Закаленный BSD с нуля
https://stackoverflow.com/questions/813385
-
03-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianВопрос
Я осознаю, что Усовершенствованный Linux с нуля project - это проект, который предоставляет вам пошаговые инструкции по созданию вашей собственной настроенной и защищенной системы Linux полностью из исходного кода.Я хотел бы знать, что является эквивалентом в BSD?
Решение
Как сказал Ричард, OpenBSD определенно стоит того, чтобы выбрать его, это мой выбор № 1 для всего, что предназначено для межсетевых экранов и шлюзов. Что касается других сервисов, я склонен придерживаться FreeBSD, хотя для этого нет никаких очевидных причин, кроме личных предпочтений.
Но я хотел бы отметить, что концепция «с нуля», если вы хотите сделать более безопасный хостинг службы, может быть гораздо лучше реализована с использованием тюрьмы . По сути, вы создаете ограниченную среду FreeBSD при полной установке FreeBSD. В этой ограниченной среде вы копируете / связываете только те двоичные файлы и файлы, которые требуются службе.
Поскольку размещенная служба не имеет доступа ни к каким другим файлам / двоичным файлам, все потенциальные уязвимости в этих вещах не могут быть использованы. Если ваше приложение случайно укоренится, оно не выйдет за пределы тюрьмы.
Смотри, как песочница на стероидах с незначительными потерями в производительности.
Другие советы
OpenBSD защищена " по умолчанию " с установки. Только админ открывает его ... компонент за компонентом.
[ОБНОВЛЕНИЕ], хотя я не читал документ по усилению Linux ... некоторые из этих вещей могут применяться ... например, они оба используют OpenSSH, поэтому стратегии будут одинаковыми. Так что там, где есть перекрытие модулей, применяется то же самое.
На самом деле вы не создаете bsd "с нуля".Все крупные проекты поставляются с полной системой в одном репозитории исходных текстов, так что вам не придется брать ядро отсюда, binutils и компилятор оттуда, библиотеки c и стандартные утилиты откуда-то еще, а X - из еще одного места.
Как правило, для них проще получить все исходные тексты и перестроить всю систему, чем для вашего обычного дистрибутива Linux, но на самом деле это ничего не настраивает.
Вы могли бы попытаться сделать что-нибудь безумное, например, попытаться запустить пользовательскую среду OpenBSD на ядре NetBSD с портами FreeBSD, но вы были бы предоставлены сами себе, и это, конечно, не было бы "закаленным".
HardenedBSD - это форк проекта FreeBSD с целью реализации PIE, RELRO, SAFESTACK, CFIHARDEN. Некоторые цели есть, другие - экстремальные. Я не считаю это "готовым к производству" пока, но может использоваться как настольный компьютер (также зависит от требований к производственной среде).
Репо: https://github.com/HardenedBSD
Все, включая " make buildworld / buildkernel " то же самое, что и во FreeBSD, и Handbook хорошо объясняет это. Вам придется немного почитать, даже если вы приехали из linux-land. Создание ваших собственных портов - это целая тема сама по себе.
Снова тюрьма, утверждение не совсем верно. Конечно, добавляя важный уровень безопасности, системы Unix (IDK о Linux) [цитируется здесь] " не имеют средств защиты от эксплойтов ядра. Если злоумышленник получит доступ к тюрьме, то не так уж и много работы, чтобы развернуться к другим тюрьмам или повысить привилегии с помощью эксплойта ядра. & Quot; Не поймите меня неправильно, я помещаю почти все службы в тюрьму, насколько это возможно.
Что касается "Закалено по умолчанию" Комментарий: Все это в настройках sysctl, которые можно настроить для каждого варианта * BSD, но меры sec в значительной степени бесполезны, если sysadmin не тратит время на чтение документов.
Если вам интересно, ваша домашняя работа: https://www.freebsd.org/doc/ справочник /
