Domanda

Sono a conoscenza del progetto Hardened Linux from Scratch che è un progetto che ti fornisce istruzioni passo-passo per costruire il tuo sistema Linux personalizzato e rinforzato interamente dal sorgente. Vorrei sapere qual è l'equivalente in BSD?

È stato utile?

Soluzione

Come Richard ha detto che vale sicuramente la pena provare OpenBSD, è la mia prima scelta per tutto ciò che è dedicato a firewall e gateway. Per altri servizi tendo a attenermi a FreeBSD anche se non vi è alcuna ragione ovvia per questo solo una preferenza personale.

Ma vorrei sottolineare che il concetto da zero, se si vuole fare un hosting più sicuro di un servizio, può essere fatto molto meglio usando Jail . In sostanza, crei un ambiente FreeBSD limitato su un'installazione di FreeBSD completa. In quell'ambiente limitato si copiano / collegano solo i file binari e i file richiesti per l'esecuzione del servizio.

Poiché il servizio ospitato non ha accesso ad altri file / file binari, tutti i potenziali difetti di sicurezza in queste cose non sono aperti allo sfruttamento. Se per caso la tua applicazione viene "radicata" non andrà oltre i confini della prigione.

Guardalo come una sandbox di steroidi con penali di prestazione trascurabili.

Altri suggerimenti

OpenBSD è rinforzato "per impostazione predefinita" dall'installazione. Solo l'amministratore lo apre ... componente per componente.

[AGGIORNAMENTO] mentre non ho letto il documento per il rafforzamento di Linux ... potrebbero applicarsi alcune delle stesse cose ... per esempio usano entrambi OpenSSH quindi le strategie sarebbero le stesse. Quindi, in caso di sovrapposizione dei moduli, si applicherebbe lo stesso.

Non fai davvero bsd 'da zero'. Tutti i principali progetti vengono forniti con un sistema completo in un unico repository di origine, quindi non stai prendendo un kernel da qui, binutils e compilatore da lì e c librerie e utility standard da qualche altra parte e X da ancora un altro posto.

Sono generalmente più facili da ottenere per tutto il sorgente e per ricostruire l'intero sistema rispetto alla tua distribuzione linux media, ma questo non personalizza davvero nulla.

Potresti provare a fare qualcosa di pazzo, come forse provare a far funzionare la userland di OpenBSD su un kernel NetBSD con porte FreeBSD, ma saresti da solo e certamente non sarebbe 'indurito'.

HardenedBSD è un fork del progetto FreeBSD con l'obiettivo di implementare PIE, RELRO, SAFESTACK, CFIHARDEN. Alcuni obiettivi ci sono, altri sono WIP estremi. Non lo considero come "pronto per la produzione" ma utilizzabile come desktop (dipende anche dai requisiti env di produzione).

Repo: https://github.com/HardenedBSD

Tutto, incluso " make buildworld / buildkernel " è lo stesso di FreeBSD e il Manuale fa un buon lavoro per spiegarlo. Avrai un po 'di lettura da fare anche se proveniente da Linux-Land. Costruire le proprie porte è un intero argomento in sé.

Per quanto riguarda le jail, l'affermazione non è del tutto corretta. Pur aggiungendo certamente un importante livello di sicurezza, i sistemi Unix (IDK su Linux) [citando qui] non dispongono di mitigazioni dello sfruttamento del kernel. Se un utente malintenzionato ottiene l'accesso a una prigione, non è troppo lavoro per ruotare su altre jail o intensificare i privilegi tramite un exploit del kernel. & Quot; Non fraintendetemi, metto quasi tutti i servizi in una prigione il più possibile.

Quanto a " Indurito di default " commento: è tutto nelle impostazioni di sysctl che possono essere modificate su ogni sapore * BSD, ma le misure sec sono praticamente inutili se il sysadmin non impiega tempo a leggere i documenti.

Se sei interessato, i tuoi compiti: https://www.freebsd.org/doc/ handbook /

Autorizzato sotto: CC-BY-SA insieme a attribuzione
Non affiliato a StackOverflow
scroll top