OpenBSD: Systemkonfiguration nach der Installation

OpenBSD konfiguriert Systeme über Textdateien. Jedes Netzwerk-Interface erhält eine eigene Konfigurationsdatei in /etc/hostname.INTERFACE. Die Zeitsynchronisation erfolgt über ntpd mit eingebauter Zeitzonenunterstützung. Rechteverwaltung funktioniert über doas – OpenBSDs System für delegierte Root-Rechte. Kernel-Parameter lassen sich über sysctl anpassen.

Dieser Artikel erklärt Netzwerk-Konfiguration über hostname.if-Dateien - für nachträgliche Anpassung nach der Installation sowie erweiterte Setups für Server, Desktop-Systeme und spezielle Anforderungen. Die Dateisystem-Struktur folgt dabei konsequent den OpenBSD-Konventionen.

Netzwerk-Konfiguration mit hostname.if

Jedes Netzwerk-Interface wird über eine separate Datei gesteuert. Der Dateiname folgt dem Pattern /etc/hostname.INTERFACE – beispielsweise /etc/hostname.em0 für Intel-Netzwerkkarten oder /etc/hostname.vio0 bei virtuellen Maschinen.

Die Installation erstellt diese Dateien automatisch basierend auf den Installer-Eingaben. Manuelle Änderungen erfolgen über einen Texteditor:

$ doas vi /etc/hostname.vio0

Automatische Konfiguration via DHCP

Die einfachste Konfiguration nutzt DHCP für automatische IP-Zuweisung:

/etc/hostname.vio0:
inet autoconf

Die Zeile startet dhcpleased für IPv4-DHCP und slaacd für IPv6-SLAAC. Beide aktualisieren Adressen automatisch. DNS-Server werden in /etc/resolv.conf geschrieben.

IPv6-Verhalten steuern

IPv6 Stateless Address Autoconfiguration (SLAAC) ist standardmäßig auf allen Interfaces aktiv. OpenBSD generiert automatisch Link-Local-Adressen (fe80::) und bezieht globale IPv6-Adressen via Router Advertisements.

IPv6 komplett deaktivieren:

/etc/hostname.vio0:
inet autoconf
-inet6

Dies entfernt alle IPv6-Adressen und deaktiviert die IPv6-Autoconfiguration auf dem Interface.

Die Konfiguration aktiviert sich beim nächsten Neustart oder sofort via:

$ doas sh /etc/netstart vio0

Das Skript /etc/netstart liest die hostname.if-Datei und wendet die Konfiguration an. Laufende DHCP-Prozesse werden neu gestartet.

Statische IP-Konfiguration

Server benötigen häufig feste IP-Adressen. Statische Konfiguration definiert IP-Adresse, Netzmaske und Gateway explizit:

/etc/hostname.vio0:
inet 192.168.1.10 255.255.255.0
!route add default 192.168.1.1

Die erste Zeile konfiguriert IP und Netzmaske. Die zweite Zeile setzt die Default-Route. Das Ausrufezeichen ! führt den nachfolgenden Befehl während der Interface-Aktivierung aus.

CIDR-Notation (Classless Inter-Domain Routing) funktioniert ebenfalls. Statt der Netzmaske in Dezimalschreibweise gibt /24 die Anzahl gesetzter Bits an - 24 Bits ergeben 255.255.255.0:

/etc/hostname.vio0:
inet 192.168.1.10/24
!route add default 192.168.1.1

Der DNS-Resolver benötigt manuelle Konfiguration in /etc/resolv.conf:

/etc/resolv.conf:
nameserver 192.168.1.1
nameserver 192.168.1.2
lookup file bind

Die lookup-Zeile definiert die Reihenfolge für Namensauflösung – zuerst /etc/hosts, dann DNS-Abfragen.

Mehrere IP-Adressen auf einem Interface

Ein Interface kann mehrere IP-Adressen tragen – nützlich für virtuelle Hosts oder Service-Trennung:

/etc/hostname.vio0:
inet 192.168.1.10/24
inet alias 192.168.1.11/24
inet alias 192.168.1.12/24
!route add default 192.168.1.1

Das Keyword alias definiert zusätzliche IP-Adressen auf dem Interface.

Verschiedene Subnetze auf einem Interface:

/etc/hostname.vio0:
inet 192.168.1.10/24
inet alias 10.0.0.10/24
!route add default 192.168.1.1
!route add -net 10.0.0.0/24 10.0.0.1

Verschiedene Subnetze benötigen separate Routing-Einträge. CIDR-Notation (/24) und Dezimalschreibweise (255.255.255.0) können gemischt werden.

VLAN-Konfiguration

VLANs trennen Netzwerk-Traffic logisch. OpenBSD erstellt VLAN-Interfaces über vlan0, vlan1 usw.:

/etc/hostname.vlan10:
vnetid 10
parent vio0
inet 192.168.10.1/24
up
description "Management VLAN"

Die Konfiguration definiert:

• vnetid 10 - VLAN-ID
• parent vio0 - Basisinterface (hier: virtio in VM, auf Hardware z.B. em0)
• up - Interface aktivieren
• description - Optionale Beschreibung für ifconfig-Ausgabe

Das Basisinterface vio0 benötigt keine IP-Adresse, wenn nur VLANs darauf laufen:

/etc/hostname.vio0:
up

Mehrere VLANs nutzen dasselbe Parent-Interface:

/etc/hostname.vlan20:
vnetid 20
parent vio0
inet 192.168.20.1/24
description "Service VLAN"
up

Wireless-Netzwerke

WiFi-Konfiguration erfolgt über die entsprechenden Interface-Dateien. Der Interface-Name hängt vom Treiber ab – beispielsweise iwm0 für Intel-Chips oder athn0 für Atheros.

WPA2-Konfiguration mit PSK:

/etc/hostname.iwm0:
nwid "HomeNetwork" wpakey "supersecret123"
inet autoconf

Die Parameter definieren:

• nwid - SSID des Netzwerks
• wpakey - WPA2-Passphrase
• inet autoconf - DHCP nach erfolgreicher Verbindung

Hidden Networks (SSID wird nicht gebroadcastet) funktionieren mit derselben Syntax. Die SSID muss manuell angegeben werden – der Scan zeigt sie ohne Namen.

Für Enterprise-WPA mit RADIUS (ungetestet, gerne eine Rückmeldung dazu):

/etc/hostname.iwm0:
nwid "CorpNetwork" wpakey 0x1234567890
wpaakms 802.1x
inet autoconf

Der hexadezimale Key wird vom Netzwerkadministrator bereitgestellt. Die wpaakms-Zeile aktiviert 802.1X-Authentifizierung.

Bridge-Konfiguration (derzeit ungetestet, erfolgt mit Artikel 12)

Bridges verbinden mehrere Netzwerk-Interfaces auf Layer 2. Typischer Anwendungsfall: Virtuelle Maschinen direkt ins physische Netzwerk integrieren.

/etc/hostname.bridge0:
add em0
add vio0
up

Die Bridge bridge0 verbindet die Interfaces em0 (physisch) und vio0 (virtuelle Maschine). Pakete werden zwischen beiden Interfaces transparent weitergeleitet.

Die verbundenen Interfaces benötigen keine IP-Adressen:

/etc/hostname.em0:
up

/etc/hostname.vio0:
up

Die IP-Konfiguration erfolgt auf der Bridge selbst:

/etc/hostname.bridge0:
add em0
add vio0
inet 192.168.1.10/24
!route add default 192.168.1.1
up

Netzwerk-Konfiguration aktivieren

Änderungen an hostname.if-Dateien aktivieren sich beim Neustart. Für sofortige Aktivierung:

$ doas sh /etc/netstart vio0

Das Skript stoppt laufende DHCP-Clients, wendet die neue Konfiguration an und startet notwendige Daemons neu.

Alle Interfaces gleichzeitig neu starten:

$ doas sh /etc/netstart

Das System wendet alle hostname.if-Dateien an und erstellt fehlende VLAN-Interfaces automatisch – funktioniert auch nach größeren Netzwerk-Umkonfigurationen.

Zeit und Zeitsynchronisation

OpenBSD nutzt ntpd für Zeitsynchronisation. Der Daemon ist Teil des Base-Systems – keine zusätzlichen Pakete notwendig. Die Installation aktiviert ntpd standardmäßig.

ntpd-Konfiguration

Die Datei /etc/ntpd.conf steuert die Zeitsynchronisation:

/etc/ntpd.conf (Default):
servers pool.ntp.org
server time.cloudflare.com
sensor *

constraint from "9.9.9.9"              # quad9 v4 without DNS
constraint from "2620:fe::fe"          # quad9 v6 without DNS
constraints from "www.google.com"      # intentionally not 8.8.8.8

Die Zeilen definieren:

• servers pool.ntp.org - Nutzt alle IP-Adressen des NTP-Pools. Der Daemon synchronisiert mit mehreren Servern gleichzeitig.
• server time.cloudflare.com - Einzelner zusätzlicher NTP-Server.
• sensor * - Hardware-Zeitquellen wie GPS-Empfänger. Das Sternchen aktiviert alle erkannten Sensoren.
• constraint from - HTTPS-basierte Zeit-Validierung. Der Daemon fragt das Datum via HTTPS ab und verwirft NTP-Pakete die zu stark abweichen. Schützt gegen manipulierte NTP-Server.
• constraints from - Nutzt alle IP-Adressen einer Domain für Constraints. Der Daemon berechnet den Median aus allen Antworten.

Die Constraints schützen vor Time-Spoofing-Angriffen. Ein Angreifer müsste sowohl NTP als auch HTTPS-Zertifikate fälschen – praktisch unmöglich.

/etc/ntpd.conf (angepasst):
server ntp1.example.com
server ntp2.example.com  
sensor *
constraint from "https://www.example.com"

Zeitzone konfigurieren

Die Systemzeit läuft intern auf UTC. Die lokale Zeitzone wird über einen Symlink definiert:

$ ls -l /etc/localtime
lrwxr-xr-x  1 root  wheel  33 Nov  1 21:27 /etc/localtime -> /usr/share/zoneinfo/Europe/Berlin

Zeitzone ändern:

$ doas rm /etc/localtime
$ doas ln -s /usr/share/zoneinfo/Europe/Zurich /etc/localtime

Verfügbare Zeitzonen liegen in /usr/share/zoneinfo/. Die Verzeichnisstruktur folgt der IANA-Zeitzonendatenbank – Kontinent/Stadt-Format.

ntpd-Daemon verwalten

Der NTP-Daemon startet automatisch beim Boot. Status prüfen:

$ rcctl check ntpd
ntpd(ok)

Status-Ausgabe (ok) bedeutet: Daemon läuft. Zeitliche Synchronisation prüfen:

$ ntpctl -s status
5/5 peers valid, 0/1 sensors valid, constraint offset -1s (2 errors), clock synced, stratum 3

Die Ausgabe zeigt:

• 5/5 peers valid - Alle konfigurierten NTP-Server antworten
• 0/1 sensors valid - Keine Hardware-Sensoren vorhanden oder aktiv
• constraint offset -1s (2 errors) - Constraints arbeiten, geringe Fehlerrate beim Start ist normal
• clock synced - System-Zeit ist synchronisiert
• stratum 3 - Synchronisationshierarchie. Stratum 0 sind Atomuhren oder GPS-Sender, Stratum 1 Server die direkt daran hängen, Stratum 2 synchronisieren von Stratum 1. Unser System mit Stratum 3 holt die Zeit von Stratum 2 Servern. Niedrigere Werte bedeuten direkteren Zugang zu präzisen Zeitquellen.

Detaillierte Peer-Informationen:

$ ntpctl -s peers
peer
   wt tl st  next  poll          offset       delay      jitter
162.159.200.123 time.cloudflare.com
    1 10  3  204s  671s         1.907ms    32.413ms     2.324ms
94.130.184.193 from pool pool.ntp.org
 *  1 10  2  170s  665s         1.482ms    38.477ms     7.238ms
88.198.7.62 from pool pool.ntp.org
    1 10  2  210s  665s         2.137ms    40.148ms    11.520ms
85.220.190.246 from pool pool.ntp.org
    1 10  2  173s  653s         3.240ms    36.444ms    11.824ms
78.46.162.102 from pool pool.ntp.org
    1 10  2  215s  691s        10.320ms    60.640ms    57.423ms

Die Spalten bedeuten:

• wt (weight) - Gewichtung des Servers für Zeitberechnung (1-10, Standard ist 1)
• tl (trust level) - Vertrauensstufe basierend auf Synchronisationsqualität (0-10)
• st (stratum) - Hierarchieebene des Servers
• next - Sekunden bis zur nächsten Abfrage
• poll - Aktuelles Poll-Intervall in Sekunden (passt sich automatisch an)
• offset - Zeitdifferenz zwischen Server und lokalem System (sollte unter 10ms liegen)
• delay - Netzwerk-Latenz zum Server (Round-Trip-Time)
• jitter - Schwankung der Zeitdifferenz über mehrere Messungen

Der Stern * markiert den Server der aktuell für die Zeitsynchronisation genutzt wird. Der Daemon wählt automatisch den Server mit bester Kombination aus niedrigem Offset, geringer Latenz und stabilem Jitter.

Zeitsynchronisation bei großen Abweichungen

Bei großen Zeitabweichungen korrigiert ntpd graduell über adjtime(2) – ohne Zeitsprünge, dafür langsam. Ein Offset von mehreren Minuten kann Stunden bis zur vollständigen Korrektur dauern.

Für schnellere initiale Synchronisation kann rdate die Systemzeit sofort setzen:

$ doas rdate pool.ntp.org
$ doas rcctl restart ntpd

Nach dem Start benötigt ntpd etwa 5-10 Minuten bis der Status “clock synced” erreicht wird.

Rechteverwaltung mit doas

OpenBSD nutzt doas für privilegierte Befehle. Das Tool folgt dem OpenBSD-Prinzip der Einfachheit - wenige Konfigurationsoptionen, klare Syntax. Die Konfiguration erfolgt in /etc/doas.conf.

Basis-Konfiguration

Der Installations-Artikel zeigt eine minimale doas-Konfiguration. Für reguläre Nutzung empfiehlt sich eine erweiterte Konfiguration:

/etc/doas.conf:
permit persist :wheel
permit nopass keepenv root as root

Die Regeln im Detail:

permit persist :wheel - Mitglieder der wheel-Gruppe dürfen alle Befehle mit doas ausführen. Das persist-Flag speichert die Authentifizierung für 5 Minuten – wiederholte doas-Aufrufe benötigen kein erneutes Passwort.

permit nopass keepenv root as root - Root behält Umgebungsvariablen beim doas-Aufruf und benötigt kein Passwort. Wichtig für Root-Skripte die doas zur Rechteverwaltung nutzen und spezifische Environment-Variablen benötigen.

Benutzer-spezifische Regeln

Einzelne Benutzer können spezielle Rechte erhalten:

/etc/doas.conf:
permit persist :wheel
permit nopass michael cmd pkg_add
permit nopass michael cmd pkg_delete
permit nopass sandra cmd rcctl args restart httpd

Die Regeln definieren:

permit nopass michael cmd pkg_add - Benutzer michael darf pkg_add ohne Passwort ausführen. Nützlich für häufige Paket-Installationen.

permit nopass sandra cmd rcctl args restart httpd - Benutzer sandra darf nur rcctl restart httpd ausführen. Das args-Keyword beschränkt die erlaubten Parameter.

Umgebungsvariablen kontrollieren

Standardmäßig bereinigt doas die Umgebungsvariablen – Sicherheitsmaßnahme gegen Environment-Injection-Angriffe. Das keepenv-Flag erhält alle Variablen:

/etc/doas.conf:
permit persist keepenv :wheel

Präzisere Kontrolle bietet setenv mit vier Varianten:

/etc/doas.conf:
permit persist setenv { -ENV PS1=$DOAS_PS1 SSH_AUTH_SOCK PATH=/sbin:/bin } :wheel

Die Syntax unterstützt:

• SSH_AUTH_SOCK - Variable aus User-Environment behalten
• PS1=$DOAS_PS1 - Wert aus existierender Variable nehmen (mit $)
• PATH=/sbin:/bin - Auf festen Wert setzen
• -ENV - Variable explizit entfernen (mit -)

Mehrere Definitionen werden durch Leerzeichen getrennt.

doas-Konfiguration testen

Syntaxfehler in /etc/doas.conf deaktivieren doas komplett - alle Aufrufe werden abgelehnt. Konfiguration vor Aktivierung testen:

$ doas -C /etc/doas.conf

Der Parameter -C prüft die Syntax ohne Befehlsausführung. Fehlerfreie Konfiguration gibt keine Ausgabe zurück. Syntaxfehler werden mit Zeilennummer gemeldet.

Kernel-Parameter mit sysctl

Das Tool sysctl liest und ändert Kernel-Parameter zur Laufzeit. Die Werte sind nach Kategorien gruppiert – Netzwerk, Dateisystem, Hardware, Sicherheit.

Verfügbare Parameter anzeigen

Alle verfügbaren Parameter auflisten:

$ sysctl -a
kern.ostype=OpenBSD
kern.osrelease=7.8
kern.osrevision=202510
kern.version=OpenBSD 7.8 (GENERIC.MP) #54: Sun Oct 12 12:58:11 MDT 2025
    deraadt@amd64.openbsd.org:/usr/src/sys/arch/amd64/compile/GENERIC.MP

kern.maxvnodes=12288
kern.maxproc=1310
kern.maxfiles=7030
[...]

Die Ausgabe zeigt mehrere hundert Parameter. Nach Kategorien filtern::

$ sysctl net.inet.ip
net.inet.ip.forwarding = 0
net.inet.ip.redirect = 1
net.inet.ip.ttl = 64
net.inet.ip.mtudisc = 1

Die hierarchische Struktur ermöglicht präzisere Filter - net.inet.ip.ifq zeigt nur Interface-Queue-Einstellungen statt aller IP-Parameter.

Wichtige Netzwerk-Parameter

IP-Forwarding aktivieren - Notwendig für Router oder Firewalls:

$ doas sysctl net.inet.ip.forwarding=1
net.inet.ip.forwarding: 0 -> 1

Das System leitet Pakete zwischen Interfaces weiter. Standard-Installation deaktiviert Forwarding aus Sicherheitsgründen.

IPv6-Forwarding funktioniert analog:

$ doas sysctl net.inet6.ip6.forwarding=1

Systemlimits anpassen für Server mit vielen Verbindungen:

$ doas sysctl kern.maxfiles=10000
$ doas sysctl kern.maxproc=2000

Der Parameter maxfiles begrenzt offene Dateideskriptoren systemweit, maxproc die maximale Prozessanzahl. Die Standardwerte genügen für typische Server – Anpassung nur bei Diensten mit vielen gleichzeitigen Verbindungen nötig.

Permanente Änderungen

Permanente Konfiguration erfolgt in /etc/sysctl.conf. Die Datei existiert standardmäßig nicht und muss erstellt werden:

$ doas vi /etc/sysctl.conf

Inhalt:

net.inet.ip.forwarding=1
net.inet6.ip6.forwarding=1
kern.maxfiles=10000

Die Datei wird beim Boot automatisch gelesen. Syntax ist identisch zu sysctl-Befehlen, nur ohne das sysctl-Prefix – beispielsweise net.inet.ip.forwarding=1 statt sysctl net.inet.ip.forwarding=1.

Dateisystem-Struktur

OpenBSD folgt BSD-Konventionen bei der Dateisystem-Struktur. Einige Unterschiede zu Linux existieren – besonders bei System-Verzeichnissen und Package-Verwaltung.

Base-System vs. Packages

OpenBSD trennt Base-System und installierte Packages strikt. Das Base-System liegt in /bin, /sbin, /usr/bin, /usr/sbin – installierte Software unter /usr/local. Der Artikel Paketverwaltung erklärt diese Trennung im Detail.

Wichtige System-Verzeichnisse

/etc - System-Konfiguration. Alle wichtigen Konfigurationsdateien liegen hier:

• hostname.* - Netzwerk-Konfiguration
• rc.conf.local - Service-Konfiguration (muss erstellt werden)
• doas.conf - Rechteverwaltung
• sysctl.conf - Kernel-Parameter (muss erstellt werden)

/var - Variable Daten. Log-Dateien, Spool-Verzeichnisse, temporäre Daten:

• /var/log - System-Logs
• /var/mail - Mail-Spool
• /var/www - Default-Webroot
• /var/run - Runtime-Dateien (PIDs, Sockets)

/usr/local - Installierte Packages:

• /usr/local/bin - Ausführbare Programme
• /usr/local/lib - Bibliotheken
• /usr/local/share - Gemeinsame Daten
• /usr/local/etc - Package-spezifische Konfiguration (wird bei Bedarf erstellt)

/home - Benutzer-Verzeichnisse. Standard-Layout mit versteckten Konfigurationsdateien (.profile, .kshrc).

X11-Struktur

X11-Komponenten liegen unter /usr/X11R6 - allerdings nur wenn die X11-Sets bei der Installation ausgewählt wurden:

/usr/X11R6/bin       # X11-Programme (xterm, xclock)
/usr/X11R6/lib       # X11-Bibliotheken
/usr/X11R6/share     # Fonts, Icons, Themes

Diese Trennung isoliert grafische Komponenten vom restlichen System. Server ohne X11-Sets haben zwar die Partition /usr/X11R6, aber keine Inhalte.

Device-Nodes

Device-Nodes liegen in /dev. OpenBSD erstellt diese automatisch beim Boot:

$ ls -l /dev/sd0*
brw-r-----  1 root  operator   4,  0 Nov  1 21:27 /dev/sd0a
brw-r-----  1 root  operator   4,  1 Nov  1 21:27 /dev/sd0b
brw-r-----  1 root  operator   4,  2 Nov  1 21:27 /dev/sd0c
[...]

Die Buchstaben-Suffixe bezeichnen Partitionen:

• a - Root-Partition (/)
• b - Swap-Partition
• c - Gesamtes Device (gesamte Festplatte)
• d-p - Weitere Partitionen nach Bedarf

Die konkreten Zuordnungen hängen von der Installation ab. Das Skript /dev/MAKEDEV erstellt Device-Nodes bei Bedarf. Normalerweise nicht notwendig – der Kernel verwaltet /dev dynamisch.

Mount-Punkte

Die Datei /etc/fstab definiert automatische Mounts beim Boot:

$ cat /etc/fstab
68ce90a563a6f8c0.b none swap sw
68ce90a563a6f8c0.a / ffs rw 1 1
68ce90a563a6f8c0.k /home ffs rw,nodev,nosuid 1 2
68ce90a563a6f8c0.d /tmp ffs rw,nodev,nosuid 1 2
68ce90a563a6f8c0.f /usr ffs rw,nodev 1 2
68ce90a563a6f8c0.g /usr/X11R6 ffs rw,nodev 1 2
68ce90a563a6f8c0.h /usr/local ffs rw,wxallowed,nodev 1 2
68ce90a563a6f8c0.e /var ffs rw,nodev,nosuid 1 2

Die hexadezimalen Strings sind DUIDs – eindeutige Device-IDs. OpenBSD nutzt DUIDs statt /dev/sd0a-Bezeichnungen. Festplatten können umgesteckt werden ohne fstab-Anpassung. Die Partitionsbuchstaben (a, b, d, e, …) werden bei der Installation vergeben und variieren je nach gewähltem Partitionierungsschema.

Die Mount-Optionen:

• rw - Read-Write-Zugriff
• nodev - Keine Device-Nodes erlaubt (Sicherheit)
• nosuid - Keine SUID-Binaries erlaubt (Sicherheit)
• wxallowed - W^X-Policy deaktiviert (für JIT-Compiler in /usr/local)

Temporäre Dateisysteme

Der /tmp-Ordner liegt auf einem separaten Dateisystem. Bei Memory-reichen Systemen kann /tmp als tmpfs gemountet werden:

$ cat /etc/fstab
swap /tmp tmpfs rw,nodev,nosuid,-s=2G 0 0

Das tmpfs nutzt RAM statt Festplatte. Der Parameter -s=2G limitiert die Größe auf 2 Gigabyte. Alle Daten gehen beim Neustart verloren – temporäre Dateien per Definition.

Verwendete Informationen

Diese Anleitung bezieht sich auf:

• OpenBSD: 7.7, 7.8
• Architektur: amd64 (primär), allgemeine Konzepte gelten für alle Plattformen
• Kontext: Server- und Desktop-Konfiguration
• Stand: November 2025

Die Systemkonfiguration bildet die Grundlage für produktive OpenBSD-Systeme. Der nächste Artikel behandelt die Paketverwaltung – Software-Installation, Updates und das Ports-System.