HardenedBSD

Le travail sur HardenedBSD a commencé en 2013 quand Oliver Pinter et Shawn Webb ont commencé à travailler sur une implémentation de l'ASLR (Randomisation de la disposition de l'espace d'adressage), basée sur la documentation publique de PaX, pour FreeBSD. À l'époque, HardenedBSD était censé être une zone d'étape pour le développement expérimental du patch ASLR. Au fil du temps, alors que le processus d'intégration de l'ASLR à FreeBSD devenait plus difficile, HardenedBSD est naturellement devenu une bifurcation (fork).

HardenedBSD a achevé la mise en œuvre de l'ASLR en 2015 avec la forme d'ASLR la plus forte de toutes les BSD. Depuis lors, HardenedBSD est passé à la mise en œuvre d'autres technologies d'atténuation et de durcissement de l'exploitation. OPNsense, un pare-feu open source basé sur FreeBSD, a intégré l'implémentation ASLR de HardenedBSD en 2016. OPNsense a terminé sa migration vers HardenedBSD le 31 janvier 2019.

HardenedBSD existe aujourd'hui comme une bifurcation de FreeBSD qui suit de près le code source de FreeBSD.

• ASLR inspiré de PaX
• NOEXEC inspiré de PaX
• SEGVGUARD inspiré de PaX
• Base compilée avec les exécutables indépendants de la position (PIEs)
• Base compilée avec RELRO complet (RELRO + BIND_NOW)
• Durcissement de certaines valeurs sysctl sensibles
• Durcissement de la pile réseau
• Renforcement de l'intégrité des fichiers exécutables
• Durcissement du processus de démarrage
• Durcissement de procs/linprocfs
• LibreSSL comme une crypto-bibliothèque optionnelle de base
• Trusted Path Execution (TPE)
• Randomisation des PIDs
• SafeStack de base
• SafeStack disponible dans les ports
• Non-Cross-DSO CFI de base
• Non-Cross-DSO CFI disponible dans les ports
• Retpoline appliqué à la base et aux ports