Názory k článku OpenBSD 6.4 je ještě bezpečnější, svazuje aplikace a opravuje CPU
-
Ondra Satai NekolaZlatý podporovatelhttps://lwn.net/Articles/767137/
Pěkně srozumitelně o unveil()(Osobně se mi to líbí, ale řeší to přímočaře jenom situaci, kdy chce hodný programátor chránit uživatele před svými chybami. Situace, kdy se chce uživatel chránit před potenciálně zlým programátorem takhle řešitelná není bez další mezivrstvy.)
-
Ondra Satai NekolaZlatý podporovatel
To funguje jen za predpokladu, ze to s tebou mysli vyvojar toho programu dobre...
-
anon (neregistrovaný)
openbsd programatorum verim a sracky jako nodejs neinstaluje ... to te pak neochrani nic - vsechno je to o falesnem pocitu bezpeci, nic jineho. Ani nebudu vyjmenovavat vsechny mozne utoky a uniky ze vsech moznych sandboxu.
Jedina mozna pustit neduveryhodny kod na vyhrazenem stroji a predpokladat ze ho ma pod kontrolou nekdo jiny.
Jasne v praxi to skonci nejakym kompromisem v podobe VM nebo namespaces, ale je potreba uvedomit si ze to je opravdu kompromis a uniky jsou realne.
-
To ale nebrání např. nginx zkompilovat proti OpenSSL 1.1.1, nebo proti WolfSSL. Důležitější devizou je, že v samotném základu systému je použita LibreSSL, s vizí, že tím pádem se do něj zanese méně bezpečnostních chyb.
Nepodpora TLS 1.3 u LibreSSL je vyjádřením jejich konzervativizmu. TLS 1.2 poskytuje bezpečnost víc než dostatečnou a nenese s sebou takové riziko chyb, které bývají v každé novince.
-
Kolemjdouci (neregistrovaný)
https://cdn.openbsd.org/pub/OpenBSD mi pres proxy (Apache 2.4.35 s OpenSSL 1.1.0h) haze chyby. Pres http ale normalne slape.
-
virtualboxer (neregistrovaný)
hm.. za posledne obdobie sa mi instalacia 6.3 vzdy padala vo VirtualBoxe.
Ked som v sprievodcovi vybral 64-bit BSD, tak instalacia sa vzdy rozsypala pri kopirovani suborov na disk. Myslel som si, ze za to moze prideleny "virtualny radic", kedze nazov disku v BSD bol iny ako ked som pri instalacii vybral 64-bit Linux.
Ale nestalo mi to za googlenie.
-
V minulosti jsem kritizoval články na absolutně okrajová technická témata, která "voněla" tím, že se jedná o PR aniž by to článek přiznával.
OpenBSD je sice okrajový, ale celosvětově uznávaný operační systém, který nebudí žádné kontroverze. Existují ještě méně zastoupené operační systémy (DragonflyBSD, HardenedBSD, Haiku, ..., ...), o kterých má cenu psát. Tento článek ani nedělá to, že by nekriticky adoroval OpenBSD. Shrnuje novinky a předává pohled vývojářů OpenBSD na to, jak některá bezpečnostní témata řešit. Proti tomu se zde prezentují podobné pohledy vývojářů Linuxu, FreeBSD a dalších systémů.
-
Fugáč (neregistrovaný)
FYI: Ten httpd.conf má mnohem závažnější změnu, než je uvedena, a to:
root strip=>request strip. Bez této změny se totiž httpd vůbec nespustí. Naštěstí to lze snadno zjistit z výpisu kontroly konfigurace webového démona:httpd -dnvf /etc/httpd.confVíce info klasicky na: http://www.openbsd.org/faq/upgrade64.html -
Kratiknot (neregistrovaný)
Shodou okolností jen pár dní předtím jsem jako mnoholetý uživatel Linuxu jen tak pro radost ve volném čase zkusil nainstalovat na starší noutbuk (Lenovo) verzi 6.3. A pak jsem si tedy zkusil přejít na 6.4. Tomu, co se děje pod kapotou, tedy zatím moc nerozumím, ale z čistě uživatelského hlediska zatím vyjadřuji spokojenost, přechod na 6.4 proběhl bez viditelných problémů.
-
Andrej Podzimek (neregistrovaný)
Existuje něco, co je ještě bezpečnější než OpenBSD 6.4?
Ano. GNU/Linux. OpenBSD nemá RBAC ani jiný srovnatelný mechanismus, pročež GNU/Linuxu se SELinuxem nesahá ani po kotníky. Navíc má chronický problém s SMP, který se daří odstraňovat jen pomalu a křečovitě.
Jasně, někdo třeba porovná dvě čísla, momentálně 268 versus 2169, a řekne si, že OpenBSD snad přece jen musí být bezpečnější:
https://www.cvedetails.com/vulnerability-list/vendor_id-97/Openbsd.html
https://www.cvedetails.com/vulnerability-list/vendor_id-33/Linux.htmlNa druhé straně lze celkem právem očekávat, že počet bezpečnostních zranitelností bude odpovídat možnostem daného systému. (A čím víc toho systém nabízí, tím méně často se stane, že by se všechny vlastnosti a možnosti se všemi zranitelnostmi využívaly zároveň.)
U každého z porovnávaných systémů bych se ptal: Kolikpak souborových systémů implementuje? Jak dobrý softwarový RAID umí? (A umí vůbec nějaký, který by nebyl pouze AID bez R?) Z kolika síťovek na USB 3.0 si může uživatel vybrat? A tak dále a tak podobně. OpenBSD se ve všech těchto ohledech řídí jednoduchou zásadou: Kdo nic nedělá, nic nezkazí.
Většina těchto pojednání o bezpečných, bezpečnějších a nejbezpečnějších operačních systémech má jeden a tentýž problém: srovnávání nesrovnatelného.
-
OpenBSD určitě není pro každého a na každou situaci. Nicméně existují i tací uživatelé, kterým nečiní velký problém vybrat hardware, který je podporovaný. OpenBSD si univerzalitu použití za cíl neklade.
Já jako velkou výhodu vidím, že ekosystém OpenBSD je malý, naopak podporuje co nejméně "zbytečností" (dle názoru jeho vývojářů), a díky tomu udržují solidní čistotu a bezpečné výchozí nastavení. Samozřejmě, že některé z těchto výhod jsou pofiderní - např. když na OpenBSD nainstalujete Apache nebo Nginx, ztratíte výhodu jeho výchozího http serveru atd.
Linux má výhodu v obrovském ekosystému. Ale v tom samém má také nevýhodu. Je to moloch slepený z různých částí, které se společně jen velmi obtížně auditují. RedHat se tomu věnuje s obrovským úsilím, ale víme, co za verze obsahují RHEL releasy. Ostatní distribuce si auditování kódu pro jistotu ani za cíl nekladou.
SELinux je dobrá volba, ale přiznejme si, že ne každý ho umí nastavit. Většinou se "pro jednoduchost" nastaví do velmi volně permisivního režimu - a tím to ztratí svůj smysl. SELinux také vůbec nemíří k podstatě věci - aby bylo vše co možná nejjednodušší, nejpřímější, nejbezpečnější.
Z OpenBSD bylo hodně převzato. Učitě za zmínku stojí LibreSSL, nebo elegantní pf - packet filter. Proti němu jsou iptables hnus, který umí kde co (včetně spuštění kávovaru po magickém packetu a má mnoho dalších "užitečných" vlastností), ale spoustu toho také umí katastrofálně blbě (a rozlišit, který match nebo target funguje dobře, nebo stojí za houby vyžaduje admina - experimentátora a zákazníka - pokusného králíka).
-
JX (neregistrovaný)
:) :) :) Myslim ze o OpenBSD hodne napovie tento uryvok z textu o httpd:
"Features" became a very negative word, as it indi-
cates a need to have many of them. It is almost ex-
pected that new software releases introduce a new set
of features. Developers add features, just to add new
features and users demand new features, just have new
features. It actually became very untypical to avoid
features and to avoid Featuritis.
For httpd, it is more important what "core" func-
tionality it needs, and what features it should not
have. It is an ongoing struggle with users who want
more features because only a few of them make it to
the list. And, who knows, some of the existing features
might be removed when they turn out to be unneces-
sary.>OpenBSD se ve všech těchto ohledech řídí jednoduchou zásadou: Kdo nic nedělá, nic nezkazí.
Skor sa riadi zasadou ze jednoduche veci su elegantne. Pri prechod z Linuxu na OpenBSD zazijete doslova sok, ako sa daju veci robit jednoducho a elegantne.
