В статье "SECURITY : OPENBSD VS FREEBSD (http://networkfilter.blogspot.ru/2014/12/security-openbsd-vs...)" представлен достаточно подробный сравнительный обзор систем обеспечения безопасности FreeBSD и OpenBSD. Разбираются механизмы защиты памяти (рандомизация выделяемой памяти, ASRL, защита стека и т.п.), системной безопасности (качество генератора псевдослучайных чисел, средства шифрования, разделение привилегий и опции повышения защищённости системы), защита сетевого стека (рандомизация идентификаторов, нормализация трафика пакетным фильтром), связанные с безопасностью настройки по умолчанию, история выявления опасных уязвимостей.
Итоговые выводы не являются однозначными, в каких-то областях лидирует FreeBSD, а в каких-то OpenBSD. Например, в OpenBSD более полно представлены техники защиты памяти и создания помех эксплуатации уязвимостей, в то время как во FreeBSD для их развития лишь недавно был основан проект HardenedBSD (http://hardenedbsd.org/), развивающий набор патчей с реализацией ASLR, SEGVGUARD, secfw, SMAP, более защищённых вариантов mprotect, PTrace, mmap(MAP_32BIT) и procfs/linprocfs. С позиции системной защиты и шифрования, оба проекта предоставляют должный набор средств, но FreeBSD может похвастаться наличием Capsicum, мандатного контроля доступа и jail-окружений. OpenBSD интересен ориентированными за максимальную защиту настройками по умолчанию, системой ограничения системных вызовов systrace и пакетным фильтром pf, который доступен и во FreeBSD, но порт пока отстаёт от оригинала на несколько лет.
<center><a href="http://2.bp.blogspot.com/-wS-LrLdUwp8/VJCPxGTXa9I/AAAAAAAAAl... src="http://www.opennet.ru/opennews/pics_base/0_1419794255.png" style="border-style: solid; border-color: #e9ead6; border-width: 15px;max-width:100%;" title="" border=0></a></center><center><a href="http://1.bp.blogspot.com/-tDEiOWFzbwM/VJCP7G-KJoI/AAAAAAAAAl... src="http://www.opennet.ru/opennews/pics_base/0_1419794267.png" style="border-style: solid; border-color: #e9ead6; border-width: 15px;max-width:100%;" title="" border=0></a></center>
URL: http://networkfilter.blogspot.ru/2014/12/security-openbsd-vs...
Новость: http://www.opennet.ru/opennews/art.shtml?num=41354
>Итоговые выводы не являются однозначными,Ну для меня, человека со стороны, иллюстрации говорят о том, что FreeBSD полнейший и устаревший отстой по сравнению с OpenBSD.
Это не так? Может стоило тогда проиллюстрировать материал более полно?
На самом деле выглядит примерно так:
в ОпенБСД всё стоит из коробки и по умолчанию настроено и службы подняты
В ФриБСД всё нужно поднимать.
ps Лет пять не пользовался ими, но тогда было именно так.
> Ну для меня, человека со стороны, иллюстрации говорят о том, что FreeBSD
> полнейший и устаревший отстoй по сравнению с OpenBSD.Они на пару постеснялись нарисовать все это для линя. Ну хоть какой-нибудь попсовой убунты, где почти все это ок по дефолту + есть контейнеры и виртуалки (которые более кардинально изолируют софт от системы чем песочницы, но про это бсдельники как обычно сказать постеснялись).
Эмулировать полностью железо порой бывает слишком накладно. А тот же chroot (если условно считать его аналогом jail-а) не безопасен.
Давайте тогда уж вспомним Zones (зонинг)
> Давайте тогда уж вспомним Zones (зонинг)Тогда уж openvz, который практически весь рынок контейнерных впсок под себя отжал.
> Эмулировать полностью железо порой бывает слишком накладно.Поэтому современные виртуализаторы умеют всякие продвинутые техники ускорения, по типу virtio. Которое как раз имено по этому поводу и появилось. Да, KVM так тоже умеет.
> А тот же chroot (если условно считать его аналогом jail-а) не безопасен.
Поэтому в линухе давно запилили cgroups + namespaces, которые втыкают и chroot и jail с большим отрывом. На дворе XXI век, времена когда пингвиноиды обтекали при слове jail - давно прошли. Если вы вдруг не заметили, нынче у хостеров есть Xen, KVM и OpenVZ. ЧСХ все три используют хост на основе пингвина да и гуесты чаще всего на нем же. И я думаю не надо объяснять что когда контейнер или виртуалка продается какому-то хрену с горы - требования к изоляции хрена от остальных там очень даже на уровне. Бзды с их jail эту планку вообще взять не смогли. По поводу чего и не фигурируют на рынке.
> Бзды с их jail эту планку вообще взять не смогли. По поводу чего и не фигурируют на рынке.Да нет. Просто квалификации аптгетчиков не хватает, чтобы сопровождать в продакшене Фрю.
Зато у аптгетчиков вполне хватает квалификации чтобы зааптгетить свои аптгеты до уровня продакшена. А в Виллабаджо Изя бегает по серверной с динамометрическим ключом.
> Да нет. Просто квалификации аптгетчиков не хватает, чтобы сопровождать в продакшене Фрю.Если фрю может сопровождать даже изен, то и аптгетчики смогут. Просто аптгетчики не понимают зачем мучаться в 20 раз больше при одинаковом результате.
Просто параметры выбраны так, чтобы под openbsd столбик был зелёным, а под фрёй - разноцветным.
Если бы было не про openbsd, а действительно про сравнение действительно по разным параметрам, фря была бы зеленее.
Просто у OpenBSD по дефолту включены все возможные меры по защите от эксплоитов, а в FreeBSD и Linux если и есть, то надо включать/собирать с PaX и т.п, хотя тот же ASLR (в PaX) появился в Linux раньше чем в OpenBSD.
> Просто у OpenBSD по дефолту включены все возможные меры по защите от эксплоитов,Кэпъ, пля. Эксплоит от которого есть защита уже не эксплойт, а историческая хроника.
> то надо включать/собирать с
Мозг надо включать, и не делать и домашего компа для дрочилова на порнофоке, сейф пентагона.
Иначе при открытии очередной порнухи, сработает система изоляции и потрёт нах...й весь твои криптораздел.
> включать/собирать с PaX и т.п, хотя тот же ASLR (в PaX)
> появился в Linux раньше чем в OpenBSD.Привет, чувак. На дворе 2014 год и ALSR есть по дефолту даже в вшивой убунте.
ОС нужно рассматривать в зависимости от их планируемой роли, а не сравнивая "сферическую защищённость с настройками по умолчаниями в вакууме". Осталось только дать этим параметрам численные метрики и раздавать попугаев.Не статья, а кусок... блога.
Картинку рисовал опеночник, и я даже знаю кто, поэтому и впечатление такое. Вопрос в другом насколько все это необходимо прямо здесь и сейчас? Приоритет на capsicum важнее имхо, а все остальное допишется hardenedbsd проектом. А так да, нету например random stack gap, но я в последние 10 лет ни разу не сталкивался с шитварью работающей на срыв стека. Да и сплойты то все луноходные.
Что-то странное сравнение какое-то, особенно часть с LibreSSL.
Дескать мы вот сделали свой велосипед, а теперь всем будем тыкать им в морду, что вот у вас такого нет по-умолчанию.
Конечно не так, просто OpenBSD помешана на security, поэтому в этом вопросе она и лидирует в этом вопросе, кроме этого не могу понять почему сюда прикрутили pf и jail, так как jail в OPENBSD к примеру ни кчему, ну а во фре есть ipfw...
Забыли с линуксом сравнить. Где почти все это + контейнеры есть даже в элементарной, блин, убунте.
Нет, не забыли. Судя по названию сравнивались только опенбсд и фрибсд. Насчет линукса ничего не планировали. Ваш кэп
> Нет, не забыли. Судя по названию сравнивались только опенбсд и фрибсд. Насчет
> линукса ничего не планировали. Ваш кэпНу так я и говорю - постеснялись. Потому что окажется что даже попсовая убунта их обставляет. Хотя-бы возможностью гонять KVMные виртуалки, которые изолируют получше контейнеров.
>> Нет, не забыли. Судя по названию сравнивались только опенбсд и фрибсд. Насчет
>> линукса ничего не планировали. Ваш кэп
> Ну так я и говорю - постеснялись. Потому что окажется что даже
> попсовая убунта их обставляет. Хотя-бы возможностью гонять KVMные виртуалки, которые изолируют
> получше контейнеров.Аноним, не делай голословных утверждений, приведи аналогичную таблицу.
> Аноним, не делай голословных утверждений, приведи аналогичную таблицу.Вы так хотите почувствовать себя pissed off? :)
ВАТ? Какую еще таблицу? Я просто сказал что тут линукс не забыли сравнить- его не собирались сравнивать. Теперь и твой кэп тоже.
Кому-то FreeBSD покоя не дает.
Отлично!
Тогда следующей должна быть статья про performance comparsion для типовых задач.
И не слова про политики безопасности TrustedBSD, которых нет и не предполагается в OpenBSD.
Я кажется заметил, что проект в стагнации.
Вот это как называется?
# uname -a
OpenBSD openbsd-test.my.domain 5.4 GENERIC#37 i386
# pwd
/usr/ports/shells/bash
# make
Fatal: building ports requires correctly installed X11 (in shells/bash)
*** Error 1 in /usr/ports/shells/bash (/usr/ports/infrastructure/mk/bsd.port.mk:3437 '.BEGIN': @exit 1)Торвальдс таки был прав.
сконфигурировать не пробовал?
> building ports requires correctly installed X11Это называется "broken by design".
P.S. а буратина тоже ...monkey.
>> building ports requires correctly installed X11
> Это называется "руки аптгетчика broken by design".поправил.
> поправил.Ну вот и правильно. Эй, чувак, добро пожаловать к нам, аптгетчикам. Мы любим когда все просто, логично и не требует дофига времени на администрирование. А загорать под жигуленком мы предоставим всяким клыкастым тигарам и изенам ;).
>> поправил.
> Ну вот и правильно. Эй, чувак, добро пожаловать к нам, аптгетчикам. Мы
> любим когда все просто, логично и не требует дофига времени на
> администрирование.Спасибо, я уже ставил своим детям minetest.
Итак, в нормальных ОС установка minetest:
emerge minetest
в царстве "просто, логично и не требует дофига времени":
sudo apt-get install git build-essential libirrlicht-dev libgettextpo0 libfreetype6-dev cmake libbz2-dev libpng12-dev libjpeg8-dev libxxf86vm-dev libgl1-mesa-dev libsqlite3-dev libogg-dev libvorbis-dev libopenal-dev libcurl4-openssl-dev libluajit-5.1-dev liblua5.1-0-dev libleveldb-dev; cd; git clone https://github.com/minetest/minetest.git; cd minetest/games; git clone https://github.com/minetest/minetest_game.git; cd ..; cmake . -DENABLE_GETTEXT=1 -DENABLE_FREETYPE=1 -DENABLE_LEVELDB=1; make -j$(grep -c processor /proc/cpuinfo); sudo make install; minetest; echo -e "\n\n\e[1;33mYou can run Minetest again by typing \"minetest\" in a terminal or selecting it in an applications menu.\nYou can install mods in ~/.minetest/mods, too.\e[0m"
ибо после просто apt-get install minetest получаем обрубок.
теперь вопрос: какие действия проще объяснить ребёнку?
и всё у вас так. чистые вантузятники, на публику вымахиваетесь про простоту, в реале куда ни ткни - геморрой.
Прикольная порция батхерта. Жаль что я ее пропустил.
Под OpenBSD нет портов, это называется. Есть только их видимость, на деле не работающая.
имя порта, который не работает, можно назвать? чтобы я сейчас мог пойти и проверить.
> имя порта, который не работает, можно назвать? чтобы я сейчас мог пойти и проверить.Там же написано, shells/bash.
Подозреваю, товарищ при установке системы решил, что xbase.tgz ему не нужен, а когда наткнулся на проблему, решил, что разработчики виноваты. Ну, или в совсем запущенном случае скачал не ту ветку портов и жалуется.
это называется "если ничего не помогает, прочтите, наконец, инструкцию". она небольшая, но полная. там несколько раз всё это повторено. и точно написано "если вы чего-то не понимаете - НУ ПРОСТО НЕ ТРОГАЙТЕ, и всё. Те, кто на основе каких-то старых привычек и ожиданий, что-то сами меняют, а потом удивлюятся, что не работает... ну, в общем - они получают именно то, что заслужили. :) а инструкцию (FAQ) лучше читать ДО а не ПОСЛЕ. :)
man sudoers
http://www.xkcd.com/1343/
ты, чувак, гонишь. мало того, что у тебя всё сводится к "универсальному совету для всех и разом на все случаи жизни", так он ещё и не в тему вообще.есть само введение в openbsd, которое рассказывает, что это такое. а когда "я знаю две команды unix, пересобрал генту, и я лучше знаю, что это такое", и по этим привычкам начинают что-то ставить, а потом удивляются, что не работает... хотя в тексте об этом прямо сказано - на какой результат можно рассчитывать?
я вообще сначала прочитал этот FAQ, а потом только поставил openbsd. Собственно, меня этот FAQ и подкупил своей редкой на сегодняшний момент адекватностью.
ты ещё к haiku придерись, что там ты хотел пересобрать ядро, понатыкал какие-то галочки, которые кажутся ТЕБЕ правильными - а оно не работает. при том, что ты эту ос видишь второй раз в жизни, НО УЖЕ ВСЁ ЗНАЕШЬ ЛУЧШЕ ВСЕХ.
Странно, вроде был декабрь, а ор буратины котируется даже в марте среди котов.
малыш нашёл старые маны. в них не было ни про portmaster/portupgrade, ни про то, что если уж ставишь через make, перед этим можно сконфигурировать порт. спасибо не из тарбола стал ставить.
Все опенковские зеленые позиции покраснеют, если сравнивать производительность.
Если бы FreeBSD вдруг пошла в ногу в безопасным братом - я б посмотрел на простыни тредов после релиза, полные народного гнева, что БЗДЯ ТОРМОЗИТ, а потом удивления, узнав, что своп теперь ШИФРОВАН.
> БЗДЯ ТОРМОЗИТ, а потом удивления, узнав, что своп теперь ШИФРОВАН.Если у вас шифрование работает медленнее дискового IO - ок, бздя тормозит. В шифровании.
Ты нормален? Или просто надо было что-то сказать "в пику"?
в отличие от тебя - он нормален 100%,
доступ (и тем более типично для swap'а - случайный) к диску, даже SSD - жуткое тормозилово!...
> б посмотрел на простыни тредов после релиза, полные народного гнева, что
> БЗДЯ ТОРМОЗИТ, а потом удивления, узнав, что своп теперь ШИФРОВАН.Это вы еще не видели АРМов, аттестованных для обработки секретной информации. ;)
Другое дело, что ставить такие системы для домашнего применения - мазохизм в терминальной стадии.
> Другое дело, что ставить такие системы для домашнего применения - мазохизм в
> терминальной стадии.Вот сразу видно: или дурак, или иностранный провокатор или местечковых агент спецслужб-ОПГ оккупантов русских.
P.S. Для (не наймитного и адекватного...)конечного пользователя ПК - его конфиденциальная информация важнее даже государственной, или точно не менее - уч.их взаимосвязь по линиям хотя бы медицинсих БД, а если вы так не считаете - то вперёд на улицу и каждому встречному раздавайте свои банковские реквиты, личную и корпоративную переписку и планы, видеозаписи в т.ч.семьи, ва т.ч.в послели и т.д!
Новость отражает предвзятость и любовь к Опенку, всё что нужно для базовой безопасности у Free есть, как для сервера так и для десктопа.Я не встречал серверов с криптованным свопом, а с Random Stack даже у опенка не работало много прилдожений.
p.s. Сам я больше Опенка люблю, за их Теологию по безопасности.
На ruBSD'2013 Тэо плакал, что, мол, даже в венде с защищенностью сейчас на порядок лучше, чем в FreeBSD, мол, в венде и NX, и ASLR из коробки и по-дефолту.
Крис Касперски крикиковал что сделали в винде ASLR, писал что еще большую дырку сделали, чем защитили ОС
Нужно выбирать как обычно - либо безопасность OpenBSD, либо производительность FreeBSD( по отношению к другим BSD системам конечно).
Чем больше средств безопасности, тем соответсвенно больше всех проверок и отсюда больше тормозов. FreeBSD старается нацеливаться на производительность. Если FreeBSD выберёт ещё какую-то цель, то у проекта будут проблемы с нишей на рынке. Чем тормозней будет OpenBSD из-за заморочек с безопасностью и чем больше платформ будет поддерживать NEtBSD(тем она будет не оптимизированнее), тем больше будет преимуществ у FreeBSD, когда кому-то потребуется производительность. И так про FreeBSD больше в России всего наверно используют, во всём остальном мире преимущественно Линукс. Это например видно на сервисах по поиску работы!
>>И так про FreeBSD больше в России всего наверно используют, во всём остальном мире преимущественно Линукс. Это например видно на сервисах по поиску работы!- Даже странно, учитывая что FreeBSD - пишут пара сношающих друг друга гомсека,вчера на лурке даже фотку обозревал, как то что ли не толерантно - со стороны гейропы выходит...
А, в РФ... - вероятно это от того что любовь к чертям ещё с (русофобско-)советско-666сатанински-атеистических времён и соответвующих персонажей-во-власти - имеется очень обильная...
P.S. И imho, безопасность OpenBSD и хоть всех *BSD - преувеличенна... Математически я бы выразил её уровень как (-бесконечность+N_свистелок).
> - Даже странно, учитывая что FreeBSD - пишут пара сношающих друг друга
> гомсека,вчера на лурке даже фотку обозревал, как то что ли не
> толерантно - со стороны гейропы выходит...Зато с птицами не сношаются и жён лопатами не убивают — и то хорошо.
ммм.. на ASLR так-то патчи есть готовые, а так FreeBSD пошустрее будет и сильно.
> на ASLR так-то патчи есть готовыеготовые к чему? неужели к 'промышленной эксплуатации'?
pf - old? Что они там курят? В FreeBSD уже полностью перепиленный свой. Причем мультипоточный.
Ну какая это безопасность, когда надо полгода ждать обновлений для пакетов.
> Ну какая это безопасность, когда надо полгода ждать обновлений для пакетов.полностью согласна, долго как то
> Ну какая это безопасность, когда надо полгода ждать обновлений для пакетов.Кто вам эту чушь сказал? Обновления безопасности выходят регулярно и доступны из портов. Собирать из них пакеты, правда, надо вручную, увы, ресурсы разработчиков ограничены.
Вся документация Опенка проникнута идеей, что сбор из портов только вредит и надо использовать бинарные пакеты. Более того, собирать навые порты официально можно только на current ветке (а для этого, кстати, надо каждый раз пару часов пересобирать базовую систему и иксы). И вот это все называется "безопасность по-умолчанию".> Обновления безопасности выходят регулярно и доступны из портов
Насколько я понимаю, никаких "обновлений безопасности" (подобно тому как, например, в Дебиане) в Опенке нет вообще: в портах просто доступны новые версии программ.
> Вся документация Опенка проникнута идеей, что сбор из портов только вредит и надо использовать бинарные пакеты.Да, это верно. Но у разработчиков нет ресурсов собирать пакеты для обновлений безопасности, но они есть в портах в ветке -stable.
> Более того, собирать навые порты официально можно только на current ветке (а для этого, кстати, надо каждый раз пару часов пересобирать базовую систему и иксы).
Не верно. Новые порты попадают в ветку -current, а для -stable выходят обновления безопасности. Так, например, в релизе опенки 5.6 минорная версия для php 5.4 (в самом релизе есть ещё 5.3 и 5.5) была php-5.4.30, в -stable — php-5.4.36). Более того, для -current'а не нужно пересобирать ни базовую систему, ни иксы, ни даже порты — бинарные снапщоты и пакеты из портов собираются для -current ежедневно для основных архитектур.
> Насколько я понимаю, никаких "обновлений безопасности" (подобно тому как, например, в Дебиане) в Опенке нет вообще: в портах просто доступны новые версии программ.
Опять же неверно. Для -stable выходят обновления безопасности в портах, как обновления минорных версий программ, содержащие исправления безопасности, так и добавление патчей, исправляющих проблемы в текущих версиях.
Но не спорю, и в Debian, и во FreeBSD управление с безопасностью пакетов намного удобнее.
Попытка стравливания поклонников OpenBSD и FreeBSD на почве безопасности и паранойи от её отсутствия засчитана.
мм, а автор читал?
https://en.wikipedia.org/wiki/Trusted_Computer_System_Evalua...
Я не знаю весь этот бред в левой колонке, но в колонке "ФриБЗД" цвета ярче и красивше - беру Фрю!
> "ФриБЗД" цвета ярче и красивше - беру Фрю!Типичная логика современного пользователя фряхи :)
Что такое порты, это такие пакеты? о_О
> Что такое порты, это такие пакеты? о_ОЭто такое пещерно-ископаемое подобие таковых, для тех кто хочет лично каждую гайку в своем жигуленке закрутить.
>> Что такое порты, это такие пакеты? о_О
> Это такое пещерно-ископаемое подобие таковых, для тех кто хочет лично каждую гайку в своем жигуленке закрутить....динамометрическим ключом. А вы дальше продолжайте фигачить по накидному гаечному ключу для всех размеров кувадой. ;)
> ...динамометрическим ключом. А вы дальше продолжайте...давать задания роботам закрутить гайки как надо. При том у роботов есть датчики и они все сделают по уму.
Инструкции по автоматической сборке из исходников и опакечиванию.
> Инструкции по автоматической сборке из исходников и опакечиванию.спс
Пфффф, чтобы там не говорили, ещё не читал комменты, но на первом же скрине косяк сразу парям... В FreeBSD 10 pf точно стоит сразу, сам активно юзаю. Но да, не спорю, что OpenBSD для чисто роутеров - самое то. Зато всё остальное в ней - грустно и печально.
Да и OpenBSD ставил давно, лет 5 назад, 4 с чем-то. И, как я помню, железо то оно уже не умело, а менять сетевухи (3Com и rl ещё тогда), чтобы это чудо поднялось хоть как-то, не сильно хотелось. Вообще, на *BSD снова начал смотреть исключительно по трём причинам:
1. Тотальные косяки по всем параметрам, кроме Steam, в Linux. Какой дистр не возьми, кроме Debian, правда. Systemd все туда-сюда катают, хотя особо в нём ничего такого и нет. Но все зато забывают, что hal и dbus добавили столько геммора вообще, что и не сказать. До сих пор приходится иной раз родить, чтобы в X-сах всё хаработало по-человечески. Последнее сношение в FreeBSD 11 на десктопе заставило родить дважды: synaptics и synaptics, видимый hal`ом как kbdmux. Два дня сношался, но сделал)) Плюс куча дыр - уже не знаешь, чем штопать. Дыры и в *BSD есть, я не спорю. Но монолит ОС на сегодняшний день смотрится много лучше Linux Kernel + other shit. И да, я так и не смог ни разу с 9.04 поставить Ubuntu, чтобы оно не умерло после апгрейда/ребута. Про Server вообще молчу. У меня на серваке через 4 месяца файлуха просто посыпалась в 12. Я хз, что они там наделали, но при всей user-frienly Ubuntu, она мрёт быстро и сразу. Короче, остаётся толковым только Debian, но этот мамонт дас *BSD фору разве что в оборудовании.
2. Выход более-менее допиленно (и перепиленного местами) PC-BSD дистра. Хороший шаг, своевременный и удачный.
3. Нововведения в FreeBSD 10. Как тока bhyve допилят адекватно, то альтернатив особо не будет, ибо виртуализация через VirtualBox просто смешная, а jail вообще как бы у ней толком и не относится. И больше ничего и нет. Даже кастраты OpenVZ и Xen дадут фору.
> 1. Тотальные косяки по всем параметрам, кроме Steam, в Linux. Какой дистр
> не возьми, кроме Debian, правда.Не сгущай краски. Десктоп себе можно толковый подобрать всегда. Или даже взять какой-нить дистр minimal/scratch и накастовать кастомный десктоп с библиотекой и поэтессами.
> hal и dbus добавили столько геммора вообще
hal? его же уже выпилили отовсюду, не?
> И да, я так и не смог ни разу с 9.04 поставить Ubuntu, чтобы оно не умерло после апгрейда/ребута. Про Server вообще молчу. У меня на серваке через 4 месяца файлуха просто посыпалась в 12. Я хз, что они там наделали, но при всей user-frienly Ubuntu, она мрёт быстро и сразу. Короче, остаётся толковым только Debian, но этот мамонт дас *BSD фору разве что в оборудовании.
Мрак какой-то. Я не высокого мнения об убунтах, но ТАКИЕ проблемы ТАКОЙ плотности наводят на мысль о карме.
