Издательский дом ООО "Гейм Лэнд"СПЕЦВЫПУСК ЖУРНАЛА ХАКЕР #69, АВГУСТ 2006 г.

SPECIAL ОПРОС

 

Спецвыпуск: Хакер, номер #069, стр. 069-066-2


OpenBSD не имеет аналогов в opensource-мире по двум параметрам: безопасность и сетевые возможности. Ребята из OpenBSD были первыми, кто включил в базовую систему такие механизмы проактивной безопасности, как защиту от переполнений буфера в собираемых их компилятором (модифицированным gcc) программах, защиту от выполнения кода в стеке (механизм W^X), рандомизацию адресов выделяемой памяти (модификации в malloc(3), mmap(2)). Они также внедрили механизмы privilege separation и privilege revocation во все сетевые сервисы и утилиты. Средство удаленного администрирования UNIX-машин, OpenSSH, являющееся стандартом де-факто в UNIX-мире, - также дело рук парней из OpenBSD. Причем все эти механизмы входят и включены в систему by default, в отличие от порочной практики, принятой в Linux-мире, согласно которой хорошую систему надо собирать, руководствуясь принципом «с миру по патчу» ;).

Что касается сетевых возможностей, не побоюсь предположить, что «негласная» цель проекта OpenBSD – сделать, с точки зрения функционала, аналог популярных сетевых устройств от Cisco, в первую очередь речь здесь, конечно, идет о межсетевых экранах Cisco Pix. Но аналог открытый и свободный. OpenBSD «из коробки» умеет фильтровать и приоритезировать трафик с помощью мощнейшего пакетного фильтра pf, не имеющего аналогов. Настройка IPSec сводится к двум-трем телодвижениям, благодаря утилите ipsecctl(8), также не имеющей аналогов. То есть настройка IPSec стала не сложнее настройки правил файрвола. Есть поддержка агрегации сетевых интерфейсов (trunk) и прозрачного резервирования (failover) для построения отказоустойчивых кластеров, в том числе и для IPSec-соединений! В базовую систему входят демоны bgpd(8) и ospfd(8), для построения на базе OpenBSD динамического BGP или OSPF-маршрутизатора соответственно. Конечно, идеальных систем не бывает - разработчики OpenBSD не успевают следить за новым железом, да и производительность некоторых подсистем (файловая система, система нитей, поддержка SMP) оставляет желать лучшего. Однако, с точки зрения безопасности и по сетевым возможностям, OpenBSD - безусловно, система номер один, и не только в opensource-мире.

Крис Касперски:

Рынок предлагает довольно большой выбор, а на цвет и вкус все фломастеры разные. BSD (особенно NetBSD) перенесена на множество платформ, от суперкомпьютеров до «контроллеров лифта» и прочих встраиваемых устройств. Все операционные системы семейства BSD бесплатны, поставляются в открытых исходных текстах (с правом модификации и доработки), хорошо масштабируются, выдерживают большую нагрузку даже на скромном железе, позволяя собрать приличный сервер, обслуживающий миллионы пользователей одновременно, оплатив только оборудование и, естественно, работу администратора. BSD неприхотлива, но для обращения с ней нужен хороший специалист, поскольку BSD ориентированна именно на специалистов.

Назад на стр. 069-066-1  Содержание  Вперед на стр. 069-066-3