Apesar do projecto SSHjail já ter três anos, foi em 24 Abril do passado ano que este se tornou mundialmente conhecido quando alguém de nome Anže Vidmar decidiu fazer um artigo sobre o mesmo na Newsforge/linux.com, chegando mesmo a haver um thread na kerneltraq. Curiosamente é o dia do meu aniversário.

Esta exposição pública levou a que receba mais emails sobre o patch e existem textos para todos os gostos. Desde o "admin" que nem sabe compilar, ou o coder que diz que fazia muito melhor, ou o outro que precisa da funcionalidade xpto, ou o outro que quer o patch para a última versão, mas de todos os que eu mais gosto são os Theo fans-boys que vêm com o discurso que o chroot não aumenta a segurança e que o patch não faz sentido nenhum, às vezes conseguem ser mais chatos que os Apple fans-boys, ok, não exageremos.

Este último tipo de emails, parece-me que vou deixar de receber pois o nosso amigo Theo apesar destas afirmações à uns anos, aparentemente mudou de ideias e agora mete na tree oficial um chroot(). A frase "My opinions may have changed, but not the fact that I'm right" faz cada vez mais sentido na mente de alguns.

O SSHjail continuará até que a tree oficial do OpenSSH apresente um solução chroot tão ou mais flexível, porque esta versão não a é certamente já que apenas soluciona o protocol SFTP e de uma maneira arcaica. Hoje ganhei coragem e lancei a versão 4.7p1 do patch.

À uns dias tava a falar com o Nuno, e chegamos a uma conclusão curiosa, é que o OpenBSD está cada vez mais seguro. Para além de não se conseguir instalar lá nada enterprise logo nunca tem dados com muito interesse que provoquem a curiosidade, também só se consegue instalar em máquinas do século passado logo se alguém for a um datacenter é a última máquina a roubar.

«o OpenBSD (...) também só se consegue instalar em máquinas do século passado»
HP Proliant DL360G5 não são exactamente máquinas do Século Passado e tenho estado a instalar sem problemas.

Rui,

È óbvio que o POST está cheio de ironia, mas com um bom fundo de verdade.

A máquina que apresentas é recente, está é na secção "Small & Medium Business" e mesmo assim já tem uma componente de propaganda.
O teu conceito de enterprise é diferente do meu. Pergunto-me o que uma máquina que não escala mais de dois processadores e 32G serviria num backbone de um ISP, mesmo nacional. Teria certamente um uso de supervisão, talvez correr um mrtg/zenoss para verificar o estado dos servidores que correm serviços realmente criticos.

Certamente não ia correr um sistema core como Billing/CRM/BPEL/Activação/softswitch quer porque o hardware é manifestamente insuficiente, quer porque nenhuma empresa (Oracle/BEA/SUN/Comverse/IBM etc) que desenvolve este tipo de software dá suporte a OpenBSD, dão a Solaris e ultimamente a RH/Suse. Isto leva a que necessariamente tenhas de ter estes SO's, e pergunto-me novamente, será que faria sentido instalar um OpenBSD para supervisão/webserver/whatever quando obrigatoriamente tenho de ter know-how de outros SOs que por acaso têm uma implementação para SMP melhor que o OpenBSD. Vou-me calar sem falar no suporte dos drivers das HBAs para ligação ao SAN.