Reporte de Status de Febrero 2025 de HardenedBSD

Esta es una traducción del siguiente sitio: <https://hardenedbsd.org/article/shawn-webb/2025-03-01/hardenedbsd-february-2025-status-report>

Enviado por Shawn Webb el Sabado 3 de Marzo de 2025

Este reporte de status incluye el mes de enero, dado que no pudimos publicar el reporte de Enero. Los últimos dos meses hemos estado muy ocupados, con avances que se han realizado en mútliples frentes.

En árbol de src:

PaX SEGVGUARD ahora está integrado con Capsicum. Las violaciones de Capsicum ahora se contabilizan contra el proceso cuando el sysctl ajustable kern.trap_enotcap está seleccionado. Esta característica fue inspirada durante conversaciones con alip desde Syd Linux.

Un ajuste nuevo sysctl (hardening.elf_pie_only) fue creado para controlar si ejecutables no-PIE ELF son permitidos de ejecutar. Esta característica fue inspirada en conversaciones con alip desde Syd Linux.

_FORTIFY_SOURCE=2 fue corregido para arm64.

En el árbol de ports:

Registro de ceros (la nueva opción ZEROREG) ahora se opta por ella, en lugar de no optar por ella. Varios ports críticos relacionados con Python fallan en compilar cuando ZEROREG está activado por defecto para todo el árbol de ports.

Registro de ceros fue activado para los siguientes ports:

• dns/unbound

• irc/weechat

• net/openntpd

• net/rsync

• ports-mgmt/pkg

• security/openssh-portable

• security/openvpn

• security/tor

• www/firefox

• www/librewolf

• www/lighttpd

• www/nginx

• x11-servers/xorg-server

• La compilación fue corregida para security/wazuh-agent

• CFI fue activada para net/rsync

• La compilación fue corregida para net/libfabric

Investigación adicional y desarrollo fue realizado por el port BATMAN para freebsd/hardenedbsd. El código no compila aún, pero se está trabajando en ello. El objetivo es tener algo listo para finales de Febrero no se logró, pero el trabajo aún se está realizando. R&D continuan, aunque a un paso más lento de lo que se anticipó originalmente.

Del lado de la infraestructura, Ya se tiene otro servidor listo para el desarrollo.

Tenemos algunos servidores esperando para ser instalados. entre el 12 y 13 de Marzo, estaremos incrementando dramáticamente las capacidades de poder en el cuarto de servidores en casa.

Dado que la compilación toma unas dos semanas en completar, No se tienen planes de iniciar la compilación de paquetes hasta después de que el trabajo de construcción esté terminado. Esto puede hacer que la siguiente compilación de paquetes se realice hasta el 01 de Abril de 2025.

Estaremos en condiciones de instalar los dos servidores Cavium ThunderX1 arm64 y los dos servidores amd64.

El enfriamiento podría convertirse en un problema, pero al menos tendremos la capacidad de poder.

Se instaló un nuevo (bueno nuevo para nosotros) NAS corriendo con HardenedBSD con una capacidad utilizable de 30TB.

Y también se instaló un pequeño appliance Protectli para nuestro DNS server interno y se escribió un pequeño script para actualizar varios registros DNS cuando nuestros cambios de direcciones IPV4.

Toda este trabajo de infraestructura no sería posble sin las donaciones de la comunidad. Ahora podremos expandirnos gracias a la generosidad de unos cuantos contribuidores. Quisiera extender las gracias de todo corazón a todos los que contribuyeron al proyecto y a la Fundación, sin importar la forma en la cual esas contribuciones llegaron (código, documentación, evangelización, fondeo, conversaciones inspiracionales, o de cualquier otro tipo.