来自Scratch的强化BSD

时间:2009-05-01 21:27:02

标签: linux operating-system kernel freebsd bsd

我知道Hardened Linux from Scratch项目是一个项目,它为您提供了完全从源代码构建您自己的定制和强化Linux系统的分步说明。我想知道BSD中的等价物是什么?

4 个答案:

答案 0 :(得分:5)

正如Richard所说,OpenBSD绝对值得一试,它是我专注于防火墙和网关的所有选择。对于其他服务,我倾向于坚持使用FreeBSD,尽管没有明显的理由只是个人偏好。

但我想指出,如果你想要更安全地托管服务,那么从'scratch part'概念可以使用Jails做得更好。实质上,您在完整的FreeBSD安装上创建了一个有限的FreeBSD环境。在这种有限的环境中,您只需复制/链接服务运行所需的二进制文件和文件。

由于托管服务无法访问任何其他文件/二进制文件,因此这些内容中的所有潜在安全漏洞都无法利用。如果您的应用程序偶然“扎根”,它将不会超出监狱的界限。

将其视为类固醇沙盒,可忽略性能损失。

答案 1 :(得分:2)

OpenBSD在安装时“默认”加固。只有管​​理员才能按组件打开它。

[UPDATE]虽然我还没有阅读用于强化linux的文档...但可能会应用一些相同的东西......例如,他们都使用OpenSSH,因此策略将是相同的。因此,如果存在模块重叠,则同样适用。

答案 2 :(得分:2)

你真的不是从头开始做bsd'。所有主要项目都在单个源存储库中提供了一个完整的系统,因此您不会从这里获取内核,从那里获取binutils和编译器,从其他地方获取c库和标准实用程序,从另一个地方获取X.

它们通常比普通的Linux发行版更容易获得所有源代码并重建整个系统,但这并不是真正定制任何内容。

你可以尝试做一些疯狂的事情,比如试图让OpenBSD用户空间在带有FreeBSD端口的NetBSD内核上运行,但是你自己就可以了,它肯定不会'硬化'。

答案 3 :(得分:1)

HardenedBSD是FreeBSD项目的一个分支,旨在实现PIE,RELRO,SAFESTACK,CFIHARDEN。有些目标在那里,其他目标是极端的WIP。我不会认为它已经准备好了#34;准备生产"但是,可用作桌面(也取决于生产环境要求)。

回购:https://github.com/HardenedBSD

一切,包括" make buildworld / buildkernel"与FreeBSD上的相同,手册很好地解释了这一点。即使来自linux-land,你也会有一些阅读。建立自己的端口是其中的一个完整主题。

重新监狱,声明并不完全正确。虽然肯定会添加一个重要的安全层,但Unix系统(IDK关于Linux)[引用这里]"缺乏内核漏洞利用缓解。如果攻击者获得了访问监狱的权限,那么转移到其他监狱或通过内核利用来升级权限并不算太多。"不要误解我,我几乎把所有服务都放在监狱里。

至于"默认加强"评论:它们都在sysctl设置中,可以在每个* BSD风格上进行调整,但如果系统管理员没有花时间阅读文档,则秒测量几乎没用。

如果您有兴趣,请做好作业:https://www.freebsd.org/doc/handbook/