> W^X -> технология, основанная на Х-бит? Если так, то она есть -
> ею можно пользоваться в userspaceВозможно, в последних версиях FreeBSD действительно появился аналог W^X, но я об этом ничего не слышал. Полтора года назад в 7.x ничего подобного не было. Но вы, скорее всего, имеете ввиду возможность вручную (из кода приложения) фактически маппить страницы без PROT_EXEC - в плане безопасности в общем случае это не даёт ничего.
> UDEREF, USERCOPY -> чисто linux технология? Поскольку во FreeBSD я ею недавно
> пользовался (это издевка ;)
И в чём смысл издёвки? Дать собеседнику понять, что он зря тратит время на троллей? По UDEREF для x86 есть документация на pax.grsecurity.net, по UDEREF для amd64 есть вводная в архивах рассылки Grsecurity. Плюс хелп в конфигураторе ядра для большинства механизмов защиты. Если интересно, изучайте - я для того все названия и привожу.
> SSP -> Stack-Smashing Protector (ProPolice) это рандомная фишка gcc, которая кушает 5%
> на тестах, и в реальных боевых условиях не сделает из компа
> ракету.
Знаете, есть задачи, где и 80% падение производительности оправдано, а вы о 5%... Например, вам лично важны эти 5% (допустим, что именно 5, а не 0.5 или 2) от скорости работы sudo? Или от скорости парсингда ASN.1 на этапе обработки сертификатов, при том что на последующих стадиях блочные шифры оптимизированы в ассемблере или сгружены на акселератор? Почитайте историю OpenSSL - в его парсере ASN.1 в принципе уже были уязвимости.
К тому же, никто не заставляет вас терпеть SSP там, где не хотите - просто собирайте без -fstack-protector[-all]. В Hardened Gentoo для этого можно просто выбрать профиль компилятора. Однако, во FreeBSD до недавнего времени (без сторонних патчей) нельзя было ничего собрать с SSP - выбора почти никакого. С патчами (в т.ч. для включения рандомизации) я и сам собирал, но это лишние затраты на сопровождение и риски, связанные с потенциально нестабильной (никем не протестированной) кодовой базой.
> Все остальные технологии основаны на рандомизации. Круто быть рандомно защищенным и платить
> за это усложнением поддержки разрабатываемого кода, невозможностью дебага, поднятым ручником
> для всех приложений.
Да ну? В gdb 7.x есть поддержка PIE. В случае с PaX рандомизацию и MPROTECT можно отключить с пол пинка через paxctl. И так уж ручником? Лет 6 пользуюсь "ручниками", а тормоза наблюдал только по вине багов в коде основной ветки ядре, с безопасностью не связанных.
> Давайте сравним? OpenBSD во главу угла ставит параноидальную защищенность. Её можно воспринимать
Защищённость в OpenBSD пришла почти случайно, по колее гонки за корректностью, и очень часто, невзирая на репутацию, там поступаются безопасностью ради корректности и простоты (сопровождения кода).
> как платформу для обкатки технологий, которые потом появляются в других ОС.
Так они до сих пор нигде и не появились, по большему счёту. PaX и Grsecurity в линуксе начались раньше, независимо. Это к слову.
> NetBSD - переносимость.
Линукс уже работает на большем количестве платформ, и это не мешает ему служить для эффективного решения других задач. Тоже к слову.
> DragonFlyBSD - класстеризация.
Экспериментальная ОС, в которой кластеризация - лишь следствие принятых подходов, направленных на совершенствование архитектуры и повышение эффективности параллельных вычислений.
> FreeBSD - это платформа для
> продакшен серверов, которую можно и нужно сравнивать с Windows и Linux.
Я помню, как после очередного обновления в рамках rolling release (или как они называют этот принцип) поймал на этой "платформе для продакшен серверов" бинарную несовместимость с кодом недельной давности - сменили значения констант флагов в fnctl. Помню, как после обновления vsftpd он стал подвисать при работе по ftps с большинством клиентского софта, а общепринятых способов отката на предыдущую версию порта там нет (?). Продакшен! Даже в лохматом Portage всё гораздо лучше.
> Весь этот зоопарк *BSD* ОС подобен зоопарку Linux платформ, только BSD
> более четко разделены меж собой по подходу.
Да нет там никакого чёткого разделения. Это всё условности, граница между которыми на практике очень размыта. OpenBSD - форк NetBSD по причине разногласий. DragonFly BSD - форк FreeBSD по той же причине. Если там кто и разделён, то это разработчики. :)
> И вообще, считается, что защита связанная с усложнением технологии по преодолению защиты
Любой принцип можно довести до абсурда, игнорируя даже чёткие доводы и наглядные примеры. Случай с безопасностью во FreeBSD как раз такой. Там просто гонятся за производительностью и функционалом, а положение неуловимых джо позволяет говорить и делать глупости.
> системы не может считаться достаточным для целого ряда программных ошибок, способных
> привести к компрометации системы или хранимой ею данных. Нет гарантии, что
> код, призванный защитить от проникновения, сам не послужит ступенькой для злоумышленника.
Зато есть гарантия, что апостериори существующие ошибки с обращением по указателям на юзерспейс обеспечивают возможность компрометации. На практике, сколько уявзимостей было найдено в реализациях защиты от обращения по указателям в юзерспейс? Несоизмеримо меньше, чем уязвимостей _из-за_ отсутствия защиты от обращения по указателям в юзерспейс.
> Поэтому во FreeBSD разработчики кодовой базы избегают модных тенденций, портируя лишь
> зарекомендовавшие себя технологии.
Ну, это просто неправда. Вот ZFS - давно она себя зарекомендовала?
> Чтобы мой ответ не послужил темой холивора, отметичу, что на сегоднешний день
> ни одна ОС не может считаться идеальной. Прекрасно представляю, насколько это
> касается FreeBSD, поскольку мне с ней приходится более всего работать. Профессионалы
> знают недостатки тех систем, с которыми работают. Именно это их кормит.
> Хотел бы узнать, какими ОС вы занимаетесь?
Профессионалы должны уметь подбирать инструмент, по совокупности качеств наиболее подходящий для решения конркетных задач. И по этому критерию, из-за априорных суждених о "ручниках" вне контекста задачи профессионала в вас узнать сложно.
