与完美操作系统同行 27 年
最后更新于
最后更新于
原文链接:
作者:PETER CZANIK
如果你是 FreeBSD 的长期用户,你可能已经知道我所说的一切。而且,事实上,你可能还能补充一些观点。但希望也有一些读者是 Linux 甚至 Windows 用户,能够学到一些新东西!
FreeBSD 不仅仅是个内核,它是一个完整的操作系统。它包含了启动和使用系统所需的一切:网络工具、文本编辑器、开发工具等等。为什么这很重要呢?因为所有这些组件是一起开发的,它们完美地协同工作!而且,一个精心打磨的系统也更容易被记录和文档化。我最喜欢的文档之一就是 FreeBSD 手册,它覆盖了大部分操作系统内容,并且(大多数时候)是最新的。
当然,并不是所有的东西都能集成到基本操作系统中,这时 FreeBSD 的 ports 和 packages 就能派上用场。Ports 系统实现了基本系统和第三方软件的清晰分离,这使得你可以在 FreeBSD 基本系统上安装第三方软件。
有成千上万的现成软件包可选。例如,所有的图形桌面应用程序都可以通过 ports 安装,像各种 Web 服务器或更现代的开发工具亦如此。
FreeBSD 很灵活。它可以运行在树莓派到桌面计算机,再到高端服务器的任何设备上。你可以使用 FreeBSD 项目提供的二进制文件来安装基本系统和软件包。但你也可以重新编译一切,并根据自己的环境进行精细定制。难怪这么多设备是基于 FreeBSD 的。
FreeBSD 的工程设计非常出色。操作系统的每个小细节在实施前都经过精心设计,这通常能带来完美的解决方案,但也意味着进展稍微慢一些。如果你喜欢使用最新、最强大的硬件作为桌面,那么它可能还没有得到充分支持——甚至可能完全不支持。这也是为什么很多人(包括我自己)认为 FreeBSD 是一款服务器操作系统,尽管 FreeBSD 在桌面上运行得也非常完美——只是在老旧硬件上。
27 年前,当我开始上大学时,学校已经有了一台 FreeBSD 服务器——一台 486 电脑,配有 16 MB(不是 GB)的内存和 SCSI 硬盘。我记不清具体是哪个版本的 FreeBSD,但它应该是 1.X 版本,因为 2.0 版本仅几个月后才发布。花了很多天的时间下载新版本:当时我们整个大学只有 64K 的网络带宽。
学校没有 Linux 系统,而我的任务就是安装第一台 Linux 服务器,这让我有机会同时体验这两种操作系统的早期发展。在安装系统的数量上,Linux 很快凭借其“够用”的态度赢了,因为完美的 FreeBSD 往往在新硬件和新技术的采用上比较慢。然而,在工作上,FreeBSD 那种精心设计、不出差错的实现方式,至今依然是更愉快的体验——至少对我而言是这样。
在最初的两年里,我是一个常规的 FreeBSD 用户,但在接下来的十六年里,我还维护着这台服务器,即使我已经离开了大学。FreeBSD 因其稳定性而闻名,直到 Gmail 广泛普及后很久,仍然有很多学生和教职工要求在那台服务器上注册用户名。
幸运的是,这次没有是我被限制,而是那些 Web 服务器!我做了一份兼职系统管理员的工作,管理着 Web 服务器。提供静态页面并不可怕,但提供 PHP 页面就需要一些勇气。幸运的是,就在我需要为客户解决 PHP 服务问题时,FreeBSD 引入了 jail。
最初,我只有一台服务器,所有的 jail 都是手动创建和配置的。当客户数量不多时,这并不是什么大问题,但当你有多台服务器和数十个客户时,这就成了一个相当麻烦的问题。所以,我引入了一些 Shell 脚本,后来我们又引入了集中管理、LDAP 和基于 Windows 的管理应用程序,几乎所有的工作都能自动化完成。
虽然我们周围许多托管公司不断报告影响多个客户的安全漏洞,但我们使用经过精心加固的 FreeBSD 基本系统以及自建和加固的 jail 完美解决了这个问题。当然,即便是最加固的 jail 环境,在配置不当的 WordPress 实例面前也是无能为力的。确实有些 Web 服务器被篡改,但这些事件通常仅影响单个 jail。当你在一台服务器上运行数百个 jail 时,这也不算什么,顶峰时期,我们的集群中有数十台物理和虚拟机器。所有的编译工作都是我在这些服务器上完成的,并且我移除了所有运行这些 jail 所不必要的基本系统选项。jail 内的软件在编译时和配置时都进行了加固。
待我离开公司,同样的系统在没有任何更新的情况下继续使用了五年。他们仔细监控系统日志,并在关闭整个系统之前,我再次获得访问权限进行审计。在花了几个小时检查最后剩余的主机后,我没有发现任何安全事件的证据。FreeBSD jail 真的很棒!
当我加入现在的工作岗位时,第一项任务之一就是确保 Linux 发行版和 FreeBSD 拥有最新的 syslog-ng 包。更新一个包的速度会更快,如果在请求更新的同时,我还向包维护者提供了一个更新后的包。所以,我从维护者的角度学习了 FreeBSD ports 基础知识。
我不是 FreeBSD ports 的提交者,因为我只维护一个包,但我与一个提交者紧密合作,这样对我们双方都更为轻松:我对 syslog-ng 更为熟悉,所以我可以修改 Port 以启用新功能。他对 FreeBSD ports 比我了解得多,可以确保 Port syslog-ng 符合最新的 Ports 建议。
十年前,在 FOSDEM 上,我把部分时间花在了 BSD 开发室。那时有一场关于如何通过额外的包扩展基于 FreeBSD 的设备的演讲。演讲结束后,我问如何将 syslog-ng 集成进去。我甚至把我的名片递给了演讲者。虽然从未收到联系,但在那次讨论后不久,我发现基于 FreeBSD 的设备开始使用 syslog-ng 进行日志记录。
syslog-ng 以其可移植性而闻名。多年来,所有支持的商业 UNIX 变体逐渐消失,开发团队将重点转向 Linux。我的常规测试帮助确保 syslog-ng 没有变成仅支持 Linux 的软件。
几年前,我了解到了 BastilleBSD,这是一款 FreeBSD 的 jail 管理系统。记得两十年前我自己实现脚本时的痛苦,我真的很欣赏 BastilleBSD 提供的功能和易用性。现在它有了模板系统——类似于 Linux 世界中的 Dockerfile——使创建 jail 更加简单。它还提供了一个 syslog-ng 的模板。你可以在这里阅读更多信息:https://www.syslog-ng.com/community/b/blog/posts/running-syslog-ng-in-bastille-revisited
偶尔,我会尝试将 FreeBSD 用作桌面系统,但很快就放弃了。我喜欢最先进的硬件,但不幸的是,FreeBSD 并不支持。例如,Windows 和 Linux 在我的 AMD Ryzen 5800 + nVidia 3070 系统上运行得没有问题,而 FreeBSD 只能以文本模式运行——而且我无法让图形功能正常工作。所以,对我来说,FreeBSD 仍然是一款服务器操作系统,我非常喜欢它。而待我再次拥有一些真正的服务器——不仅仅是用于开发和测试的虚拟机——我期待在它们上运行 FreeBSD!
PETER CZANIK 从 1994 年使用 FreeBSD 1.X 版本开始。他是一名工程师,目前在 Balabit(One Identity 业务的一部分)担任开源布道者,Balabit 开发了 syslog-ng。他协助 FreeBSD 和 Linux 发行版维护 syslog-ng 包,跟踪 bug,帮助用户,并定期在各种会议上演讲(如 SCALE、All Things Open、FOSDEM、LOADays 等)。在有限的空闲时间里,他对非 x86 架构感兴趣,并在他的 PPC 和 ARM 机器上工作。