© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Matthias Teege wrote:
> Peter Ross <Peter.Ross(at)alumni.tu-berlin.de> writes:
>>On Sat, 25 Oct 2003, Christian Weisgerber wrote:
>
>>Heisst das, dass die Sicherheitsvorteile so gross sind, dass Du deshalb
>>Performance-Einbussen in Kauf nimmst?
>
> Naja, womit wir wieder beim Thema waeren, "Was heisst Performance
> Einbussen?". Wie willst Du einen Paketfilter/Router auf halbwegs
> aktueller 08/15 Hardware in die Knie zwingen? Mehr als zwanzig oder
> dreissig Netzwerkinterfaces bekommst Du doch nicht rein. Ob der Load
> dann bei 75 oder 85 steht ist doch egal.
:-)
Aber ich kann Unmengen von IP-Aliase darauf legen, beispielsweise um
tausende Jails zu betreiben.
> Die OpenBSD "Einbussen", sind nicht wirklich teuer, wenn es sie denn
> gibt.
Ich bin ja auch dafür, dass man für Sicherheit bezahlen muss, wenn
es not tut. Aber dafür sollte man mal einen extra Thread aufmachen.
>>Da ja auch OpenBSD nicht "magic" ist: Gibt es systembedingt Vorteile, die
>>nicht durch ein sinnvoll konfiguriertes FreeBSD auch zu erzielen sind?
>
>
> Es ist wohl vor allem die Prioritaetensetzung bei der Entwicklung
> und die Codereviews. Ich verwende OpenBSD gerne auf
> Routern/Paketfiltern. Zum einen wegen pf und zum anderen weil
> OpenBSD die mit Abstand coolste Installationsroutine hat. ;-) Sollte
> man gesehen haben.
Oh ja, die ist wirklich für die ganz harten.
> Man kann sich drauf verlassen, dass man nach der Installation keine
> grossen Loecher in der Defaultkonfiguration hat. Nichts was man mit
> FreeBSD oder Linux nicht auch hinbekommt.
Also meine Meinung dazu - wenn wir jetzt schon mal einen Flamewar
starten - ist, wer eine saubere OpenBSD-Installation hinbekommt,
kriegt dieselbe Sicherheit auch bei FreeBSD.
Da auf meine Server sowieso nur ich oder qualifizierte Mitarbeiter/
Freunde Zugriff haben, sind die lokalen Sicherheitslücken fast egal.
Was nicht bedeutet, dass sie ignoriert werden! Aber gegen Lücken
im SSH kann auch OpenBSD nicht viel tun. Und wenn sie erst gefunden
wurden, sind sie auch aus dem FreeBSD draußen.
Im FreeBSD ist per Default IMHO auch so ziemlich alles an Netzdiensten
deaktiviert.
Gruß,
Jens
To Unsubscribe: send mail to majordomo.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Sat 25 Oct 2003 - 19:03:39 CEST