OpenBSD 7.7

Но если мы говорим про роуер, то если кто-то получил шелл, то ты уже проиграл.

Это применимо не только к роутерам?

Есть ценник на эксплоиты и он не отличается от фрибсд.

Можно линк на страницу заказов ?

Это применимо не только к роутерам?

Смотря о чем мы говорим. Если ты вломился в контейнер с публичным кешем nginx, то толку от этого будет немного, если админы лимитировали доступ к внутренней инфраструктуре на роутерах.

А причём тут OpenBSD?

Это пример того, как получение шелла может ничего и не дать.

Можно линк на страницу заказов ?

Ссылки на нелегальные форумы постить нельзя :)

Публичные биржи уже даже перестали постить BSD. Можешь довольствоваться ценником zerodium (до $50k в среднем на все или до $500k на все по праздникам). И анализом vuldb: https://vuldb.com/?id.284848

Вот относительная свежая бумага: https://www.researchgate.net/profile/Daniel-W-Woods/publication/365302902_Characterising_0-Day_Exploit_Brokers/links/636e335237878b3e87a137d7/Characterising-0-Day-Exploit-Brokers.pdf?origin=publication_detail&_tp=eyJjb250ZXh0Ijp7ImZpcnN0UGFnZSI6InB1YmxpY2F0aW9uIiwicGFnZSI6InB1YmxpY2F0aW9uRG93bmxvYWQiLCJwcmV2aW91c1BhZ2UiOiJwdWJsaWNhdGlvbiJ9fQ

Авторы сложили все в одну категорию “unix-like”, потому что цены те же.

Линукс выглядит намного более удручающе:

https://vuldb.com/?product.linux

Линукс выглядит отсматриваемым. Там люди ищут. Поэтому багов больше.

у линукса больше пользовательская база (в том числе среди корпораций), то он лучше оттестирован

Где были все те тесты, когда юзалиcь те несколько десятков дыр в grub2 последние 20 лет? А сколько в линуксе еще таких же приколов?

Где были все те тесты, когда юзалиcь те несколько десятков дыр в grub2 последние 20 лет? А сколько в линуксе еще таких же приколов?

О, ты вернулся. Напиши про процессы, пожалуйста, мы заждались.

Напиши про процессы

Нет. Не заслужил. Каждому дятлу что-то на пальцах разжевывать некогда.

Нет. Не заслужил. Каждому дятлу что-то на пальцах разжевывать некогда.

- openBSD безопаснее потому что там крутые процессы!

- Ого, какие?

- НЕТ Я ВАМ НЕ СКАЖУ ВЫ НЕ ЗАСЛУЖИЛИ

LMAO. Копиум зашкаливает.

в чем сакральный смысл следования древнему стандарту? Почему не C99, например? Чтобы что?

В теории, компилятор может быть простым как два рубля, а не чудовище типа LLVM.

На практике – LLVM.

Кстати вот отличный пример из публичных обсуждений через email, лол:

Автор написал в рассылку: https://marc.info/?l=openbsd-tech&m=174642676128098&w=2

Ни одного ответа.

Тот же автор пушит в CVS: https://github.com/openbsd/src/commit/a47bbde6641bfbd4cd472c4b5a67e3f628e5a47b

Написано что обсудили с tb и deraadt.

Пока что их «процессы» и «практики» выглядят как «пацан на аутичной тяге порефакторил код и дал дружочкам почитать в IRC».

Так же и со всем остальным. В теории - культура кода и безопасность, а на практике - километр переменных и отставание от линукса.

То, что OpenBSD их не умеет, это не преимущество.

С точки зрения безопасности?

С точки зрения безопасности, если зловред смог получить права рута чтобы загрузить ядерный модуль, твоей системе уже задница. Даже без ядерных модулей есть 100500 способов оставить след в системе, который ты задолбаешься вычищать. В таких случаях сервер просто сносят и накатывают заново.

Если мне не изменяет память, то для эксплуатации уязвимости груба там нужен был физический доступ. При наличии его у злоумышленника, ты можешь считать любую систему априори скомпрометированной, если она явно не была на такое рассчитана.

А ещё можно вспомнить про найденные уязвимости в опенбсд, например вот: https://www.opennet.ru/opennews/art.shtml?num=60845

Да и вообще: https://habr.com/ru/companies/dcmiran/articles/495120/

Я не говорю, что ваша ненаглядная openbsd - решето. Я говорю, что времена поменялись и линукс теперь не менее, а в чем-то и более безопасен. А вот слепая вера в опенка может сыграть с его фанатами злую шутку.

Даже без ядерных модулей есть 100500 способов оставить след в системе, который ты задолбаешься вычищать.

Можно пример ?

Линукс выглядит отсматриваемым. Там люди ищут. Поэтому багов больше.

Особенно с учётом намного большей поверхности атаки Линукса? Сколько бы глаз на него не смотрели, они почему-то разбегаются?

и отставание от линукса.

Отставание по размеру поверхности атаки?

Отставания по фичам для обеспечения безопасности, которые ты проигнорировал.

Даже без ядерных модулей есть 100500 способов оставить след в системе, который ты задолбаешься вычищать.

Можно пример ?

Можно. Просто сунуть запуск своей срани в /etc/rc.local или в любой инит-скрипт какого-нибудь демона. Или в .profile любому юзеру. Один хрен админы OpenBSD это не мониторят.

Другой вопрос, что руткиты – достаточно экзотическая штука, обычно просто биткоин майнят.

Возможно такие линукс фичи нужны лишь осям, у которых уже ранее существующих фич не хватает только из-за их дырявости (сложности правильно реализовать в контексте других сложных новых фич типа контейнеров) и поэтому постоянно лепят всё новые, хоть одна да сработает (может быть)?

НИНУЖНО

Ясно, эту религиозную веру в опенбсз ничем не перебить, даже фактами и пруфами.

Это можно отследить сравнением с бэкапами?

даже фактами и пруфами.

Вот с этим очень плохо особенно у адептов systemd.

Рекомендую Talos и OpenBSD, то и другое избавлено от этой дыры для бэкдоров.

Особенно с учётом намного большей поверхности атаки Линукса? Сколько бы глаз на него не смотрели, они почему-то разбегаются?

Если мы говорим о роутере/VPN, то поверхность атаки там ровно такая же:

• TCP/IP стек
• Фаерволл
• OpenSSH
• Возможно BGP
• Wireguard / OpenVPN

Вот с этим очень плохо особенно у адептов systemd.

Переводом стрелок с фич для обеспечения безопасности, которые отсутствуют в опенке, ты не сделаешь его более безопасным.

Рекомендую посмотреть две мои ссылки на хабр и опеннеть выше, чтобы людей не смешить.

Это можно отследить сравнением с бэкапами?

Ты меня спрашиваешь? Можно, разрешаю. И в люнексе можно. Поэтому возникает вопрос: зачем здесь OpenBSD и как она делает жизнь лучше? Пока получается, что никак.

Меня NFS в OpenBSD интересует только в качестве клиента и то через IPSEC.

Ты меня спрашиваешь? Можно, разрешаю. И в люнексе можно. Поэтому возникает вопрос: зачем здесь OpenBSD и как она делает жизнь лучше? Пока получается, что никак.

IMHO это не тот вектор атаки на OpenBSD, о котором стоит переживать при правильном использовании.

TCP/IP стек Фаерволл

И как оно, достаточно прочное?

OpenSSH

Дыры в котором почему-то находят обычно только на Linux (в контексте сравнения Linux vs OpenBSD)?

Ты меня спрашиваешь? Можно, разрешаю. И в люнексе можно. Поэтому возникает вопрос: зачем здесь OpenBSD и как она делает жизнь лучше? Пока получается, что никак.

IMHO это не тот вектор атаки на OpenBSD, о котором стоит переживать при правильном использовании.

Тогда зачем ТЫ его притащил? Напомню, это ты написал, что OpenBSD «лучше» в ситуации, когда у злоумышленника есть рутовый доступ в систему, потому что в ней нет ядерных модулей.

Примеры по ссылкам показывают, что опенок точно так же подвержен багам, и срач в коде там тоже имеет место, как сюда уже приносили рандомный пример. Так что не надо черрипикать NFS и игнорировать всё остальное.

Тогда зачем ТЫ его притащил? Напомню, это ты написал, что OpenBSD «лучше» в ситуации, когда у злоумышленника есть рутовый доступ в систему, потому что в ней нет ядерных модулей.

IMHO ты что-то путаешь, я лишь упоминал про загружаемые модули ядра, а про доступ от рута - это уже твои фантазии.

Чтобы загрузить модуль, тебе нужен рут. Одно включает другое.

В теории на первый взгляд, как бы да.

И как оно, достаточно прочное?

Вполне.

Дыры в котором почему-то находят обычно только на Linux (в контексте сравнения Linux vs OpenBSD)?

https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=openssh

Да нет, там Linux-спефицики не то то чтобы много.

IMHO ты что-то путаешь, я лишь упоминал про загружаемые модули ядра, а про доступ от рута - это уже твои фантазии.

Загрузить модуль можно только от рута. Ваш К.О.

Тогда зачем ТЫ его притащил? Напомню, это ты написал, что OpenBSD «лучше» в ситуации, когда у злоумышленника есть рутовый доступ в систему, потому что в ней нет ядерных модулей.

IMHO ты что-то путаешь, я лишь упоминал про загружаемые модули ядра, а про доступ от рута - это уже твои фантазии.

Можно пример сценария, при котором вредный ядерный модуль попадёт в систему помимо взлома и получения доступа к учётной записи root?

Да нет, там Linux-спефицики не то то чтобы много.

По твоему линку находится несколько вариантов non-OpenBSD, но ни одного non-linux, non-debian, non-windows ?

IMHO это не тот вектор атаки на OpenBSD, о котором стоит переживать при правильном использовании.

Это буквально самый распространенный вектор атаки в мире. Получить рута и положить руткит в автозагрузку.

По твоему линку находится несколько вариантов non-OpenBSD, но ни одного non-linux, non-debian, non-windows ?

И? Большинство багов в OpenSSH – в самом коде OpenSSH. Есть ещё какое-то количество в линуксо-специфичной авторизации, но, как ловко заявляют люди из OpenBSD – «это не включено по умолчанию, а значит не считается». Например, там куча багов в Kerberos, но кого это волнует, если на роутере никакого Kerberos нет?

На практике, на второй, как бы тоже.

Ну чо ты как маленький. Посылаешь специально сформированный UDP-пакет по сети, он вызывает переполнение в разжиревшем линуксовом ядре, а следом посылаешь загружаемый модуль.

Сделал бы кто-нибудь Linux дистрибутив (или хотя бы кастомизирующий скрипт), например, на базе Alpine, чтобы он стал похож на OpenBSD по своему минимализму. Статическое Libre ядро и т.п.

А зачем его делать? Как это поможет кому-то?

IMHO некоторые выбирают OpenBSD как раз из-за отсутствия подобного Linux дистрибутива, максимально защищённого сразу из коробки.

Таких подавляюще мало. И в таком дистрибутиве не очень много смысла.

Для серверного применения он не уменьшит поверхность атаки, потому что так и так надо добраться до рута. И дырка скорее всего найдется в самом серверном ПО.

Для роутеров минималистичные оси и так существуют. Либо берешь openwrt и чуток докручиваешь конфиг ядра, либо собираешь свое из buildroot.

Для спецприменений берешь тот же buildroot или вообще делаешь по LFS. И то преимуществ перед опенком тут будет больше в виде накопленного опыта в интернетах для решения каких-либо проблем, и благодаря продвинутым фичам безопасности линукса.

Вот так и получается, что у опенка особых преимуществ так-то и нет. Ну разве что лицензия, дружественная к проприетарщикам.

Сделал бы кто-нибудь Linux дистрибутив (или хотя бы кастомизирующий скрипт), например, на базе Alpine, чтобы он стал похож на OpenBSD по своему минимализму. Статическое Libre ядро и т.п.

Это все уже есть: https://man7.org/linux/man-pages/man7/kernel_lockdown.7.html