私は自分自身でカスタマイズされ、強化されたLinuxシステムをソースから完全に構築するためのステップバイステップの手順を提供するプロジェクトであるHardened Linux from Scratchプロジェクトを知っています。私はBSDに相当するものが何であるか知りたいですか?BSDをスクラッチから修復しました
答えて
リチャード氏は、OpenBSDは確かに価値があると言っていますが、これはファイアウォールやゲートウェイ向けのすべてのものにとって、私の選択肢の1つです。私はFreeBSDに固執する傾向がある他のサービスについては、それが明らかに個人的な好みである理由は明白ではありません。
しかし、あなたがサービスのより安全なホスティングをしたいのであれば、「スクラッチ部分」からのコンセプトは、Jailsを使ってはるかに良いことを指摘したいと思います。本質的には、完全なFreeBSDインストールで限られたFreeBSD環境を作成します。その限られた環境では、サービスが実行する必要があるバイナリとファイルのみをコピー/リンクします。
ホストされているサービスは他のファイル/バイナリにアクセスできないため、これらのものの潜在的なセキュリティ上の欠陥は悪用される可能性がありません。あなたのアプリケーションが偶然に「根ざし」を受けると、それは刑務所の境界線を越えることはありません。
パフォーマンスが無視できないステロイドのサンドボックスのように見えます。
OpenBSDは、インストール時に「デフォルトで」強化されています。管理者だけがコンポーネントをコンポーネントごとに開きます。
[更新] Linuxを強化するためのドキュメントを読んでいないうちに、同じことが適用されるかもしれません。たとえば、両方ともOpenSSHを使用するので、戦略は同じになります。したがって、モジュールの重複がある場合、同じことが適用されます。
あなたは本当にbsdを「ゼロから」しません。主要なプロジェクトはすべて単一のソースリポジトリに完全なシステムを持っていますので、ここからカーネルを取得せず、そこからbinutilsとコンパイラ、そしてCライブラリと他の場所の標準ユーティリティとXを別の場所から取得します。
平均的なLinuxディストリビューションよりもシステム全体を再構築するのが一般的に簡単ですが、それは何もカスタマイズしていません。
FreeBSDポートを持つNetBSDカーネルでOpenBSDユーザーランドを稼働させようとしているような、ナットをしようとすることもできますが、あなたは自分自身であり、確かに「強化」されません。
HardenedBSDは、PIE、RELRO、SAFESTACK、CFIHARDENを実装する目的で、FreeBSDプロジェクトのフォークです。いくつかの目標があり、他は極端なWIPです。私はそれを "プロダクションのための準備"としてはまだ考えていませんが、デスクトップとしても使用できます(また、生産環境の要件にもよります)。
レポ:「buildworldの/ buildkernelを作る」を含むhttps://github.com/HardenedBSD
すべては、FreeBSD上で同じであるとハンドブックには、これを説明するのは良い仕事をしていません。あなたはLinuxの土地から来ても読書を少ししています。あなた自身のポートを構築することは、それ自身の全体的な話題です。
Re jails、この声明は完全に正しいわけではありません。重要なセキュリティ層を確実に追加している間に、Unixシステム(Linuxに関するIDK)はカーネルの悪用緩和策を欠いている。攻撃者が刑務所にアクセスすると、他の刑務所にピボットするか、搾取する。私を誤解しないで、私はできるだけ刑務所にほとんどすべてのサービスを置いています。
「デフォルトで固められています」コメント:sysctlの設定はすべて* BSD風味で微調整できますが、sysadminがドキュメントの読み込みに時間がかからなければ、ほとんどの場合役に立ちません。
あなたは、あなたの宿題興味を持っている場合:https://www.freebsd.org/doc/handbook/
私は、これはServerFault.comに属していると思います –