Безопасно ли использовать OpenBSD 4.9?

Ну все зависит от того, безопасность какого плана вы подразумеваете.
Чисто статистически, эксплоиты на рута, куда реже появляются для BSD систем. Для стабильных версий FreeBSD их вроде почти (или вообще?) не было.

Но это, естественно, актуально только для хостинговых или других публичных серверов.
Т.к кроме получения рута (а эксплоиты на ядро linux выходят куда чаще) очень сложно оценить безопасность системы вообще.
Как минимум, BSD менее популярна, а значит дырки в ней ищет куда меньшее кол-во людей.

Но одно важное замечание - в Ubuntu, особенно в desktop версии уже много раз находили дыры позволяющие повысить права.
Но тут причина банально в том, что софта и рюшечек больше, а значит и потенциальных уязвимостей тоже больше.
Ну и сама популярность подталкивает людей искать эти дырки.

winddos ★★★
(01.05.11 15:50:03 MSK)

Ответ на: комментарий от winddos 01.05.11 15:50:03 MSK

Да повысить права — не страшно. Я про безопасность именно как клиентсткой ОС

Xenius ★★★★★
(01.05.11 15:59:47 MSK) автор топика

Security by obcurity же. OS/2 вообще безопасно с такой точки зрения же.

Xenesz ★★★★
(01.05.11 20:24:32 MSK)

Ответ на: комментарий от Xenesz 01.05.11 20:24:32 MSK

obscurity

Именно по этому принципу BSD и выигрывает любой дистрибутив Linux.
Ну и по той же причине собранная руками система будет надежнее убунты.

Ну и да, я если честно слабо понимаю, о какой вообще опасности для десктопных линуксов может идти речь.
Если не считать недавний Java-апплет, то никаких реальных вирусов пока ещё и на горизонте не было.

Ну а локальный рут, это достаточно серьёзно, т.к даже в ubuntu по дефолту (как минимум с включенным шифрованием), никто кроме юзера работать с личными файлами не имеет прав.

winddos ★★★
(01.05.11 20:45:47 MSK)

Ответ на: комментарий от Xenius 01.05.11 15:59:47 MSK

>> Я про безопасность именно как клиентсткой ОС

Огородить уютненький локалхост можно и без BSD, достаточно понимать, где могут пролезть злоумышленники и перекрыть эти ходы.

GotF ★★★★★
(01.05.11 21:18:37 MSK)

Ссылка

Ответ на: комментарий от winddos 01.05.11 20:45:47 MSK

>> Ну а локальный рут, это достаточно серьёзно

Когда скомпрометирован аккаунт пользователя с критичными данными, такие мелочи как эскалация привилегий уже никого не будут волновать.

GotF ★★★★★
(01.05.11 21:20:52 MSK)

Ответ на: комментарий от winddos 01.05.11 20:45:47 MSK

>obscurity
Именно по этому принципу BSD и выигрывает любой дистрибутив Linux.

Ну погугли «security by obcurity», если тебя это устроит, то Б-г тебе в помощь...

Xenesz ★★★★
(01.05.11 21:29:07 MSK)

Ответ на: комментарий от GotF 01.05.11 21:20:52 MSK

По хорошему (для параноиков) браузеры, IM-клиенты, нужно как минимум пускать только под отдельным юзером и только в оградке в виде chroot.
В BSD на этот случай есть jail, который однозначно надежнее чем chroot.
Хотя я не сижу на бзде, а потому не знаю как там огораживать гуишный софт.

По сути в linux есть виртуализация, а так же контейнеры (вроде как более подходят для запуска в них софта).
Но вот виртуализация и контейнеры не имеют особых удобств для десктопа, вроде schroot, dchroot.

У меня пока все браузеры, скайп, qutim, каждый работает в личном chroot. Благо chroot*ы настраивать намного проще, чем контейнеры и виртуализацию.
По мне - достаточная защита от автоматизированного заражения и недоброжелателей.

winddos ★★★
(01.05.11 23:59:20 MSK)

Ответ на: комментарий от winddos 01.05.11 23:59:20 MSK

в опенке нет jail.

AptGet ★★★
(02.05.11 00:15:04 MSK)

Ответ на: комментарий от Xenesz 01.05.11 21:29:07 MSK

У меня только что произошел разрыв шаблона.
Я вообще не понял, как данное замечание относится к OpenBSD, а потому подумал, что в посте оно имеет смысл вроде «неуловимого джо OpenBSD».
Потому и ответил именно так.

Ясно «security by obscurity» это не «принцип неуловимого джо».
OpenBSD открыта, а выражение подразумевает закрытые системы вроде винды, скайпа и прочей проприетарщины.
Но тогда я не понимаю, причем тут вообще эта фраза, и какое она отношение может иметь к данному вопросу?

Даже в теории убунта, слака, дебиан не могут быть намного безопастнее OpenBSD. Просто потому, что и в них есть часть её кода, который к слову используется на подавляющем числе серверов и десктопов.

winddos ★★★
(02.05.11 00:23:13 MSK)

Ответ на: комментарий от AptGet 02.05.11 00:15:04 MSK

Ну насколько я знаю, там вроде бы были свои средства изоляции приложений.
Тестировал только jail, а потому спорить о их качестве не буду.

winddos ★★★
(02.05.11 00:26:41 MSK)

Ссылка

Ответ на: комментарий от winddos 01.05.11 23:59:20 MSK

У меня пока все браузеры, скайп, qutim, каждый работает в личном chroot. Благо chroot*ы настраивать намного проще, чем контейнеры и виртуализацию.

Пора открыть уже для себя AppArmour и SELinux.

Тоже мне линупсоеды - банальных вещей не знаете

guyvernk ★
(02.05.11 00:29:22 MSK)

Ответ на: комментарий от guyvernk 02.05.11 00:29:22 MSK

Ну лично для себя сделал выбор более подходящей мне технологии.
chroot это технология, которую я понимаю, знаю как оно работает, знаю как оно ломается, знаю где обычно делают ошибки администраторы машин.
Т.е chroot, на который я смотрел как взломщик, лучше успокаивает мою параною.
Времени разбираться и настраивать что то новое у меня нет.
А без понимания и нужного эффекта плацебо не будет.

Какое то время использовал в виде прослойки виртуальную машину.
Это конечно совсем бред, зато точно знаешь, что ни один пакет мимо vpn ни пролетит, ну и что шансы на доступ к ценной информации очень очень малы.

Ну и если разбираться с чем то новым - то уж лучше посмотреть в сторону контейнеров и виртуализации под приложения.
ИМХО, куда более надежный и перспективный подход, нежели политики безопасности.

winddos ★★★
(02.05.11 00:55:07 MSK)

Ссылка

Ответ на: комментарий от winddos 02.05.11 00:23:13 MSK

выражение подразумевает закрытые системы

Опенсорс имеет порог вхождения для разрабов, включая взломщиков. Хотя венда и закрыта, все её дыры активно перетираются, как и то, что с ними можно делать. На этом фоне опёнок, хоть и открытый, остаётся obscure.

Xenesz ★★★★
(02.05.11 09:48:15 MSK)