Date: Wed, 22 May 2002 18:11:55 +0400
From: "Alexander V. Naumochkin" <[email protected]>
Subject: OpenBSD
Tuesday May 21 2002 12:01, Rasul Aslyamov wrote to Gleb Smirnoff:
>> AVN> router/firewall. Очень даже самое то. OpenBSD - фигвам.
>> AVN> Сказка про белого бычка с длинным названием "OpenBSD is the best
>> AVN> choice for router/firewall"...
RA> Чувствую начало новой священной войны ;-))
Мне больше делать нечего.
RA> OpenBSD - система для параноиков, типа меня ;-)
"Hашла, дура, чем гордиться" :))
RA> Основной аспект в ней сделан на безопасность, даже в ущерб
RA> производительности.
Если бы только производительности, то я бы и слова не сказал больше.
Ладно, порассуждаем (без войнушки). Сначала устаканим диспозицию. Итак, речь
идёт о тачке в роли router/firewall. Речи о FreeBSD в этом контексте вести как
бы особо и не хочется - не о десктопах/серверах речь, где она вполне себе на
месте.
Теперь всё же уточним моё понимание router/firewall'а. Это ведь совсем не то,
что стоит у толпы уважаемых собеседников :) Давай будем понимать термин
буквально - это такой *BSD (в нашем случае) box, у которого есть n>1
интерфейсов и firewall software. Всё. Hикаких там вам named, sendmail, ftpd,
apache, popa3d, inetd, продолжать можно до бесконечности. Максимум, что могу
допустить - sshd. В противном случае это уже не firewall ни разу.
И вот имеем мы в качестве выбора вместо звезды в "*BSD box" либо Open, либо
Net. Я считаю, что Net - лучший выбор. Спорить не хочу, можно считать это
убеждением. Можно, разумеется, предложить мне засунуть своё убеждение себе же
в задницу, но я всё же исложу, хотя бы отдавая дань уважения тем, кто обратился
ко мне за разъяснениями моей позиции.
Итак, с моим пониманием router/firewall'а одна из слишком громко заявляемых
ценностей OpenBSD - отсутствие (почти верю :) local exploits отходит куда-то
там на задний план. Hе вообще, но особо не впечатляет - негде ярко отсвечивать
:) А дальше вся команда Theo, очень уж нескромно считающая себя едва ли не
самой умной в мире, поднимает на знамёна безопасность, ещё безопасность и снова
безопасность. Да, я и не пытаюсь ни поставить под сомнения, ни подвергнуть
обструкции их знания и опыт в этой области, но есть ведь и ещё кое-что.
А вот за этим кое-чем посмотрим на The NetBSD Project's Goals: на первой
позиции стоит вовсе не portability, как многие почему-то полагают. Оно у них
только на третьем месте. А вот на первом well designed, stable and fast
system. Как думаешь, какое слово главное? :) Да, я тоже так думаю - stable. И
то, что я знаю о NetBSD, эту самую устойчивость подтверждает. Можешь назвать
что-нибудь устойчивее (ограничимся писюками)? Я тоже не могу :)
Что примечательно - в OpenBSD Project Goals слово stable не упоминается ни разу
:) Зато Try to be the #1 most secure OS - в полный рост :)) Hе, ребята, будь
вы хоть семи пядей во лбу по части безопасности, но прочие характеристики сами
не придут, независимо от уровня аудита кода (тоже предмет великой гордости Theo
& Co).
Теперь припомним, что до почти 3.0-release Open, как и Net, использовала
Reed'овский IPFilter (их развод - та ещё история :)). Откровенно бредовая
параноидальность у Theo сотоварищи, вкупе с переоценкой собственной крутизны,
породила чумовой взгляд на decision bug (как бы это на русском компактно
выразить? :) Все помнят, как вставало раком ядро у Open (кому-то там
контрольные суммы не нравились, что ли), а группа товарищей разработчиков пело
песню о глючном IPFilter? Кто не помнит - копать архивы. Только вот ведь
фигня какая - на Net и Free всё замечательно работало, пакетики дропались,
router/firewall продолжал делать то, для чего поставлен.
Обращаю внимание - _тот_ же самый IPFilter. И наезды со стороны Theo на
Darren'а. Глючный ты софт пишешь, пацак, мы тебе покажем, как надо, мы круты.
Уж так круты, что патчили этот IPFilter до неузнаваемости. И падучей. А оный
софт без их вмешательства на других системах стоит, что называется, rock-solid,
а у них - "написан криво, подпатчим". Думаю, этим они Darren'а и достали.
Остались без IPFilter. Состряпали свой pf, скажете? Hу и что? Во-первых,
продукт зелёный, а хвалёный аудит - маловато будет. Проверку временем очень уж
хочется, а её не слепишь :) А во-вторых, подход-то у команды не изменился.
Вот мы и имеем на сегодня выбор: суперстабильная NetBSD с проверенным IPFilter
или суперсекурная OpenBSD, которую приходится периодически ребать. Так что я
выберу для router/firewall? Hе буду отвечать, сами знаете :)
Матёрым же фанатам OpenBSD могу только порекомендовать ходить на
http://openbsd30.ipfilter.org, там "засранец" Darren показывает "крутейшему"
Theo, как надо делать, если не бредить.
Alexander
PS: Повторюсь: никаких войнушек.
... Слишком скучно быть бессмертным...