The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

OpenBSD


<< Предыдущая ИНДЕКС Поиск в статьях src Установить закладку Перейти на закладку Следующая >>
Date: Wed, 22 May 2002 18:11:55 +0400
From: "Alexander V. Naumochkin" <Alexander.V.Naumochkin@f59.n5020.z2.fidonet.org>
Subject: OpenBSD

Tuesday May 21 2002 12:01, Rasul Aslyamov wrote to Gleb Smirnoff:

 >> AVN> router/firewall.  Очень даже самое то.  OpenBSD - фигвам.
 >> AVN> Сказка про белого бычка с длинным названием "OpenBSD is the best
 >> AVN> choice for router/firewall"...

 RA>     Чувствую начало новой священной войны ;-))

Мне больше делать нечего.

 RA>     OpenBSD - система для параноиков, типа меня ;-)

"Hашла, дура, чем гордиться" :))

 RA> Основной аспект в ней сделан на безопасность, даже в ущерб
 RA> производительности.

Если бы только производительности, то я бы и слова не сказал больше.

Ладно, порассуждаем (без войнушки).  Сначала устаканим диспозицию.  Итак, речь
идёт о тачке в роли router/firewall.  Речи о FreeBSD в этом контексте вести как
бы особо и не хочется - не о десктопах/серверах речь, где она вполне себе на
месте.

Теперь всё же уточним моё понимание router/firewall'а.  Это ведь совсем не то,
что стоит у толпы уважаемых собеседников :)  Давай будем понимать термин
буквально - это такой *BSD (в нашем случае) box, у которого есть n>1
интерфейсов и firewall software.  Всё.  Hикаких там вам named, sendmail, ftpd,
apache, popa3d, inetd, продолжать можно до бесконечности.  Максимум, что могу
допустить - sshd.  В противном случае это уже не firewall ни разу.

И вот имеем мы в качестве выбора вместо звезды в "*BSD box" либо Open, либо
Net.  Я считаю, что Net - лучший выбор.  Спорить не хочу, можно считать это
убеждением.  Можно, разумеется, предложить мне засунуть своё убеждение себе же
в задницу, но я всё же исложу, хотя бы отдавая дань уважения тем, кто обратился
ко мне за разъяснениями моей позиции.

Итак, с моим пониманием router/firewall'а одна из слишком громко заявляемых
ценностей OpenBSD - отсутствие (почти верю :) local exploits отходит куда-то
там на задний план.  Hе вообще, но особо не впечатляет - негде ярко отсвечивать
:) А дальше вся команда Theo, очень уж нескромно считающая себя едва ли не
самой умной в мире, поднимает на знамёна безопасность, ещё безопасность и снова
безопасность.  Да, я и не пытаюсь ни поставить под сомнения, ни подвергнуть
обструкции их знания и опыт в этой области, но есть ведь и ещё кое-что.

А вот за этим кое-чем посмотрим на The NetBSD Project's Goals: на первой
позиции стоит вовсе не portability, как многие почему-то полагают.  Оно у них
только  на третьем месте.  А вот на первом well designed, stable and fast
system.  Как думаешь, какое слово главное? :)  Да, я тоже так думаю - stable. И
то, что я знаю о NetBSD, эту самую устойчивость подтверждает.  Можешь назвать
что-нибудь устойчивее (ограничимся писюками)?  Я тоже не могу :)

Что примечательно - в OpenBSD Project Goals слово stable не упоминается ни разу
:)  Зато Try to be the #1 most secure OS - в полный рост :))  Hе, ребята, будь
вы хоть семи пядей во лбу по части безопасности, но прочие характеристики сами
не придут, независимо от уровня аудита кода (тоже предмет великой гордости Theo
& Co).

Теперь припомним, что до почти 3.0-release Open, как и Net, использовала
Reed'овский IPFilter (их развод - та ещё история :)).  Откровенно бредовая
параноидальность у Theo сотоварищи, вкупе с переоценкой собственной крутизны,
породила чумовой взгляд на decision bug (как бы это на русском компактно
выразить? :)  Все помнят, как вставало раком ядро у Open (кому-то там
контрольные суммы не нравились, что ли), а группа товарищей разработчиков пело
песню о глючном IPFilter?  Кто не помнит - копать архивы.  Только вот ведь
фигня какая - на Net и Free всё замечательно работало, пакетики дропались,
router/firewall продолжал делать то, для чего поставлен.

Обращаю внимание - _тот_ же самый IPFilter.  И наезды со стороны Theo на
Darren'а.  Глючный ты софт пишешь, пацак, мы тебе покажем, как надо, мы круты.
Уж так круты, что патчили этот IPFilter до неузнаваемости.  И падучей. А оный
софт без их вмешательства на других системах стоит, что называется, rock-solid,
а у них - "написан криво, подпатчим".  Думаю, этим они Darren'а и достали.
Остались без IPFilter.  Состряпали свой pf, скажете?  Hу и что? Во-первых,
продукт зелёный, а хвалёный аудит - маловато будет. Проверку временем очень уж
хочется, а её не слепишь :)  А во-вторых, подход-то у команды не изменился.

Вот мы и имеем на сегодня выбор: суперстабильная NetBSD с проверенным IPFilter
или суперсекурная OpenBSD, которую приходится периодически ребать.  Так что я
выберу для router/firewall?  Hе буду отвечать, сами знаете :)

Матёрым же фанатам OpenBSD могу только порекомендовать ходить на
http://openbsd30.ipfilter.org, там "засранец" Darren показывает "крутейшему"
Theo, как надо делать, если не бредить.


Alexander

PS: Повторюсь: никаких войнушек.

... Слишком скучно быть бессмертным...

<< Предыдущая ИНДЕКС Поиск в статьях src Установить закладку Перейти на закладку Следующая >>



  Закладки на сайте
  Проследить за страницей
Created 1996-2017 by Maxim Chirkov  
ДобавитьРекламаВебмастеруГИД  
Hosting by Ihor