Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Co do hbsd jest gdzies na githubie opis, musialb bym poszukac. Ja to robie ze zrodel bo w SoYouStart jest tyko FreeBSD i pierwsza rzecza to rekompilacja na HardenedBSD. Robie to w taki "skomplikowany" sposob.
Wywal wszystko w /usr/src
cd /usr/src
git clone --single-branch --branch hardened/11-stable/master https://github.com/hardenedbsd/hardenedbsd-stable/ .
make -j8 buildworld; make -j8 kernel KERNCONF=MojKernelOilePotrzebneZmiany ( ja dodaje pf, divert i reszte); make installworld; mergemaster -Ui
reboot
pkg update
pkg upgrade (paczki z freebsd zsotana zamienione na paczki z opcjami bezpieczenstwa jka PIE i reszta. Bedziesz to widzial)
no i na koncu
systcl hardening (i to jest najprzyjemniejsza chwila)[/quote]
Sciagnij sobie porty bo to jest wazne:
cd /usr/ports
git clone https://github.com/HardenedBSD/hardenedbsd-ports .
W portach masz flagi bezpieczenstwa jak SafeStack. Pamieta, ze SafeStack sie tyczy binarek nie *.so, wiec patrz co kompilujesz.
.
Powodzenia !
Jak cos to piszOstatnio edytowany przez bryn1u (2017-09-26 20:59:32)
E-Booki: FreeBSD, OpenBSD, Linux, Hacking, PHP, Catia, Perl_CGI, Mysql ...
[b]http://unix-ebooki.neth.pl/[/b]
Offline
Prosze nastepny projekcik:
Hey All,
I'm working on applying Capsicum to Tor. I've got a PoC design for how
I'm going to do it posted here:
https://github.com/lattera/PoCs/tree/master/capsicum_fdpassing
Note that the above code might have ugly spots. It's mostly just a brain
dump.
Essentially, the child process creates the socket and passes the
socket's file descriptor back to the parent. The socket file descriptor
has the capabilities sets already applied to it before it goes back to
the parent. The socket creation and file descriptor passing seems to
work well.
However, what isn't working is calling connect(2) on the socket file
descriptor in the parent. errno gets set to ECAPMODE. This is puzzling
to me since CAP_CONNECT is set on the descriptor.
Any help would be appreciated.
Thanks,[/quote]Ostatnio edytowany przez bryn1u (2017-09-26 23:58:34)
E-Booki: FreeBSD, OpenBSD, Linux, Hacking, PHP, Catia, Perl_CGI, Mysql ...
[b]http://unix-ebooki.neth.pl/[/b]
Offline
bo ja znalazłem tylko taki link
https://xmj.github.io/articles/hardenedbsd/convert_freebsd_to_hardenedbsd.html
Offline
To jest za pomoca wlasnie hbsd. Nie sprawdzalem czy dziala. Mysle, ze powinno. Zainstaluj sobie virtualke z FreeBSD i sprawdz.
Ostatnio edytowany przez bryn1u (2017-09-28 18:17:06)
Offline
tez mam fbsd na vb w wolnym czasie sobie sprawdze jak się przeniesie..
Wygląda na to że chodzi po migracji ok
root@freebsd:~ # uname -a
FreeBSD freebsd 11.1-STABLE-HBSD FreeBSD 11.1-STABLE-HBSD #0 : Fri Sep 22 16:19:13 UTC 2017 root@updater-01:/usr/obj/usr/src/sys/HARDENEDBSD amd64
root@freebsd:~ #
root@freebsd:~ # sysctl -a |grep hardening.pax
hardening.pax.segvguard.max_crashes: 5
hardening.pax.segvguard.suspend_timeout: 600
hardening.pax.segvguard.expiry_timeout: 120
hardening.pax.segvguard.status: 1
hardening.pax.mprotect.status: 2
hardening.pax.pageexec.status: 2
hardening.pax.disallow_map32bit.status: 2
hardening.pax.aslr.status: 2
root@freebsd:~ #[/quote]
Offline
Entropy Gathering Enhancements
http://hardenedbsd.org/article/shawn-webb/2017-10-02/entropy-gathering-enhancements
[quote=Yampress]tez mam fbsd na vb w wolnym czasie sobie sprawdze jak się przeniesie..
Wygląda na to że chodzi po migracji ok
root@freebsd:~ # uname -a
FreeBSD freebsd 11.1-STABLE-HBSD FreeBSD 11.1-STABLE-HBSD #0 : Fri Sep 22 16:19:13 UTC 2017 root@updater-01:/usr/obj/usr/src/sys/HARDENEDBSD amd64
root@freebsd:~ #
root@freebsd:~ # sysctl -a |grep hardening.pax
hardening.pax.segvguard.max_crashes: 5
hardening.pax.segvguard.suspend_timeout: 600
hardening.pax.segvguard.expiry_timeout: 120
hardening.pax.segvguard.status: 1
hardening.pax.mprotect.status: 2
hardening.pax.pageexec.status: 2
hardening.pax.disallow_map32bit.status: 2
hardening.pax.aslr.status: 2
root@freebsd:~ #[/quote]
[/quote]
No i bardzo ladnie. A jak migrowales ? Ze zrodel czy za pomoca hbsd-update ?
E-Booki: FreeBSD, OpenBSD, Linux, Hacking, PHP, Catia, Perl_CGI, Mysql ...
[b]http://unix-ebooki.neth.pl/[/b]
Offline
[quote=bryn1u]No i bardzo ladnie. A jak migrowales ? Ze zrodel czy za pomoca hbsd-update ?[/quote]
hbsd-update. ściąga sobie 1 cały pliczek, potem rozpakowuje i podmienia pliki systemu + kernel.
wg linku, który podałem robiłem. Po migracji system chodzi dobrze. Przeniesienie może trwało niecałe pół godziny.
Offline
[quote=Jacekalex]Nie jest kwestią, ile jest błędów przed chwilą, ważne jest tempo latania odkrytych błędów, a tutaj Linux daje radę nawet troszkę szybciej od BSD, bo ma znacznie większą "masę krytyczną" hakerów
i developerów.[/quote]
Inną sprawą jest to, jak dobrze są debugowane systemy z rodziny BSD...
Linux jak napisałeś ma największą ilość użytkowników, zatem twierdzenie a priori że Linux ma więcej błędów od BSD nie trzyma się proporcji związanej z tą właśnie skalą.
Większość zaś tzw. włamów wynika nawet nie z CVSów, a ze zwyczajnego niechlujstwa administratorów i pracowników firm.
Ostatnio edytowany przez mfm (2017-10-13 10:20:34)
Offline
@Yampress
Widziałeś ?
root@HardenedBSD:~ # sysctl hardening hardening.procfs_harden: 1 hardening.log.ulog: 0 hardening.log.log: 1 hardening.version: 1100051 hardening.control.extattr.status: 1 hardening.control.acl.status: 1 hardening.pax.segvguard.max_crashes: 5 hardening.pax.segvguard.suspend_timeout: 600 hardening.pax.segvguard.expiry_timeout: 120 hardening.pax.segvguard.status: 1 hardening.pax.mprotect.status: 2 hardening.pax.pageexec.status: 2 hardening.pax.disallow_map32bit.status: 2 hardening.pax.aslr.status: 2 root@HardenedBSD:~ #
The flags that can be passed to `secadm add pax` are: * A, a: Enable, disable ASLR * B, b: Enable, disable mmap(MAP_32BIT) protection * L, l: Enable, disable SHLIBRANDOM * M, m: Enable, disable MPROTECT * P, p: Enable, disable PAGEEXEC * S, s: Enable, disable SEGVGUARD * O, o: Enable, disable hbsdcontrol based FS-EA rules overriding
Ostatnio edytowany przez bryn1u (2017-10-14 00:41:26)
Offline
brynlu nie bawłem się w hardening. Na razie hbsd zainstalowałem i zostawiłem. Będe się przyglądał w wolnej chwili. Nie mam czasu teraz ostatnio za dużo.
Offline
Rozumiem. Ja wlasnie konfiguruje na serverze i tak juz zostawiam. Jak cos to pisz.
Offline
Kernel ASLR on amd64
October 12, 2017 posted by Maxime Villard
Recently, I completed a Kernel ASLR implementation for NetBSD-amd64, making NetBSD the first BSD system to support such a feature. Simply said, KASLR is a feature that randomizes the location of the kernel in memory, making it harder to exploit several classes of vulnerabilities, both locally (privilege escalations) and remotely (remote code executions).[/quote]
http://blog.netbsd.org/tnf/entry/kernel_aslr_on_amd64
to teraz czas na FBSD...
Offline
I widzisz [b]brynl1u[/b].
to sa tego typu niedociągnięcia w hardened.
root@hardenedbsd:/usr/ports # up
Shared object "libssl.so.43" not found, required by "git-remote-https"
root@hardenedbsd:/usr/ports #[/quote]
up=alias aktualizacji poprzez git ... aby nie było że korzystam z nie wiadomo jakiś narzędzi ]:>
we freebsd sie nigdy takie problemy nie zdarzały. a twórcy HBSD mocno nie zalecali i zrezygnowali z narzędzia portsnap/FreeBSD
A to narzedzie chodzi tamdoskonale. A sami co stworzyli?root@hardenedbsd:/usr/ports/devel/git # make showconfig
===> The following configuration options are available for git-2.15.1:
CONTRIB=on: Install contributed scripts
CURL=on: Data transfer support via cURL
CVS=on: Enable CVS support
GITWEB=on: Install gitweb
GUI=off: GUI (Graphical User Interface) support
HTMLDOCS=off: Install additional documentation
ICONV=on: Encoding conversion support via iconv
NLS=on: Native Language Support
P4=on: Enable Perforce support
PCRE=on: Use Perl Compatible Regular Expressions
PERL=on: Perl scripting language support
SEND_EMAIL=on: Enable the git-send-email(1) script
SUBTREE=on: Install git-subtree
SVN=off: Subversion support
====> Options available for the group HARDENING
PIE=on: Build as Position Independent Executable
RELRO=on: Build with Relocation Read-Only + BIND_NOW
SAFESTACK=on: Build with SafeStack
===> Use 'make config' to modify these settings
root@hardenedbsd:/usr/ports/devel/git #[/quote]
i drugi kwiatekroot@hardenedbsd:/usr/ports # mc
Shared object "libssl.so.43" not found, required by "libssh2.so.1"
root@hardenedbsd:/usr/ports #[/quote]
jakis czas temu coś też było z hbsd-update.... Nie chodziło poprawnie i się "wykasztaniało"...
A te powyższe błędy po wczorajszej aktualizacji binarnej base systemu za pomocą hbsd-update... Takie rzeczy w stabilnym produkcyjnym systemie nie mogą mieć miejsca.
Trochę jeszcze ten system potrzebuje czasu na dopracowanie i pewien poziom stabilności musi osiągnąć.
Aby podstawowe narzędzia ZAWSZE poprawnie chodziły.
A teraz tutaj w tym systemie niewielkie wsparcie, bo niewiele ludzi u żywa. W sumie parę narzędzi tylko innych więc jakoś da się przeboleć.Offline
[quote=Yampress]I widzisz [b]brynl1u[/b].
to sa tego typu niedociągnięcia w hardened.
root@hardenedbsd:/usr/ports # up
Shared object "libssl.so.43" not found, required by "git-remote-https"
root@hardenedbsd:/usr/ports #[/quote]
up=alias aktualizacji poprzez git ... aby nie było że korzystam z nie wiadomo jakiś narzędzi ]:>
we freebsd sie nigdy takie problemy nie zdarzały. a twórcy HBSD mocno nie zalecali i zrezygnowali z narzędzia portsnap/FreeBSD
A to narzedzie chodzi tamdoskonale. A sami co stworzyli?root@hardenedbsd:/usr/ports/devel/git # make showconfig
===> The following configuration options are available for git-2.15.1:
CONTRIB=on: Install contributed scripts
CURL=on: Data transfer support via cURL
CVS=on: Enable CVS support
GITWEB=on: Install gitweb
GUI=off: GUI (Graphical User Interface) support
HTMLDOCS=off: Install additional documentation
ICONV=on: Encoding conversion support via iconv
NLS=on: Native Language Support
P4=on: Enable Perforce support
PCRE=on: Use Perl Compatible Regular Expressions
PERL=on: Perl scripting language support
SEND_EMAIL=on: Enable the git-send-email(1) script
SUBTREE=on: Install git-subtree
SVN=off: Subversion support
====> Options available for the group HARDENING
PIE=on: Build as Position Independent Executable
RELRO=on: Build with Relocation Read-Only + BIND_NOW
SAFESTACK=on: Build with SafeStack
===> Use 'make config' to modify these settings
root@hardenedbsd:/usr/ports/devel/git #[/quote]
i drugi kwiatekroot@hardenedbsd:/usr/ports # mc
Shared object "libssl.so.43" not found, required by "libssh2.so.1"
root@hardenedbsd:/usr/ports #[/quote]
jakis czas temu coś też było z hbsd-update.... Nie chodziło poprawnie i się "wykasztaniało"...
A te powyższe błędy po wczorajszej aktualizacji binarnej base systemu za pomocą hbsd-update... Takie rzeczy w stabilnym produkcyjnym systemie nie mogą mieć miejsca.
Trochę jeszcze ten system potrzebuje czasu na dopracowanie i pewien poziom stabilności musi osiągnąć.
Aby podstawowe narzędzia ZAWSZE poprawnie chodziły.
A teraz tutaj w tym systemie niewielkie wsparcie, bo niewiele ludzi u żywa. W sumie parę narzędzi tylko innych więc jakoś da się przeboleć.[/quote]
@Yampress
To nie sa niedociagniecia tylko wystarczy doczytac.
pkg-static install pkg
W FreeBSD tez sa rozne kwiatki jak np z portsnapem. W kazdym systemie sa kwiatki, wtedy sie zglasza bugi.******************
* IMPORTANT NOTE *
******************
This update installs LibreSSL 2.6.3 in base. Installed applications
that rely on libcrypto, libssl, or libtls need to be reinstalled.
Since pkg(8) depends on libcrypto, [b]pkg-static(8)[/b] should be used to
update packages.[/quote]Ostatnio edytowany przez bryn1u (2018-01-02 20:51:51)
E-Booki: FreeBSD, OpenBSD, Linux, Hacking, PHP, Catia, Perl_CGI, Mysql ...
[b]http://unix-ebooki.neth.pl/[/b]Offline
[b]bryn1u[/b]
a gdzie się to czyta o aktualizacjach base systemu i zmianach jakie tam powstają?
Offline
Na glownej stronie hardenedbsd masz ogolnie. Zobacz sobie roadmap czyli cel na 2018. A zmiany, poprawki sugestie masz normalnie na git'cie hbsd. :D
No i tu masz jeszcze podstawy:
https://hardenedbsd.org/content/hardenedbsd-handbook
Ostatnio edytowany przez bryn1u (2018-01-14 20:06:06)
Offline
A ktoś z was panowie może testował Waylanda na FreeBSD?
Offline
W tej dziesięciolatce to chyba nie zacznie sensownie działać.
W porównaniu z Linuksem (gdzie ciągle jeszcze trwają intensywne prace), BSD ma wieloletnie zapóźnienia w systemie grafiki.
Offline
[quote=yossarian]W tej dziesięciolatce to chyba nie zacznie sensownie działać.
W porównaniu z Linuksem (gdzie ciągle jeszcze trwają intensywne prace), BSD ma wieloletnie zapóźnienia w systemie grafiki.[/quote]
Dziesiatka srednio sie nadaje na desktop. Za to bardzo dobrze sprawuje sie na serverze z podniesionym poziomem bedzpieczenstwa, bo to jest glowne zalozenie, idea projektu i zapewne sie to nie zmieni.
A czemu chcesz uzywac dziesiatki na desktopa ? Uzyj wersji 12-Current. Duzo ludzi uzywa HBSD na desktopie wlasnie w tej wersji i sprawuje sie bardzo dobrze. Jakies 2 tyg temu byla aktualizacja sterownikow do nvidii to mozesz sprawdzic. Current ma naprawde duzo nowych ciekawych opcji, lacznie z zaimplementowaną opcja w Clang Code-Pointer. Zaimplementowali nawet rozwiazania, ktorych nie ma w OpenBSD https://hardenedbsd.org/content/easy-feature-comparison
Linux bardzo szybko sie rozwija to fakt. Sam uzywam na desktopie. Niestety chyba za szybko. Jajko jest wypchane po brzegi, a pozniej wysyp exploitow na db-exploit.
Ostatnio edytowany przez bryn1u (2018-03-07 20:22:45)
Offline
@Yampress
Nowa aktualizacja:
hbsdnx {
hardening.pax.segvguard.status = 3;
hardening.pax.mprotect.status = 3;
hardening.pax.pageexec.status = 3;
hardening.pax.aslr.status = 3;
persist;
}
Dodana opcja hardening per child jail. :D Czas na update.
Offline
tymczasowo zniechęciłem się do tego systemu... sprawdzę za rok jak system nabierze dojrzałości.
nadal jestem przekonnmy, że nie posiada takiej niezawodności, spójności i dojrzałości jak FreeBSD.
Offline
[quote=Yampress]tymczasowo zniechęciłem się do tego systemu... sprawdzę za rok jak system nabierze dojrzałości.
nadal jestem przekonnmy, że nie posiada takiej niezawodności, spójności i dojrzałości jak FreeBSD.[/quote]
Bo go nie znasz :)
Ludzie, ktorzy siedza na Linuxe i nigdy nawet nie zainstalowali FreeBSD tez mowia, ze FreeBSD jest chujowy. :)
Wszystkie porty sa portami z FreeBSD przekompilowanymi z opcjami hardened. Jest ich sporo i o to chodzi. W 12 dojdzie jeszcze cos.
Po drugie HardenedBSD jest oparte o FreeBSD, wiec nie wiem co masz na mysli mowiac niezawodnosc, spojnosc i dojrzalosc ???
Po trzecie to, ze nie ma freebsd-update tylko jest hbsd-update wynika z tego, ze w przeicwienstiwe do FreeBSD, HardenedBSD jest skompilowany z LibreSSL i w kernelu sa opcje bezpieczenstwa jak flaga podczas budowania swiata -DHARDENED, PaX, PIE, -fstack-protector-stron oraz inne i nie moze byc niektorych rozwiazan z FreeBSD co jest oczywiste bo FreeBSD nie posiada takich zabezpieczen. U mnie projekt dziala tak jak FreeBSD i nie mam z nim zadnych problemow. HardenedBSD trzeba sie nauczyc obslugiwac. Bezpieczenstwo to proces nie produkt. Dlatego bedzie dochodzilo coraz wiecej rozwiazan co jest piekne.
Vermaden tez go uzywa :D
Ostatnio edytowany przez bryn1u (2018-03-08 15:48:00)
Offline
[b]bryn1u[/b] a TY HBSD używasz również na desktopie?
Offline
jakiś nowy BSD Live się pojawił
[b]NomadBSD[/b] is a live desktop, 64-bit operating system designed to be run from USB thumb drives. It is based on FreeBSD.
http://nomadbsd.org/index.html
I tak w ogóle powoli trzeba się przygotowywać na wydanie 11.2-release
https://www.freebsd.org/releases/11.2R/schedule.html
RELEASE announcement 27 June 2018[/quote]
Offline
[quote=Yampress]jakiś nowy BSD Live się pojawił
[b]NomadBSD[/b] is a live desktop, 64-bit operating system designed to be run from USB thumb drives. It is based on FreeBSD.
http://nomadbsd.org/index.html
I tak w ogóle powoli trzeba się przygotowywać na wydanie 11.2-release
https://www.freebsd.org/releases/11.2R/schedule.html
RELEASE announcement 27 June 2018[/quote]
[/quote]Auto-detection of NVIDIA graphics cards and their corresponding driver has been added. (Thanks to holgerw and lme from BSDForen.de)[/quote]
Ciekawe. :)
W sumie to dobrze, ze powstaje co raz wiecej forkow FreeBSD. Dzieki temu BSD staje sie co raz bardziej popularne. Co do HardenedBSD, to tak, uzywalem kiedys na desktopie, ale byl problem z sterownikami do wifi. To akurat dotyczylo calego FreeBSD.
E-Booki: FreeBSD, OpenBSD, Linux, Hacking, PHP, Catia, Perl_CGI, Mysql ...
[b]http://unix-ebooki.neth.pl/[/b]Offline
Time (s) | Query |
---|---|
0.00010 | SET CHARSET latin2 |
0.00004 | SET NAMES latin2 |
0.00094 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.144.90.236' WHERE u.id=1 |
0.00091 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.144.90.236', 1733245951) |
0.00043 | SELECT * FROM punbb_online WHERE logged<1733245651 |
0.00089 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=20635 AND t.moved_to IS NULL |
0.00005 | SELECT search_for, replace_with FROM punbb_censoring |
0.04723 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=20635 ORDER BY p.id LIMIT 375,25 |
0.00131 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=20635 |
Total query time: 0.0519 s |