在強化新的 NetBSD 安裝時，您做了哪些特定更改？

我知道大多數一般建議：“關閉不必要的服務”、“不，關閉不必要的服務”、“最低權限”等。我還看到了一些指南和/或工具，例如 Bastille，用於強化 Linux 機器，但似乎沒有為 NetBSD 量身定制。

為了這個列表，假設我已經確定root沒有 SSH 訪問權限，但我還沒有安裝任何伺服器軟體。

保護新的 NetBSD 機器的第一步是什麼？

更新：要清楚，我正在尋找具體的步驟。在伺服器管理方面，我完全是自學成才，但我覺得我對一般原則有很好的掌握。我正在尋找細節有兩個原因：

1. 查看是否有任何我忽略的特定於 NetBSD 的內容。
2. 看看其他人是否有更好的方法將一般原則付諸實踐。

謝謝。

請參閱NetBSD 手冊中的security(8)。你可以：

• 設置**安全級別**以rc.conf強化生產系統
• security.curtain = 1在sysctl.conf中啟用以限制使用者互相看到。
• 使相關文件不可變或僅附加chflags
• 在sysctl.conf ( , )中啟用 PaX mprotect和地址空間佈局隨機化 ( aslr ) 擴展security.pax.mprotect.global=1``security.pax.aslr.global=1
• 考慮Veriexec驗證的二進製文件

另請參閱 Elad Efrat 的論文NetBSD 中的最新安全增強。

請注意，阻止更改二進製文件的功能也會阻止您升級系統，因此請準備在單使用者模式下進行升級。

PaX 擴展可能會阻止某些軟體（例如 gnu make）執行。您可以禁用 .global 標誌並使用paxctl在二進制基礎上設置 PaX 標誌。

引用自：https://serverfault.com/questions/230135