> После прочтения https://vez.mrsk.me/freebsd-defaults.html желание что-то пропало. Ух ты, та пафосная портянка в новом оформлении, с темным фоном и рамочками!
Ну, возьмем второй пункт:
> Mailer Daemon
> FreeBSD includes Sendmail in the base system and enables it by default.
> рассуждения о том, как плох sendmail
Там нагнетается впечатление, что по умолчанию запускается готовый толстый мейлер, но:
% grep sendmail /etc/defaults/rc.conf
# Settings for /etc/rc.sendmail and /etc/rc.d/sendmail:
sendmail_enable="NO" # Run the sendmail inbound daemon (YES/NO).
sendmail_flags="-L sm-mta -bd -q30m" # Flags to sendmail (as a server)
sendmail_cert_create="YES" # Create a server certificate if none (YES/NO)
sendmail_submit_enable="YES" # Start a localhost-only MTA for mail submission
sendmail_submit_flags="-L sm-mta -bd -q30m -ODaemonPortOptions=Addr=localhost"
# Flags for localhost-only MTA
sendmail_outbound_enable="YES" # Dequeue stuck mail (YES/NO).
sendmail_outbound_flags="-L sm-queue -q30m" # Flags to sendmail (outbound only)
А на самом деле запускается по умолчанию ровно то, что описано в мане:
> If the rc.conf sendmail_enable option is set to "NO", a sendmail daemon will still be started and bound only to the localhost interface in order to accept command line submitted mail
Далее по списку идет
> Since I'm more familiar with PF, that's what I use. Unfortunately, the version of PF included with FreeBSD hasn't been synced with upstream since 2009. Do you want such a critical component of your OS (or network device) left largely unmaintained?
То, что это форк, с другим развитием
> This implementation is derived from OpenBSD 4.5.
> It has been heavily modified to be capable of running in multithreaded FreeBSD kernel and scale its performance on multiple CPUs.
и соотв. трудностями синка с апстримом автор то ли умалчивает, то ли вообще не знает.
"largely unmaintained"
hselasky Fri Jul 5 10:31:37 2019 +0000 MFC r349369: Convert all IPv4 and IPv6 multicast memberships into using a STAILQ instead of a linear array.
kp Fri Apr 26 13:00:22 2019 +0000 MFC r346349:
rgrimes Thu Apr 25 21:28:28 2019 +0000 MFC: r345888: Use IN_foo() macros from sys/netinet/in.h inplace of handcrafted code
kp Wed Apr 24 14:08:14 2019 +0000 MFC r346319:
kp Fri Mar 29 14:34:51 2019 +0000 MFC r345177:
kp Sat Mar 23 07:07:44 2019 +0000 MFC r345223:
kp Thu Mar 21 14:17:10 2019 +0000 MFC r345366:
kp Fri Mar 15 11:01:49 2019 +0000 MFC r344921:
kp Sun Mar 10 00:56:38 2019 +0000 pf: Small performance tweak
kp Sat Mar 9 10:28:36 2019 +0000 MFC r340073, r341359:
kp Fri Mar 1 18:12:05 2019 +0000 MFC r344691:
pkelsey Mon Feb 11 23:33:16 2019 +0000 MFC r343534: Don't re-evaluate ALTQ kernel configuration due to events on non-ALTQ interfaces
pkelsey Mon Feb 11 23:30:30 2019 +0000 MFC r343995: Reduce the time it takes the kernel to install a new PF config containing a large number of queues
kp Fri Feb 1 10:04:53 2019 +0000 MFC r343418:
kp Tue Jan 29 17:49:38 2019 +0000 MFC r343295:
kp Tue Jan 22 01:07:18 2019 +0000 MFC r343041
если брать год написания сего опуса:
marcel Sat Dec 10 03:31:38 2016 +0000 Improve upon r309394
glebius Fri Dec 9 18:00:45 2016 +0000 Backout accidentially leaked in r309746 not yet r
eviewed patch :(
glebius Fri Dec 9 17:59:15 2016 +0000 Use counter_ratecheck() in the ICMP rate limiting
.
kp Mon Dec 5 21:52:10 2016 +0000 pflog: Correctly initialise subrulenr
marcel Fri Dec 2 06:15:59 2016 +0000 Fix use-after-free bugs in pfsync(4)
kp Thu Oct 13 20:34:44 2016 +0000 pf: port extended DSCP support from OpenBSD
kp Tue Oct 4 19:35:14 2016 +0000 pf: remove fastroute tag
Т.е. по простонародному - вранье.
Далее идет портянка о недостаточной секурности обновлений и портов и приводится возможность атаки с помощью подмены архива при скачивании и использовать уязвимости libarchiv (ничего похожего в пингвинах конечно же никогда не было, особенно не было в дебиане ))
И опять пафосное:
> These bugs and poor design choices have left FreeBSD users vulnerable to root-level compromise every time they update their system or ports tree. Think about that for a second.
Как будто единственная возможность запустить portsnap из под рута.
А то, что обновлять порты можно через svn/git, что еще и удобнее - скромно умалчивается.
> So how many of these actually need to be done as root? Only the last one. And how many of these are done as root by default in FreeBSD? All of them.
Тут и далее вообще непонятные претензии - билд софта, видите ли, можно запускать из под рута да еще и на хосте. Подписанные пакеты скачиваются не по секурному HTTPS.
> Swap
> I think swap should always be encrypted. FreeBSD developers disagree.
> Now here's the same thing with the swap automatically encrypted:
> # Device Mountpoint FStype Options Dump Pass#
> /dev/ada0p3.eli none swap sw 0 0
> All you need to do is add ".eli" to the device name. A one-time key will be generated and destroyed when swap is unmounted, so the swap contents should be unrecoverable. If you had unencrypted swap previously, consider using dd to write random data over it before encrypting.
Придирка на ровном месте - это вот так. Свап видите ли не зашифрован по умолчанию злобными разработчиками.
А то, что шифрование включается добавлением .eli (это подразумевает подгрузку модуля, монтирование) совсем не магией, а из-за реализованой как раз разработчиками поддержки ...