grsecurity is een compleet beveiligingssysteem voor Linux 2.4, dat een detectie / preventie / insluiting strategie implementeert. Het voorkomt dat de meeste vormen van adresruimte wijziging, grenzen programma's via haar Role Based Access Control-systeem, verhardt syscalls, biedt full-featured auditing, en implementeert veel van de OpenBSD willekeur functies.
Het is geschreven voor de prestaties, gemak van gebruik, en veiligheid. Het RBAC systeem heeft een intelligente leren modus die least privilege beleid voor het hele systeem zonder configuratie kan genereren. Al grsecurity ondersteunt een functie die het IP-adres van de aanvaller die een waarschuwing of audit veroorzaakt logt.
Hier zijn een aantal belangrijke eigenschappen van "grsecurity":
Hoofd Futures:
·-Role Based Access Control
· Gebruiker, groep, en speciale rollen
· Domein ondersteuning voor gebruikers en groepen
· Rol overgang tafels
· IP-rollen
· Niet-root-toegang tot speciale rollen
· Speciale rollen die geen verificatie vereisen
· Geneste onderwerpen
· Variabele ondersteuning bij configuratie
· En, of, en het verschil ingesteld operaties op variabelen in de configuratie
· Object modus die de creatie van setuid en setgid bestanden controleert
· Maak en verwijderen object modi
· Kernel interpretatie van de erfenis
· Real-time reguliere expressie resolutie
· Mogelijkheid om ptraces aan specifieke processen ontkennen
· Gebruikers en de groep overgang controle en handhaving op een inclusieve of exclusieve basis
· / Dev / grsec vermelding voor kernel authenticatie en leren logs
· Next-generation code die minstens-voorrecht beleid produceert voor het gehele systeem zonder configuratie
· Beleid statistieken voor gradm
·-Inheritance based learning
· Leren configuratiebestand dat kan de beheerder-erfenis leren of uit te schakelen het leren op specifieke paden
· Volledige padnamen voor beledigende proces en de ouder-proces
· RBAC-status-functie voor gradm
· / Proc // ipaddr geeft het externe adres van de persoon die een bepaald proces gestart
· Secure handhavingsbeleid
· Ondersteunt lezen, schrijven, toevoegen, uitvoeren, bekijken en alleen-lezen toestemmingen ptrace object
· Ondersteunt verbergen, beschermen en overschrijven onderwerp vlaggen
· Ondersteunt de vlaggen PaX
· Gedeeld geheugen bescherming functie
· Geïntegreerde lokale aanval reactie op alle waarschuwingen
· Onderwerp vlag die zorgt voor een proces kan nooit trojaned code uit te voeren
· Volledig uitgeruste fijnkorrelig auditing
· Resource, socket, en het vermogen ondersteuning
· Bescherming tegen exploiteren bruteforcing
· / Proc / pid filedescriptor / geheugen bescherming
· Regels kunnen op niet-bestaande bestanden / processen worden geplaatst
· Beleid regeneratie over onderwerpen en objecten
· Configureerbare log onderdrukking
· Configureerbare proces accounting
· Human leesbare configuratie
· Niet bestandssysteem of architectuur afhankelijke
· Weegschalen goed: ondersteunt zo veel beleid als het geheugen kan omgaan met dezelfde prestaties hit
· Geen runtime geheugentoewijzing
· SMP veilig
· O tijd efficiency voor de meeste bewerkingen
· Inclusief richtlijn voor het opgeven van aanvullend beleid
· Inschakelen, uitschakelen, opnieuw mogelijkheden
· Mogelijkheid om kernel processen verbergen
Chroot beperkingen
· Geen bevestigen gedeeld geheugen buiten de chroot
· Geen doden buiten de chroot
· Geen ptrace buiten chroot (architectuur onafhankelijk)
· Geen capget buiten de chroot
· Geen setpgid buiten de chroot
· Geen getpgid buiten de chroot
· Geen GETSID buiten de chroot
· Geen verzending van signalen door fcntl buiten de chroot
· Geen weergave van een proces buiten de chroot, zelfs als / proc is gemonteerd
· Geen montage of hermontage
· Geen pivot_root uitgevoerd
· Geen dubbele chroot
· Geen fchdir uit chroot
· Gedwongen chdir ("/") na chroot
· Geen (f) chmod + s
· Geen mknod
· Geen sysctl schrijft
· Geen verhoging van scheduler prioriteit
· Geen het verbinden met abstracte unix domain sockets buiten de chroot
· Verwijdering van schadelijke privileges via mogelijkheden
· Exec logging binnen chroot
Adresruimte wijziging bescherming
· PaX:-pagina gebaseerde implementatie van niet-uitvoerbare gebruiker pagina's voor i386, sparc, sparc64, alpha, parisc, amd64, ia64 en ppc; verwaarloosbare prestaties hit op alle i386 CPU's maar Pentium 4
· PaX: Segmentatie-gebaseerde implementatie van niet-uitvoerbare gebruiker pagina's voor i386 met geen prestatie hit
· PaX: Segmentatie-gebaseerde implementatie van niet-uitvoerbare KERNEL's voor i386
· PaX: Mprotect beperkingen voorkomen dat nieuwe code van het invoeren van een taak
· PaX: Randomisatie van stapel en mmap basis voor i386, sparc, sparc64, alpha, parisc, amd64, ia64, ppc en mips
· PaX: Randomisatie van heap basis voor i386, sparc, sparc64, alpha, parisc, amd64, ia64, ppc en mips
· PaX: Randomisatie van uitvoerbare basis voor i386, sparc, sparc64, alpha, parisc, amd64, ia64 en ppc
· PaX: Randomisatie van kernelstack
· PaX: Automatisch emuleren sigreturn trampolines (voor libc5, glibc 2.0, uClibc, Modula-3 compatibiliteit)
· PaX: Geen ELF .text verhuizingen
· PaX: Trampoline emulatie (GCC en linux sigreturn)
· PaX: PLT emulatie voor niet-i386 archs
· Geen kernel modificatie via / dev / mem, / dev / kmem, of / dev / port
· Mogelijkheid om gebruik te maken van ruwe I onbruikbaar / O
· Het verwijderen van adressen van / proc // [kaarten | stat]
Auditing functies
· Mogelijkheid om één groep opgeven controleren
· Exec logging met argumenten
· Denied resource logging
· Chdir logging
· Mount en ontkoppelen logging
· IPC creatie / verwijderen logging
· Signal logging
· Mislukt vork logging
· Time change logging
Randomisatie functies
· Grotere entropie zwembaden
· Randomized TCP Initial Sequence Numbers
· Randomized PID
· Randomized IP IDs
· Gerandomiseerde TCP bronpoorten
· Randomized RPC XIDs
Andere mogelijkheden
· / Proc beperkingen die geen informatie over proceseigenaren lekken
· Symlink / hardlink beperkingen aan / tmp races voorkomen
· FIFO beperkingen
· Dmesg (8) beperking
· Verbeterde uitvoering van de Trusted Execution Path
· GID-gebaseerde socket beperkingen
· Bijna alle opties sysctl afstembare, met een vergrendelingsmechanisme
· Alle waarschuwingen en controles ondersteunen een functie die het IP-adres van de aanvaller zich aanmeldt met de log
· Stream verbindingen over unix domain sockets te voeren IP-adres van de aanvaller met hen (op 2.4 only)
· Detectie van lokale verbindingen: kopieën IP-adres van de aanvaller naar de andere taak
· Automatische afschrikking van exploiteren bruteforcing
· Low, Medium, High en Custom beveiligingsniveaus
· Tunable flood-time en barstte voor het loggen
Wat is er nieuw in deze release:
· Fixes Pax vlag support in RBAC systeem.
· PaX updates voor niet-x86 architecturen in 2.4.34 patch.
· Een setpgid in chroot probleem is opgelost.
· De gerandomiseerde PID-functie is verwijderd.
· Deze release fixes / proc gebruik in een chroot in 2.6 patch.
· Het voegt een admin rol gegenereerd beleid van volledige leren.
· Het synchroniseert de PaX code in de 2.4 patch.
· Het is bijgewerkt om Linux 2.4.34 en 2.6.19.2.
Software informatie:
Versie: 2.1.10
Upload datum: 3 Jun 15
Licentie: Gratis
Populariteit: 27
Reacties niet gevonden