HardenedBSD
HardenedBSD | ||||||||
Famille | BSD | |||||||
---|---|---|---|---|---|---|---|---|
Langues | Anglais | |||||||
Type de noyau | Noyau monolithique modulaire | |||||||
État du projet | en développement | |||||||
Plates-formes | x86-64, AArch64 | |||||||
Entreprise / Fondateur |
Oliver Pinter et Shawn Webb | |||||||
Entreprise / Développeur |
Projet HardenedBSD | |||||||
Licence | Licence FreeBSD | |||||||
États des sources | Logiciel libre | |||||||
Dernière version stable | 13 | |||||||
Méthode de mise à jour | hbsd-update, pkg | |||||||
Site web | https://hardenedbsd.org/ | |||||||
| ||||||||
modifier |
HardenedBSD est une bifurcation (fork en anglais) de FreeBSD destinée à accentuer la sécurité. Le projet a commencé par la mise en œuvre de l'ASLR en 2015. Depuis, HardenedBSD est passé à la mise en œuvre d'autres technologies d'atténuation et de durcissement contre l'exploitation de vulnerabilité informatique.
Histoire
[modifier | modifier le code]Le travail sur HardenedBSD a commencé en 2013 quand Oliver Pinter et Shawn Webb ont commencé à travailler sur une implémentation de l'ASLR (Randomisation de la disposition de l'espace d'adressage), basée sur la documentation publique de PaX, pour FreeBSD. À l'époque, HardenedBSD était censé être une zone d'étape pour le développement expérimental du patch ASLR. Au fil du temps, alors que le processus d'intégration de l'ASLR à FreeBSD devenait plus difficile, HardenedBSD est naturellement devenu une bifurcation (fork).
HardenedBSD a achevé la mise en œuvre de l'ASLR en 2015 avec la forme d'ASLR la plus forte de toutes les BSD. Depuis lors, HardenedBSD est passé à la mise en œuvre d'autres technologies d'atténuation et de durcissement de l'exploitation. OPNsense, un pare-feu open source basé sur FreeBSD, a intégré l'implémentation ASLR de HardenedBSD en 2016. OPNsense a terminé sa migration vers HardenedBSD le 31 janvier 2019.
HardenedBSD existe aujourd'hui comme une bifurcation de FreeBSD qui suit de près le code source de FreeBSD.
Fonctionnalités
[modifier | modifier le code]- ASLR inspiré de PaX
- NOEXEC inspiré de PaX
- SEGVGUARD inspiré de PaX
- Base compilée avec les exécutables indépendants de la position (PIEs)
- Base compilée avec RELRO complet (RELRO + BIND_NOW)
- Durcissement de certaines valeurs sysctl sensibles
- Durcissement de la pile réseau
- Renforcement de l'intégrité des fichiers exécutables
- Durcissement du processus de démarrage
- Durcissement de procs/linprocfs
- LibreSSL comme une crypto-bibliothèque optionnelle de base
- Trusted Path Execution (TPE)
- Randomisation des PIDs
- SafeStack de base
- SafeStack disponible dans les ports
- Non-Cross-DSO CFI de base
- Non-Cross-DSO CFI disponible dans les ports
- Retpoline appliqué à la base et aux ports