[FUG-BR] [FYI] Security : OpenBSD x FreeBSD
Evandro Nunes
evandronunes12 em gmail.com
Segunda Dezembro 22 18:10:41 BRST 2014
Prezado Eduardo Alvarenga conhecido e ofendido "OpenBSDzeiro",
Ei de resumir meu e-mail em linguagem não coloquial e em seu nível de
literatura, em estima ao intelecto vosso e dos demais:
Em minha humilde e impaciente opinião, o post desse blog trata apenas de
uma coletânea de informações tendenciosas e pouco justas, além de
incompletas e não razoáveis. Em especial no que tange a tabela comparativa
com excesso de cores.
A maior parte das tecnologias outrora citadas são implementadas em outros
sistemas como Windows 2000 em sua plenitude, e comprovadamente não torna
esses sistemas mais seguros. Em minha opinião prática de usuário também
OpenBSD, esses recursos tem como principais características no OpenBSD as
seguintes:
1) Tratam-se de recursos exclusivos e de eficiência duvidosa, que colocam o
OpenBSD em sua exclusividade tecnológica em pé de igualmente com...
Microsoft Windows.
2) Tratam-se de recursos que adicional sobrecarga desnecessária ao sistema
com benefícios de segurança não constantes, variando essencialmente nas
técnicas de ataques, e que poderiam ser mitigadas de forma mais genérica e
menos onerosa sob a ótica de processamento.
Some a isso o fato conhecido que o OpenBSD é um sistema essencialmente
monothread, um dos poucos sistemas que se propõe a serem usados em
ambientes críticos mas que não tem uma arquitetura moderna de
processamento, então a sobrecarga imposta por tal tecnologia torna-se um
recurso ainda mais oneroso visto que independente de quantas CPU você
tiver, estamos falando de recursos de kernel e que portanto não serão
executados em outro lugar que não na CPU0.
Ademais, a tendência do post nesse blog e sua imprecisão são notáveis em
especial pela ausência mais que relevante de tecnologias existentes no
FreeBSD mas não no OpenBSD, diferente do mac e jail citados, as diferenças
vão muito além, caso em que eu citei apenas as seguintes, sem esforço ou
trabalho de buscar outras:
> - jails
> > - bhyve
> > - mac
> > - acl
> > - capsicum
> > - casper
> > - openpam
> > - bsmaudit
> > - auditd, auditdistd
> > - kernel securelevel integrado com mac, capsicum, casper, acls
> > - p1e extended attributes
> > - zfs com um milhao de recursos de seguranca
> > - geom com geli, gbde, gshsec, etc
>
Por gentileza onde você lê "milhao" leia "milhão", s/seguranca/segurança/g
para que vosso pavor da linguagem coloquial não impeça ainda mais vssa
leitura. Sim tive que carregar um Xmodmap para redigir esse e-mail buscando
pontuações e acentos que sabemos, não são típicos ou imperativos na
comunicação por internet mas Vssa. Senhoria parece se incomodar. Tive
também que carregar o X e redigir o texto fora do console já para isso.
> > meia duzia de politica mac enfia essas merdas do openbsd debaixo do
> tapete
>
O que quis dizer em um texto que você ouviria num Manhattan Connection com
o Maynard, seria:
Nenhum desses recursos são de fato necessários em um sistema como FreeBSD
onde consegue-se com mandatory access control, um nível de isolamento das
aplicações de userland e fatias de processos de kernel tamanho, que geram
as mesmas proteções e com mais vantagens. Tais fatos já foram expostos na
Usenix pelo Senhor Doutor Robert Watson onde ele escala de qualquer
política Systrace (OpenBSD) ou dos LSM (Linux), ou dos controles do W^R
(além do que o NX bit oferece) de forma trivial e generalista, ou seja uma
receita única de bolo para colocar por água abaixo tais proteções
defendidas erroneamente como diferencial relevante nesse blog post
(leia-se, postagem de blogue).
Ainda notei minha opinião, mais uma vez de tom pessoal mas percepção
prática, que o post em questão cita o fato de ter um "pf mais atualizado"
como diferencial, e ter "pf" como algo "amarelo", tenciosamente não citando
que o pf no FreeBSD é multithread, apesar do texto mencionar, a tabela
comparativa ignora, e não citando que no FreeBSD existem 3 opções de
firewall, não apenas o PF, o que geraria numa tabela comparativa simplista
como essa mais vantagens para o FreeBSD. Somei a isso o fato do PF estar no
kernel GENERIC do OpenBSD, e não no FreeBSD, citado como vantagem no post,
mas que na prática sob a ótica de performance é desvantagem sobretudo tendo
em vista a natureza monothread do kernel do sistema operacional
supracitado.
Isso sem contar que a proposta de GENERIC nos sistemas comparados é
totalmente divergente. Um se propondo a suportar o maior número possível de
periféricos físicos (leia-se hardware) e outro se propondo a suportar tudo,
incluindo recursos de kernel que nem sempre são usados, onerando "by
default" em processamento um sistema já limitado dada sua arquitetura.
Citei que a ausência que poderia sim ser notada no FreeBSD é de ASLR que
apesar de na prática, ser uma ausência irrelevante para um sistema que
oferece mac, capsicum, casper e outros recursos de segurança, ela se faz
relevante ainda assim, haja vista que MAC e afins ainda que disponíveis no
kernel GENERIC, precisam ser configurados e explicitamente implementados
pelo sysadmin. Por outro lado PaX (ou ASLR mais eficiente que do OpenBSD,
segundo toda a indústria de SI exceto o senhor Deraadt) colocaria alguma
segurança por padrão de forma mais transparente e portanto mais abrangente,
então sim é algo a ser notado como ausência relevante no FreeBSD pelas
vantagens agregadas por padrão mais do que como vantagens absolutas frente
aos demais recursos existentes.
Peço desculpas aos demais membros da FUG que por ventura possam ter se
sentido ofendidos com palavras como "merda" e "bosta", ei de me referir a
dejetos fecais de outra fora desse momento em diante afim de respeitar os
possíveis eleitores de Maria do Rosário, Benedita da Silva e Marcos
Feliciano, que se horrorizam facilmente com qualquer sobre-tom, impaciência
verbal. Afim de inibir a necessidade de chamar os "direitos humanos" dada a
desumanização do texto.
De tal forma subscrevo-me, certo que de forma rebuscada, desnecessária, mas
para alguns mais agradável, eu disse exatamente as mesma coisas, mas em uma
forma de expressão verbal menos eficiente e menos concisa.
Mais detalhes sobre a lista de discussão freebsd