grsecurity er et komplett sikkerhetssystem for Linux 2.4 som implementerer en påvisning / forebygging / containment strategi. Det hindrer de fleste former for adresserommet modifikasjon, rammen programmer via sin rollebasert tilgangskontroll system, stivner syscalls, gir fullverdig revisjon, og implementerer mange av OpenBSD tilfeldig funksjoner.
Den ble skrevet for ytelse, lette-av-bruk og sikkerhet. Den RBAC Systemet har en intelligent læremodus som kan generere minst privilegium reglene for hele systemet med ingen konfigurasjon. Alle grsecurity støtter en funksjon som logger IP av angriperen som forårsaker et varsel eller revisjon.
Her er noen viktige trekk ved "grsecurity":
Hoved Futures:
· Role-Based Access Control
· Bruker, gruppearbeid, og spesielle roller
· Domene støtte for brukere og grupper
· Role overgangs tabeller
· IP-baserte roller
· Ikke-root-tilgang til spesielle roller
· Spesielle roller som krever ingen godkjenning
· Nestede fag
· Variabel støtte i konfigurasjonen
· Og, eller, og forskjellen satt operasjoner på variabler i konfigurasjonen
· Object modus som styrer etableringen av setuid og setgid filer
· Opprette og slette objekt moduser
· Kernel tolkning av arv
· Real-time vanlige uttrykk oppløsning
· Evne til å nekte ptraces til bestemte prosesser
· Bruker og gruppe overgangen kontroll og håndhevelse på en inkluderende eller eksklusiv basis
· / Dev / grsec oppføring for kernel autentisering og læringslogger
· Neste generasjons kode som produserer minst-privilegium politikk for hele systemet med ingen konfigurasjon
· Personvern statistikk for gradm
· Arv basert læring
· Læring konfigurasjonsfil som lar administratoren for arv basert læring eller deaktivere læring på bestemte baner
· Full banenavn for uakseptable prosessen og overordnede prosessen
· RBAC status funksjon for gradm
· / Proc // IPaddr gir den eksterne adressen til personen som startet en gitt prosess
· Sikre håndhevelse
· Støtter lese, skrive, legge til, utføre, vise og lese-bare ptrace objektet tillatelser
· Støtter skjule, beskytte og overstyre lagt flagg
· Støtter PAX flagg
· Felles minnebeskyttelse
· Integrert lokale angrep svar på alle varsler
· Subject flagg som sikrer en prosess kan aldri utføre trojaned kode
· Fullfunksjons finkornet revisjon
· Ressurs, socket, og evne støtte
· Beskyttelse mot utnytte bruteforcing
· / Proc / pid filedescriptor / minnebeskyttelse
· Regler kan plasseres på ikke-eksisterende filer / prosesser
· Regler regenerering på motiver og objekter
· Konfigurerbar logg undertrykkelse
· Konfigurerbar prosessen regnskap
· Human-lesbar konfigurasjon
· Ikke filsystem eller arkitektur avhengig
· Scales godt: støtter så mange retningslinjer som minne kan håndtere med samme ytelse hit
· Ingen runtime minnetildeling
· SMP trygt
· O tid effektivitet for de fleste operasjoner
· Ta med direktivet for å spesifisere ytterligere retningslinjer
· Aktivere, deaktivere laste evner
· Mulighet for å skjule kjerneprosesser
Chroot restriksjoner
· Ingen feste delt minne utenfor chroot
· Ingen kill utenfor chroot
· Ingen ptrace utenfor chroot (arkitektur uavhengig)
· Ingen capget utenfor chroot
· Ingen setpgid utenfor chroot
· Ingen getpgid utenfor chroot
· Ingen GETSID utenfor chroot
· Ingen sending av signaler ved FCNTL utenfor chroot
· Ingen visning av en prosess utenfor chroot, selv hvis / proc er montert
· Ingen montering eller remontering
· Ingen pivot_root
· Ingen dobbel chroot
· Ingen fchdir ut av chroot
· Tvungen chdir ("/") ved chroot
· Nei (f) chmod + s
· Ingen mknod
· Ingen sysctl skriver
· Ingen heving av planleggeren prioritet
· Ingen tilkobling til abstrakte unix domene sockets utenfor chroot
· Fjerning av skadelige privilegier via evner
· Exec logging innen chroot
Adresserom modifikasjon beskyttelse
· Pax: Side-basert implementering av ikke-kjørbrukersider for i386, SPARC, SPARC64, alpha, parisc, amd64, ia64, og ppc; ubetydelig ytelse hit på alle i386 CPUer men Pentium 4
· Pax: Segmentering basert implementering av ikke-kjørbrukersider for i386 med ingen ytelse hit
· Pax: Segmentering basert implementering av ikke-kjør Kernel sider for i386
· Pax: Mprotect restriksjoner hindre ny kode fra å komme inn en oppgave
· Pax: Randomisering av stabelen og mmap base for i386, SPARC, SPARC64, alpha, parisc, amd64, ia64, ppc, og MIPS
· Pax: Randomisering av heap base for i386, SPARC, SPARC64, alpha, parisc, amd64, ia64, ppc, og MIPS
· Pax: Randomisering av kjør base for i386, SPARC, SPARC64, alpha, parisc, amd64, ia64, og PPC
· Pax: Randomisering av kernel stack
· Pax: Automatisk ligne sigreturn trampoliner (for libc5, glibc 2.0, uClibc, Modula-3-kompatibilitet)
· Pax: Ingen ELF .text omplasseringer
· Pax: Trampoline emulering (GCC og linux sigreturn)
· Pax: PLT emulering for ikke-i386 buer
· Ingen kernel modifisering via / dev / mem, / dev / kmem, eller / dev / port
· Mulighet for å deaktivere bruk av ubehandlet I / O
· Fjerning av adresser fra / proc // [kart | stat]
Revisjons funksjoner
· Mulighet for å spesifisere enkelt gruppe å revidere
· Exec logging med argumenter
· Denied ressurs logging
· Chdir logging
· Montere og avmontere logging
· IPC opprettelse / fjerning logging
· Signal logging
· Kunne gaffel logging
· Tid endring logging
Randomisering funksjoner
· Større entropi bassenger
· Randomized TCP Initial Sequence Numbers
· Randomiserte PIDs
· Randomized IP-IDer
· Randomiserte TCP kildeporter
· Randomiserte RPC XIDs
Andre funksjoner
· / Proc restriksjoner som ikke lekker informasjon om prosesseiere
· Symlink / hardlink restriksjoner for å hindre / tmp raser
· FIFO restriksjoner
· Dmesg (8) begrensning
· Økt gjennomføring av Trusted Sti Execution
· GID-baserte socket restriksjoner
· Nesten alle alternativer er sysctl-tunbare, med en låsemekanisme
· Alle varsler og revisjoner støtte en funksjon som logger IP-adressen til angriperen med loggen
· Stream forbindelser på tvers unix domene sockets bære angriperens IP adresse med dem (på 2.4 only)
· Påvisning av lokale tilkoblinger: kopier angriperens IP-adresse til den andre oppgaven
· Automatisk avskrekking av utnytte bruteforcing
· Lav, Middels, Høy, og tilpassede sikkerhetsnivåer
· Fleksibel flom-tid og brast for logging
Hva er nytt i denne versjonen:
· Løser i Pax flagge støtte i RBAC system.
· Pax oppdateringer for ikke-x86-arkitekturen i 2.4.34 patch.
· En setpgid i chroot problemet er løst.
· Den randomiserte PID'er funksjonen har blitt fjernet.
· Denne versjonen retter / proc bruk i en chroot i 2.6 oppdateringen.
· Det legger en admin rolle å generert politikk fra full læring.
· Det resynchronizes PAX koden i 2.4 oppdateringen.
· Det har blitt oppdatert til Linux 2.4.34 og 2.6.19.2.
Prog.varedetaljer:
Kommentarer ikke funnet