige Routingtabelle und Interfaces für Netzwerkverbindungen
```
rcctl set transmission_daemon rtable 1
route -T 1 exec curl ifconfig.co
```
# Routing Domains - `/etc/hostname.lo1` # Routing Domains - `/etc/hostname.lo1`
``` ```
@ -129,12 +152,37 @@ inet6 fc00:bbbb:bbbb:bb01::1:693/128
``` ```
# pf # pf
- Stateful
- Letztes `pass`/`block` das matched gilt
# smtpd . . .
```
block return # block stateless traffic
pass out # establish keep-state
```
. . .
```
# transmission web ui
pass in on rdomain 0 proto tcp to {127.0.0.1,::1} \
port 9091 rtable 1
```
. . .
```
# Port build user does not need network
block return out log proto {tcp udp} user _pbuild
```
# OpenSMTPD
::: columns ::: columns
:::: column :::: column
bla - Seit OpenBSD 4.6
- "E-Mail für Menschen"
:::: ::::
:::: column :::: column
@ -144,7 +192,7 @@ bla
::: :::
# smtpd - `/etc/mail/smtpd.conf` # OpenSMTPD - `/etc/mail/smtpd.conf`
``` ```
table aliases file:/etc/mail/aliases table aliases file:/etc/mail/aliases
@ -158,7 +206,7 @@ match from local for local action "local_mail"
match from local for any action "outbound" match from local for any action "outbound"
``` ```
# smtpd - `/etc/mail/smtpd.conf` # OpenSMTPD - `/etc/mail/smtpd.conf`
``` ```
table aliases file:/etc/mail/aliases table aliases file:/etc/mail/aliases
@ -173,19 +221,22 @@ match from local for local action "local_mail"
match from local for any action "outbound" match from local for any action "outbound"
``` ```
# smtpd # OpenSMTPD
Empfangen werden benötigt bissl mehr Arbeit ... (Reverse DNS, SPF/DKIM, DMARC) Empfangen werden benötigt bissl mehr Arbeit ... (Reverse DNS, SPF/DKIM, DMARC)
Mehr Infos: Mehr Infos:
- `man smtpd.conf` - `man smtpd.conf`
- [Setting up a mail server with OpenSMTPD, Dovecot and Rspamd](https://poolp.org/posts/2019-09-14/setting-up-a-mail-server-with-opensmtpd-dovecot-and-rspamd/) - [Chehade, Gilles (2019). *Setting up a mail server with OpenSMTPD, Dovecot and Rspamd*](https://poolp.org/posts/2019-09-14/setting-up-a-mail-server-with-opensmtpd-dovecot-and-rspamd/)
- c3 talk
# httpd # httpd
geschichte - Früher erst Apache in base, dann nginx
- Maintainance-Aufwand (Patchsets für Priviledge Separation)
- Zu viele Features (mehr Code -> mehr Bugs)
# httpd - `/etc/httpd.conf` . . .
- Seit OpenBSD 5.6 eigener `httpd`
``` ```
server "example.com" { server "example.com" {
listen on * port 80 listen on * port 80
@ -243,14 +294,18 @@ server "example.com" {
``` ```
# Andere Features # Andere Features
- vmd - doas
- unwind - unwind / resolvd
- resolvd - spamd
- OpenBGPD - OpenBGPD / OpenOSPFD
- ...
# Downsides # Downsides
- Altes filesystem - "Altes" filesystem
- Kein Wayland (yet) - Kein Wayland (yet)
# Q & A # Q & A
Fragen? Noch Fragen?
# Secret Bonus-Slide
![](systemd.jpg)

BIN
presentation.pdf
View file

Binary file not shown.

BIN
systemd.jpg Normal file
View file

Binary file not shown.
Side by side

After

Width:  |  Height:  |  Size: 161 KiB