처음부터 BSD를 강화했습니다

Question

나는 알고있다 처음부터 리눅스를 강화했습니다 프로젝트는 소스에서 전적으로 사용자 정의 및 강화 된 Linux 시스템을 구축하기위한 단계별 지침을 제공하는 프로젝트입니다. BSD의 동등한 점이 무엇인지 알고 싶습니다.

Answer 1

Richard는 OpenBSD가 확실히 가치가 있다고 말했듯이, 방화벽과 게이트웨이에 전용되는 모든 것에 대한 1 위의 선택입니다. 다른 서비스의 경우 개인적 선호도에 대한 명백한 이유는 없지만 FreeBSD를 고수하는 경향이 있습니다.

그러나 서비스를보다 안전하게 호스팅하고 싶다면 '스크래치 파트'개념이 사용하는 것이 훨씬 더 잘 이루어질 수 있음을 지적하고 싶습니다. 감옥. 본질적으로 완전한 freebsd 설치에 제한된 freebsd 환경을 만듭니다. 해당 제한된 환경에서는 서비스를 실행 해야하는 바이너리와 파일 만 복사/링크합니다.

호스팅 된 서비스는 다른 파일/바이너리에 액세스 할 수 없기 때문에 그러한 것들의 모든 잠재적 보안 결함은 악용 될 수 없습니다. 우연히 신청서가 '루팅'을 받으면 교도소의 경계를 넘어서지 않습니다.

무시할 수없는 성능 처벌이있는 스테로이드의 샌드 박스처럼보십시오.

Answer 2

OpenBSD는 설치에서 "기본적으로"강화됩니다. 관리자만이 컴포넌트별로 엽니 다.

업데이트] Linux를 강화하기위한 문서를 읽지 않았지만 ... 동일한 것들이 적용될 수 있습니다 ... 예를 들어, 둘 다 OpenSsh를 사용하므로 전략이 동일합니다. 따라서 모듈 중첩이있는 경우 동일하게 적용됩니다.

Answer 3

당신은 실제로 BSD를 '처음부터'하지 않습니다. 모든 주요 프로젝트에는 단일 소스 저장소에 완전한 시스템이 제공되므로 여기에서 커널, Binutils 및 컴파일러, 다른 곳에서 C 라이브러리 및 표준 유틸리티와 다른 곳에서 X를 가져 오지 않습니다.

일반적으로 평균 Linux 배포판보다 모든 소스를 얻고 전체 시스템을 재건하는 것이 더 쉽지만 실제로는 사용자 정의하는 것은 아닙니다.

OpenBSD Userland가 FreeBSD 포트가있는 NetBSD 커널에서 실행되도록하려고하는 것과 같은 견과류를 시도 할 수 있지만, 혼자있을 것이며 확실히 '경화되지 않을 것'.

Answer 4

HardenedBsd는 파이, Relro, Safestack, Cfiharden을 구현하기 위해 FreeBSD 프로젝트의 포크입니다. 어떤 목표는 거기에 있고, 다른 목표는 극도로 사용됩니다. 아직 "생산 준비"라고 생각하지는 않지만 데스크탑으로 사용할 수 있습니다 (생산 환경 요구 사항에 따라 다름).

Repo : https://github.com/hardenenedbsd

"Make BuildWorld/BuildKernel"을 포함한 모든 것은 freeBSD와 동일하며 핸드북은 이것을 설명하는 데 도움이됩니다. Linux-Land에서 나오는 경우에도 약간의 독서를 할 수 있습니다. 자신의 포트를 구축하는 것은 자아의 전체 주제입니다.

RE 감옥, 진술은 전적으로 정확하지 않습니다. 확실히 중요한 보안 계층을 추가하는 동안 UNIX Systems (IDK About Linux) [여기서 인용] "커널 익스플로잇 완화가 없음"공격자가 감옥에 접근 할 수있는 경우 다른 감옥에 피벗하거나 커널을 통해 특권을 확대하는 것이 그리 많지 않습니다. 악용하다." 저를 오해하지 마십시오. 거의 모든 서비스를 감옥에 넣을 수 있습니다.

"기본적으로 강화"에 관해서는 : 모든 *BSD 풍미에서 조정할 수있는 SYSCTL 설정에 있지만 SYSADMIN이 문서를 읽는 데 시간이 걸리지 않으면 SEC 측정은 거의 쓸모가 없습니다.

관심이 있으시면 숙제 : https://www.freebsd.org/doc/handbook/