OpenBSD в реальной работе

софт только опенсорс на openbsd.

ну и читая новости про взломы серверов с ОС на ядре Linux - надо включать голову и анализировать собственную архитектуру. Как минимум вряд ли у тебя линукс с 1с в интернет жопой торчит, правда? Ну и еще надо смотреть, что за уязвимости и как от них защищатся.

вряд ли у тебя линукс с 1с в интернет жопой торчит

Еще как торчит. И жопа при этом голая.

В последние месяцы часто ходят слухи о массовом взломе серверов с ОС на ядре Linux в различных организациях. Пора на OpenBSD?

А через что их взламывают? Ибо если ровно тот же самый сервис будет работать в OpenBSD, то это не изменит ровным счётом ничего.

Всегда считал, что люди, кричащие «КУДА БЕЖАТЬ?!» ничерта не понимают в том, о чем они говорят. И админы они такие себе.

Одних только privilege escalation через банальный sudo столько, что стыдно такие вопросы задавать и експлойты лежат в открытом доступе.

Каким образом? Сделайте впн.

А зачем бежать-то, сиди себе ровно на попе ОС Уиндоуз.

Для безопасности не надо ставить супер секурную ОС, надо никомуненужную. Эффект неуловимого Джо - лучшая безопасность. Скрипткиддисы просто не найдут експлойтов под, например, NetBSD.

В последние месяцы часто ходят слухи о массовом взломе серверов с ОС на ядре Linux в различных организациях.

Как ни зайду на ЛОР, тут то джуны набигают, то журналистов насилуют. Доколе!?!

Вот чем тебе смена линуска на опенбсд поможет, если ты рукожоп?

NetBSD

Попса на фоне TempleOS

Ну да, и софт под нее писать на каком-нибудь обероне. Неуловимый джо будет настолько неуловим, что поддерживать эту фигню тоже никто не сможет.

Неуловимый джо будет настолько неуловим, что даже начальник скажет «ты у нас не работаешь»

Какая необходимость один-эсс (которого под опёнок нет и не будет никогда) в инет выставлять? Если надо «из дома», обычно разномастные VPN и дальше виртуалка/комп с RDP, откуда бушка работает.

BSD автомагически ни от чего не защищает. История успеха так сказать - поломали сайт на фряхе через древний CMS, на который всем пох было и годами туда даже никто не заглядывал. Потом клиенты звонят «хотели на сайте адрес для курьера посмотреть, а там порнуха» :)

Каким образом? Сделайте впн.

У нас не торчит, и нас не взламывают. Но приходилось натыкаться на кое-как поднятые серваки с 1С (зачастую на федоре). Вот там содом и гоморра. И линукс у них плохой.

надо никомуненужную

Считаете, у гайки есть шанс?

Первым дело надо сносить sudo. Зачастую нарочно «ломать» зависимости. Только su

Как минимум вряд ли у тебя линукс с 1с в интернет жопой торчит, правда?

Разумеется нет.

Ну и еще надо смотреть, что за уязвимости и как от них защищатся.

Много было на дыры в ядре. Как тут уже кто-то отметил главное, чтобы ОС была не популярная, потому что искать эксполоиты для ОС на которой работает 1,5 землекопа смысла нет – проще хакнуть других.

даже начальник скажет «ты у нас не работаешь»

Но ты взламываешь роутер, и всё равно работаешь. Все в панике, сервер на NetBSD с софтом на Обероне воскресает в сети каждую ночь, он бессмертный и несокрушимый, новый сисадмин не понимает как с ним бороться.

Одних только privilege escalation через банальный sudo столько, что стыдно такие вопросы задавать и експлойты лежат в открытом доступе.

Вот только это не удалённо эксплуатируемые уязвимости, а если у злоумышленника уже есть доступ для эксплуатации локальной уязвимости, то сервер уже скомпрометирован.

В последние месяцы часто ходят слухи о массовом взломе серверов с ОС на ядре Linux в различных организациях.

Так а в скольких случаях ломали именно ядро Linux? А не бухов на венде через заражённый документ, или какой-нибудь CRP/ERP на PHP торчащий в открытый интеренет?

Пора на OpenBSD? Это вроде как одна из лучших ОС в плане безопасности, но как быть с софтом?

Это миф. Объективно о её безопасности говорить сложно, так как статистики использования её в проде нет (потому что использования нет), аудиты не проводятся (зачем аудит того что никто не использует). Если ванговать по косвенным факторам, то пишут её небольшое сообщество дедов остановившихся в своём развитии на c89, так что на уровне кода ей взяться не от куда. Песенки зато поют, это да.

В плане безопасности она хороша разве что hardening’ом по умолчанию, но в ынтерпрайзе он ни на что не влияет - монолитный софт для бызнеса содержит в одном месте и кучу уязвимостей и чувствительные данные, обычно ещё и торчит в интернет, а для системы является чёрным ящиком, и она при всём желании в него залезть и ограничить там вредоносную активность не может, и идёт со всеми своими наворотами от унвейлов и капсикумов до securelevel=3 и r/o root лесом.

К слову, hardening возможен и в других системах и кое-где (HardenedBSD которая FreeBSD, например) что-то сделано наголову лучше.

В частности: 1С (страшное пропитанное зло, но работать без него не возможно в РФ).

Возможно. Но если нужен 1C то ты ограничен тем на чём работает 1C, какого ты тут ответа ждёшь? Можешь гонять его в виртуалке или на отдельной машине (причём она даже не должна смотреть в интернет), тебе не обязательно весь парк переводить на OpenBSD. Что же до свободного софта, то он доступен на любой системе одинаково.

Если тут есть, кто использует OpenBSD на серверах (или другие *BSD системы), то пожалуйста поделитесь опытом.

Если ты не привязан к проприетарному говнецу, то опыт между любыми unix-like системами отличается не больше чем между дистрибутивами linux. Но вот зоопарк из разных систем поддерживать больно.

Не совсем миф. Например, если ты в OpenBSD взломаешь httpd то из-за pledge будешь сильно ограничен в своих действиях. В Linux же ты будешь чувствовать себя на много свободней.

Есть общая тенденция: чем популярнее ОСь - тем тщательнее в ней пытаются найти дыры с целью массового их использования и конвертировать затраченные усилия в бабло. Нашли дыру->написали бота->заразили кучу серверов/компов/мобильников->зарабатывают бабло: либо вставляют рекламу, либо запускают ботнет, либо рассылают спам, либо майнят крипту, либо ... тыща других способов.

С моей точки зрения, оптимально на серверах юзать ОСь которая не является массовой и в тоже время, по своим обладает достаточными возможностями чтоб покрыть большинство потребностей. А для оставшегося меньшинства - есть виртуализация.

И причём здесь теги freebsd и netbsd? Это совершенно разные операционные системы, все три.

Я же писал. Устраивают любые BSD системы.

freebsd, netbsd, openbsd, безопасность, взлом

взлом

в кало-баню

В Linux же ты будешь чувствовать себя намного свободней.

Это же как раз то, чего добивался Столлман?

Устраивают любые BSD системы.

Они все сильно разные, у них даже цели разные.

Я вообще не нашёл применения OpenBSD, даже просто потыкать в виртуалке лапки не дотянулись (что ещё раз подтверждает что у меня для неё задач нет).

У меня везде, где возможно (а возможно везде, кроме роутера, куда оно просто не влезет при всём желании) стоит FreeBSD, в том числе на домашнем сервере (древний одноюнитный Supermicro X8).

Теперь по поводу безопасности.

Я тебе так скажу: даже Windows без антивируса достаточно безопасна, если юзер не дурак, а если дурак, то и HardenedBSD не спасёт. Если софт, который ты поставишь, дырявый, тебе не поможет ничего, потому что даже если ОС как-то тебя "обезопасит", то этот дырявый софт работать не должен в таких условиях. И это нормально. Потому вначале откажись от дырявого софта, а уже потом решай надуманную проблему вопрос с ОС.

дырявый софт работать не должен в таких условиях

У условный FreeBSD Jails меня не спасет от дыр в плохом софте?

У условный FreeBSD Jails меня не спасет от дыр в плохом софте?

Спасет, но виртуалка понадежнее будет.

Ч-чем?

В последние месяцы часто ходят слухи о массовом взломе серверов с ОС на ядре Linux в различных организациях.

слухи

А ты не читай ИБшные страшилки на ночь.

поделитесь опытом

На 1 стакан гречки берёшь 2-2.5 стакана воды. Варишь на среднем огне до выкипания воды.

дырявый софт работать не должен в таких условиях

У условный FreeBSD Jails меня не спасет от дыр в плохом софте?

Смотря от чего. Вообще, придётся давать некоторые разрешения джейлу, чтобы запустить определённый софт (разному софту нужны разные разрешения), потому скорее всего то на то и выйдет.

Лучше, конечно, виртуализация, о чём iron выше уже написал.

Я же ровно про это написал. Повторюсь: а) То же самое можно сделать в Linux б) В реальном мире ломают приложения, в которых никаких pledge не будет в помине.

Ч-чем?

Тем, что по статистике, в системах изоляции дыры позволяющие доступиться к хосту находят чаще чем в гипервизорах (виртуализации). По какой статистике? Берем все CVE, находим все дыры связанные с изоляцией и виртуализацией, отфильтровываем дыры которые позволили jailbreak тому подобный доступ к хосту, сравниваем. Вывод: доступиться к памяти хоста с виртуалки намного сложнее чем с изолированной среды.

Виртуализация кроме оверхеда хороша всем. Убираешь «опасное» за отдельный роутер, нвстраиваешь там анальные запреты вплоть до белого списка ip и против и телемаркет. К тому же, в отличие от доцкеров и иже с ними, кроме знаний привычной ОС не требует вообще ничего.

Виртуализация кроме оверхеда хороша всем.

Нет, далеко не всем. Но это уже совсем другой вопрос.

Убираешь «опасное» за отдельный роутер, нвстраиваешь там анальные запреты вплоть до белого списка ip и против и телемаркет.

Настраивать в первую очередь надо хост, а виртуалки из нормальной изоляции и так не вылезут.

К тому же, в отличие от доцкеров и иже с ними, кроме знаний привычной ОС не требует вообще ничего.

Не знаю, jail(8) весьма прост, а с каким-нибудь BastilleBSD вообще становится однокнопочным. С bhyve(8) чуть сложнее, но его заруливает vm-bhyve.

Устраивают любые BSD системы.

macOS? Вроде тоже в предках BSD есть…

У условный FreeBSD Jails меня не спасет от дыр в плохом софте?

А как может защитить FreeBSD Jails, или даже виртуалка от утечки из дырявой БД, запущенной в этой самой виртуалке?

софт только опенсорс на openbsd.

Столлман не согласен. Была даже попытка создания форка и добиться признания FSF полностью свободной. Хотя да, тут почти нет проприетарных пакетов, разве, что urbanterror-data из того, что могу вспомнить, ну и блобы для железа конечно ставятся по умолчанию. И тут нет никаких линуксуляторов и вайнов, а ещё она тормазнутая по сравнению с другими *BSD и Linux.

Это совершенно разные операционные системы, все три.

Их 4 основные так-то, ещё DragonFlyBSD есть и всё таки они родственные операционные системы, понятно, что различий больше, чем между дистрами Linux, у них банально нет бинарной совместимости с друг с другом, но код у друг дружки таскают постоянно, в основном драйвера.

Ну Тео не согласен с Столманом. Из несвободного там только фирмвари, что собственно говоря почти везде, ну и избавлятся от него толку тоже мало, поскольку свободного железа тоже почти что нет.

Вообще резюмируя - опенок действительно хорош в плане безопасности, да и много всяких инноваций пошло от опенка, но если ты собрался его использовать его в проде - ты должен ясно понимать и ограничения этой ос, а их не мало. Это не тоже самое, «что и линукс, только безопасней».

Согласен, Столлман конечно заслуживает уважение за развитие open source, но стоит понимать, что он фанатик и не стоит следовать всем его заветам, особенно когда это идёт скорее во вред. Тео всё же не столь фанатичный, он же не кричит на каждом углу, что Linux и FreeBSD сплошное решето и нужно юзать исключительно OpenBSD, иначе тебя взломают.

Прежде, чем ответить, замечу, что я пользовался OpenBSD в проде несколько лет.

Пора на OpenBSD?

Нет.

В Linux, как в операционной системе, фундаментальных проблем нет. Больше того, есть немало встроенных инструментов (такие, как cgroups, SELinux, подсистема аудита), которые сделают конкретную установку ещё более безопасной и пригодной к отражению атак.

Большинство успешных атак происходит не из-за проблем с Linux, а из-за неправильной настройки (в широком смысле, включая, например, слабую парольную политику) или уязвимостях в приложениях. Приложения на OpenBSD будут те же - если будут, про 1С уже сказали - поэтому это на безопасность не повлияет.

OpenBSD уже стала исследовательской операционной системой, где пробуют новые механизмы защиты, вроде pledge() и unveil(), но стоящие находки быстро появляются в Linux, а иногда и получше.

Их 4 основные так-то, ещё DragonFlyBSD есть

Так она из беты до сих пор не вылезла, то есть для прода она вообще не годится. )=

и всё таки они родственные операционные системы

Они родственны подходом и лицензией, всё, дальше их пути расходятся. Оригинальный код BSD/4.x уже давно выпилен если не полностью, то почти полностью, а своего уже много больше. Да, периодически таскают друг у друга код, но и его приходится адаптировать. Ну и цели у всех разные.

Вообще резюмируя - опенок действительно хорош в плане безопасности

Как опёночник со стажем, огласи список возможностей и преимущества OpenBSD касаемо обещаемой безопасности, которые своей уникальностью, ни в коем случае, не уступают другим ОС/дистрибутивам.

OpenBSD уже стала исследовательской операционной системой

А я всё думал, как красиво сказать «не-мейнстрим, формально пригодный к продакшену» :)

https://isopenbsdsecu.re
Тут собрали интересный и детальный список со сравнениями.