HardenedBSD

HardenedBSD est une bifurcation (fork en anglais) de FreeBSD destinée à accentuer la sécurité. Le projet a commencé par la mise en œuvre de l'ASLR en 2015. Depuis, HardenedBSD est passé à la mise en œuvre d'autres technologies d'atténuation et de durcissement contre l'exploitation de vulnerabilité informatique.

HardenedBSD

Famille BSD
Langues Anglais
Type de noyau Noyau monolithique modulaire
État du projet en développement
Plates-formes x86-64, AArch64
Entreprise /
Fondateur
Oliver Pinter et Shawn Webb
Entreprise /
Développeur
Projet HardenedBSD
Licence Licence FreeBSD
États des sources Logiciel libre
Dernière version stable 13
Méthode de mise à jour hbsd-update, pkg
Site web https://hardenedbsd.org/

Histoire

Le travail sur HardenedBSD a commencé en 2013 quand Oliver Pinter et Shawn Webb ont commencé à travailler sur une implémentation de l'ASLR (Randomisation de la disposition de l'espace d'adressage), basée sur la documentation publique de PaX, pour FreeBSD. À l'époque, HardenedBSD était censé être une zone d'étape pour le développement expérimental du patch ASLR. Au fil du temps, alors que le processus d'intégration de l'ASLR à FreeBSD devenait plus difficile, HardenedBSD est naturellement devenu une bifurcation (fork).

HardenedBSD a achevé la mise en œuvre de l'ASLR en 2015 avec la forme d'ASLR la plus forte de toutes les BSD. Depuis lors, HardenedBSD est passé à la mise en œuvre d'autres technologies d'atténuation et de durcissement de l'exploitation. OPNsense, un pare-feu open source basé sur FreeBSD, a intégré l'implémentation ASLR de HardenedBSD en 2016. OPNsense a terminé sa migration vers HardenedBSD le 31 janvier 2019.

HardenedBSD existe aujourd'hui comme une bifurcation de FreeBSD qui suit de près le code source de FreeBSD.

Fonctionnalités

  • ASLR inspiré de PaX
  • NOEXEC inspiré de PaX
  • SEGVGUARD inspiré de PaX
  • Base compilée avec les exécutables indépendants de la position (PIEs)
  • Base compilée avec RELRO complet (RELRO + BIND_NOW)
  • Durcissement de certaines valeurs sysctl sensibles
  • Durcissement de la pile réseau
  • Renforcement de l'intégrité des fichiers exécutables
  • Durcissement du processus de démarrage
  • Durcissement de procs/linprocfs
  • LibreSSL comme une crypto-bibliothèque optionnelle de base
  • Trusted Path Execution (TPE)
  • Randomisation des PIDs
  • SafeStack de base
  • SafeStack disponible dans les ports
  • Non-Cross-DSO CFI de base
  • Non-Cross-DSO CFI disponible dans les ports
  • Retpoline appliqué à la base et aux ports

Voir aussi

Articles connexes

Lien externe

  • Portail de la sécurité informatique
Cet article est issu de Wikipedia. Le texte est sous licence Creative Commons - Attribution - Partage dans les Mêmes. Des conditions supplémentaires peuvent s'appliquer aux fichiers multimédias.