Единственная ОС, где безопасность — не фича, а архитектурный принцип с 1995 года
Если FreeBSD — это мощность и функциональность, то OpenBSD — это параноидальная безопасность как философия. Команда OpenBSD провела первый в истории публичный аудит исходного кода операционной системы ещё в 1996 году и не останавливается с тех пор.
Kill-фича: код аудируется вручную — постоянно
От 6 до 12 разработчиков непрерывно читают весь исходный код на предмет уязвимостей. Это не автоматический сканер — это ручной аудит каждой строки. Результат: одна удалённо эксплуатируемая уязвимость по умолчанию за всё время существования системы. Ни одна коммерческая система не может предъявить такую статистику.
Kill-фича: PF — эталонный межсетевой экран
Packet Filter (PF) разработан внутри OpenBSD и считается эталоном среди firewall-движков. Именно PF портирован в FreeBSD, macOS и другие системы — но на OpenBSD он живёт в нативной среде и обновляется синхронно с ядром.
Stateful и stateless фильтрация
NAT, PAT, редирект трафика
Нормализация пакетов — защита от fingerprinting и аномального трафика
Очереди и приоритизация (ALTQ/HFSC) — QoS на уровне ядра
Геоблокировка, блеклисты, динамические таблицы
Kill-фича: безопасность по умолчанию, а не опционально
OpenBSD включает защитные механизмы, которые в других системах нужно включать вручную или покупать отдельно:
W^X (Write XOR Execute) — страница памяти не может быть одновременно записываемой и исполняемой: класс атак на переполнение буфера блокируется на уровне архитектуры
ASLR — рандомизация адресного пространства, один из самых агрессивных в индустрии
Stack Smashing Protection — защита стека включена по умолчанию для всех программ
BTCFI (Branch Target Control Flow Integrity) — защита от атак на поток управления, наследуется дочерними процессами
AMD SEV — шифрование памяти виртуальных машин на уровне процессора
Pledge и Unveil — syscall-фильтрация: каждая программа декларирует, какие системные вызовы ей нужны. Всё остальное — запрещено
Дополнительные возможности
LibreSSL — форк OpenSSL, разработанный командой OpenBSD после Heartbleed: минимальный, аудированный, без legacy-кода
OpenSSH — создан в OpenBSD, используется на миллиардах устройств: вы каждый день используете код OpenBSD, не зная об этом
httpd + relayd — встроенный веб-сервер и балансировщик нагрузки без внешних зависимостей
Минимальная поверхность атаки — по умолчанию не запущено ни одного лишнего сервиса
6-месячный цикл релизов — предсказуемый, стабильный, с чистым CHANGELOG