從頭開始硬化的BSD

Question

我知道Scratch的Hardened Linux項目是一個項目，該項目為您提供了逐步說明，以完全從源代碼構建自己的定制和強化Linux系統。 我想知道BSD中的等效功能是什么？

Answer 1

正如Richard所說，OpenBSD絕對值得一試，對於專用於防火牆和網關的所有產品，這是我的第一選擇。 對於其他服務，我傾向於使用FreeBSD，盡管沒有明顯的理由使它只是個人喜好。

但是我想指出的是，如果您想對服務進行更安全的托管，那么從零開始的概念可以使用Jails更好地完成。 本質上，您在完整的FreeBSD安裝上創建了一個受限的FreeBSD環境。 在這種有限的環境中，您僅復制/鏈接服務運行所需的那些二進制文件和文件。

由於托管服務無法訪問任何其他文件/二進制文件，因此這些漏洞中的所有潛在安全漏洞都無法利用。 如果您的應用程序被“扎根”，它將不會超出監獄的范圍。

看到它就像是對類固醇的沙盒，性能損失可忽略不計。

Answer 2

默認情況下，OpenBSD從安裝中進行了加固。 只有管​​理員才能將其打開...逐個組件。

[更新]雖然我還沒有閱讀用於增強linux的文檔...某些相同的事情可能適用...例如，它們都使用OpenSSH，所以策略將是相同的。 因此，如果有模塊重疊，則同樣適用。

Answer 3

您並不是真的從頭開始bsd。 所有主要項目都在一個源存儲庫中帶有一個完整的系統，因此您不必從這里獲取內核，從那里獲取binutils和編譯器，也不必從其他地方獲取c庫和標准實用程序，而從另一個地方獲取X。

與一般的Linux發行版相比，它們通常更容易獲取所有源代碼並重建整個系統，但這實際上並不是自定義任何內容。

您可以嘗試做一些瘋狂的事情，例如嘗試使OpenBSD用戶域在具有FreeBSD端口的NetBSD內核上運行，但是您將自己行事，而且它肯定不會被“強化”。

Answer 4

HardenedBSD是FreeBSD項目的一個分支，旨在實施PIE，RELRO，SAFESTACK和CFIHARDEN。 這里有一些目標，另一些是極端在制品。 我還不認為它可以“投入生產”，但可以用作台式機（還取決於生產環境的要求）。

回購： https : //github.com/HardenedBSD

包括“ make buildworld / buildkernel”在內的所有內容都與FreeBSD上的相同，並且手冊對此做了很好的解釋。 即使來自linux-land，您也需要做一些閱讀工作。 建立自己的端口是一個完整的主題。

牢獄之災，這一說法並不完全正確。 雖然無疑增加了重要的安全層，但Unix系統（關於Linux的IDK）在緩解內核漏洞利用方面沒有優勢。如果攻擊者獲得了進入監獄的權限，那么通過內核轉移到其他監獄或提升特權的工作就不會太多。利用。” 別誤會我，我幾乎將所有服務都投入了監獄。

至於“默認情況下已硬化”的注釋：都是在sysctl設置中進行的，可以在每種* BSD風格上進行調整，但是如果sysadmin不花時間閱讀文檔，則秒措施幾乎沒有用。

如果您有興趣，請做作業： https : //www.freebsd.org/doc/handbook/