Добрый вечер/ночь/день. Думаю перейти на бсд. Не то чтобы линукс не

работал, но все же с ним есть некоторые моменты + в моем мировосприятии он движется куда-то не туда. Думаю уже давно, но до реальных действий, типа скачать, пощупать на виртуалке, на железе и т.д. руки дошли только сейчас. Чтобы перейти мне нужны некоторые инструменты и возможности, которые давно использую на линуксe.

По большинству вопросов после огромного времени на поиск в тырнете, ответы получены, но на часть вопросов поисковики (ни один из) внятного ответа не дают.

1. Есть ли в бсд какой-то внятный и удобоворимый способ сделать систему иммутабельной.
В линукс это несложно, ro на системный раздел, все остальное в overlayfs или aufs (второе не пробовал, оверлэй проще, но есть туториалы). Плюс модификация initramfs, чтобы подсунуть оверлей (насколько понял в бсд initramfs нет?) Есть и готовые решения. В винде тоже есть.
А как это делается во фряхе?

2. Фаервол приложений. Не обычный фильтр типа nf/iptable, а именно приложений. В линуксе есть несколько решений с удобным гуем. Если нужно заткнуть какую-то прогу от доступа в интернет, а также посмотреть куда она ходит и заткнуть только ее адреса и так же быстро все вернуть назад, то это не проблема.
Есть ли что-то подобное?

3. Быстрый бэкап/восстановление установленной системы со всеми потрохами за 5 минут и чтобы бэкап имел очень компактный размер.
В лунухе использую fsarchiver - забиваю пароль от luks, архивирую всю систему в очень маленький архив на все про все менее 5 минут. Чего-то подобного (разблокировать geli и закатать содержимое со всеми атрибутами в сжатом виде) пока не нагуглил.

4. Гуй для bhyve и ее возможнoсти? Глянул на документацию, че-то сложно. В линухе пользую qemu/kvm и гуй virtmanager (есть еще aqemu), машины создаются в virt-manager очень быстро, есть расшаренные папки, снимки, проброс usb и итд. Как в бсде с этим? Есть все функции (гость линуксы и винда), гуй?

5. Torbrowser. Через линуксатор или подобно тому, как ставится хром в бсд? Есть вариант его завести или нужна обязательно виртуалка tails/whonix?

1, 2, 3 - самое важное, строгонеобходимое для перехода.

4. На крайний случай (самый крайний) виртуалбокс. 5. - на крайний случай виртуалка, но на старом компе виртуалка никак. Проброс лисы или еще чего в тор не рассматриваю, т.к. отпечаток ну явно не тот. Т.е. вопрос именно про torbrowser.

3 - zfs, 4 - virt-manager умеет с bhyve работать (не пробовал), CBSD

Спасибо. 3 -средствами zfs?, ок. 4- хорошие новости. Проброс usb накопителей/камеры, mtp девайсов тоже возможен? А по самым важным - иммутабельность и фаер приложений?

Про проброс без понятия, не думаю, что там поддержка бихайва на хорошем уровне, да и вроде в самом бихайве с пробросами не все гладко. Про иммутабельность не знаю. Фаера, думаю, нет, т.к. нет аналога cgroup, не к чему прикреплять ebpf программу

на квм balloon работает. Виртуалбокс с задачами справляется, но необходимость проприетарщины, чтобы работал usb2/3, pci - зло. Тут или без нормального проброса или рубить доступ на все сервера от оракля до каких-то там копирастов, куда эта кухня лазит. Отсутствие нормального фаервола приложений - плохо. Значит нужны танцы с бубном. А просто отрубать/врубать приложение от/в сети просто и без боли возможно?

1. Есть возможность монтировать / в ro. Есть NanoBSD, которая именно под такую инсталляцию заточена, хотя как по мне она местами устарела и не поддерживает ZFS. Но скоро будет. Второй вариант, возможно для некоторых задач более практичный это монтировать в rw, но держать снапшоты и/или клоны. Это очевидно на ZFS. 2. Такого как в Windows нет. Но можно запускать приложения от конкретных пользователей и в ipfw/pf запрещать соединения соответственно конкретным пользователям. 3. Не знаю ничего про fsarchiver, но кмк на любой ОС, которая работает на ZFS не нужно ничего кроме zfs send/zfs recv. Работает со скоростью дисков. То есть голая система инсталлируется за секунды. Про GUI ничего не могу сказать, так как сам не пользуюсь. Мне кажется с ними всё намного хуже. Мне кажется, что если хочется GUI для сугубо системных утилит, то может быть надо оставаться на Linux.

5. Поднять tor-демон и указать его проксей для браузера

1. Корень в ro поддерживается из коробки, тогда tmp и var в памяти автоматом создаются. 2. Уже ответили - можно сделать на уровне пользователей. Есть ещё ugidfw, не смотрел что это. Чисто отключить сеть приложению - можно запустить jail с корнем в / и им заблокировать сеть. Ещё в poudriere-devel я что-то видел про блокировку сети во время сборки, может там какой-то ещё способ используется. Можно написать обертку которая capsicum’ом запрещает сеть и делает exec как вариант. Может готовая есть. А так-то я не представляю зачем это - мы живём в мире открытых исходников, если есть сомнения - загляни и посмотри куда оно лазиет. По желанию выпили. А проприетарщины под FreeBSD почти и нет. 5. Вообще он же фирефокс и должен быть с исходниками, можно порт сделать взяв порт ff за основу, почему-то никто еще не заморочился

1. Картинка постепенно проясняется. По исходникам, смотря что, не все могу сделать. Но всегда можно заблокировать адреса, это да, без проблем. На лине иногда юзаю блобы в вине, так никуда не ходят. Или если проприетарку запустить. Есть еще случаи. Как раз сейчас такое время наступило, что опенсорс делает что хочет, пилить и пилить. (Андроид тоже опенсорс😁). Лис наглый стал. Говорят с 94 мозила реализовала, что если прокси не пущает, то лис будет стучаться домой в обход прокси. Пока не знаю и до 94 именно огнелиса пока не дошел (юзаю abrowser 94 на лине, нагло выдернутый из одного дистрибутива и засунутый в другой) 5. Оно, конечно, можно все в тор пустить, тут выше и предлагали, но то не то. Отпечаток не такой, как у торбраузера. Я не знаю, может он, виндозный на вине работает? Надо будет попробовать.

Пока не встречал опенсорса который делает что-то левое. Ну, кроме браузеров. Хотя да, телеметрия в audacity и вот это всё.. А если вы беспокоитесь об отпечатках, то учитывайте что у FreeBSDшного стека уже свой отпечаток, так что вас как одного из очень немногих пользователей под FreeBSD, идентифицировать можно без проблем.

упс...получается без вариантов, только упс...получается без вариантов, только виртуалка решка/хуникс

Меня новый апстрим аудасити радует, стали дружелюбны к линуксу (и, соответственно, bsd тоже)

Ну всякие там параметры IP пакетов - заголовки, опции, я не помню конкретики. nmap и pf по ним определяют систему.

Если так то приятно.

В дополнение к предыдущим ораторам к п.4: как уже говорили libvirt поддерживает бихейв, ну а вирт менеджер, если память не изменяет как раз юзает либвирт. + есть cbsd и еще одна простенькая морда: https://bhyve.npulse.net/ По поводу второго пункта, подскажи, чем пользуешься на линухах?

Пользую opensnitch, https://github.com/evilsocket/opensnitch Если не ошибаюсь, то порт макошного фаера. А мак вроде как на бсде, а в бсде получается его и нет. Есть еще один заслуживающий внимание, забыл как называется (если нужно, можно погуглить типа как-нибудь opensnitch vs ) но он только для свежих ядер, а этот универсальный, нравится и гуй мне зашел. Если на системд free ставить, там маленький матюгальник выскочит, в общем по логу видну, буквально пару строк в конфиг файле снести, чтобы он это зло не искал.

Да не на бсде мак, там есть какието заимствования, стек tcp/ip ещё что-то по мелочи, но ядро свое

Сейчас столько есть вариантов перенастройки сетевого поведения, что обломаешься по отпечаткам какие-то выводы делать. Даже альтернативные сетевые стеки есть.