Сравнение защищённости FreeBSD и OpenBSD
В статье «SECURITY: OPENBSD VS FREEBSD» представлен достаточно подробный сравнительный обзор систем обеспечения безопасности FreeBSD и OpenBSD. Разбираются механизмы защиты памяти (рандомизация выделяемой памяти, ASRL, защита стека и т.п.), системной безопасности (качество генератора псевдослучайных чисел, средства шифрования, разделение привилегий и опции повышения защищённости системы), защита сетевого стека (рандомизация идентификаторов, нормализация трафика пакетным фильтром), связанные с безопасностью настройки по умолчанию, история выявления опасных уязвимостей. Итоговые выводы не являются однозначными, в каких-то областях лидирует FreeBSD, а в каких-то OpenBSD. Например, в OpenBSD более полно представлены техники защиты памяти и создания помех эксплуатации уязвимостей, в то время как во FreeBSD для их развития лишь недавно был основан проект HardenedBSD, развивающий набор патчей с реализацией ASLR, SEGVGUARD, secfw, SMAP, более защищённых вариантов mprotect, PTrace, mmap (MAP_32BIT) и procfs/linprocfs. С позиции системной защиты и шифрования, оба проекта предоставляют должный набор средств, но FreeBSD может похвастаться наличием Capsicum, мандатного контроля доступа и jail-окружений. OpenBSD интересен ориентированными за максимальную защиту настройками по умолчанию, системой ограничения системных вызовов systrace и пакетным фильтром pf, который доступен и во FreeBSD, но порт пока отстаёт от оригинала на несколько лет.
Полный текст статьи читайте на OpenNet
