Gehärtete BSD von Scratch

Question

Ich bin mir der Hardened Linux from Scratch Projekt, das ein Projekt, das Sie bietet mit Schritt-für-Schritt-Anleitungen für Ihr eigenes kundenspezifischen und gehärtetes Linux-System vollständig von der Quelle zu bauen. Ich würde gerne wissen, was das Äquivalent in BSD ist?

Answer 1

Wie Richard sagte OpenBSD ist auf jeden Fall einen Versuch wert, es ist meine Wahl # 1 für alles, was für Firewalls und Gateways gewidmet ist. Für andere Dienste neige ich zu FreeBSD bleiben, obwohl es keinen offensichtlichen Grund dafür nur eine persönliche Präferenz.

Aber ich mag darauf hinweisen, dass die von ‚scratch Teil‘ -Konzept, wenn Sie sicheres Hosting eines Dienstes tun mögen, können viel besser sein getan mit Jails . Im Wesentlichen erstellen Sie eine begrenzte FreeBSD-Umgebung auf einem Voll FreeBSD installieren. In dieser begrenzten Umgebung, die Sie nur kopieren / verknüpfen diese Binärdateien und Dateien, die der Dienst ausgeführt werden muss.

Da der gehosteten Dienst keinen Zugriff auf andere Dateien / Binär-Dateien, die alle potenziellen Sicherheitslücken in diesen Dingen nicht offen zu nutzen. Wenn durch Zufall Ihre Anwendung wird ‚verwurzelt‘ es nicht über die Grenzen des Gefängnisses gehen.

Sehen Sie es wie eine Sandbox auf Steroiden mit vernachlässigbaren Leistungseinbußen.

Answer 2

OpenBSD ist gehärtet "by default" aus der Anlage. Nur der Administrator öffnet sie ... Komponente für Komponente.

[UPDATE], während ich das Dokument nicht zum Härten von Linux gelesen habe ... einige der gleichen Sachen Anwendung finden könnten ... zum Beispiel beide sie OpenSSH verwenden, so würden die Strategien gleich sein. Also, wo ist Modul überlappt das gleiche würde gelten.

Answer 3

Sie haben nicht wirklich tun bsd ‚von Grund auf‘. Alle großen Projekte sind mit einem kompletten System in einem Repository Hand, so dass Sie nicht einen Kernel von hier, binutils und Compiler von dort und c Bibliotheken und Standard-Utilities von woanders und X aus noch einem anderen Platz greifen.

Sie sind im Allgemeinen leichter zu bekommen alle die Quelle für und das gesamte System als eine durchschnittliche Linux-Distribution neu zu erstellen, aber das ist nicht wirklich etwas anpassen.

Sie könnten versuchen, etwas Nuss zu tun, wie vielleicht versuchen, das OpenBSD-Userland zu bekommen auf einem NetBSD Kernel von FreeBSD Ports laufen, aber Sie würden auf eigener Faust sein und es wäre sicherlich nicht ‚gehärtet‘ werden.

Answer 4

HardenedBSD ist ein Fork des FreeBSD-Projekts mit dem Ziel geschaffen, PIE, RELRO, SAFESTACK, CFIHARDEN. Einige Ziele sind es, andere sind extrem-WIP. Ich würde es nicht als als „bereit für die Produktion“ noch nicht, aber brauchbar als Desktop (auch auf der Produktion env Anforderungen abhängt).

Repo: https://github.com/HardenedBSD

Alles, einschließlich „buildworld / buildkernel machen“ ist die gleiche wie auf FreeBSD und das Handbuch macht einen guten Job, dies zu erklären. Sie werden ein bisschen obwohl zu tun lesen müssen auch von Linux-Land kommen. Ihre eigenen Ports zu bauen ist ein ganzes Thema in seiner selbst.

Re Jails, ist die Aussage nicht ganz korrekt. Während sicherlich eine wichtige Sicherheitsschicht hinzufügen, Unix-Systeme (IDK über Linux) [zitiert hier] „Mangel Kernel Exploit mitigations. Wenn ein Angreifer Zugriff auf ein Gefängnis, es ist nicht zu viel Arbeit zu anderen Gefängnissen oder eskalieren Privilegien über einen Kernel zu verschwenken Ausbeuten." Versteh mich nicht falsch, lege ich fast jeden Dienst in einem Gefängnis so viel möglich.

In Bezug auf „Gehärtete by default“ Kommentar: Es ist alles in den sysctl-Einstellungen, die auf jeden * BSD Geschmack gezwickt werden können, aber sec Maßnahmen sind ziemlich nutzlos, wenn der Sysadmin nicht Zeit in Anspruch nimmt, die Dokumentation zu lesen

Wenn Sie daran interessiert sind, Ihre Hausaufgaben: https://www.freebsd.org/doc/ Handbuch /