BSD-k biztonsági szintjeinek, képességeinek összehasonlítása

FreeBSD

És a nyomós kérdés:

És a válasz a HardenedBSD társalapítójától:

¯\_(ツ)_/¯

( TCH | 2018. 07. 23., h – 13:11 )

És az OpenBSD-sek mit szólnak ehhez a listához?

Minek kellene a telnet? Max tesztelni jo (mail smtp, imap uzenetek), de ezen kivul semmilyen hasznalatra nem a legjobb eszkoz szerintem. Bar lehet nalad van valami kulonleges dolog amire kell. Szoval no offense, csak en nehezen tudom elkepzelni mire is kellene telnet.
En meg a sajat halozatomban is inkabb ssh-t hasznalok.

Mert minek titkosítani helyi hálózaton, két saját gép között a forgalmat? Az ssh sokkal nagyobb CPU terhelést csinál. Ez persze valami tápos pécén nem akkora katasztróka, de pl. egy RPi 1-en, vagy valami hasonló kaliberű hardware-en azért már meglátszik. Főleg, ha egyszerre több irányba is van ssh kapcsolat.

Szoval az otthoni halozaton ket gep kozott rengeteg SSH session-t nyitsz. Mert most mar arrol beszelunk hogy az otthoni belso halon ket gep kozott nyitott nagy szamu ssh session miatt teljesen belassulnak a gepek...

Mennyi SSH session kell ehhez, milyen procin? Erdekelne. Nalam az rpi2 siman viszi az ssh sessonoket merheto terheles nelkul. Sot a 16MB memoriaval rendelkezo routeren sem okoz gondot.

Csak példa volt, nem szoktam amúgy.

Csabi# time netkit-rsh 192.168.10.100 ls >/dev/null
netkit-rsh 192.168.10.100 ls > /dev/null 0,00s user 0,00s system 0% cpu 0,037 total
Csabi# time ssh 192.168.10.100 ls >/dev/null
ssh 192.168.10.100 ls > /dev/null 0,02s user 0,00s system 26% cpu 0,106 total

Ez az asztali gépemen volt egyetlen egy session; AMD FX-8350 Octa-Core 4.0GHz AM3+

Én ezt értem és nem is az értelmét vontam kétségbe az ssh-nak nagy általánosságban; én azt mondtam, hogy egy otthoni vezetékes hálózaton semmi értelme. Lehet vitatkozni rajta, hogy most mennyi az annyi, meg van-e akkora overhead, hogy észlelhető legyen a különbség, vagy sem (egyébként az adatmennyiség növekedésével egyre inkább lesz, ld. a logot a végén), de ez főként elvi kérdés. A titkosítás nem cél, hanem eszköz. Ahol nem kell, oda minek?

Csabi# freemem
Csabi# time netkit-rsh 192.168.10.100 dd if=/dev/sda1 bs=16MiB count=256 >/dev/null
256+0 records in
256+0 records out
4294967296 bytes (4.3 GB, 4.0 GiB) copied, 15.7938 s, 272 MB/s
netkit-rsh 192.168.10.100 dd if=/dev/sda1 bs=16MiB count=256 > /dev/null 0,28s user 2,81s system 19% cpu 15,889 total
Csabi# freemem
Csabi# time ssh 192.168.10.100 dd if=/dev/sda1 bs=16MiB count=256 >/dev/null
256+0 beolvasott rekord
256+0 kiírt rekord
4294967296 bájt (4,3 GB, 4,0 GiB) másolva, 24,3745 s, 176 MB/s
ssh 192.168.10.100 dd if=/dev/sda1 bs=16MiB count=256 > /dev/null 6,90s user 3,57s system 42% cpu 24,561 total

Most már nincs az ssh-nak olyan opciója, hogy kiválaszthatod, hogy milyen titkosítást használjon, és választhatsz kis terhelésű de nem annyira biztonságosat vagy teljesen titkosítás nélkülit?

Úgy emlékszem, volt valami gépem, jó 15 éve, ahol az spc-s másolás esetén a processzor volt a szűk keresztmetszet, és valami scp kapcsolóval a titkosítást ki lehetett kapcsolni, és olyankor a proci alig dolgozott, nagyobb volt lényegesen az átviteli sebesség és a szűk keresztmetszet valami más volt (talán a hálózat vagy a hdd).

Választhatsz másik titkosítást, de tök mindegy melyiket választod, mindenképpen lassabb és erőigényesebb lesz, mint a titkosítatlan telnet/rsh.
Kikapcsolni nem lehet a titkosítást, legalábbis az operációs rendszerek által szállított binárisokban le van tiltva a cipher none. (Legalábbis én nem tudok olyan oprendszert, legyen szó BSD-ről, Solarisról, vagy Linuxról, ahol ez engedélyezve volna.) Ha újraforgatod magadnak, akkor bekapcsolhatod. De akkor meg mi értelme van az egésznek? Mitől jobb egy kikapcsolt titkosítású ssh, mint az rsh/telnet?

Én annó azért használtam a kikapcsolt titkosítású scp-t vagy ssh-t, mert az adott környezetben ssh volt, egy csomó eszköz, pl. rsync alapból az ssh-t hívta meg.

Lehet, hogy rcp és rsh is működött volna, de utána kellett volna olvasni, hogy lehet átállítani az eszközöket, hogy azzal próbálkozzanak + tesztelni.

Egyszerűbb és sokkal gyorsabb volt az amúgy is használt ssh-nak átadni egy paramétert.

( ibenny v | 2018. 07. 23., h – 14:31 )

Hiába nézem ezt a listát, FreeBSD-n továbbra sem érzem magam kevésbé biztonságban. :)

( atomheart v | 2018. 07. 23., h – 18:38 )

"What's stopping #FreeBSD from merging in from #HardenedBSD ??"

Kapacitashiany? Nincs ember, aki az egeszet reviewozza, letesztelje, vallalja a karbantartasat a FreeBSD projektben? hbsd-sek sajat bevallasuk szerint "ease of development."-ert inditottak, ebbol nekem az jon le, hogy ok szivesen szorakoznak az uberfasza ficsorok leimplementalasaval, de hogy ezeket egy kozosseg elott meg is vedjek es azzal egyuttmukodve dolgozzanak azon, hogy az egesz production-ready allapotba keruljon, mar budos. :^P

----------------------
"ONE OF THESE DAYS I'M GOING TO CUT YOU INTO LITTLE PIECES!!!$E$%#$#%^*^"
--> YouTube csatornám

Itt ha jol ertem, senki sem kuldte el ezeket a freebsd-nek, hanem azt varnak, hogy onnan emelje be valaki, azaz a szerzok kb elhataroljak magukat a freebsd projekttol.

----------------------
"ONE OF THESE DAYS I'M GOING TO CUT YOU INTO LITTLE PIECES!!!$E$%#$#%^*^"
--> YouTube csatornám

Lasd Shawn-nak a valaszait itt a cikkben, "HardenedBSD is open source. FreeBSD is free to merge in any bits of code they would like.". Azaz, mi leszarjuk fbsd-t, ha akarjak, atvehetik, az ok dolguk.

----------------------
"ONE OF THESE DAYS I'M GOING TO CUT YOU INTO LITTLE PIECES!!!$E$%#$#%^*^"
--> YouTube csatornám

Szerintem bőségesen belejátszik az is, hogy a HardenedBSD alapvetően fókuszál a biztonságra, egy nem ilyen rendszeren nem érdemes minden szar security related patchet mergelni, mert simán elképzelhető, hogy marginális biztonság növekedés mellett viszonylag nagy performance impact, vagy regresszió van. Pl. a PIE flag linuxon is elég fura problémákat képes okozni.

" mert simán elképzelhető, hogy marginális biztonság növekedés mellett viszonylag nagy performance impact, vagy regresszió van. "

Ja, meg konnyu egy "hobbi projektben" implementalgatni barmit, nincs tet, senki sem hasznalja elesben, egy komolyabb projekt viszont ha maga akarna atvenni es integralni a modositasokat, megertem, miert nem ilyen helyrol akarnak. Persze, nem kizart, hogy magas szinvonalu munkat vegeztek a fejlesztok es mindent agyontesztelnek, szal nem szolom le a munkajukat latatlanban, csak egy outsiderkent atfutva a honlapjukat nem szavaznek nekik tul sok bizalmat...

----------------------
"ONE OF THESE DAYS I'M GOING TO CUT YOU INTO LITTLE PIECES!!!$E$%#$#%^*^"
--> YouTube csatornám

( cruiser | 2018. 07. 23., h – 20:09 )

A kérdés végül is az, miért teljesen üres a második oszlop? Stratégiának kicsit furcsa lenne.

( xclusiv v | 2018. 07. 23., h – 19:56 )

csak nekem jutott erről eszembe a klasszikus iphone vs. kő összehasonlítás?

( turul16 v | 2018. 07. 27., p – 11:08 )

Azt hiszem meg van magyarazat arra, hogy meirt jon ki jobban freebsd nemely benchmarkon ;-)

Amit nem lehet megirni assemblyben, azt nem lehet megirni.