تصلب BSD من الصفر
https://stackoverflow.com/questions/813385
-
03-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
وأنا على علم تصلب لينكس من الصفر المشروع هو المشروع الذي يوفر لك خطوة بخطوة تعليمات لبناء الخاصة بك حسب الطلب و تصلب نظام لينكس بالكامل من المصدر.أود أن أعرف ما يعادل في BSD?
المحلول
وكما قال ريتشارد اكبر برهان هو بالتأكيد يستحق الذهاب، بل هو خياري رقم 1 لكل ما هو مخصص للجدران وبوابات. لخدمات أخرى أنا أميل إلى التمسك فري رغم عدم وجود سبب واضح لذلك مجرد تفضيل شخصي.
ولكن أود أن أشير إلى أن من "الصفر جزء 'مفهوم إذا كنت تريد أن تفعل استضافة أكثر أمنا من خدمة يمكن أن يكون ذلك أفضل بكثير باستخدام <لأ href =" http://www.freebsd.org/ وثيقة / en_US.ISO8859-1 / كتب / كتيب / jails.html "يختلط =" noreferrer "> السجون . في جوهرها تقوم بإنشاء بيئة فري محدودة على لفري الكامل تثبيت. في تلك البيئة محدودة نسخ فقط / ربط هذه الثنائيات والملفات التي تتطلب خدمة لتشغيل.
ولأن خدمة مستضافة ليس لديها إمكانية الوصول إلى أي ملفات أخرى / ثنائيات، جميع العيوب الأمنية المحتملة في تلك الأمور ليست مفتوحة للاستغلال. لو عن طريق الصدفة طلبك يحصل على "الجذور" فإنه لن تتجاوز حدود السجن.
ونرى ذلك مثل رمل على المنشطات مع العقوبات أداء neglectable.
نصائح أخرى
وهو صلابة اكبر برهان "افتراضيا" من التثبيت. فقط المشرف يفتح عنه ... عنصر حسب العنصر.
و[تحديث] في حين أنني لم أقرأ الوثيقة لتصلب لينكس ... بعض الأشياء نفسها قد تنطبق ... على سبيل المثال كلاهما استخدام المفتوح حتى الاستراتيجيات ستكون هي نفسها. فأين هناك وحدة تتداخل ينطبق الأمر نفسه.
كنت حقا لا bsd 'من الصفر'.جميع المشاريع الكبرى تأتي مع نظام كامل في مصدر واحد مستودع لذلك كنت لا تشد نواة من هنا ، binutils و مترجم من هناك و ج المكتبات القياسية المرافق من مكان آخر و X من بعد مكان آخر.
وهم عموما أسهل للحصول على كل مصدر وإعادة بناء النظام بأكمله من متوسط توزيعة لينكس, ولكن هذا ليس حقا تخصيص أي شيء.
هل يمكن أن تحاول أن تفعل شيئا من المكسرات مثل ربما يحاول الحصول على اكبر برهان يوزرلاند لتشغيل على نت النواة مع فري الموانئ ، لكن ستكون لوحدك و بالتأكيد لن تكون 'تصلب'.
وHardenedBSD هو شوكة المشروع فري بهدف تنفيذ PIE، RELRO، SAFESTACK، CFIHARDEN. بعض الأهداف هناك، والبعض الآخر المتطرف WIP. وأود أن لا تنظر فيه بوصفه "جاهزة للإنتاج" بعد، ولكن يمكن استخدامها كما سطح المكتب (يعتمد أيضا على مستلزمات الإنتاج الحياة الفطرية).
والريبو: https://github.com/HardenedBSD
كل شيء، بما في ذلك "جعل buildworld / buildkernel" هو نفسه على فري ودليل يقوم بعمل جيد لشرح هذا. سيكون لديك قليلا من القراءة للقيام على الرغم من القادمين من لينكس الأراضي. بناء الموانئ الخاصة بك هو موضوع بأكمله في النفس انها.
وإعادة السجون، وبيان غير صحيح تماما. بينما تضيف بالتأكيد طبقة الأمنية الهامة، أنظمة يونكس (IDK عن لينكس) [نقلا عن هنا] "نواة عدم استغلال التخفيف. إذا كان المهاجم المكاسب الوصول إلى السجن، انها ليست الكثير من العمل لمحوري الى سجون أخرى أو تصعيد الامتيازات عبر نواة استغلال." لا تسيئوا فهمي، أضع كل خدمة تقريبا في السجن بقدر الإمكان.
وأما بالنسبة ل"تصلب افتراضيا" تعليق: الامر كله في إعدادات sysctl التي يمكن أنب على كل * BSD نكهة، ولكن التدابير ثانية وجميلة لا طائل منه بكثير إذا كان مسؤول النظام لا يستغرق وقتا طويلا لقراءة المستندات
إذا كنت مهتما، واجبك: https://www.freebsd.org/doc/ كتيب /
