Por favor, veja segurança (8) no manual do NetBSD. Você pode:
- Defina securelevel em
rc.conf
para fortalecer um sistema de produção - Ative o
security.curtain = 1
em sysctl.conf para impedir que os usuários se vejam. - Crie arquivos relevantes imutáveis ou anexando somente com chflags
- Habilite as extensões PaX mprotect e Randomização de layout de espaço de endereço ( aslr ) em sysctl.conf (
security.pax.mprotect.global=1
,security.pax.aslr.global=1
) - Considere os binários verificados Veriexec
Veja também o aprimoramentos de segurança recentes no NetBSD de Elad Efrat.
Observe que os recursos que impedem a alteração dos binários também impedem que você faça upgrade do sistema, portanto, prepare-se para fazer upgrades no modo de usuário único.
As extensões de PaX podem impedir que alguns softwares como o gnu make funcionem. Você pode deixar os sinalizadores .global desabilitados e definir sinalizadores PaX em base binária com paxctl .