Security: OpenBSD vs. FreeBSD
- Ersteller CW
- Erstellt am
hi
sicherheit ist immer so gut wie das was drum her rum passiert ,
und da ist es egalt ob das ding openbsd , checkpoint , juniper , cisco , oder sonst wie heist.
schaut euch sony an , sie lernen nix ....
und dabei ist z.b. automtisiertes patch management kein hexenwerk.
aber sollange die regel ist das security nur als ungeliebter kostenfakter in den firmen und in den köpfen ist ,
wird sich nix ändern , dabei könnte man schon vorab sehen das man z.b. gerade eine phishing mail vorsicht hat
und nicht anklicken sollte. ( dafuer braucht man noch nichtmal einen virenscanner oder spam detector )
holger
sicherheit ist immer so gut wie das was drum her rum passiert ,
und da ist es egalt ob das ding openbsd , checkpoint , juniper , cisco , oder sonst wie heist.
schaut euch sony an , sie lernen nix ....
und dabei ist z.b. automtisiertes patch management kein hexenwerk.
aber sollange die regel ist das security nur als ungeliebter kostenfakter in den firmen und in den köpfen ist ,
wird sich nix ändern , dabei könnte man schon vorab sehen das man z.b. gerade eine phishing mail vorsicht hat
und nicht anklicken sollte. ( dafuer braucht man noch nichtmal einen virenscanner oder spam detector )
holger
SolarCatcher
Ich stimme dir weitgehend zu. Nur: Ich habe weder über OpenBSD gelästert noch gesagt, es sei irgendwie schlecht. Übrigens habe ich mich auch mehrfach ausdrücklich lobend zu den OpenBSD Entwicklern geäussert.
Aber die Frage hier war ja Sicherheit FreeBSD vs. OpenBSD und das von Anfang an mit der üblichen "OpenBSD ist *das* sichere System" Implikation. Und das stimmt so erst mal nicht, auch wenn viele, viele OpenBSD Fans das natürlich gerne hören und wiederholen.
Auch sind die BSDs ja nicht spinnefeind; im Gegenteil, die haben weit mehr gemeinsam als sie unterscheidet und sie "klauen" (mit freundlichem Grinsen, wohlgemerkt) einander auch jeweils gutes Zeug.
Nicht zuletzt braucht jedes OS einen Platz oder eine Nische. netBSD läuft auf allem, was nicht flüchtet ist die Nische von netBSD und es ist eine gute und wichtige. FreeBSD ist der "Große" mit allgemeiner Tauglichkeit. Und OpenBSD hatte von Anfang an die Nische und Daseinsberechtigung "Wir sind die sichersten" - und diese Nische werden die auch mit Zähnen und Klauen verteidigen. Das sollte man auch im Auge behalten.
Wenn ich mich so umschaue und (selten genug) sichere Systeme entdecke, dann sind das in erster Linie gut aufgesetzte und gewartete Systeme mit einer angemessenen und sinnvollen Auswahl von Software (z.B. daemons) und dem erkennbaren und ordentlich umgesetzten Bemühen um Sicherheit - das OS ist dabei zweitrangig; das kann man mit FreeBSD ebenso hinkriegen wie mit OpenBSD.
Ich bleibe bei dem, was ich dem Autor des verlinkten Artikels auch schrieb: Er hat eine wirklich hübsche Sammlung von Begriffen aus dem Bereich zusammengestellt und (mehr oder weniger gekonnt) gegenüber gestellt und Systemen zugeordnet. Das war's aber auch.
Und nochmal: Sachen wie ASLR sind nicht einfach brilliante Konzepte, die einem präventiven Sicherheitsdenken entwpringen! Das sind fast durch die Bank Sachen, die man sozusagen in der Not und auf dem Schlachtfeld ersonnen und umgesetzt hat, um Schwächen wenigstens zu mildern. Und diese Schwächen gab es auch in OpenBSD. Einfach deshalb weil alle Unixe auf Jahrzehntealtem Code aus einer Zeit bestehen und aufbauen als man sich noch herzlich wenig um Sicherheit scherte.
Was OpenBSD allerdings tut und wo du ein paar Beispiele nanntest (ich übrigens auch) und was absolut löblich und hilfreich ist, ist, wenn auch meist in Nebenprojekten (SSH, NTP, ...) diese uralte Funktionalität aufzuräumen oder gleich neu - und möglichst sicher - zu implementieren. Und das anerkenne und lobe ich auch.
Ich stimme dir weitgehend zu. Nur: Ich habe weder über OpenBSD gelästert noch gesagt, es sei irgendwie schlecht. Übrigens habe ich mich auch mehrfach ausdrücklich lobend zu den OpenBSD Entwicklern geäussert.
Aber die Frage hier war ja Sicherheit FreeBSD vs. OpenBSD und das von Anfang an mit der üblichen "OpenBSD ist *das* sichere System" Implikation. Und das stimmt so erst mal nicht, auch wenn viele, viele OpenBSD Fans das natürlich gerne hören und wiederholen.
Auch sind die BSDs ja nicht spinnefeind; im Gegenteil, die haben weit mehr gemeinsam als sie unterscheidet und sie "klauen" (mit freundlichem Grinsen, wohlgemerkt) einander auch jeweils gutes Zeug.
Nicht zuletzt braucht jedes OS einen Platz oder eine Nische. netBSD läuft auf allem, was nicht flüchtet ist die Nische von netBSD und es ist eine gute und wichtige. FreeBSD ist der "Große" mit allgemeiner Tauglichkeit. Und OpenBSD hatte von Anfang an die Nische und Daseinsberechtigung "Wir sind die sichersten" - und diese Nische werden die auch mit Zähnen und Klauen verteidigen. Das sollte man auch im Auge behalten.
Wenn ich mich so umschaue und (selten genug) sichere Systeme entdecke, dann sind das in erster Linie gut aufgesetzte und gewartete Systeme mit einer angemessenen und sinnvollen Auswahl von Software (z.B. daemons) und dem erkennbaren und ordentlich umgesetzten Bemühen um Sicherheit - das OS ist dabei zweitrangig; das kann man mit FreeBSD ebenso hinkriegen wie mit OpenBSD.
Ich bleibe bei dem, was ich dem Autor des verlinkten Artikels auch schrieb: Er hat eine wirklich hübsche Sammlung von Begriffen aus dem Bereich zusammengestellt und (mehr oder weniger gekonnt) gegenüber gestellt und Systemen zugeordnet. Das war's aber auch.
Und nochmal: Sachen wie ASLR sind nicht einfach brilliante Konzepte, die einem präventiven Sicherheitsdenken entwpringen! Das sind fast durch die Bank Sachen, die man sozusagen in der Not und auf dem Schlachtfeld ersonnen und umgesetzt hat, um Schwächen wenigstens zu mildern. Und diese Schwächen gab es auch in OpenBSD. Einfach deshalb weil alle Unixe auf Jahrzehntealtem Code aus einer Zeit bestehen und aufbauen als man sich noch herzlich wenig um Sicherheit scherte.
Was OpenBSD allerdings tut und wo du ein paar Beispiele nanntest (ich übrigens auch) und was absolut löblich und hilfreich ist, ist, wenn auch meist in Nebenprojekten (SSH, NTP, ...) diese uralte Funktionalität aufzuräumen oder gleich neu - und möglichst sicher - zu implementieren. Und das anerkenne und lobe ich auch.
Diese Schwächen haben doch nichts mit altem Code zu tun. Die kommen daher, dass Programme in C geschrieben werden, welches einem maximale Freiheit beim Umgang mit Speicher bietet, und dass Menschen Fehler dabei machen. Die gibts heute genauso wie vor 30 Jahren.
Wieder mal nur unqualifiziertes Stammtisch-handwaving.
Edit: Den letzten Satz nehme ich zurück. Aber es sollte mittlerweile klar sein, auf welchem fachlichen Niveau sich hier die Meinungen befinden.
Diese Probleme wird es geben, solange es C gibt.
Und eben deshalb beende ich nun auch die Kommunikation mit dir. Viel Spass beim Stammtisch
