BSD endureceu a partir do zero
https://stackoverflow.com/questions/813385
-
03-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPergunta
Estou ciente do Hardened Linux a partir do projecto Scratch que é um projeto que fornece instruções passo-a-passo para construir seu próprio sistema Linux personalizado e endureceu inteiramente de fonte. Gostaria de saber o que é o equivalente em BSD?
Solução
Como Richard disse OpenBSD é um ir definitivamente vale a pena, é minha # 1 escolha para tudo que é dedicado para firewalls e gateways. Para outros serviços que tendem a vara para FreeBSD embora não haja nenhuma razão óbvia para que apenas uma preferência pessoal.
Mas eu gostaria de salientar que a partir de conceito 'zero parte' se você quer fazer hospedagem mais seguro de um serviço pode ser muito melhor feito usando Cadeias . Em essência você cria um ambiente FreeBSD limitado em um instalar um FreeBSD completos. Nesse ambiente limitado só copiar / ligar os binários e arquivos que o serviço requer para ser executado.
Como o serviço hospedado não tem acesso a quaisquer outros arquivos / binários, todos os potenciais falhas de segurança nessas coisas não estão abertos para explorar. Se por acaso o seu aplicativo obtém 'enraizada' não irá além dos limites da prisão.
Veja-o como uma sandbox em esteróides com penalidades de desempenho negligenciável.
Outras dicas
O OpenBSD é endurecido "por defeito" da instalação. Apenas o administrador abre-se ... componente por componente.
[UPDATE] enquanto eu não li o documento para o endurecimento linux ... algumas das mesmas coisas podem ser aplicadas ... por exemplo ambos uso OpenSSH assim as estratégias seria a mesma. Então, onde existe módulo de sobreposição o mesmo se aplica.
Você não realmente BSD 'do zero'. Todos os principais projetos vêm com um sistema completo em um único repositório de origem para que você não está agarrando um kernel a partir daqui, binutils e compilador de lá e bibliotecas C e utilitários padrão de algum outro lugar e X de mais um lugar.
Eles são geralmente mais fáceis de obter toda a fonte de e para reconstruir todo o sistema do que a sua distro linux média, mas isso não é realmente que personaliza qualquer coisa.
Você poderia tentar fazer algo nozes, como talvez tentando obter o userland do OpenBSD para rodar em um kernel NetBSD com ports do FreeBSD, mas você estaria em seu próprio país e certamente não seria 'endurecido'.
HardenedBSD é um fork do projeto FreeBSD, com o objectivo de implementar PIE, RELRO, SAFESTACK, CFIHARDEN. Alguns objetivos estão lá, outros são extrema-WIP. Eu não considerá-lo como "pronto para produção" ainda, mas utilizável como área de trabalho (também depende das exigências env de produção).
Repo: https://github.com/HardenedBSD
Tudo, incluindo "make buildworld / buildkernel" é o mesmo que no FreeBSD e no Manual faz um bom trabalho de explicar isso. Você vai ter um pouco de leitura para fazer embora mesmo vindo de linux-terra. Construir seus próprios portos é um tópico inteiro em é auto.
prisões Re, a declaração não é inteiramente correcto. Embora certamente adicionando uma camada de segurança importante, sistemas Unix (IDK sobre Linux) [citando aqui] "falta do kernel explorar atenuações. Se um atacante ganha acesso a uma prisão, não é muito trabalho para pivô para outras prisões ou privilégios Escalate via um kernel explorar." Não me entenda mal, eu colocar quase todos os serviços em uma prisão tanto possível.
Quanto ao "Hardened por padrão" comentário:. É tudo nas configurações de sysctl que podem ser otimizadas em cada sabor * BSD, mas as medidas SEC são praticamente inútil se a sysadmin não ter tempo para ler os docs
Se você está interessado, sua lição de casa: https://www.freebsd.org/doc/ handbook /
