LINUX.ORG.RU

OpenBSD в реальной работе

 , , , ,


0

3

В последние месяцы часто ходят слухи о массовом взломе серверов с ОС на ядре Linux в различных организациях. Пора на OpenBSD? Это вроде как одна из лучших ОС в плане безопасности, но как быть с софтом?

В частности: 1С (страшное пропитанное зло, но работать без него не возможно в РФ).

Если тут есть, кто использует OpenBSD на серверах (или другие *BSD системы), то пожалуйста поделитесь опытом.

Перемещено hobbit из general

★★★

ну и читая новости про взломы серверов с ОС на ядре Linux - надо включать голову и анализировать собственную архитектуру. Как минимум вряд ли у тебя линукс с 1с в интернет жопой торчит, правда? Ну и еще надо смотреть, что за уязвимости и как от них защищатся.

Slack ★★★★★
()

В последние месяцы часто ходят слухи о массовом взломе серверов с ОС на ядре Linux в различных организациях. Пора на OpenBSD?

А через что их взламывают? Ибо если ровно тот же самый сервис будет работать в OpenBSD, то это не изменит ровным счётом ничего.

Rootlexx ★★★★★
()

Всегда считал, что люди, кричащие «КУДА БЕЖАТЬ?!» ничерта не понимают в том, о чем они говорят. И админы они такие себе.

Zhbert ★★★★★
()
Ответ на: комментарий от Rootlexx

Одних только privilege escalation через банальный sudo столько, что стыдно такие вопросы задавать и експлойты лежат в открытом доступе.

untitl3d
()
Ответ на: комментарий от Zhbert

А зачем бежать-то, сиди себе ровно на попе ОС Уиндоуз.

sparkie ★★★★★
()

Для безопасности не надо ставить супер секурную ОС, надо никомуненужную. Эффект неуловимого Джо - лучшая безопасность. Скрипткиддисы просто не найдут експлойтов под, например, NetBSD.

untitl3d
()

В последние месяцы часто ходят слухи о массовом взломе серверов с ОС на ядре Linux в различных организациях.

Как ни зайду на ЛОР, тут то джуны набигают, то журналистов насилуют. Доколе!?!

Вот чем тебе смена линуска на опенбсд поможет, если ты рукожоп?

cocucka ★★★★☆
()
Ответ на: комментарий от untitl3d

Ну да, и софт под нее писать на каком-нибудь обероне. Неуловимый джо будет настолько неуловим, что поддерживать эту фигню тоже никто не сможет.

bread
()

Какая необходимость один-эсс (которого под опёнок нет и не будет никогда) в инет выставлять? Если надо «из дома», обычно разномастные VPN и дальше виртуалка/комп с RDP, откуда бушка работает.

BSD автомагически ни от чего не защищает. История успеха так сказать - поломали сайт на фряхе через древний CMS, на который всем пох было и годами туда даже никто не заглядывал. Потом клиенты звонят «хотели на сайте адрес для курьера посмотреть, а там порнуха» :)

yu-boot ★★★★★
()
Последнее исправление: yu-boot (всего исправлений: 1)
Ответ на: комментарий от imul

Каким образом? Сделайте впн.

У нас не торчит, и нас не взламывают. Но приходилось натыкаться на кое-как поднятые серваки с 1С (зачастую на федоре). Вот там содом и гоморра. И линукс у них плохой.

utanho ★★★★★
()
Ответ на: комментарий от untitl3d

надо никомуненужную

Считаете, у гайки есть шанс?

utanho ★★★★★
()
Ответ на: комментарий от untitl3d

Первым дело надо сносить sudo. Зачастую нарочно «ломать» зависимости. Только su

zx_gamer ★★★
() автор топика
Ответ на: комментарий от Slack

Как минимум вряд ли у тебя линукс с 1с в интернет жопой торчит, правда?

Разумеется нет.

Ну и еще надо смотреть, что за уязвимости и как от них защищатся.

Много было на дыры в ядре. Как тут уже кто-то отметил главное, чтобы ОС была не популярная, потому что искать эксполоиты для ОС на которой работает 1,5 землекопа смысла нет – проще хакнуть других.

zx_gamer ★★★
() автор топика
Ответ на: комментарий от alex1101

даже начальник скажет «ты у нас не работаешь»

Но ты взламываешь роутер, и всё равно работаешь. Все в панике, сервер на NetBSD с софтом на Обероне воскресает в сети каждую ночь, он бессмертный и несокрушимый, новый сисадмин не понимает как с ним бороться.

Jameson ★★★★★
()
Ответ на: комментарий от untitl3d

Одних только privilege escalation через банальный sudo столько, что стыдно такие вопросы задавать и експлойты лежат в открытом доступе.

Вот только это не удалённо эксплуатируемые уязвимости, а если у злоумышленника уже есть доступ для эксплуатации локальной уязвимости, то сервер уже скомпрометирован.

Rootlexx ★★★★★
()

В последние месяцы часто ходят слухи о массовом взломе серверов с ОС на ядре Linux в различных организациях.

Так а в скольких случаях ломали именно ядро Linux? А не бухов на венде через заражённый документ, или какой-нибудь CRP/ERP на PHP торчащий в открытый интеренет?

Пора на OpenBSD? Это вроде как одна из лучших ОС в плане безопасности, но как быть с софтом?

Это миф. Объективно о её безопасности говорить сложно, так как статистики использования её в проде нет (потому что использования нет), аудиты не проводятся (зачем аудит того что никто не использует). Если ванговать по косвенным факторам, то пишут её небольшое сообщество дедов остановившихся в своём развитии на c89, так что на уровне кода ей взяться не от куда. Песенки зато поют, это да.

В плане безопасности она хороша разве что hardening’ом по умолчанию, но в ынтерпрайзе он ни на что не влияет - монолитный софт для бызнеса содержит в одном месте и кучу уязвимостей и чувствительные данные, обычно ещё и торчит в интернет, а для системы является чёрным ящиком, и она при всём желании в него залезть и ограничить там вредоносную активность не может, и идёт со всеми своими наворотами от унвейлов и капсикумов до securelevel=3 и r/o root лесом.

К слову, hardening возможен и в других системах и кое-где (HardenedBSD которая FreeBSD, например) что-то сделано наголову лучше.

В частности: 1С (страшное пропитанное зло, но работать без него не возможно в РФ).

Возможно. Но если нужен 1C то ты ограничен тем на чём работает 1C, какого ты тут ответа ждёшь? Можешь гонять его в виртуалке или на отдельной машине (причём она даже не должна смотреть в интернет), тебе не обязательно весь парк переводить на OpenBSD. Что же до свободного софта, то он доступен на любой системе одинаково.

Если тут есть, кто использует OpenBSD на серверах (или другие *BSD системы), то пожалуйста поделитесь опытом.

Если ты не привязан к проприетарному говнецу, то опыт между любыми unix-like системами отличается не больше чем между дистрибутивами linux. Но вот зоопарк из разных систем поддерживать больно.

slovazap ★★★★★
()
Ответ на: комментарий от slovazap

Не совсем миф. Например, если ты в OpenBSD взломаешь httpd то из-за pledge будешь сильно ограничен в своих действиях. В Linux же ты будешь чувствовать себя на много свободней.

urxvt ★★★★★
()

Есть общая тенденция: чем популярнее ОСь - тем тщательнее в ней пытаются найти дыры с целью массового их использования и конвертировать затраченные усилия в бабло. Нашли дыру->написали бота->заразили кучу серверов/компов/мобильников->зарабатывают бабло: либо вставляют рекламу, либо запускают ботнет, либо рассылают спам, либо майнят крипту, либо ... тыща других способов.

С моей точки зрения, оптимально на серверах юзать ОСь которая не является массовой и в тоже время, по своим обладает достаточными возможностями чтоб покрыть большинство потребностей. А для оставшегося меньшинства - есть виртуализация.

iron ★★★★★
()

И причём здесь теги freebsd и netbsd? Это совершенно разные операционные системы, все три.

mord0d ★★★★★
()

freebsd, netbsd, openbsd, безопасность, взлом

взлом

в кало-баню

Pinux001
()
Ответ на: комментарий от urxvt

В Linux же ты будешь чувствовать себя намного свободней.

Это же как раз то, чего добивался Столлман?

cocucka ★★★★☆
()
Ответ на: комментарий от zx_gamer

Устраивают любые BSD системы.

Они все сильно разные, у них даже цели разные.

Я вообще не нашёл применения OpenBSD, даже просто потыкать в виртуалке лапки не дотянулись (что ещё раз подтверждает что у меня для неё задач нет).

У меня везде, где возможно (а возможно везде, кроме роутера, куда оно просто не влезет при всём желании) стоит FreeBSD, в том числе на домашнем сервере (древний одноюнитный Supermicro X8).


Теперь по поводу безопасности.

Я тебе так скажу: даже Windows без антивируса достаточно безопасна, если юзер не дурак, а если дурак, то и HardenedBSD не спасёт. Если софт, который ты поставишь, дырявый, тебе не поможет ничего, потому что даже если ОС как-то тебя "обезопасит", то этот дырявый софт работать не должен в таких условиях. И это нормально. Потому вначале откажись от дырявого софта, а уже потом решай надуманную проблему вопрос с ОС.

mord0d ★★★★★
()
Ответ на: комментарий от mord0d

дырявый софт работать не должен в таких условиях

У условный FreeBSD Jails меня не спасет от дыр в плохом софте?

zx_gamer ★★★
() автор топика
Ответ на: комментарий от zx_gamer

У условный FreeBSD Jails меня не спасет от дыр в плохом софте?

Спасет, но виртуалка понадежнее будет.

iron ★★★★★
()

В последние месяцы часто ходят слухи о массовом взломе серверов с ОС на ядре Linux в различных организациях.

слухи

А ты не читай ИБшные страшилки на ночь.

slackwarrior ★★★★★
()

поделитесь опытом

На 1 стакан гречки берёшь 2-2.5 стакана воды. Варишь на среднем огне до выкипания воды.

grem ★★★★★
()
Ответ на: комментарий от zx_gamer

дырявый софт работать не должен в таких условиях

У условный FreeBSD Jails меня не спасет от дыр в плохом софте?

Смотря от чего. Вообще, придётся давать некоторые разрешения джейлу, чтобы запустить определённый софт (разному софту нужны разные разрешения), потому скорее всего то на то и выйдет.

Лучше, конечно, виртуализация, о чём @iron выше уже написал.

mord0d ★★★★★
()
Ответ на: комментарий от urxvt

Я же ровно про это написал. Повторюсь: а) То же самое можно сделать в Linux б) В реальном мире ломают приложения, в которых никаких pledge не будет в помине.

slovazap ★★★★★
()
Ответ на: комментарий от Pinux001

Ч-чем?

Тем, что по статистике, в системах изоляции дыры позволяющие доступиться к хосту находят чаще чем в гипервизорах (виртуализации). По какой статистике? Берем все CVE, находим все дыры связанные с изоляцией и виртуализацией, отфильтровываем дыры которые позволили jailbreak тому подобный доступ к хосту, сравниваем. Вывод: доступиться к памяти хоста с виртуалки намного сложнее чем с изолированной среды.

iron ★★★★★
()
Ответ на: комментарий от mord0d

Виртуализация кроме оверхеда хороша всем. Убираешь «опасное» за отдельный роутер, нвстраиваешь там анальные запреты вплоть до белого списка ip и против и телемаркет. К тому же, в отличие от доцкеров и иже с ними, кроме знаний привычной ОС не требует вообще ничего.

yu-boot ★★★★★
()
Ответ на: комментарий от yu-boot

Виртуализация кроме оверхеда хороша всем.

Нет, далеко не всем. Но это уже совсем другой вопрос.

Убираешь «опасное» за отдельный роутер, нвстраиваешь там анальные запреты вплоть до белого списка ip и против и телемаркет.

Настраивать в первую очередь надо хост, а виртуалки из нормальной изоляции и так не вылезут.

К тому же, в отличие от доцкеров и иже с ними, кроме знаний привычной ОС не требует вообще ничего.

Не знаю, jail(8) весьма прост, а с каким-нибудь BastilleBSD вообще становится однокнопочным. С bhyve(8) чуть сложнее, но его заруливает vm-bhyve.

mord0d ★★★★★
()
Ответ на: комментарий от zx_gamer

Устраивают любые BSD системы.

macOS? Вроде тоже в предках BSD есть…

QsUPt7S ★★
()
Ответ на: комментарий от zx_gamer

У условный FreeBSD Jails меня не спасет от дыр в плохом софте?

А как может защитить FreeBSD Jails, или даже виртуалка от утечки из дырявой БД, запущенной в этой самой виртуалке?

QsUPt7S ★★
()
Ответ на: комментарий от Slack

софт только опенсорс на openbsd.

Столлман не согласен. Была даже попытка создания форка и добиться признания FSF полностью свободной. Хотя да, тут почти нет проприетарных пакетов, разве, что urbanterror-data из того, что могу вспомнить, ну и блобы для железа конечно ставятся по умолчанию. И тут нет никаких линуксуляторов и вайнов, а ещё она тормазнутая по сравнению с другими *BSD и Linux.

filosof ★★
()
Ответ на: комментарий от mord0d

Это совершенно разные операционные системы, все три.

Их 4 основные так-то, ещё DragonFlyBSD есть и всё таки они родственные операционные системы, понятно, что различий больше, чем между дистрами Linux, у них банально нет бинарной совместимости с друг с другом, но код у друг дружки таскают постоянно, в основном драйвера.

filosof ★★
()
Ответ на: комментарий от filosof

Ну Тео не согласен с Столманом. Из несвободного там только фирмвари, что собственно говоря почти везде, ну и избавлятся от него толку тоже мало, поскольку свободного железа тоже почти что нет.

Slack ★★★★★
()

Вообще резюмируя - опенок действительно хорош в плане безопасности, да и много всяких инноваций пошло от опенка, но если ты собрался его использовать его в проде - ты должен ясно понимать и ограничения этой ос, а их не мало. Это не тоже самое, «что и линукс, только безопасней».

Slack ★★★★★
()
Ответ на: комментарий от Slack

Согласен, Столлман конечно заслуживает уважение за развитие open source, но стоит понимать, что он фанатик и не стоит следовать всем его заветам, особенно когда это идёт скорее во вред. Тео всё же не столь фанатичный, он же не кричит на каждом углу, что Linux и FreeBSD сплошное решето и нужно юзать исключительно OpenBSD, иначе тебя взломают.

filosof ★★
()

Прежде, чем ответить, замечу, что я пользовался OpenBSD в проде несколько лет.

Пора на OpenBSD?

Нет.

В Linux, как в операционной системе, фундаментальных проблем нет. Больше того, есть немало встроенных инструментов (такие, как cgroups, SELinux, подсистема аудита), которые сделают конкретную установку ещё более безопасной и пригодной к отражению атак.

Большинство успешных атак происходит не из-за проблем с Linux, а из-за неправильной настройки (в широком смысле, включая, например, слабую парольную политику) или уязвимостях в приложениях. Приложения на OpenBSD будут те же - если будут, про 1С уже сказали - поэтому это на безопасность не повлияет.

OpenBSD уже стала исследовательской операционной системой, где пробуют новые механизмы защиты, вроде pledge() и unveil(), но стоящие находки быстро появляются в Linux, а иногда и получше.

ivlad ★★★★★
()
Ответ на: комментарий от filosof

Их 4 основные так-то, ещё DragonFlyBSD есть

Так она из беты до сих пор не вылезла, то есть для прода она вообще не годится. )=

и всё таки они родственные операционные системы

Они родственны подходом и лицензией, всё, дальше их пути расходятся. Оригинальный код BSD/4.x уже давно выпилен если не полностью, то почти полностью, а своего уже много больше. Да, периодически таскают друг у друга код, но и его приходится адаптировать. Ну и цели у всех разные.

mord0d ★★★★★
()
Ответ на: комментарий от Slack

Вообще резюмируя - опенок действительно хорош в плане безопасности

Как опёночник со стажем, огласи список возможностей и преимущества OpenBSD касаемо обещаемой безопасности, которые своей уникальностью, ни в коем случае, не уступают другим ОС/дистрибутивам.

Clockwork ★★★★★
()
Ответ на: комментарий от ivlad

OpenBSD уже стала исследовательской операционной системой

А я всё думал, как красиво сказать «не-мейнстрим, формально пригодный к продакшену» :)

yu-boot ★★★★★
()
Для того чтобы оставить комментарий войдите или зарегистрируйтесь.