The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

18.12.2018 23:15  Стабильный выпуск HardenedBSD 12

Подготовлен первый стабильный выпуск HardenedBSD 12, форка операционной системы FreeBSD 12, в который интегрированы дополнительные механизмы защиты и техники противодействия методам эксплуатации уязвимостей. Установочные iso-образы и сборки для виртуальных машин сформированы для архитектуры AMD64. По мере готовности развиваемые проектом HardenedBSD по возможности переносятся в основные ветки FreeBSD.

По сравнению с HardenedBSD 11 в новой ветке реализованы следующие улучшения:

  • При сборке приложений задействован механизм проверки целостности выполнения программ Non-Cross-DSO CFI (Control Flow Integrity), нацеленный на выявление некоторых форм неопределённого поведения, которые потенциально могут привести к нарушению нормального потока управления (проброс на произвольное место в памяти) в результате атаки на приложение. Для ядра CFI пока не применяется;
  • Дополнительная изоляция гипервизора bhyve;
  • Возможность включения режима отладки непривилегированных процессов (sysctl security.bsd.unprivileged_process_debug) для отдельных jail-окружений;
  • Применение метода защиты retpoline для блокирования уязвимости Spectre v2 на этапе сборки приложений из портов и базовой системы;
  • Отключение по умолчанию технологии одновременной многопоточности (SMT или Hyper-Threading). Для включения следует установить переменную machdep.hyperthreading_allowed=1 в loader.conf;
  • Перевод связанных с компилятором утилит ar, nm и objdump на реализации от проекта LLVM (llvm-ar, llvm-nm, and llvm-objdump);
  • Сборка приложений с включением оптимизации на этапе связывания (LTO, Link-Time Optimization).



Из особенностей HardenedBSD можно отметить:

  • Реализации ASLR (Address Space Layout Randomization), NOEXEC и SEGVGUARD (защита от обхода ASLR);
  • Более защищённые варианты mprotect и procfs/linprocfs;
  • Ограничение некоторых настроек sysctl;
  • Усиление защиты на стадии загрузки;
  • Запрет маппинга страниц памяти одновременно в режиме исполнения и записи (W^X);
  • Усиление защиты сетевого стека, добавление рандомизации идентификаторов IP и временных адресов IPv6;
  • Защита от метода работы эксплоитов SROP (Sigreturn-oriented programming);
  • Изоляция большей части исполняемых файлов базовой системы на уровне ограничения доступа к системным вызовам;
  • Возможность запуска программ только из разрешённых каталогов;
  • Сборка исполняемых файлов базовой системы и портов в режиме PIE (Position-Independent Executables) с защитой от переполнения стека (SafeStack), механизмом проверки целостности выполнения программы CFI (Control Flow Integrity), защитой от эксплуатации уязвимостей Spectre (патчи retpoline) и включением опций RELRO и BIND_NOW;
  • Для применения к приложениям дополнительных техник защиты предлагается утилита secadm.


  1. Главная ссылка к новости (https://hardenedbsd.org/articl...)
  2. OpenNews: Релиз FreeBSD 12.0
  3. OpenNews: Релиз операционной системы DragonFly BSD 5.4
  4. OpenNews: Сформированы установочные образы HardenedBSD 11-CURRENT
  5. OpenNews: Стабильный выпуск HardenedBSD 10-STABLE и 11-CURRENT v40.1
  6. OpenNews: Проект HardenedBSD возвращается с LibreSSL на OpenSSL
Лицензия: CC-BY
Тип: Программы
Ключевые слова: hardenedbsd, freebsd
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Ivan_83 (ok), 00:37, 19/12/2018 [ответить] [показать ветку] [···]    [к модератору]
  • +/
    Часть этого и во фряшечке легко включается.
     
     
  • 2.5, Аноним (5), 03:02, 19/12/2018 [^] [ответить]     [к модератору]
  • +/
    Как со фряхе собирать порты с LTO Ибо официальный метод не работает https wi... весь текст скрыт [показать]
     
     
  • 3.28, Аноним (28), 16:15, 19/12/2018 [^] [ответить]     [к модератору]  
  • +/
    Попробуй в etc make conf --- LLVM_VERSION 70 LLVM_LTO true if empty LLVM_V... весь текст скрыт [показать]
     
     
  • 4.34, Аноним (5), 19:59, 19/12/2018 [^] [ответить]     [к модератору]  
  • +/
    Да я бы с радостью Только сборка почти каждого пакета вываливается с ошибкой A... весь текст скрыт [показать]
     
     
  • 5.40, Аноним (28), 17:10, 20/12/2018 [^] [ответить]     [к модератору]  
  • +/
    не каждого я кое-что уже проверил net svnup, databases sqlite3, ports-mgmt pkg... весь текст скрыт [показать]
     
     
  • 6.43, Аноним (5), 06:05, 21/12/2018 [^] [ответить]     [к модератору]  
  • +/
    Так если зафигачить в CFLAGS clang то оно не будет юзаться Посмотри листинг вып... весь текст скрыт [показать]
     
  • 5.41, Аноним (28), 17:17, 20/12/2018 [^] [ответить]     [к модератору]  
  • +/
    вот и devel cmake подтянулся штатным ls -l pkg info -l cmake 124 fgrep l... весь текст скрыт [показать]
     
  • 2.24, псевдонимус (?), 14:43, 19/12/2018 [^] [ответить]    [к модератору]  
  • +/
    Ты, как я понял, контрибутишь в неё. Что говорят про пересмотр сроков поддержки? К чему готовиться?
     
     
  • 3.36, Ivan_83 (ok), 02:23, 20/12/2018 [^] [ответить]     [к модератору]  
  • +/
    В основном в порты Я редко читаю рассылку и есть закрытые рассылки куда у меня ... весь текст скрыт [показать]
     
     
  • 4.37, псевдонимус (?), 11:40, 20/12/2018 [^] [ответить]     [к модератору]  
  • +/
    Вот это искреннее непонимание и есть самое грустное Это ещё печальнее Ну да,... весь текст скрыт [показать]
     
     
  • 5.39, Аноним (39), 12:34, 20/12/2018 [^] [ответить]     [к модератору]  
  • +/
    Давай не будем лукавить, все LTS линукс-ядра поддерживают десятки разрабов на пр... весь текст скрыт [показать]
     
  • 5.42, Ivan_83 (ok), 04:24, 21/12/2018 [^] [ответить]     [к модератору]  
  • +/
    Думаю что все адепты длительного суппорта всяких старых версий получают за это в... весь текст скрыт [показать]
     
     
  • 6.44, КГБ СССР (?), 08:05, 21/12/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Предлагаю запомнить этот твит и через годик посмотреть, сколько добавилось денег... весь текст скрыт [показать]
     
  • 6.46, псевдонимус (?), 09:11, 21/12/2018 [^] [ответить]     [к модератору]  
  • +/
    gt оверквотинг удален А, никто никаму ничего не должен Ну останетесь без... весь текст скрыт [показать]
     
     
  • 7.47, КГБ СССР (?), 09:37, 21/12/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    Только что как раз об этом подумалось Для меня двадцать лет назад как вчера был... весь текст скрыт [показать]
     
     
  • 8.49, псевдонимус (?), 10:03, 21/12/2018 [^] [ответить]    [к модератору]  
  • +/
    Я и сам конца 80-х выпуска. Просто у людей, даже людей в летах, стала на удивление короткая память, это касается всего. Ну и эгоизм зашкаливает.
     
     
  • 9.50, КГБ СССР (?), 11:00, 21/12/2018 [^] [ответить]     [к модератору]  
  • +/
    Субъективное восприятие течения времени зависит от возраста и от общей внутренне... весь текст скрыт [показать]
     
  • 1.2, Anonymouss (?), 00:56, 19/12/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +13 +/
    В чем преимущество если есть OpenBSD?, в которой это тоже реализовано.
     
     
  • 2.3, Анониммм (?), 01:14, 19/12/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    В том,что сабж основан на фре. Со всеми вытекающими.К чему такие странные вопросы?
     
  • 2.4, Аноним (4), 02:40, 19/12/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    В том, что делают нормально, а не советуют тупо отключать HT/SMP просто на всякий.
     
     
  • 3.6, Аноно (?), 04:20, 19/12/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Предотвратив тем самым кучу новых уязвимостей, ага. Какой плохой Тео.
    То ли дело - бракоделы из intel!
     
     
  • 4.8, Аноним (4), 05:04, 19/12/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    Это Тео ленивый бракодел, ибо рубит с плеча, когда во всех остальных осях проблему успешно решили.

    Н - Некомпетентность

     
     
  • 5.9, Аноним (9), 07:16, 19/12/2018 [^] [ответить]    [к модератору]  
  • +5 +/
    > проблему успешно решили.

    ага-ага. за последний год "проблему успешно решали" несколько раз - т.е. проблема по определению не решена вовсе. так что тео молодец.

     
     
  • 6.21, Аноним (21), 12:10, 19/12/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Линуксопроблемы-линуксопроблемочки А вот в ненавистной венде как-то решили, при... весь текст скрыт [показать]
     
     
  • 7.35, Аноним (35), 00:05, 20/12/2018 [^] [ответить]     [к модератору]  
  • +/
    Жырните, батяня Один из пачтей для обсуждаемых бэкдоров ложил десятку в синий э... весь текст скрыт [показать]
     
  • 7.38, псевдонимус (?), 11:53, 20/12/2018 [^] [ответить]     [к модератору]  
  • +/
    Вин10 сама по себе проблема в месте с её заШИТником и копраной Даже браузер себ... весь текст скрыт [показать]
     
  • 5.12, КГБ СССР (?), 08:03, 19/12/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    Её нигде не решили Её _нельзя_ решить Решение надо делать начисто в кремнии Т... весь текст скрыт [показать]
     
  • 5.20, Onanon (?), 11:41, 19/12/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    Ага То-то недавно новость была, в которой Линус оподливился и признал, что прощ... весь текст скрыт [показать]
     
  • 1.10, Аноним (9), 07:21, 19/12/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    В обычной фре всё это тоже можно реализовать Этот же дист просто из коробки ти... весь текст скрыт [показать]
     
     
  • 2.22, Аноним84701 (ok), 13:03, 19/12/2018 [^] [ответить]    [к модератору]  
  • +/
    > В обычной фре всё это тоже можно реализовать .

    Можно. Правда, как обычно - "Да, но пока еще нет. Но вот совсем скоро да, просто пока еще нет".
    > Этот же дист просто из коробки типа всё предоставляет. Короче такой себе вариант.

    Нет, это не "дист" в лучших традициях Денисок и любителей нескучных обоин - обоин там нет, нехило пропатчено ядро (HardenedBSD пилится самими автор(ами) патчей, https://lists.freebsd.org/pipermail/freebsd-arch/2014-July/015548.html) есть дополнительные sysctl-ки, управление:
    https://github.com/HardenedBSD

    > Странно, что из платформ только AMD64. А где всё остальное? Где?

    Наверное, ждет спонсирования и/или помощи анонима?
    > has been tested and is known to work on amd64, i386, arm, arm64, and risc-v

    https://github.com/HardenedBSD/hardenedBSD/wiki
    [code]
    Branch Repository Binary Updates Purpose
    hardened/current/master HardenedBSD amd64, arm64 Main development branch (13-CURRENT)
    [/code]

     
  • 2.26, xm (ok), 16:08, 19/12/2018 [^] [ответить]    [к модератору]  
  • +/
    Всё правильно. В этом и смысл. Не хотите возиться со всеми этими настройками - сразу ставите.
    А так то да.
     
  • 1.11, Аноним (39), 07:34, 19/12/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    А куда его ставить? На x86 роутер? На стораджи для zfs?
     
     
  • 2.14, Dmitry (??), 10:31, 19/12/2018 [^] [ответить]    [к модератору]  
  • +/
    Не поверите, существует еще много разных приложений, кроме apache+php+mysql.

    Ради интереса, пробегитесь по папочкам /usr/ports/astro, /usr/ports/biology, /usr/ports/finance, /usr/ports/match, /usr/ports/science.

     
     
  • 3.16, 34o2i3j2g054jt (?), 11:11, 19/12/2018 [^] [ответить]    [к модератору]  
  • +/
    /usr/ports/games забыли
     
  • 3.17, Аноним (17), 11:14, 19/12/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    Где я упомянул apache etc? Вы совсем больны, сходите к сексопатологу
     
  • 1.13, НКВД_лучше_Гестапо (?), 09:14, 19/12/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    Тут весь вопрос, сколько всякой фигни в качестве служб и открытых портов будет запущено сразу после установки, если как во Фре, то ясно, что  OpenBSD лучше.
    Всё в безопасности как и в театре начинается  от вешалки-установки, если система с дырами в безопасности  стояла непропатченная 20 минут(пока админ попьёт кофейку и обновит систему), то какое этой системе может быть потом  доверие?
     
     
  • 2.15, Dmitry (??), 10:46, 19/12/2018 [^] [ответить]    [к модератору]  
  • +/
    В тексте новости же написано, что по умолчанию включены mac_bsdextended и capsium.
    Ну и поищите там 'secadm' с примерами.
     
  • 2.45, Онаним (?), 08:50, 21/12/2018 [^] [ответить]    [к модератору]  
  • +/
    А что, кто-то кроме смол-офисных и домашних админов ставит ОС вручную и оставляет непропатченную сиситему просто так включеной и в сети пока идёт на перерыв?
     
     
  • 3.48, КГБ СССР (?), 09:41, 21/12/2018 [^] [ответить]    [к модератору]  
  • +/
    Ещё и пароль к базе и клиент-банку на бумажке записывают и к монитору клеят. Да, и уходят на обед пощебетять всем отделом, а дверь не запирается. А оператор системы видеонаблюдения в это самое время со своей девушкой болтает по телефону, пока у него на мультиплексоре выносят с территории ценное имущество.

    Лучше тебе даже не знать, анон, _как_ бывает в жизни на самом деле, а не в сказках.

     
  • 1.23, НКВД_лучше_Гестапо (?), 14:20, 19/12/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • –3 +/
    судя по этой таблице по части внедрения безопасных технологий FreeBSD не только... весь текст скрыт [показать]
     
     
  • 2.25, псевдонимус (?), 14:48, 19/12/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    А как же капсикум?
     
     
  • 3.27, xm (ok), 16:10, 19/12/2018 [^] [ответить]    [к модератору]  
  • +/
    Эти чудила таких словей не знають.
     
     
  • 4.29, псевдонимус (?), 16:40, 19/12/2018 [^] [ответить]    [к модератору]  
  • +/
    > Эти чудила таких словей не знають.

    Ну про заточку под 86 он во многом прав. Что там с RISC-V, вроде фряшники чуть ли не пионеры были, а сейчас тихо.

    И что со сроками поддержки, хотя бы на 86.


     
     
  • 5.30, xm (ok), 17:30, 19/12/2018 [^] [ответить]    [к модератору]  
  • +/
    С RISC-V там всё примерно так же, как и самой архитектурой.
    Зато по ARM64 прогресс.
     
     
  • 6.31, псевдонимус (?), 17:37, 19/12/2018 [^] [ответить]    [к модератору]  
  • +/
    > С RISC-V там всё примерно так же, как и самой архитектурой.
    > Зато по ARM64 прогресс.

    И куда этот арм ставить, на сервак что ли? Спасибо, пользуйтесь на здоровье сами, мне тормозное "энергосберегающее" шерето не нужно.

    И что со сроками поддержки? Все сохраняют гордое молчание.


     
     
  • 7.32, xm (ok), 19:07, 19/12/2018 [^] [ответить]    [к модератору]  
  • +/
    > И куда этот арм ставить, на сервак что ли?

    Вангую что через несколько лет серверы на ARM64 будут иметь заметную долю на рынке.
    Так что FreeBSD правильно оценивает перспективы.

    > И что со сроками поддержки?

    Сроки сейчас в процессе обсуждения. За деталями в мэйл лист.

     
     
  • 8.33, псевдонимус (?), 19:54, 19/12/2018 [^] [ответить]    [к модератору]  
  • +/
    >серверы на ARM64 будут иметь заметную долю на рынке.

    Пожелаю удачи счастливым покупателям, она им пригодится.

    >Так что FreeBSD правильно оценивает перспективы.

    Перспективы лизания интелова  зада? Значит не зря они усилили поддержку фрибсд.

    >Сроки сейчас в процессе обсуждения

    Так полгода или год? Стрёмно озвучить предложения?

    Троллинг-релиз не нужен эксплуатантам. Если это произойдёт, фряха будет нужна только горстке корпоративщиков, имеющих ресурсы для стабилизации этого сроллинга. Впрочем, эта злокачественная тенденция характерна почти всего "свободного" и несвободного софта.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2019 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor