我知道 从头开始强化 Linux 该项目为您提供完全从源代码构建您自己的定制和强化的 Linux 系统的分步说明。我想知道BSD中相当于什么?

有帮助吗?

解决方案

正如Richard所说,OpenBSD绝对值得一试,它是我专注于防火墙和网关的所有选择。对于其他服务,我倾向于坚持使用FreeBSD,尽管没有明显的理由只是个人偏好。

但是我想指出,如果你想要更安全地托管服务,那么从'scratch part'概念可以使用 Jails 。实质上,您在完整的FreeBSD安装上创建了一个有限的FreeBSD环境。在这种有限的环境中,您只需复制/链接服务运行所需的二进制文件和文件。

由于托管服务无法访问任何其他文件/二进制文件,因此这些内容中的所有潜在安全漏洞都无法利用。如果您的应用程序偶然“扎根”,它将不会超出监狱的界限。

将其视为类固醇沙盒,可忽略性能损失。

其他提示

OpenBSD 在安装时“默认”就得到了强化。只有管​​理员才能打开...逐个组件。

[更新]虽然我还没有阅读加固linux的文档...有些相同的事情可能适用......例如,他们都使用 OpenSSH,因此策略是相同的。因此,如果存在模块重叠,则同样适用。

你真的不是从头开始做bsd'。所有主要项目都在单个源存储库中提供了一个完整的系统,因此您不会从这里获取内核,从那里获取binutils和编译器,从其他地方获取c库和标准实用程序,从另一个地方获取X.

它们通常比普通的Linux发行版更容易获得所有源代码并重建整个系统,但这并不是真正定制任何内容。

你可以尝试做一些疯狂的事情,比如试图让OpenBSD用户空间在带有FreeBSD端口的NetBSD内核上运行,但是你自己就可以了,它肯定不会'硬化'。

HardenedBSD是FreeBSD项目的一个分支,旨在实现PIE,RELRO,SAFESTACK,CFIHARDEN。有些目标在那里,其他目标是极端的WIP。我不认为它是“准备好生产”。但是,可用作桌面(也取决于生产环境要求)。

回购: https://github.com/HardenedBSD

所有内容,包括“make buildworld / buildkernel”等。与FreeBSD上的相同,手册很好地解释了这一点。即使来自linux-land,你也会有一些阅读。建立自己的端口是一个完整的主题。

重新监狱,声明并不完全正确。虽然肯定会添加一个重要的安全层,但Unix系统(IDK关于Linux)[引用此处]“缺乏内核漏洞利用缓解。如果攻击者获得了对监狱的访问权限,那么转移到其他监狱或通过内核利用来升级权限并不是太多工作。不要误解我,我几乎把所有服务都放在监狱里。

至于“默认硬化”评论:这些都在sysctl设置中,可以在每个* BSD风格上进行调整,但如果系统管理员没有花时间阅读文档,则秒测量几乎没用。

如果您有兴趣,请做好您的作业: https://www.freebsd.org/doc/手册/

许可以下: CC-BY-SA归因
不隶属于 StackOverflow
scroll top