From: Sergey Matveev <stargrave@stargrave.org>
Date: Fri, 12 Mar 2021 05:42:49 +0000 (+0300)
Subject: OpenBSD недостатки безопасности. Так ли она хороша?
X-Git-Url: http://www.git.stargrave.org/?a=commitdiff_plain;h=46011b1a8570ff15604228cf82dd6424d3d5d252;p=stargrave-blog.git

OpenBSD недостатки безопасности. Так ли она хороша?

https://madaidans-insecurities.github.io/openbsd.html
https://allthatiswrong.wordpress.com/2010/01/20/the-insecurity-of-openbsd/
https://grsecurity.net/~spender/exploits/exp_moosecox.c
https://networkfilter.blogspot.com/2014/12/security-openbsd-vs-freebsd.html
OpenBSD нацелена на "low level exploit mitigation" в первую очередь. А
сегодня меня осенило что ведь в ней нет такой штуки как Mandatory Access
Control в принципе, ни в каком виде. В FreeBSD то уже давно MAC:
https://docs.freebsd.org/en_US.ISO8859-1/books/handbook/mac.html

Согласен что оно излишне, не нужно и бесполезно если софт написан с
privsep-in-mind и, более того, использует всякие pledge/unveil и прочее.
Но а что делать с софтом который так не написан? Насколько понимаю,
предложение OpenBSD это переписать его, мол исправить. Но нет, не
соглашусь что это годное решение. Я тоже могу доверять и считать что у
меня в сети нет софта который бы что-то по сети на определённым адресам
ничего бы не рассылал, но это не означает что лучше "перебздеть" и всё
равно добавить правило firewall-а. Вот и с MAC-ом аналогично: доверие
доверием, но лучше перестраховаться. pledge/unveil хороши и полезны, но
это не замена MAC. Это точно такой же аргумент как "я проверил этот Си
код и он не имеет проблем и дыр, поэтому и exploit mitigation-ы не нужны".

Само собой MAC (как и SELinux/AppArmor) это штука не для обычного
использования компьютера пользователем. И это правда что их 99.99%
пользователей сразу же отключают. Но когда готовится готовое решение,
заточенное под чёткую задачу, то MAC актуален.

HardenedBSD "has many mitigations OpenBSD does not such as CFI,
SafeStack, SEGVGUARD, a proper W^X implementation"
(5916b1b5c4827dccf0a7ced477a8e7d6de45908f). Это в довесок к тому, что
HardenedBSD имеет и MAC, так как это же FreeBSD. Ну и даже просто такие
sandboxing технологии типа Jail-ов отсутствуют в OpenBSD. Короче FreeBSD
как всегда рулит!
---