[FUG-BR] [FYI] Security : OpenBSD x FreeBSD

[Paulo Henrique - BSDs]

On 22/12/2014 19:28, Oscar Marques wrote:
> Parabéns Evandro.
>
> Tô rindo pra caralho.
> Será que vou ter que reescrever o email também?
> Em 22/12/2014 19:15, "Eduardo Alvarenga" <eduardo.alvarenga em gmail.com>
> escreveu:
>
>> Jesus como você é desnecessariamente fútil.
>> Você preferiu subir no banquinho e refazer um email desse tom, gastar
>> neurônios e tempo a simplesmente calar-se.
>>
>> Acho que outros aqui podem julgar o que ocorreu e o que você acabou de
>> tentar fazer.
>>
>> Desejo a você um feliz natal. Você precisa de um.
>> Em 22/12/2014 18:10, "Evandro Nunes" <evandronunes12 em gmail.com> escreveu:
>>
>>> Prezado Eduardo Alvarenga conhecido e ofendido "OpenBSDzeiro",
>>>
>>> Ei de resumir meu e-mail em linguagem não coloquial e em seu nível de
>>> literatura, em estima ao intelecto vosso e dos demais:
>>> Em minha humilde e impaciente opinião, o post desse blog trata apenas de
>>> uma coletânea de informações tendenciosas e pouco justas, além de
>>> incompletas e não razoáveis. Em especial no que tange a tabela
>> comparativa
>>> com excesso de cores.
>>>
>>> A maior parte das tecnologias outrora citadas são implementadas em outros
>>> sistemas como Windows 2000 em sua plenitude, e comprovadamente não torna
>>> esses sistemas mais seguros. Em minha opinião prática de usuário também
>>> OpenBSD, esses recursos tem como principais características no OpenBSD as
>>> seguintes:
>>>
>>> 1) Tratam-se de recursos exclusivos e de eficiência duvidosa, que
>> colocam o
>>> OpenBSD em sua exclusividade tecnológica em pé de igualmente com...
>>> Microsoft Windows.
>>>
>>> 2) Tratam-se de recursos que adicional sobrecarga desnecessária ao
>> sistema
>>> com benefícios de segurança não constantes, variando essencialmente nas
>>> técnicas de ataques, e que poderiam ser mitigadas de forma mais genérica
>> e
>>> menos onerosa sob a ótica de processamento.
>>>
>>> Some a isso o fato conhecido que o OpenBSD é um sistema essencialmente
>>> monothread, um dos poucos sistemas que se propõe a serem usados em
>>> ambientes críticos mas que não tem uma arquitetura moderna de
>>> processamento, então a sobrecarga imposta por tal tecnologia torna-se um
>>> recurso ainda mais oneroso visto que independente de quantas CPU você
>>> tiver, estamos falando de recursos de kernel e que portanto não serão
>>> executados em outro lugar que não na CPU0.
>>> Ademais, a tendência do post nesse blog e sua imprecisão são notáveis em
>>> especial pela ausência mais que relevante de tecnologias existentes no
>>> FreeBSD mas não no OpenBSD, diferente do mac e jail citados, as
>> diferenças
>>> vão muito além, caso em que eu citei apenas as seguintes, sem esforço ou
>>> trabalho de buscar outras:
>>>
>>>> - jails
>>>>> - bhyve
>>>>> - mac
>>>>> - acl
>>>>> - capsicum
>>>>> - casper
>>>>> - openpam
>>>>> - bsmaudit
>>>>> - auditd, auditdistd
>>>>> - kernel securelevel integrado com mac, capsicum, casper, acls
>>>>> - p1e extended attributes
>>>>> - zfs com um milhao de recursos de seguranca
>>>>> - geom com geli, gbde, gshsec, etc
>>> Por gentileza onde você lê "milhao" leia "milhão",
>> s/seguranca/segurança/g
>>> para que vosso pavor da linguagem coloquial não impeça ainda mais vssa
>>> leitura. Sim tive que carregar um Xmodmap para redigir esse e-mail
>> buscando
>>> pontuações e acentos que sabemos, não são típicos ou imperativos na
>>> comunicação por internet mas Vssa. Senhoria parece se incomodar. Tive
>>> também que carregar o X e redigir o texto fora do console já para isso.
>>>
>>>
>>>>> meia duzia de politica mac enfia essas merdas do openbsd debaixo do
>>>> tapete
>>>>
>>> O que quis dizer em um texto que você ouviria num Manhattan Connection
>> com
>>> o Maynard, seria:
>>>
>>> Nenhum desses recursos são de fato necessários em um sistema como FreeBSD
>>> onde consegue-se com mandatory access control, um nível de isolamento das
>>> aplicações de userland e fatias de processos de kernel tamanho, que geram
>>> as mesmas proteções e com mais vantagens. Tais fatos já foram expostos na
>>> Usenix pelo Senhor Doutor Robert Watson onde ele escala de qualquer
>>> política Systrace (OpenBSD) ou dos LSM (Linux), ou dos controles do W^R
>>> (além do que o NX bit oferece) de forma trivial e generalista, ou seja
>> uma
>>> receita única de bolo para colocar por água abaixo tais proteções
>>> defendidas erroneamente como diferencial relevante nesse blog post
>>> (leia-se, postagem de blogue).
>>> Ainda notei minha opinião, mais uma vez de tom pessoal mas percepção
>>> prática, que o post em questão cita o fato de ter um "pf mais atualizado"
>>> como diferencial, e ter "pf" como algo "amarelo", tenciosamente não
>> citando
>>> que o pf no FreeBSD é multithread, apesar do texto mencionar, a tabela
>>> comparativa ignora, e não citando que no FreeBSD existem 3 opções de
>>> firewall, não apenas o PF, o que geraria numa tabela comparativa
>> simplista
>>> como essa mais vantagens para o FreeBSD. Somei a isso o fato do PF estar
>> no
>>> kernel GENERIC do OpenBSD, e não no FreeBSD, citado como vantagem no
>> post,
>>> mas que na prática sob a ótica de performance é desvantagem sobretudo
>> tendo
>>> em vista a natureza monothread do kernel do sistema operacional
>>> supracitado.
>>>
>>> Isso sem contar que a proposta de GENERIC nos sistemas comparados é
>>> totalmente divergente. Um se propondo a suportar o maior número possível
>> de
>>> periféricos físicos (leia-se hardware) e outro se propondo a suportar
>> tudo,
>>> incluindo recursos de kernel que nem sempre são usados, onerando "by
>>> default" em processamento um sistema já limitado dada sua arquitetura.
>>> Citei que a ausência que poderia sim ser notada no FreeBSD é de ASLR que
>>> apesar de na prática, ser uma ausência irrelevante para um sistema que
>>> oferece mac, capsicum, casper e outros recursos de segurança, ela se faz
>>> relevante ainda assim, haja vista que MAC e afins ainda que disponíveis
>> no
>>> kernel GENERIC, precisam ser configurados e explicitamente implementados
>>> pelo sysadmin. Por outro lado PaX (ou ASLR mais eficiente que do OpenBSD,
>>> segundo toda a indústria de SI exceto o senhor Deraadt) colocaria alguma
>>> segurança por padrão de forma mais transparente e portanto mais
>> abrangente,
>>> então sim é algo a ser notado como ausência relevante no FreeBSD pelas
>>> vantagens agregadas por padrão mais do que como vantagens absolutas
>> frente
>>> aos demais recursos existentes.
>>> Peço desculpas aos demais membros da FUG que por ventura possam ter se
>>> sentido ofendidos com palavras como "merda" e "bosta", ei de me referir a
>>> dejetos fecais de outra fora desse momento em diante afim de respeitar os
>>> possíveis eleitores de Maria do Rosário, Benedita da Silva e Marcos
>>> Feliciano, que se horrorizam facilmente com qualquer sobre-tom,
>> impaciência
>>> verbal. Afim de inibir a necessidade de chamar os "direitos humanos"
>> dada a
>>> desumanização do texto.
>>>
>>> De tal forma subscrevo-me, certo que de forma rebuscada, desnecessária,
>> mas
>>> para alguns mais agradável, eu disse exatamente as mesma coisas, mas em
>> uma
>>> forma de expressão verbal menos eficiente e menos concisa.
>>> -------------------------
>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Olha o respeito na lista por favor,

Para esses fins por favor redirecionar o assunto para a lista 
chat em fug.com.br

flamers >> /dev/null
Att.

-- 
Paulo Henrique.
Grupo de Usuários de Sistemas BSDs no Brasil.
Fone: +55 21 96713-5042

Não importa o que faça, sempre haverá alguém em algum lugar do mundo que será sempre melhor do que você.