Закаленный BSD с нуля

Question

Мне известен проект Hardened Linux from Scratch , представляющий собой пошаговые инструкции по созданию собственной настраиваемой и усиленной системы Linux полностью из исходного кода. Я хотел бы знать, что является эквивалентом в BSD?

Answer 1

Как сказал Ричард, OpenBSD определенно стоит того, чтобы выбрать его, это мой выбор № 1 для всего, что предназначено для брандмауэров и шлюзов. Что касается других сервисов, я склонен придерживаться FreeBSD, хотя нет никаких очевидных причин для этого, просто личное предпочтение.

Но я хотел бы отметить, что концепция «с нуля», если вы хотите сделать более безопасный хостинг службы, может быть намного лучше реализована с использованием Jails . По сути, вы создаете ограниченную среду FreeBSD при полной установке FreeBSD. В этой ограниченной среде вы копируете / связываете только те двоичные файлы и файлы, которые требуются службе для запуска.

Поскольку размещенная служба не имеет доступа ни к каким другим файлам / двоичным файлам, все потенциальные недостатки безопасности в этих вещах не открыты для использования. Если ваше приложение случайно укоренится, оно не выйдет за пределы тюрьмы.

Смотри, как песочница на стероидах с незначительными потерями производительности.

Answer 2

Вы действительно не делаете BSD "с нуля". Все основные проекты поставляются с полной системой в одном репозитории исходных текстов, поэтому вы не забираете ядро ​​отсюда, binutils и компилятор оттуда, c библиотеки и стандартные утилиты откуда-то еще и X из еще одного места.

Как правило, им легче получить весь исходный код и перестроить всю систему, чем обычный дистрибутив linux, но на самом деле это ничего не настраивает.

Вы можете попытаться сделать что-то сумасшедшее, например, попытаться заставить пользовательское пространство OpenBSD работать на ядре NetBSD с портами FreeBSD, но вы будете сами по себе, и это, безусловно, не будет «усилено».

Answer 3

OpenBSD защищен "по умолчанию" от установки. Только админ открывает его ... компонент за компонентом.

[ОБНОВЛЕНИЕ], хотя я не читал документ по усилению Linux ... некоторые из этих вещей могут применяться ... например, они оба используют OpenSSH, поэтому стратегии будут одинаковыми. Так что там, где есть перекрытие модулей, применяется то же самое.

Answer 4

HardenedBSD - это форк проекта FreeBSD с целью реализации PIE, RELRO, SAFESTACK, CFIHARDEN. Некоторые цели есть, другие - экстремальные. Я бы не считал его «готовым к производству», но пригодным для использования в качестве настольного компьютера (также зависит от требований к производственной среде).

Репо: https://github.com/HardenedBSD

Все, включая «make buildworld / buildkernel», такое же, как и во FreeBSD, и Руководство хорошо объясняет это. Вам придется немного почитать, даже если вы приехали из linux-land. Создание своих собственных портов - это целая тема.

Re jails, утверждение не совсем правильно. Безусловно, добавляя важный уровень безопасности, в системах Unix (IDK о Linux) [цитируется здесь] "не хватает средств защиты от эксплойтов ядра. Если злоумышленник получает доступ к тюрьме, то не так уж много работы, чтобы перейти к другим тюрьмам или повысить привилегии через ядро эксплуатируют «. Не поймите меня неправильно, я помещаю почти все службы в тюрьму, насколько это возможно.

Что касается комментария "Закалено по умолчанию": все это в настройках sysctl, которые можно настроить для каждого * BSD-варианта, но меры sec в значительной степени бесполезны, если sysadmin не тратит время на чтение документов.

Если вам интересно, ваша домашняя работа: https://www.freebsd.org/doc/handbook/