Meine Erfahrungen mit HardenedBSD

SolarCatcher

Well-Known Member
Seit 2017 habe ich auf mehreren Servern und auch auf meinem Zweitlaptop HardenedBSD laufen. Mir gefiel der Ansatz: Wir nehmen Standard-FreeBSD und erweitern es um diverse Security-Mechanismen. Der gestrige Post von OPNsense, dass sie sich wieder von HardenedBSD und seinem Chef-Entwickler Shawn Webb trennen, ist der Anlass, dass ich hier mal ein paar meiner Erfahrungen teile. Ich habe mittlerweile nur noch einen Server mit HardenedBSD am Laufen und auch denn will ich bei nächster Gelegenheit auf Vanilla-FreeBSD umstellen.

Konkrete Probleme, die ich mit HardendBSD hatte/habe:

1) Die Hardware-Intfrastruktur ist bei Shawn Webb bzw. dessen wechselnden Arbeitgebern aufgehängt. Schon 2x in den letzten Jahren wurde das Package-Repo wochenlang nicht aktualisiert, weil die Server umzogen. Selbst der zentrale Git-Dienst wurde im letzten Jahr für einige Zeit eingefroren. Das führt(e) dazu, dass man zwar ein schön abgesichertes Basisystem hat, aber die Software darauf z.T. ganz schön schnell CVEs ansammelt.

2) Mein erstes HardenedBSD 2017 war damals 11-STABLE. Das wurde dann irgendwann nicht mehr weiterentwickelt (vorhandene Sicherheitspatches von FreeBSD wurden nicht mehr eingepflegt), aber diverse Nachfragen hierzu blieben lange unbeantwortet, bzw. Aktualisierungen wurden für die Zukunft angekündigt, bevor dann nach etlichen Monaten der Support von 11 "an die Community" outgesourct wurde, was gleich bedeutend mit EOL war. Man war zum (vorzeitigen) Upgrade auf 12-STABLE gezwungen.

3) Die neuen (Sicherheits-)Features werden nicht erst in einem Alpha-, Beta- oder Development-Bereich getestet, sondern meist schnell nach -STABLE gebracht, was der Standard-Zweig von HardenedBSD ist. Immer wieder gab es dann mal Probleme mit einzelnen Software-Komponenten und ich fühlte mich oft wie ein ständiger Beta-Tester. Das führt dann auch zu solchen Dingen wie, dass im letzten Jahr das zentrale, selbst-gehostete Gitea-Repo monatelang mit einer mit CVE-bekannten Sicherheitslücke läuft, weil ein neues Gitea zwar in den FreeBSD-Ports zu finden ist, unter HardenedBSD aber nicht baut.

4) Einer der HardenedBSD-eigenen Sicherheitsmechanismen, secadm (Kernelmodul und Userspace-Verwaltungs-Tool) macht das updaten von Software mühselig. Selbst einfache Sicherheitsupdates der Packages erfordern meist einen Neustart der Jails oder des gesamten Hosts. Auch das führt nicht gerade dazu, dass man besonders gern/schnell Updates einspielt.

Insgesamt leidet das Projekt - wie so viele - unter massivem Personalmangel. Einer der Gründer, Oliver Pinter, verließ das Projekt (freundschaftlich) in 2019, Bernard Spil, der anfangs LibreSSL bei HardenedBSD betreut hatte, ist dem Wechsel auf OpenSSL im Basisystem auch komplett verschwunden... Shawn Webb ist praktisch alleiniger Entwickler (sprich: Es gibt meines Wissens auch kein/kaum Code-Review seiner Arbeiten), Architekt und Admin der Hardware-Infrastruktur und Chef der HardenedBSD Foundation.

Meine Hoffnung - die offenbar auch andere geteilt haben - dass HardenedBSD eine Art Pilotprojekt für Sicherheitsmechanismen in FreeBSD werden könnten, hat sich auch nicht bewahrheitet. Zumindest soweit ich das verstehe ist z.B. der ASLR-Code in FreeBSD nicht auf dem HardenedBSD-Code entstanden. Stattdessen gibt es immer mal wieder Animositäten und gegenseitige Vorwürfe.

HardenedBSD ist in meinen Augen einfach nicht für den produktiven Einsatz geeignet. Die Probleme überwiegen für mich die möglichen Sicherheitsvorteile.
 

foxit

Well-Known Member
Ja diese "Sicherheits" Features würde sie besser in FreeBSD einfliessen lassen! Auch wenn es etwas dauert und man vielleicht schlussendlich nicht alles übernehmen wird, so wäre das doch langfristig für alle nützlicher. Vermutlich stehen da wieder Egos im Weg...
 
Oben