[英]Hardened BSD from Scratch
正如Richard所說,OpenBSD絕對值得一試,對於專用於防火牆和網關的所有產品,這是我的第一選擇。 對於其他服務,我傾向於使用FreeBSD,盡管沒有明顯的理由使它只是個人喜好。
但是我想指出的是,如果您想對服務進行更安全的托管,那么從零開始的概念可以使用Jails更好地完成。 本質上,您在完整的FreeBSD安裝上創建了一個受限的FreeBSD環境。 在這種有限的環境中,您僅復制/鏈接服務運行所需的那些二進制文件和文件。
由於托管服務無法訪問任何其他文件/二進制文件,因此這些漏洞中的所有潛在安全漏洞都無法利用。 如果您的應用程序被“扎根”,它將不會超出監獄的范圍。
看到它就像是對類固醇的沙盒,性能損失可忽略不計。
默認情況下,OpenBSD從安裝中進行了加固。 只有管理員才能將其打開...逐個組件。
[更新]雖然我還沒有閱讀用於增強linux的文檔...某些相同的事情可能適用...例如,它們都使用OpenSSH,所以策略將是相同的。 因此,如果有模塊重疊,則同樣適用。
您並不是真的從頭開始bsd。 所有主要項目都在一個源存儲庫中帶有一個完整的系統,因此您不必從這里獲取內核,從那里獲取binutils和編譯器,也不必從其他地方獲取c庫和標准實用程序,而從另一個地方獲取X。
與一般的Linux發行版相比,它們通常更容易獲取所有源代碼並重建整個系統,但這實際上並不是自定義任何內容。
您可以嘗試做一些瘋狂的事情,例如嘗試使OpenBSD用戶域在具有FreeBSD端口的NetBSD內核上運行,但是您將自己行事,而且它肯定不會被“強化”。
HardenedBSD是FreeBSD項目的一個分支,旨在實施PIE,RELRO,SAFESTACK和CFIHARDEN。 這里有一些目標,另一些是極端在制品。 我還不認為它可以“投入生產”,但可以用作台式機(還取決於生產環境的要求)。
回購: https : //github.com/HardenedBSD
包括“ make buildworld / buildkernel”在內的所有內容都與FreeBSD上的相同,並且手冊對此做了很好的解釋。 即使來自linux-land,您也需要做一些閱讀工作。 建立自己的端口是一個完整的主題。
牢獄之災,這一說法並不完全正確。 雖然無疑增加了重要的安全層,但Unix系統(關於Linux的IDK)在緩解內核漏洞利用方面沒有優勢。如果攻擊者獲得了進入監獄的權限,那么通過內核轉移到其他監獄或提升特權的工作就不會太多。利用。” 別誤會我,我幾乎將所有服務都投入了監獄。
至於“默認情況下已硬化”的注釋:都是在sysctl設置中進行的,可以在每種* BSD風格上進行調整,但是如果sysadmin不花時間閱讀文檔,則秒措施幾乎沒有用。
如果您有興趣,請做作業: https : //www.freebsd.org/doc/handbook/
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.