Я знаю проект Hardened Linux from Scratch, который представляет собой проект, который предоставляет вам пошаговые инструкции по созданию собственной настраиваемой и закаленной Linux-системы полностью из исходного кода. Я хотел бы знать, что эквивалентно в BSD?Затвердевший BSD от Scratch
Поскольку Ричард сказал, что OpenBSD определенно стоит того, это мой выбор №1 для всего, что предназначено для брандмауэров и шлюзов. Для других сервисов я склонен придерживаться FreeBSD, хотя нет очевидной причины для этого только для личных предпочтений.
Но я хотел бы отметить, что концепция «нуля», если вы хотите сделать более безопасный хостинг службы, может быть намного лучше сделана с использованием Jails. По сути, вы создаете ограниченную среду FreeBSD для полной установки FreeBSD. В этой ограниченной среде вы копируете/связываете эти двоичные файлы и файлы, которые требуется выполнить службе.
Поскольку размещенная служба не имеет доступа к каким-либо другим файлам/бинарным файлам, все потенциальные недостатки безопасности в этих вещах не открываются для использования. Если случайно ваше приложение будет «укоренено», оно не выйдет за пределы тюрьмы.
См. Это как песочница на стероидах с пренебрежимо высокими штрафными санкциями.
OpenBSD закаливается «по умолчанию» из установки. Только администратор открывает его ... компонент по компоненту.
[UPDATE] пока я не прочитал документ для упрощения Linux ... некоторые из тех же вещей могут применяться ... например, оба они используют OpenSSH, поэтому стратегии будут одинаковыми. Поэтому, когда есть перекрытие модулей, то будет применяться то же самое.
Вы действительно не делаете bsd 'с нуля'. Все основные проекты поставляются с полной системой в одном исходном репозитории, поэтому вы не захватываете ядро отсюда, binutils и компилятор оттуда, а библиотеки c и стандартные утилиты из другого места и X из другого места.
Они, как правило, легче получить весь источник и перестроить всю систему, чем ваш средний дистрибутив Linux, но это на самом деле ничего не настраивает.
Вы можете попробовать сделать что-то орехи, например, пытаясь заставить пользовательское пространство OpenBSD запускаться на ядре NetBSD с портами FreeBSD, но вы были бы сами по себе, и это, конечно же, не было бы «закаленным».
HardenedBSD является развилкой проекта FreeBSD с целью реализации PIE, RELRO, SAFESTACK, CFIHARDEN. Некоторые цели есть, другие - экстремальные WIP. Я бы не считал это «готовым к производству» еще, но можно использовать как настольный (также зависит от требований к производству).
Repo: https://github.com/HardenedBSD
Все, в том числе «сделать/buildkernel компиляция системы» такой же, как на FreeBSD и Handbook делает хорошую работу, объясняя это. У вас будет немного чтения, хотя вы даже приедете с linux-land. Построение собственных портов - это целая тема в ней.
Re jails, утверждение не совсем корректно. Несмотря на добавление важного уровня безопасности, Unix-системы (IDK о Linux) [цитирует здесь] «не имеют ограничений на использование ядра. Если злоумышленник получает доступ к тюрьме, не слишком много работы для поворота в другие тюрьмы или эскалации привилегий через ядро эксплуатируют «. Не поймите меня неправильно, я помещаю почти все службы в тюрьму, насколько это возможно.
Что касается комментария «Закаленное по умолчанию»: все это в настройках sysctl, которые можно настроить на каждый * вкус BSD, но меры sec почти бесполезны, если системный администратор не занимает много времени, чтобы прочитать документы.
Если вы заинтересованы, ваше домашнее задание: https://www.freebsd.org/doc/handbook/
Я думаю, что это принадлежит на ServerFault.com –