From 46011b1a8570ff15604228cf82dd6424d3d5d252 Mon Sep 17 00:00:00 2001
From: Sergey Matveev <stargrave@stargrave.org>
Date: Fri, 12 Mar 2021 08:42:49 +0300
Subject: [PATCH] =?utf8?q?OpenBSD=20=D0=BD=D0=B5=D0=B4=D0=BE=D1=81=D1=82?=
 =?utf8?q?=D0=B0=D1=82=D0=BA=D0=B8=20=D0=B1=D0=B5=D0=B7=D0=BE=D0=BF=D0=B0?=
 =?utf8?q?=D1=81=D0=BD=D0=BE=D1=81=D1=82=D0=B8.=20=D0=A2=D0=B0=D0=BA=20?=
 =?utf8?q?=D0=BB=D0=B8=20=D0=BE=D0=BD=D0=B0=20=D1=85=D0=BE=D1=80=D0=BE?=
 =?utf8?q?=D1=88=D0=B0=3F?=
MIME-Version: 1.0
Content-Type: text/plain; charset=utf8
Content-Transfer-Encoding: 8bit

https://madaidans-insecurities.github.io/openbsd.html
https://allthatiswrong.wordpress.com/2010/01/20/the-insecurity-of-openbsd/
https://grsecurity.net/~spender/exploits/exp_moosecox.c
https://networkfilter.blogspot.com/2014/12/security-openbsd-vs-freebsd.html
OpenBSD нацелена на "low level exploit mitigation" в первую очередь. А
сегодня меня осенило что ведь в ней нет такой штуки как Mandatory Access
Control в принципе, ни в каком виде. В FreeBSD то уже давно MAC:
https://docs.freebsd.org/en_US.ISO8859-1/books/handbook/mac.html

Согласен что оно излишне, не нужно и бесполезно если софт написан с
privsep-in-mind и, более того, использует всякие pledge/unveil и прочее.
Но а что делать с софтом который так не написан? Насколько понимаю,
предложение OpenBSD это переписать его, мол исправить. Но нет, не
соглашусь что это годное решение. Я тоже могу доверять и считать что у
меня в сети нет софта который бы что-то по сети на определённым адресам
ничего бы не рассылал, но это не означает что лучше "перебздеть" и всё
равно добавить правило firewall-а. Вот и с MAC-ом аналогично: доверие
доверием, но лучше перестраховаться. pledge/unveil хороши и полезны, но
это не замена MAC. Это точно такой же аргумент как "я проверил этот Си
код и он не имеет проблем и дыр, поэтому и exploit mitigation-ы не нужны".

Само собой MAC (как и SELinux/AppArmor) это штука не для обычного
использования компьютера пользователем. И это правда что их 99.99%
пользователей сразу же отключают. Но когда готовится готовое решение,
заточенное под чёткую задачу, то MAC актуален.

HardenedBSD "has many mitigations OpenBSD does not such as CFI,
SafeStack, SEGVGUARD, a proper W^X implementation"
(5916b1b5c4827dccf0a7ced477a8e7d6de45908f). Это в довесок к тому, что
HardenedBSD имеет и MAC, так как это же FreeBSD. Ну и даже просто такие
sandboxing технологии типа Jail-ов отсутствуют в OpenBSD. Короче FreeBSD
как всегда рулит!
-- 
2.48.1