BSD endurecido desde cero
https://stackoverflow.com/questions/813385
-
03-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
Estoy al tanto del proyecto Linux endurecido desde cero que es un proyecto que le proporciona Instrucciones paso a paso para construir su propio sistema Linux personalizado y reforzado completamente desde la fuente. Me gustaría saber cuál es el equivalente en BSD?
Solución
Como Richard dijo que definitivamente vale la pena ir a OpenBSD, es mi elección número 1 para todo lo que se dedica a firewalls y gateways. Para otros servicios tiendo a quedarme con FreeBSD aunque no hay una razón obvia para ello, solo una preferencia personal.
Pero me gustaría señalar que el concepto 'desde la parte inicial' si desea hacer un alojamiento más seguro de un servicio se puede hacer mucho mejor usando Jails . En esencia, creas un entorno de FreeBSD limitado en una instalación completa de FreeBSD. En ese entorno limitado, solo copia / vincula los archivos binarios y archivos que el servicio requiere para ejecutarse.
Debido a que el servicio alojado no tiene acceso a ningún otro archivo / archivo binario, todas las fallas de seguridad potenciales en esas cosas no están abiertas para ser explotadas. Si por casualidad su aplicación se "enraiza" no irá más allá de los límites de la cárcel.
Míralo como una caja de arena con esteroides con penalizaciones de rendimiento despreciables.
Otros consejos
OpenBSD está endurecido " por defecto " De la instalación. Solo el administrador lo abre ... componente por componente.
[ACTUALIZAR] aunque no he leído el documento para fortalecer Linux ... algunas de las mismas cosas podrían aplicarse ... por ejemplo, ambas usan OpenSSH, por lo que las estrategias serían las mismas. Por lo tanto, cuando haya una superposición de módulos, se aplicaría lo mismo.
Realmente no haces bsd 'desde cero'. Todos los proyectos principales vienen con un sistema completo en un repositorio de una sola fuente, por lo que no está tomando un kernel de aquí, binutils y compilador de allí y bibliotecas c y utilidades estándar de otro lugar y X de otro lugar.
Por lo general, es más fácil obtener toda la fuente y reconstruir todo el sistema que su distribución de linux promedio, pero eso no es realmente personalizar nada.
Podrías intentar hacer algo loco, como quizás intentar que el país de OpenBSD se ejecute en un kernel de NetBSD con puertos FreeBSD, pero estarías solo y ciertamente no estaría "endurecido".
HardenedBSD es una bifurcación del proyecto FreeBSD con el objetivo de implementar PIE, RELRO, SAFESTACK, CFIHARDEN. Algunos objetivos están ahí, otros son WIP extremos. No lo consideraría como "listo para producción" sin embargo, pero se puede usar como escritorio (también depende de los requisitos de env de producción).
Repo: https://github.com/HardenedBSD
Todo, incluido " make buildworld / buildkernel " es lo mismo que en FreeBSD y el Manual hace un buen trabajo explicando esto. Tendrás un poco de lectura que hacer, incluso si vienes de linux-land. Crear sus propios puertos es un tema completo en sí mismo.
Con respecto a las cárceles, la declaración no es del todo correcta. Si bien ciertamente se agrega una capa de seguridad importante, los sistemas Unix (IDK sobre Linux) [citando aquí] " carecen de mitigaciones de explotación del kernel. Si un atacante obtiene acceso a una cárcel, no es demasiado trabajo pasar a otras cárceles o escalar privilegios a través de un exploit del núcleo. & Quot; No me malinterpretes, pongo casi todos los servicios en una cárcel lo más posible.
En cuanto a " Hardened por defecto " comentario: Todo está en la configuración de sysctl que se puede modificar en cada * BSD Sabor, pero las medidas de seguridad son bastante inútiles si el administrador del sistema no se toma el tiempo para leer los documentos.
Si está interesado, su tarea: https://www.freebsd.org/doc/ manual /
