OpenBSD

Aperçu

OpenBSD est un système d’exploitation libre, open-source et durci en sécurité de type Unix dérivé de 4.4BSD. Première version en 1995 par Theo de Raadt, il est renommé pour son accent sur l’exactitude, la sécurité et la prévention proactive des vulnérabilités.

OpenBSD comprend un noyau personnalisé, un système de base et un ensemble curaté de ports/paquets. Il livre OpenSSH (initialement créé pour OpenBSD), OpenSSL (initialement forké de OpenSSL), OpenBGPD et d’autres projets orientés sécurité.

Fonctionnalités clés

• Sécurité proactive : Audits systématiques du code, paramètres par défaut sécurisés et fonctionnalités comme W^X (protection write-execute), PAC (Pointer Authentication sur ARM) et application W^X.
• Jails chroot et séparation des privilèges : De nombreux daemons s’exécutent dans des environnements restreints.
• PF (Packet Filter) : Pare-feu intégré, maintenant porté sur Linux, FreeBSD et macOS.
• Base de code auditée : Chaque ligne de code du système de base est revue pour des problèmes de sécurité.
• Sécurisé par défaut : Installation minimale par défaut, aucun binaire setuid sauf si nécessaire, les appels système pledge() et unveil() limitent les capacités des processus.
• Fonctionnalités cryptographiques : Chiffrement complet du disque, support des clés DSA/Ed25519, secureboot.

Licence

Licence BSD 3-Clause (permissive, approuvée par l’OSI).

Faits notables

• OpenSSH a été créé par Theo de Raadt et d’autres lors de leur travail sur OpenBSD.
• Le projet utilise un modèle d’appel système pledge/unveil pour confiner les processus, réduisant l’impact des exploits.
• OpenBSD a une petite communauté de développeurs dédiée (~15-20 développeurs principaux financés par des dons et des subventions).
• Le projet a une philosophie zero-trust — même son propre code est audité par des développeurs externes.

Cas d’utilisation

• Appliances firewall/router (pfSense et OPNsense sont basés sur FreeBSD, mais PF d’OpenBSD est l’original)
• Recherche en sécurité et tests de pénétration
• Serveurs durcis (mail, DNS, web)
• Plateforme éducative pour la conception de systèmes sécurisés

Technologies liées

• Freebsd — pare-feu packet filter (initialement d’OpenBSD)

Ressources officielles

• Site web : https://www.openbsd.org/
• Source : https://cvsweb.openbsd.org/
• Manuel PF : https://man.openbsd.org/pf.4