grsecurity

grsecurity jest kompletnym systemem bezpieczeństwa dla Linuksa 2.4, która implementuje wykrywania / zapobiegania / ograniczania strategii. Zapobiega większości form modyfikacji przestrzeni adresowej, programy granicach poprzez jego systemu kontroli dostępu w oparciu o role, twardnieje wywołań systemowych, zapewnia w pełni funkcjonalny audytu i realizuje wiele funkcji przypadkowości OpenBSD.
Został napisany dla wydajności, łatwości użytkowania i bezpieczeństwa. System RBAC posiada inteligentny tryb uczenia, które mogą generować jak najmniejsze polityki przywilej dla całego systemu bez konfiguracji. Wszystkie grsecurity obsługuje funkcję, która rejestruje IP atakującego, który powoduje alarm lub audytu.
Oto kilka kluczowych cech "grsecurity":
Główne Futures:
· Role-Based Access Control
· Użytkownika, grupy oraz specjalne role
· Wsparcie dla użytkowników domeny i grup
· Rola tabele przejścia
· Role oparte na IP
· Dostęp dla korzeni do specjalnych zadań
· Specjalne wymagające role nie uwierzytelniania
· Przedmioty zagnieżdżone
· Pomoc w konfiguracji zmiennej
· I, lub zestaw operacji i różnica w konfiguracji zmiennych
· Tryb Obiekt, który kontroluje tworzenie plików setuid i setgid
· Tworzenie i usuwanie trybów obiektu
· Kernel interpretacja dziedzictwa
· Rozdzielczości w czasie rzeczywistym wyrażeń regularnych
· Możliwość zaprzeczyć ptraces do konkretnych procesów
· Kontrola przejścia użytkownika i grupy i egzekwowanie na zasadzie wyłączności lub sprzyjającego włączeniu społecznemu
· / Dev / grsec wpis do uwierzytelniania jądra i dzienników uczenia się
· Kod nowej generacji, które produkuje polityki najmniej przywilej dla całego systemu bez konfiguracji
· Zasady dotyczące gradm statystyki
· Uczenie się oparte na dziedziczenie
· Nauka plik konfiguracyjny, który pozwala administratorowi, aby umożliwić naukę dziedziczenia lub wyłączyć oparte na konkretnych ścieżek uczenia się
· Pełne ścieżki dla procesu naruszającego i procesu nadrzędnego
· Funkcja stanu RBAC dla gradm
· / Proc // ipaddr daje zdalny adres osoby, która rozpoczęła się dany proces
· Bezpieczne egzekwowanie polityki
· Obsługa odczytu, zapisu, dołączania wykonania, widok, a uprawnienia tylko do odczytu obiektów Ptrace
· Obsługa ukrywać, chronić, i zastąpić zastrzeżeniem flagi
· Obsługa flag PAX
· Funkcja ochrony wspólna pamięć
· Zintegrowane miejscową odpowiedź na wszystkie alerty ataku
· Flaga Temat, który zapewnia proces nie może wykonać kod trojanami
· W pełni funkcjonalny drobnoziarnistych audytu
· Zasobów, gniazdo, i wsparcie możliwości
· Ochrona przed wykorzystać bruteforcing
· / Proc / pid deskryptora / Ochrona pamięci
· Reguły mogą być wprowadzane na nieistniejących plików / procesów
· Regeneracja Polityka przedmiotów i obiektów na
· Możliwość konfiguracji tłumienia dziennika
· Możliwość konfiguracji rachunkowości proces
· Konfiguracja czytelny dla człowieka
· Nie systemie plików lub zależne od architektury
· Wagi dobrze: obsługuje tyle polityki jak pamięć może obsługiwać z tego samego spadku wydajności
· Nie alokacji pamięci czas pracy
· Bezpieczne SMP
· O efektywności czas dla większości operacji
· Dołącz do określania dodatkowych dyrektywę polityki
· Włączanie, wyłączanie możliwości przeładowania
· Możliwość ukrycia procesów jądra
 
Ograniczenia chroot
· Nie dołączenie pamięci współdzielonej poza chroot
· Nie kill poza chroot
· Nie ptrace poza chroot (niezależny od architektury)
· Nie capget poza chroot
· Nie setpgid poza chroot
· Nie getpgid poza chroot
· Nie getsid poza chroot
· Nie wysyłanie sygnałów przez fcntl poza chroot
· Nie oglądania każdego procesu poza chroot, nawet jeśli / proc jest zamontowany
· Nie montażu lub ponownym montażu
· Nie pivot_root
· Nie podwójne chroot
· Nie fchdir z chroot
· Wymuszone chdir ("/") po chroot
· Nie (f) chmod + s
· Nie mknod
· Nie sysctl pisze
· Nie podniesienie priorytetu harmonogramu
· Nie podłączania się do abstrakcyjnych gniazd UNIX poza chroot
· Usuwanie szkodliwych przywilejów poprzez możliwości
· Exec rejestrowania w ramach chroot
 
Adres ochrony Modyfikacja miejsca
 
· PaX: wdrożenie oparte o Page nie wykonywalnych stron użytkownika dla i386, sparc, sparc64, alpha, parisc, amd64, ia64 i ppc; bez znaczenia na wydajność procesorów i386 na wszystkich, ale Pentium 4
· PaX: wdrożenie oparte na segmentacji nie wykonywalnych stron użytkownika dla i386 bez spadku wydajności
· PaX: wdrożenie oparte na segmentacji nie wykonywalnych stron Kernel dla i386
· PaX: ograniczenia MPROTECT zapobiec przedostawaniu nowy kod zadanie
· PaX: Randomizacja stosu i mmap baza dla i386, sparc, sparc64, alpha, parisc, amd64, ia64, ppc, i MCI
· PaX: randomizacji bazy sterty dla i386, sparc, sparc64, alpha, parisc, amd64, ia64, ppc, i MCI
· PaX: Randomizacja wykonywalnego bazy dla i386, sparc, sparc64, alpha, parisc, amd64, ia64 i ppc
· PaX: randomizacji stosu jądra
· PaX: Automatycznie naśladować trampoliny sigreturn (dla libc5, glibc 2.0, uClibc, Modula-3 kompatybilność)
· PaX: Brak relokacji ELF .text
· PaX: emulacja Trampolina (GCC i linux sigreturn)
· PaX: emulacja PLT dla non-i386 łuków
· Nie modyfikacji jądra poprzez / dev / mem, / dev / kmem lub / dev / portu
· Możliwość korzystania z surowego wyłączyć I / O
· Usuwanie adresów z / proc // [mapy | stat]
 
Funkcje audytu
 
· Możliwość określić jedną grupę do badania
· Exec rejestrowanie z argumentami
· Odmowa logowania zasób
· Pozyskiwanie Chdir
· Podłączanie i odłączanie logowania
· IPC tworzenia rejestrowania / usuwania
· Rejestrowanie sygnału
· Nie udało widelec logowania
· Czas rejestrowania zmian
 
Cechy randomizacji
 
· Większe baseny entropii
· Randomizowane sekwencji TCP początkowe numery
· Randomizowane PID
· Identyfikatory IP randomizowane
· Portów źródłowych TCP randomizowanych
· Randomizowane XID RPC
 
Inne funkcje
 
· Ograniczenia / proc, które nie wyciek informacji na temat właścicieli procesów
· Ograniczenia Symlink / dowiązania twardego w celu zapobiegania / wyścigi tmp
· Ograniczenia FIFO
· Dmesg (8) Ograniczenie
· Zwiększona realizacja Trusted Execution Path
· Ograniczenia oparte na socket GID
· Prawie wszystkie opcje są sysctl-przestrajanie, z mechanizmem blokującym
· Wszystkie alarmy i audyty obsługuje funkcję, która rejestruje adres IP atakującego w dzienniku
· Połączenia strumieniowe całej gniazd domeny Unix prowadzić adres IP atakującego z nich (na 2,4 tylko)
· Wykrywanie połączeń lokalnych: egzemplarzach adres IP atakującego do innych zadań
· Automatyczne odstraszanie od wykorzystania bruteforcing
· Niski poziom bezpieczeństwa, Medium, High i niestandardowe
· Tunable Czas powodziowym do rejestrowania i wybuchnął
Co nowego w tym wydaniu:
· Poprawki w Pax wsparcia w systemie RBAC flagi.
· Aktualizacje pax w architekturach innych niż x86 w 4.2.34 poprawki.
· Setpgid się problemu chroot został naprawiony.
· Funkcja randomizowane PID została usunięta.
· To użycie poprawki uwolnienia / proc w chroot w patchu 2.6.
· To dodaje rolę administratora do generowanego polityki od pełnej nauki.
· To zsynchronizuje kod PaX w patchu 2.4.
· To został zaktualizowany do systemu Linux 4.2.34 i 2.6.19.2.