从头开始硬化的BSD

Question

我知道Scratch的Hardened Linux项目是一个项目，该项目为您提供了逐步说明，以完全从源代码构建自己的定制和强化Linux系统。 我想知道BSD中的等效功能是什么？

Answer 1

正如Richard所说，OpenBSD绝对值得一试，对于专用于防火墙和网关的所有产品，这是我的第一选择。 对于其他服务，我倾向于使用FreeBSD，尽管没有明显的理由使它只是个人喜好。

但是我想指出的是，如果您想对服务进行更安全的托管，那么从零开始的概念可以使用Jails更好地完成。 本质上，您在完整的FreeBSD安装上创建了一个受限的FreeBSD环境。 在这种有限的环境中，您仅复制/链接服务运行所需的那些二进制文件和文件。

由于托管服务无法访问任何其他文件/二进制文件，因此这些漏洞中的所有潜在安全漏洞都无法利用。 如果您的应用程序被“扎根”，它将不会超出监狱的范围。

看到它就像是对类固醇的沙盒，性能损失可忽略不计。

Answer 2

默认情况下，OpenBSD从安装中进行了加固。 只有管​​理员才能将其打开...逐个组件。

[更新]虽然我还没有阅读用于增强linux的文档...某些相同的事情可能适用...例如，它们都使用OpenSSH，所以策略将是相同的。 因此，如果有模块重叠，则同样适用。

Answer 3

您并不是真的从头开始bsd。 所有主要项目都在一个源存储库中带有一个完整的系统，因此您不必从这里获取内核，从那里获取binutils和编译器，也不必从其他地方获取c库和标准实用程序，而从另一个地方获取X。

与一般的Linux发行版相比，它们通常更容易获取所有源代码并重建整个系统，但这实际上并不是自定义任何内容。

您可以尝试做一些疯狂的事情，例如尝试使OpenBSD用户域在具有FreeBSD端口的NetBSD内核上运行，但是您将自己行事，而且它肯定不会被“强化”。

Answer 4

HardenedBSD是FreeBSD项目的一个分支，旨在实施PIE，RELRO，SAFESTACK和CFIHARDEN。 这里有一些目标，另一些是极端在制品。 我还不认为它可以“投入生产”，但可以用作台式机（还取决于生产环境的要求）。

回购： https : //github.com/HardenedBSD

包括“ make buildworld / buildkernel”在内的所有内容都与FreeBSD上的相同，并且手册对此做了很好的解释。 即使来自linux-land，您也需要做一些阅读工作。 建立自己的端口是一个完整的主题。

牢狱之灾，这一说法并不完全正确。 虽然无疑增加了重要的安全层，但Unix系统（关于Linux的IDK）在缓解内核漏洞利用方面没有优势。如果攻击者获得了进入监狱的权限，那么通过内核转移到其他监狱或提升特权的工作就不会太多。利用。” 别误会我，我几乎将所有服务都投入了监狱。

至于“默认情况下已硬化”的注释：都是在sysctl设置中进行的，可以在每种* BSD风格上进行调整，但是如果sysadmin不花时间阅读文档，则秒措施几乎没有用。

如果您有兴趣，请做作业： https : //www.freebsd.org/doc/handbook/