[FUG-BR] [FYI] Security : OpenBSD x FreeBSD
Eduardo Alvarenga
eduardo.alvarenga em gmail.com
Segunda Dezembro 22 19:15:01 BRST 2014
Jesus como você é desnecessariamente fútil.
Você preferiu subir no banquinho e refazer um email desse tom, gastar
neurônios e tempo a simplesmente calar-se.
Acho que outros aqui podem julgar o que ocorreu e o que você acabou de
tentar fazer.
Desejo a você um feliz natal. Você precisa de um.
Em 22/12/2014 18:10, "Evandro Nunes" <evandronunes12 em gmail.com> escreveu:
> Prezado Eduardo Alvarenga conhecido e ofendido "OpenBSDzeiro",
>
> Ei de resumir meu e-mail em linguagem não coloquial e em seu nível de
> literatura, em estima ao intelecto vosso e dos demais:
> Em minha humilde e impaciente opinião, o post desse blog trata apenas de
> uma coletânea de informações tendenciosas e pouco justas, além de
> incompletas e não razoáveis. Em especial no que tange a tabela comparativa
> com excesso de cores.
>
> A maior parte das tecnologias outrora citadas são implementadas em outros
> sistemas como Windows 2000 em sua plenitude, e comprovadamente não torna
> esses sistemas mais seguros. Em minha opinião prática de usuário também
> OpenBSD, esses recursos tem como principais características no OpenBSD as
> seguintes:
>
> 1) Tratam-se de recursos exclusivos e de eficiência duvidosa, que colocam o
> OpenBSD em sua exclusividade tecnológica em pé de igualmente com...
> Microsoft Windows.
>
> 2) Tratam-se de recursos que adicional sobrecarga desnecessária ao sistema
> com benefícios de segurança não constantes, variando essencialmente nas
> técnicas de ataques, e que poderiam ser mitigadas de forma mais genérica e
> menos onerosa sob a ótica de processamento.
>
> Some a isso o fato conhecido que o OpenBSD é um sistema essencialmente
> monothread, um dos poucos sistemas que se propõe a serem usados em
> ambientes críticos mas que não tem uma arquitetura moderna de
> processamento, então a sobrecarga imposta por tal tecnologia torna-se um
> recurso ainda mais oneroso visto que independente de quantas CPU você
> tiver, estamos falando de recursos de kernel e que portanto não serão
> executados em outro lugar que não na CPU0.
> Ademais, a tendência do post nesse blog e sua imprecisão são notáveis em
> especial pela ausência mais que relevante de tecnologias existentes no
> FreeBSD mas não no OpenBSD, diferente do mac e jail citados, as diferenças
> vão muito além, caso em que eu citei apenas as seguintes, sem esforço ou
> trabalho de buscar outras:
>
> > - jails
> > > - bhyve
> > > - mac
> > > - acl
> > > - capsicum
> > > - casper
> > > - openpam
> > > - bsmaudit
> > > - auditd, auditdistd
> > > - kernel securelevel integrado com mac, capsicum, casper, acls
> > > - p1e extended attributes
> > > - zfs com um milhao de recursos de seguranca
> > > - geom com geli, gbde, gshsec, etc
> >
>
> Por gentileza onde você lê "milhao" leia "milhão", s/seguranca/segurança/g
> para que vosso pavor da linguagem coloquial não impeça ainda mais vssa
> leitura. Sim tive que carregar um Xmodmap para redigir esse e-mail buscando
> pontuações e acentos que sabemos, não são típicos ou imperativos na
> comunicação por internet mas Vssa. Senhoria parece se incomodar. Tive
> também que carregar o X e redigir o texto fora do console já para isso.
>
>
> > > meia duzia de politica mac enfia essas merdas do openbsd debaixo do
> > tapete
> >
>
> O que quis dizer em um texto que você ouviria num Manhattan Connection com
> o Maynard, seria:
>
> Nenhum desses recursos são de fato necessários em um sistema como FreeBSD
> onde consegue-se com mandatory access control, um nível de isolamento das
> aplicações de userland e fatias de processos de kernel tamanho, que geram
> as mesmas proteções e com mais vantagens. Tais fatos já foram expostos na
> Usenix pelo Senhor Doutor Robert Watson onde ele escala de qualquer
> política Systrace (OpenBSD) ou dos LSM (Linux), ou dos controles do W^R
> (além do que o NX bit oferece) de forma trivial e generalista, ou seja uma
> receita única de bolo para colocar por água abaixo tais proteções
> defendidas erroneamente como diferencial relevante nesse blog post
> (leia-se, postagem de blogue).
> Ainda notei minha opinião, mais uma vez de tom pessoal mas percepção
> prática, que o post em questão cita o fato de ter um "pf mais atualizado"
> como diferencial, e ter "pf" como algo "amarelo", tenciosamente não citando
> que o pf no FreeBSD é multithread, apesar do texto mencionar, a tabela
> comparativa ignora, e não citando que no FreeBSD existem 3 opções de
> firewall, não apenas o PF, o que geraria numa tabela comparativa simplista
> como essa mais vantagens para o FreeBSD. Somei a isso o fato do PF estar no
> kernel GENERIC do OpenBSD, e não no FreeBSD, citado como vantagem no post,
> mas que na prática sob a ótica de performance é desvantagem sobretudo tendo
> em vista a natureza monothread do kernel do sistema operacional
> supracitado.
>
> Isso sem contar que a proposta de GENERIC nos sistemas comparados é
> totalmente divergente. Um se propondo a suportar o maior número possível de
> periféricos físicos (leia-se hardware) e outro se propondo a suportar tudo,
> incluindo recursos de kernel que nem sempre são usados, onerando "by
> default" em processamento um sistema já limitado dada sua arquitetura.
> Citei que a ausência que poderia sim ser notada no FreeBSD é de ASLR que
> apesar de na prática, ser uma ausência irrelevante para um sistema que
> oferece mac, capsicum, casper e outros recursos de segurança, ela se faz
> relevante ainda assim, haja vista que MAC e afins ainda que disponíveis no
> kernel GENERIC, precisam ser configurados e explicitamente implementados
> pelo sysadmin. Por outro lado PaX (ou ASLR mais eficiente que do OpenBSD,
> segundo toda a indústria de SI exceto o senhor Deraadt) colocaria alguma
> segurança por padrão de forma mais transparente e portanto mais abrangente,
> então sim é algo a ser notado como ausência relevante no FreeBSD pelas
> vantagens agregadas por padrão mais do que como vantagens absolutas frente
> aos demais recursos existentes.
> Peço desculpas aos demais membros da FUG que por ventura possam ter se
> sentido ofendidos com palavras como "merda" e "bosta", ei de me referir a
> dejetos fecais de outra fora desse momento em diante afim de respeitar os
> possíveis eleitores de Maria do Rosário, Benedita da Silva e Marcos
> Feliciano, que se horrorizam facilmente com qualquer sobre-tom, impaciência
> verbal. Afim de inibir a necessidade de chamar os "direitos humanos" dada a
> desumanização do texto.
>
> De tal forma subscrevo-me, certo que de forma rebuscada, desnecessária, mas
> para alguns mais agradável, eu disse exatamente as mesma coisas, mas em uma
> forma de expressão verbal menos eficiente e menos concisa.
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
Mais detalhes sobre a lista de discussão freebsd