BSD renforcé à partir de zéro

Question

Je connais le projet Hardened Linux from Scratch , qui vous fournit les informations suivantes: instructions pas à pas pour construire votre propre système Linux personnalisé et renforcé entièrement à partir de la source. J'aimerais savoir quel est l'équivalent en BSD?

Answer 1

Comme le disait Richard, OpenBSD en vaut vraiment la peine, c’est mon premier choix pour tout ce qui est dédié aux pare-feu et aux passerelles. Pour d’autres services, j’ai tendance à me tourner vers FreeBSD bien qu’il n’y ait aucune raison évidente d’y avoir une préférence personnelle.

Mais je tiens à souligner que le concept "à partir de zéro" si vous souhaitez effectuer un hébergement plus sécurisé d'un service peut être beaucoup mieux fait en utilisant Jails . En substance, vous créez un environnement FreeBSD limité sur une installation complète de FreeBSD. Dans cet environnement limité, vous copiez / liez uniquement les fichiers binaires et les fichiers que le service requiert pour être exécutés.

Etant donné que le service hébergé n'a accès à aucun autre fichier / fichier binaire, toutes les failles de sécurité potentielles de ces éléments ne peuvent pas être exploitées. Si, par hasard, votre application est "enracinée", elle ne dépassera pas les limites de la prison.

Voyez cela comme un bac à sable sur des stéroïdes avec des performances négligeables.

Answer 2

OpenBSD est durci " par défaut " de l'installation. Seul l'administrateur l'ouvre ... composant par composant.

[UPDATE] alors que je n'ai pas lu le document sur le durcissement de Linux ... certaines des mêmes choses pourraient s'appliquer ... par exemple, ils utilisent tous les deux OpenSSH pour que les stratégies soient les mêmes. Donc, là où il y a un chevauchement de modules, la même chose s'appliquerait.

Answer 3

Vous ne faites pas vraiment de bsd "à partir de zéro". Tous les projets majeurs sont livrés avec un système complet dans un référentiel source unique afin que vous ne récupériez pas un noyau d'ici, binutils et son compilateur, des bibliothèques et des utilitaires standard d'ailleurs et X d'un autre endroit.

Ils sont généralement plus faciles à obtenir que toutes les sources et à reconstruire le système entier par rapport à votre distribution Linux moyenne, mais cela ne personnalise vraiment rien.

Vous pourriez essayer de faire quelque chose de dingue, comme essayer peut-être de faire fonctionner l’utilisateur OpenBSD sur un noyau NetBSD avec des ports FreeBSD, mais vous le feriez vous-même et cela ne serait certainement pas "durci".

Answer 4

HardenedBSD est une branche du projet FreeBSD dans le but de mettre en oeuvre PIE, RELRO, SAFESTACK, CFIHARDEN. Certains objectifs sont là, d'autres sont extrêmes-WIP. Je ne le considérerais pas comme "prêt pour la production". mais utilisable comme poste de travail (dépend également des exigences de production).

Repo: https://github.com/HardenedBSD

Tout, y compris "make buildworld / buildkernel". est la même que sur FreeBSD et le manuel explique très bien cela. Vous aurez un peu de lecture à faire même si cela vient de linux-land. Construire vos propres ports est un sujet à part entière.

En ce qui concerne les prisons, la déclaration n’est pas tout à fait correcte. Bien qu’ils ajoutent certainement une couche de sécurité importante, les systèmes Unix (IDK sur Linux) [en citant ici] "ne disposent pas de dispositifs d’atténuation de l’exploitation du noyau. Si un attaquant parvient à accéder à une prison, il n’est pas trop fastidieux de faire pivoter d’autres jails ou d’élever les privilèges via un exploit du noyau. " Ne vous méprenez pas, je place autant que possible presque tous les services dans une prison.

Concernant "Durci par défaut" commentaire: Tout est dans les paramètres sysctl qui peuvent être modifiés à chaque * saveur BSD, mais les mesures de sec sont pratiquement inutiles si l'administrateur système ne prend pas le temps de lire la documentation.

Si vous êtes intéressé, vos devoirs: https://www.freebsd.org/doc/ manuel /