Hardenedbsd

Ich migriere momentan meine Server von Debian, Ubuntu, Fedora und co. auf Hardenedbsd.
Wo Hardenedbsd nicht verwendet werden kann (z.B. wenn es auf lib32 compatibility ankommt, beispielsweise i386-wine) nutze ich das klassische FreeBSD.
Ein einfaches „pkg install htop nano screen“ installiert eine Prozessübersicht, den nano editor, screen, die Abhängigkeiten und den pkg installer selbst.

Das Projekt ergänzt die standard „hardening“ Settings von FreeBSD um ASLR, PIE, SEGVGUARD, mprotect Verbesserungen, sysctl hardening, network stack hardening, file integrity enforcement, boot hardening, procfs hardening, libressl an Stelle von OpenSSL(wegen Heartbleed gemeidet), TPE, SafeStack, CFI.

Also einiges um Memory Leaks, Overflows, erraten von Prozessen sowie generelle Sicherheitsprobleme zu verhindern.

Ein Feature Vergleich ist hier zu finden.

Zwei gängige Festplattensysteme stehen zur Auswahl, UFS oder ZFS.

UFS ist sehr alt und stabil, wird natürlich weiterentwickelt. Es beherrscht die Basics.
ZFS ist neu und hat eine Masse an Features. Dabei geht einiges an RAM drauf.

Zur Geschwindigkeit habe ich noch nichts Eindeutiges feststellen können, daher habe ich mich für UFS entschieden.
Zudem gefällt mir dieses Oracle Solaris ZFS Rechtedebakel nicht sonderlich.

Bisher gefällt mir hBSD aber sehr.
Das einzige Manko, wie oben geschrieben, ist der fehlende 32bit Support.
Versucht man z.B. i386-wine zu nutzen kommt nur ein „exec: /usr/local/bin/../bin32/wine: Exec format error“.
Es hat auch was Positives, da man den Extraballast nicht hat.

FreeBSD und die Derivate wie HardenedBSD nutzen einen tickless (mit 1000HZ eingestellt) kernel, das heißt, das bei den meisten sehr interaktiven Prozessen, wie z.B. Gameserver mit gut 30% Lasterhöhung gerechnet werden kann (im vergleich zu Debian, welcher mit 250HZ tick kernel läuft), gleichzeitig erhöht sich beim Gameserver die „Qualität“. Sogenannte EPS Server schwören auf tickless als bestes Spielerlebnis.

Gefühlt läuft BSD runder als Linux. Sachen lassen sich schneller entpacken, die Webserver Antwortzeit ist in der Tat etwa 40% schneller.
Zukünftig lasse ich alle Server unter HardenedBSD laufen(mit Ausnahme von plex und zimbra, da diese Programme einfach für CentOS konzipiert sind), sicherheitstechnisch einfach ausgeklügelter und dazu noch schneller.

Ein weiterer Vorteil ist mein direkterer Draht zu den Entwicklern. Und wie es sich für Partner gehört, habe ich noch einen Spiegelserver unter http://hardenedbsd.de eingerichtet. DE Domains sind cheap, also warum nicht?

Eigentlich bin ich mittlerweile ein Fan der „Never touch a running system“-Philosophie, aber die Vorteile überwiegen diese meiner Meinung nach.

Natürlich wird jedes zu migrierende Projekt erst auf 100%ige HardenedBSD Tauglichkeit gecheckt um unnötige Downtimes zu vermeiden.

Bisher auf HardenedBSD migriert: chrony-ntp, teamspeak, radiorivendell relay sowie den Haupt-Mariadbserver
Bisher auf FreeBSD migriert: gameserver
Bleibende Systeme: Zimbra Mailserver(CentOS), Plex Mediaserver(CentOS)

Bookmark the permalink.

One Response to Hardenedbsd

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.