Самая защищённая ОС в мире — две удалённые уязвимости за 30 лет непрерывного аудита.
«Безопасность как философия, а не опция: каждая строка кода OpenBSD проверена на предмет угроз ещё до того, как попала в репозиторий.»
OpenBSD — это операционная система, в которой безопасность встроена в процесс разработки, а не добавлена поверх. Команда проекта проводит непрерывный security-аудит кода с 1996 года, и результат говорит сам за себя: за 29 лет зафиксировано лишь две удалённые уязвимости по умолчанию. Это не маркетинг — это измеримый факт, подтверждённый независимыми исследователями.
В стеке IgNix OpenBSD применяется там, где требования к безопасности максимальны: пограничные маршрутизаторы, VPN-шлюзы, bastions (jump-хосты) и DNS-резолверы. PF (Packet Filter) — межсетевой экран, рождённый в OpenBSD и ставший эталоном для всей индустрии. OpenSSH, которым пользуются миллиарды устройств по всему миру, также создан командой OpenBSD. LibreSSL — форк OpenSSL с удалённым legacy-кодом и ежегодным аудитом.
Технически OpenBSD реализует несколько уровней защиты одновременно: W^X (Write XOR Execute) запрещает одновременно записывать и исполнять память; ASLR рандомизирует адресное пространство; Pledge/Unveil ограничивают системные вызовы и доступ к файловой системе на уровне процесса; BTCFI защищает поток управления от ROP-атак. AMD SEV поддерживается для шифрования памяти виртуальных машин.
Килл-фичи:
W^X (Write XOR Execute) — страница памяти может быть либо записываемой, либо исполняемой, но не одновременно — блокирует целый класс эксплойтов
Pledge / Unveil — системные вызовы и ФС-доступ ограничиваются на уровне процесса, компрометация одного сервиса не даёт доступа к остальным
BTCFI — защита потока управления, блокирует Return-Oriented Programming (ROP) атаки
PF (Packet Filter) — эталонный stateful firewall, созданный в OpenBSD и портированный в FreeBSD/macOS
LibreSSL — аудированный форк OpenSSL без legacy-уязвимостей, используется по умолчанию
OpenSSH — де-факто стандарт SSH, создан командой OpenBSD, миллиарды устройств
Минимальная поверхность атаки — минималистичная base system, отключены все неиспользуемые сервисы по умолчанию
Что заменяет: Cisco IOS (для jump-хостов и шлюзов), hardened Linux (Ubuntu Minimal, Alpine), коммерческие NAC-решения
Версия: OpenBSD 7.7
Роль в стеке: Слой 1 — Платформа / Защищённая ОС для периметра