OpenBSD в реальной работе

Тут собрали интересный и детальный список со сравнениями.

спасибо!

слушай, ну оглашали же тыщу раз уже, зачем повторяться, даже в первоисточниках есть:

https://www.openbsd.org/security.html https://www.openbsd.org/innovations.html

А правда, что разработчики OpenBSD считали ZFS небезопасной FS?

Лучше спрашивать у разработчиков OpenBSD, но на сколько я понимаю - зфс в ядро тащить никто не будет, поскольку кода в ядре openbsd примерно столько же, сколько и в zfs. И как это поддерживать не очень понятно.

Настроить один из LSM ?

OpenBSD хороша в базовой поставке для роутеров и очень простых сервисов, изолирующих более навороченные линуксовые от прямого контакта с тырнетом?

У условный FreeBSD Jails меня не спасет от дыр в плохом софте?

Бывает настолько плохой софт, что устраивает escape from guest даже на микроядерных гипервизорах, а ты предлагаешь изоляцию обычной контейнеризацией.

Для начала откажись от своего Intel совместимого компа с дырявой виртуализацией на уровне железа, по крайне мере там, где нужна безопасность. Очевидно это будут НЕ сервера приложений, а роутеры и т.п. мелкосервисные компы, скорее всего одноплатники MIPS/ARM и т.п. ?

Верой в нее ? :)

А ты не читай ИБшные страшилки на ночь.

«Настроил IP tables и спи спокойно» (c) типичный ганстолкер зарубежной спецухи.

«А еще можно поставить Ubreakable Linux», LOL все из той же кладези ценных советов

Ты меня спрашиваешь? Перечитай комментарий, на который ответил, внимательнее: я не тыкал OpenBSD. Да и Linux без острой необходимости стараюсь не трогать. ☺

Наивно пытаться впихать невпихуемое типа 1Це на OpenBSD.

Неимоверными усилиями за 20 лет таки удалось часть Windows софта портировать на Linux, часть через WINE, часть нативно.

Очевидно, что остальные оси обычно лишены возможности запускать такой софт у себя, поэтому для приложений остаются только Linux и Windows, не считая относительно немногочисленных любителей macOS.

IMHO вопрос правильнее ставить так: как защитить привычные WinLin сервера приложений в т.ч. с помощью OpenBSD.

Для начала IMHO не мешало бы отказаться от использования паролей, заменив их на нормальный SSO с аппаратным крипто для аутентификации. Если интернет полностью не отключен, то отгородиться от него опенком на уровне L7 OSI модели, а не просто обычным L3 маршрутизатором. Т.е. чтобы прикладные пакеты приходили на софт, запущенный на OpenBSD, а дальше шли уже не оригинальные пакеты, а новые копии, сгенерированные на обратных проксях OpenBSD, чтобы сетевой стек серверов WinLin в DMZ не был подвержен никаким экспериментам извне ?

Если на сервере нужен Windows софт, то надо начинать с разбора того, какие же тяжелые нарушения психики к этому привели. Проблема выбора ОС тут вторична.

Ломают дебилов, которым какой месяц подряд советуют обновиться до Linux 6.3 из-за уязвимостей типа dirty pipe, которые были исправлены год назад, но патчемакаки до сих не накатили патчи на их некрофильское говно (свидетели стабильности, ага). Бздя не спасет в этой ситуации, в ней уязвимости еще реже закрывают. Хотя, она возможно и менее интересна для хацкеров. Но взлом возможен и когда отдельные говноеды снифают нешифрованный российский трафик, чтобы, например, там доступы к ftp выцепить. Поэтому не пользуемся ftp только SSH, отрубаем HTTP, врубаем fail2ban, закрываем порты, увольняем сынов маминых подруг. Но это все утопия. Человеческий дебилизм не знает границ, а чтобы стать вайтишником типа эникея окружность головы нужна гораздо меньше моих скромных 60 см

А еще можно выхватить неиллюзорных от людей, которых не остановят любые ИБшные ухищрения, оставшимися пальцами добровольно набирая «супирсложный» пароль :) Буквально все ИБшные советы не остановят примерно никого из реального мира.

Ты про remote или физический доступ?

А ты думаешь ремоте спасет ИБшника от «физического доступа» к его пальцам? Или что-то помешает кому-то показать ему фотку его детей и их маршруты в школу?

А ты думаешь ремоте спасет ИБшника от «физического доступа» к его пальцам?

Нормальная работа МВД и дополнительная вооруженная частная охрана не спасает ИБшника и зависимой от него инфры от внешних манипуляций?

Нормальная работа МВД и дополнительная вооруженная частная охрана не спасает ИБшника и зависимой от него инфры от внешних манипуляций?

Нет. Его вдову или бывшую, если выживет, утешат, что всех поймали нашли все части тел... Или нет :) «но потом» (с)

Тогда усиливать безопасность нужно начинать с МВД, детективов, спецслужб и т.п., если верить твоим словам?

Если инфа ценная, найдутся люди для внедрения в любые структуры, подкупа чиновников любого уровня и проведения «психологичских операций» любой степени устрашения и постановки раком любой охраны. А если такая малоценная, что не найдутся — ну значит ИБшнику и охрана не нужна. Может утешаться криптостойкостью ключей и паролей.

Самое главное для ИБшника быть бездетным сиротой без прошлого, вредных привычек и «простых человеческих» слабостей, готовым умерть за идею криптопанка :)

Если инфа ценная, найдутся люди для внедрения в любые структуры, подкупа чиновников любого уровня и проведения «психологичских операций» любой степени устрашения и постановки раком любой охраны.

Как определяется ценность? Ценой этой инфы? Сколько она способна принести убытков кому-либо?

Инфа про наличие закладок в иностранном оборудовании благополучно выплыла наружу, как бы ее не пытались охранять ЦРУ и АНБ?

Или иметь в своем прошлом ущерб от нападений неприятельской стороной, за который нужно получить компенсацию?

Чем задавать вопросы, см. практику защиты информации, разведки и контрразведки. Человек остается самым слабым звеном и дырой в защите... без которого в общем смысла во всем этом тоже не много, т.к. это все в конечном итоге из-за людей, для людей и про ценности людей.

Ну так это взвешивается на внутренних весах :) Готов ли ты рисковать целостностью организма за охраняемую инфу. Чувствуешь ли в организации достаточную силу... или силу у «крышы» этой организации :) В любом случае это может быть самообманом ради химеры :) Как в анекдоте «Зарплата хорошая, но как кипеш - хоть увольняйся».

В ПФР ОЗИ не могли защитить от внешних атак даже почтовый сервер, у которого на старом оборудовании сначала заглушили Ethernet с помощью РЭБ, а потом на новом оборудовании уже благополучно выключали его через уязвимости. Кроме того характер глушения сервера в первом случае явно походил на действие серьезной вероятно государственной спецслужбы? Тогда возникает вопрос, уж не в сговоре ли они были?

В ПФР ОЗИ

Ну так. Внешние атаки делали кто? И кто защищал. И была ли инфа «ценной» с т.з. мотивации защищаторов :) Было ли у них достаточное финансирование?

Тогда возникает вопрос, уж не в сговоре ли они были?

Тут недавно банду оборотней в МВД накрыли, которые оборотни барыжили доступом к базе для «пробивщиков». Т.е. пряник для исполнителя должен уравновешиваться вроде как кнутом достаточной длины... Но «грех сладок, а человек падок» (с) Либо какая-то странная кадровая политика. Но вопросов обычно не возникает, т.к. с той стороны на людях тоже все время пробуют пряник, либо кнут. Начиная от подкупа и заканчивая банальным шантажом, в зависимости от заранее составленного психологического портрета. Всякие ужосы «третьей степени» в травоядные времена чаще всего не нужны, т.к. людям и так есть чего терять.

Ну так. Внешние атаки делали кто?

Кто хотел дискредитировать админа и увеличить у него количество текущих проблем?

И кто защищал. И была ли инфа «ценной» с т.з. мотивации защищаторов :) Было ли у них достаточное финансирование?

Является ли защищаемая инфа и самое главное ИНФРА организации ценной для отдела защиты? Вопрос конечно интересный :)

Является ли защищаемая инфа и самое главное ИНФРА организации ценной для отдела защиты? Вопрос конечно интересный :)

Ну я могу еще раз вспомнить анекдот про пожарников:

«зарплата хорошая, но как пожар — хоть увольняйся».

Охрана банков тоже скорее всего не будет рисковать из-за денег, которых им на этой работе никогда не заработать, видя организованное для их экспроприации вооруженное нападение.

Тут недавно банду оборотней в МВД накрыли, которые оборотни барыжили доступом к базе для «пробивщиков»

Почитал недавно про пробивы у мобильных операторов, так впечатление, что контроль доступа и объем предоставляемой инфы в той или иной ситуации как специально изначально проектируется под возможность осуществления подобных пробивов. И мобильные операторы вероятно далеко не самые малообеспеченные и плохо технически образованные.

Ведь при желании информационную систему можно построить так, что сотруднику будет выдаваться самый минимум инфы, а не форма со всеми данными, готовая для print screen и т.п.

Клоуны в Мегафоне теперь еще и подпись клиента показывают всем желающим. У них установлен достаточно большой тачскрин в сторону очереди, чтобы каждый клиент нарисовал на нем пальцем свою подпись крупным планом на всеобщее обозрение. IMHO это какой-то театр абсурда. Хорошее впечатление об уровне безопасности сложилось только об операторе Теле2.

Аминь. Читал пару лет назад форум «лихих людей», которые занимаются всякими лохотронами с левыми сайтами и «розыгрышами ценных призов» и псевдо-трекером доставки «из Европы». Там была длинная тема про сканер автосигнализаций, который один посетитель сайта попросил погонять у другого... и исчез с этим сканером. «Потерпевший» долго усирался про «пробив по базе», которую купил «у пацанов в теме». Нашел он его или нет — ХЗ, но возмущение вора у которого украли пусть не шапку, а инструмент для взлома чужих машин, было тем удивительнее. Еще из смешного там были терпильные треды про «гарантов сделок». Это какие-то «авторитетные регистранты», которые тоже при случае кидали менее авторитетных на подставных «сделках». «Вы передаете деньги. Партнер уходит. Гарант уходит. Поздравляю! Вас кинули».

Речь о пробиве через нечистоплотных сотрудников:

https://habr.com/ru/articles/597509/

https://habr.com/ru/news/711750/

Речь о пробиве через нечистоплотных сотрудников:

Так «пацаны в теме» — это кто по-твоему? :) Там фигурировали «знакомые в ФСБ» и «билайновские базы». Но не факт что эти «знакомые» не были такими же кидалами. Вот то что спрос есть — ну так и предложение находится — «это база».

А как пробивают детективы? Через знакомых в МВД?

Частники и прочие физики это по большей части бывшие опера, которые не сработались с начальством, «у которого свои дети есть», либо просекли что на «консультациях» поднимут больше чем на риске своей тушкой. Из органов они уходят, а «связи остаются». Как и «профдеформированное» знание приемов и методов «той» стороны и рынка их услуг.

Начни с изучения грамматики русского языка.
Это изрядно поможет тебе при установке фряхи, которая действительно работает.

Всем помогла, а ему, видите-ли не поможет.

Вся секурность этой ОС существует только в рассказнях и песнях Тео и Kо. Малейшие редкие пробы копнуть туда сразу выявляют глупейшие огрехи в коде уровня школьников. Какая такая ту может быть безопасность? Классический неуловимый Джо.

Пруфы, билли, где пруфы?

https://www.opennet.ru/opennews/art.shtml?num=52418