Vlákno názorů k článku OpenBSD 6.4 je ještě bezpečnější, svazuje aplikace a opravuje CPU od Andrej Podzimek - Existuje něco, co je ještě bezpečnější než OpenBSD...
-
Andrej Podzimek (neregistrovaný)
Existuje něco, co je ještě bezpečnější než OpenBSD 6.4?
Ano. GNU/Linux. OpenBSD nemá RBAC ani jiný srovnatelný mechanismus, pročež GNU/Linuxu se SELinuxem nesahá ani po kotníky. Navíc má chronický problém s SMP, který se daří odstraňovat jen pomalu a křečovitě.
Jasně, někdo třeba porovná dvě čísla, momentálně 268 versus 2169, a řekne si, že OpenBSD snad přece jen musí být bezpečnější:
https://www.cvedetails.com/vulnerability-list/vendor_id-97/Openbsd.html
https://www.cvedetails.com/vulnerability-list/vendor_id-33/Linux.htmlNa druhé straně lze celkem právem očekávat, že počet bezpečnostních zranitelností bude odpovídat možnostem daného systému. (A čím víc toho systém nabízí, tím méně často se stane, že by se všechny vlastnosti a možnosti se všemi zranitelnostmi využívaly zároveň.)
U každého z porovnávaných systémů bych se ptal: Kolikpak souborových systémů implementuje? Jak dobrý softwarový RAID umí? (A umí vůbec nějaký, který by nebyl pouze AID bez R?) Z kolika síťovek na USB 3.0 si může uživatel vybrat? A tak dále a tak podobně. OpenBSD se ve všech těchto ohledech řídí jednoduchou zásadou: Kdo nic nedělá, nic nezkazí.
Většina těchto pojednání o bezpečných, bezpečnějších a nejbezpečnějších operačních systémech má jeden a tentýž problém: srovnávání nesrovnatelného.
-
OpenBSD určitě není pro každého a na každou situaci. Nicméně existují i tací uživatelé, kterým nečiní velký problém vybrat hardware, který je podporovaný. OpenBSD si univerzalitu použití za cíl neklade.
Já jako velkou výhodu vidím, že ekosystém OpenBSD je malý, naopak podporuje co nejméně "zbytečností" (dle názoru jeho vývojářů), a díky tomu udržují solidní čistotu a bezpečné výchozí nastavení. Samozřejmě, že některé z těchto výhod jsou pofiderní - např. když na OpenBSD nainstalujete Apache nebo Nginx, ztratíte výhodu jeho výchozího http serveru atd.
Linux má výhodu v obrovském ekosystému. Ale v tom samém má také nevýhodu. Je to moloch slepený z různých částí, které se společně jen velmi obtížně auditují. RedHat se tomu věnuje s obrovským úsilím, ale víme, co za verze obsahují RHEL releasy. Ostatní distribuce si auditování kódu pro jistotu ani za cíl nekladou.
SELinux je dobrá volba, ale přiznejme si, že ne každý ho umí nastavit. Většinou se "pro jednoduchost" nastaví do velmi volně permisivního režimu - a tím to ztratí svůj smysl. SELinux také vůbec nemíří k podstatě věci - aby bylo vše co možná nejjednodušší, nejpřímější, nejbezpečnější.
Z OpenBSD bylo hodně převzato. Učitě za zmínku stojí LibreSSL, nebo elegantní pf - packet filter. Proti němu jsou iptables hnus, který umí kde co (včetně spuštění kávovaru po magickém packetu a má mnoho dalších "užitečných" vlastností), ale spoustu toho také umí katastrofálně blbě (a rozlišit, který match nebo target funguje dobře, nebo stojí za houby vyžaduje admina - experimentátora a zákazníka - pokusného králíka).
-
JX (neregistrovaný)
:) :) :) Myslim ze o OpenBSD hodne napovie tento uryvok z textu o httpd:
"Features" became a very negative word, as it indi-
cates a need to have many of them. It is almost ex-
pected that new software releases introduce a new set
of features. Developers add features, just to add new
features and users demand new features, just have new
features. It actually became very untypical to avoid
features and to avoid Featuritis.
For httpd, it is more important what "core" func-
tionality it needs, and what features it should not
have. It is an ongoing struggle with users who want
more features because only a few of them make it to
the list. And, who knows, some of the existing features
might be removed when they turn out to be unneces-
sary.>OpenBSD se ve všech těchto ohledech řídí jednoduchou zásadou: Kdo nic nedělá, nic nezkazí.
Skor sa riadi zasadou ze jednoduche veci su elegantne. Pri prechod z Linuxu na OpenBSD zazijete doslova sok, ako sa daju veci robit jednoducho a elegantne.
