Aller au contenu

HardenedBSD

Un article de Wikipédia, l'encyclopédie libre.

HardenedBSD
Logo

Famille BSD
Langues Anglais
Type de noyau Noyau monolithique modulaire
État du projet en développement
Plates-formes x86-64, AArch64
Entreprise /
Fondateur
Oliver Pinter et Shawn Webb
Entreprise /
Développeur
Projet HardenedBSD
Licence Licence FreeBSD
États des sources Logiciel libre
Dernière version stable 13
Méthode de mise à jour hbsd-update, pkg
Site web https://hardenedbsd.org/

HardenedBSD est une bifurcation (fork en anglais) de FreeBSD destinée à accentuer la sécurité. Le projet a commencé par la mise en œuvre de l'ASLR en 2015. Depuis, HardenedBSD est passé à la mise en œuvre d'autres technologies d'atténuation et de durcissement contre l'exploitation de vulnerabilité informatique.

Le travail sur HardenedBSD a commencé en 2013 quand Oliver Pinter et Shawn Webb ont commencé à travailler sur une implémentation de l'ASLR (Randomisation de la disposition de l'espace d'adressage), basée sur la documentation publique de PaX, pour FreeBSD. À l'époque, HardenedBSD était censé être une zone d'étape pour le développement expérimental du patch ASLR. Au fil du temps, alors que le processus d'intégration de l'ASLR à FreeBSD devenait plus difficile, HardenedBSD est naturellement devenu une bifurcation (fork).

HardenedBSD a achevé la mise en œuvre de l'ASLR en 2015 avec la forme d'ASLR la plus forte de toutes les BSD. Depuis lors, HardenedBSD est passé à la mise en œuvre d'autres technologies d'atténuation et de durcissement de l'exploitation. OPNsense, un pare-feu open source basé sur FreeBSD, a intégré l'implémentation ASLR de HardenedBSD en 2016. OPNsense a terminé sa migration vers HardenedBSD le 31 janvier 2019.

HardenedBSD existe aujourd'hui comme une bifurcation de FreeBSD qui suit de près le code source de FreeBSD.

Fonctionnalités

[modifier | modifier le code]
  • ASLR inspiré de PaX
  • NOEXEC inspiré de PaX
  • SEGVGUARD inspiré de PaX
  • Base compilée avec les exécutables indépendants de la position (PIEs)
  • Base compilée avec RELRO complet (RELRO + BIND_NOW)
  • Durcissement de certaines valeurs sysctl sensibles
  • Durcissement de la pile réseau
  • Renforcement de l'intégrité des fichiers exécutables
  • Durcissement du processus de démarrage
  • Durcissement de procs/linprocfs
  • LibreSSL comme une crypto-bibliothèque optionnelle de base
  • Trusted Path Execution (TPE)
  • Randomisation des PIDs
  • SafeStack de base
  • SafeStack disponible dans les ports
  • Non-Cross-DSO CFI de base
  • Non-Cross-DSO CFI disponible dans les ports
  • Retpoline appliqué à la base et aux ports

Articles connexes

[modifier | modifier le code]

Lien externe

[modifier | modifier le code]