> Я не понимаю, кто они. NetBSD или OpenBSD?NetBSD. Впрочем, OpenBSD тоже (если только что-то не изменилось за последние полгода).
> Если первое, то хотелось бы глянуть на список остальных
> в более-менее популярном изложении. В моем понимании
> SSP, например, касается защиты ядра самым непосредственным образом.
Да, про SSP я забыл. Но все признанные эксперты, с кем мне приходилось общаться, не считают SSP существенной мерой, особенно при отсутствии ядерного аналога KERNEXEC (W^X).
> В OpenBSD сознательно забили на проблему giant lock и производительности на SMP
> якобы в пользу безопасности. И вот мне непонятно, ради чего конкретно.
Если не ошибаюсь, всё-таки в пользу надёжности и простоты реализации. Не осилили, я бы сказал. :) Даже PAE не осилили, чего уж там.
> Перерезус что-то молчит. Еще OpenBSD-шники волочат systrace, признанный
> дырявым by design. Видимо, ввиду особенностей реализации у них SMP,
By design он убогий. Дырявый он by implementation именно в OpenBSD. Они до сих пор не осилили буферизацию аргументов, передаваемых в сисколлы по указателям, хотя сделать это надо было изначально. Но Provos ушёл из проекта, осиливать некому.
> дыры подхода sysstrace не проявляются. Ну или это просто чудовищный недосмотр.
Проявляются-проявляются, даже в man'е описаны (секция BUGS):
http://www.openbsd.org/cgi-bin/man.cgi?query=systrace&apropo...
Кстати, clone()-like - это fork. Но чтобы понять, что за clone() такой, нужно знать о происхождении systrace из линукса и найти документацию по clone(2). Качество документаци на высоте. ;) Кстати, о документации: с CARP ситуация ещё хуже - его описания нет до сих пор. Учитывая, что в нём применяется криптография для защиты от некоторых угроз, отсутствие документации в очередной раз, конечно, упрощает peer review как этих аспектов, так и протокола в целом. ;)