From: Sergey Matveev Date: Mon, 25 Nov 2024 09:54:23 +0000 (+0300) Subject: Почему Solene'% ушла с OpenBSD X-Git-Url: http://www.git.stargrave.org/?a=commitdiff_plain;h=e015554ad2eab6889c5bb1bc035865dc07e30c61;p=stargrave-blog.git Почему Solene'% ушла с OpenBSD https://dataswamp.org/~solene/2024-11-15-why-i-stopped-using-openbsd.html https://flatkill.org/ Этот человек довольно известен в определённых кругах, там где всякий минимализм, suckless и подобное. Но она ушла с OpenBSD. * (не)поддержка всякого железа -- ну тут всё понятно и ясно. Но лично мне, вопрос работоспособности Bluetooth или игровых контроллеров, выглядит странным * Solene говорит про то, что во время крахов системы, которые случаются не то чтобы редко, происходит потеря и порча данных на ФС. Я вот прежде регулярно удивлялся: почему и как у людей этого не происходило раньше, ибо в OpenBSD FFS же ни журналирования, ни soft updates. Видимо, потому что люди дают разные задачи и нагрузку. Кто-то говорил что у него и на ext2/3/4 ничего не терялось, что полностью противоречит моему опыту. Кто-то говорил, что на UFS данные терял постоянно. Я за более чем 10 лет ни разу ничего на ней не терял, но там хотя бы soft updates был. То что FFS может быть надёжной -- никогда не поверю, чисто технически. Solene подтверждает * Далее говорит про контейнеризацию и возможность изоляции процессов. Да, OpenBSD ничего из этого не имеет, в отличии от FreeBSD. Этот недостаток я и сам прежде замечал. Нет ничего похожего на auditd и SELinux -- с чем тоже согласен. И всё это вызывало недоумение про постоянно читаемую мантру о безопасности OpenBSD. DOS тоже куда более безопасен может быть, спору нет * Она правда считает flatpack благом, как и systemd Я уже давно убедился, что OpenBSD ни в коем случае не мог бы рекомендовать с чистой совестью. Когда начинал писать на Си и хоть как-то разбираться в средствах защиты типа ASLR, pledge и вообще всех тем рядом с этим, то много чего начитался про OpenBSD, и попробовал. Не то чтобы они где-то врут или недоговаривают, но даже их банальный "only two remote holes in default install" говорит только про default install, в котором sendmail MTA. Ну блин, да первым же делом многие будут менять этот MTA на что-то более человечное -- и вот уже и не default install. Средства защиты процессов имеются, спору нет, но нет firewall-а системных вызовов или других подобных "ограничителей" для программы. Нет контейнеризации. То есть, их софт -- безопасен, но вот сторонний (не обязательно сразу же проприетарный или закрытый) при негожем поведении может больше проблем сделать чем под FreeBSD или GNU/Linux. Как уже выше было сказано, нет ничего типа AppArmor, SELinux, MAC (из FreeBSD). Нет даже надёжной ФС, что для меня, скорее, является первой проблемой в этой ОС. Даже фиг с потерянной производительностью, которая в разы может быть хуже чем в других ОС (проверено на практике, чисто прикладном многопроцессном софте). Я много и часто слышу аргументы про безопасность OpenBSD, где не раскрываются деталей как именно, где и в чём она безопаснее. И в то же время не слышу аргументов против FreeBSD или NetBSD. Их, как правило, просто не рассматривают и сравнивают только "GNU/Linux vs OpenBSD". Да, FreeBSD кодовая база куда больше -- ну так и умеет куда больше. Один ZFS это колоссальный по размерам пласт кода. Лишний? Ну да, давайте надёжную ФС считать лишней. Опять же, спору нет: для маршрутизатора, который может и ничего не писать на протяжении почти всего времени жизни -- это может быть и допустимо. Но так можно дойти и до того, что и сетевой стэк тоже может оказаться лишним, ведь без него уж явно куда безопаснее. DragonFly BSD вообще выпилила IPsec например. Я много что уважаю в OpenBSD, она невероятно ценна была идеями, но пригодна всерьёз только для ряда узкоспециализированных задач. ---