grsecurity היא מערכת אבטחה מלאה עבור לינוקס 2.4 המיישמת איתור / מניעה / אסטרטגית בלימה. זה מונע את רוב צורות של שינוי מרחב כתובות, תוכניות גבולות באמצעות מערכת בקרת הגישה מבוססת תפקידיו, מתקשה syscalls, מספק ביקורת כוללת את כל תכונות, ומיישם רבים של התכונות האקראיות OpenBSD.
הוא נכתב עבור ביצועים, ואבטחת קלות שימוש. מערכת RBAC יש מצב למידה אינטליגנטי שיכול ליצור מדיניות זכות לפחות לכל המערכת עם תצורה לא. כל grsecurity תומך בתכונה שנכנסה IP של התוקף שגורם התראה או ביקורת.
הנה כמה תכונות עיקריות של "grsecurity":
עתידים עיקרי:
· בקרת גישה מבוסס תפקידים
· משתמש, קבוצה, ותפקידים מיוחדים
· תמיכת דומיין עבור משתמשים וקבוצות
· שולחנות מעבר התפקיד
· תפקידים מבוסס IP
· גישה ללא שורש לתפקידים מיוחדים
· תפקידים מיוחדים שלא דורשים אימות
· נושאים מקוננים
· תמיכה משתנה בתצורה
· ו, או, ופעולות הבדל להגדיר במשתנים בתצורה
· מצב אובייקט ששולט ביצירת קבצי setuid וsetgid
· ליצור ולמחוק מצבי אובייקט
· פרשנות ליבה של ירושה
· רזולוציה רגיל ביטוי בזמן אמת
· היכולת להכחיש ptraces לתהליכים ספציפיים
· משתמש ובדיקת מעבר קבוצה ואכיפה על בסיס כלול או בלעדי
· / Dev / כניסת grsec לאימות ליבה ויומני למידה
קוד הדור הבא · שמייצר מדיניות לפחות-זכות למערכת כולה ללא תצורה
· סטטיסטיקת מדיניות gradm
· למידה מבוסס ירושה
· למידת קובץ תצורה שמאפשר למנהל כדי לאפשר למידה מבוססת ירושה או להשבית ללמוד על נתיבים ספציפיים
· נתיבים מלא לתהליך הפוגע ותהליך ההורה
· פונקצית מעמד RBAC לgradm
· / Proc // ipaddr נותן את הכתובת המרוחקת של האדם שהתחילה תהליך נתון
· אכיפת מדיניות אבטחה
· תומך לקרוא, לכתוב, להוסיף, לבצע, נוף, וקריאה בלבד הרשאות אובייקט ptrace
· תומך להסתיר, להגן, ולעקוף דגלי נושא
· תמיכה בדגלי PAX
תכונת הגנת זיכרון משותף ·
· משולב תגובת התקפה מקומית על כל ההתראות
· דגל נושא שמבטיח תהליך לא יכול לבצע קוד trojaned
· מלאה בהשתתפות-ביקורת פרטנית
· משאבים, שקע, ותמיכת יכולת
· הגנה מפני ניצול bruteforcing
· Filedescriptor / proc / PID / הגנת זיכרון
· ניתן להציב כללים על קבצים / תהליכים שאינם קיימים
· התחדשות מדיניות בנושאים ואובייקטים
· דיכוי יומן הגדרה
· חשבונאות תהליך הגדרה
· תצורה קריאה
· לא קבצים או ארכיטקטורה תלויה
· סולמות גם: תומך במדיניות רבות כמו זיכרון יכול להתמודד עם אותה הפגיעה בביצועים
· אין הקצאת זיכרון ריצה
· בטוח SMP
· O יעילות זמן עבור רוב הפעולות
· כולל הוראה לציון מדיניות נוספת
· אפשר, לבטל, לטעון מחדש את יכולות
· אפשרות להסתיר את תהליכי ליבה
הגבלות chroot
· אין זיכרון משותף מצרף מחוץ chroot
· אין להרוג מחוץ chroot
· אין ptrace מחוץ chroot (ארכיטקטורה עצמאית)
· אין capget מחוץ chroot
· אין מחוץ setpgid של chroot
· אין מחוץ getpgid של chroot
· אין GETSID מחוץ chroot
· אין צורך לשלוח אותות על ידי FCNTL מחוץ chroot
· אין צפייה של כל תהליך מחוץ chroot, גם אם proc / הוא רכוב
· אין הרכבה או לתלות שוב
· אין pivot_root
· אין chroot הכפול
· אין fchdir מתוך chroot
· Chdir כפויה ("/") על chroot
· אין chmod (ו) + S
· אין mknod
אין sysctl · כותב
· אין גיוס של עדיפות מתזמן
· אין חיבור לשקעי תחום יוניקס מופשטים מחוץ chroot
· להסרת של הרשאות מזיקות באמצעות יכולות
· רישום Exec בתוך chroot
הגנת שינוי מרחב כתובות
· PAX: יישום מבוסס דף של דפי משתמש שאינה הפעלה עבור i386, SPARC, SPARC64, אלפא, parisc, AMD64, ia64, וPPC; פגיעה בביצועים זניחה בכל מעבדי i386 אבל פנטיום 4
· PAX: יישום מבוסס פילוח דפי משתמש שאינה הפעלה עבור i386 ללא פגיעה בביצועים
· PAX: יישום מבוסס פילוח דפי ליבה בלתי ניתנת להפעלה לi386
· PAX: הגבלות Mprotect למנוע מקוד חדש מלהיכנס משימה
· PAX: רנדומיזציה של בסיס מחסנית וmmap לi386, SPARC, SPARC64, אלפא, parisc, AMD64, ia64, PPC, וMIPS
· PAX: רנדומיזציה של בסיס ערימה לi386, SPARC, SPARC64, אלפא, parisc, AMD64, ia64, PPC, וMIPS
· PAX: רנדומיזציה של בסיס הפעלה לi386, SPARC, SPARC64, אלפא, parisc, AMD64, ia64, וPPC
· PAX: רנדומיזציה של מחסנית ליבה
· PAX: באופן אוטומטי לחקות טרמפולינות sigreturn (לlibc5, glibc 2.0, uClibc, Modula-3 תאימות)
· PAX: לא relocations .text ELF
· PAX: הדמיית טרמפולינה (GCC וsigreturn לינוקס)
· PAX: הדמיית PLT לקשתות שאינן i386
· אין שינוי ליבה באמצעות / dev / ממ, / dev / kmem, או / dev / נמל
· אפשרות לבטל את השימוש באני גלם / O
· הסרת כתובות מ/ proc // [מפות | Stat]
תכונות ביקורת
· אפשרות לציין קבוצה אחת לביקורת
· רישום Exec עם טענות
· רישום משאב נדחה
· רישום Chdir
· הר ורישום וניתוק
· יצירת IPC / רישום ההסרה
· רישום איתותים
· רישום מזלג נכשל
· רישום שינוי זמן
תכונות אקראיות
· בריכות האנטרופיה גדולות יותר
· מספרי רצף ראשוני אקראי TCP
· PIDs אקראי
· אקראי IP מזהים
· יציאות מקור TCP אקראיים
· XIDs RPC אקראי
תכונות אחרות
· הגבלות proc / שלא להדליף מידע על בעלי התהליך
· הגבלות קישור סימבולי / hardlink למנוע / גזעים tmp
· הגבלות FIFO
· Dmesg (8) הגבלה
· יישום משופר של ביצוע נתיב מהימן
· הגבלות שקע מבוסס GID
· כמעט כל האופציות sysctl-מתכונן, עם מנגנון נעילה
· כל ההתראות וביקורות תומכות בתכונה שמתחברת עם היומן את כתובת ה- IP של התוקף
· קשרי זרם על פני ארובות תחום יוניקס לשאת את כתובת ה- IP של התוקף איתם (על 2.4 בלבד)
· איתור של קשרים מקומיים: עותקים למשימה האחרות כתובת ה- IP של התוקף
· הרתעה אוטומטית של לנצל bruteforcing
· רמות אבטחה נמוך, בינונית, גבוהות, ומותאמות אישית
· מבול-זמן ופרצתי לרישום מתכוונן
מה חדש במהדורה זו:
· תיקונים לתמיכת דגל PAX במערכת RBAC.
· עדכוני PAX לארכיטקטורות שאינן מבוסס x86 ב2.4.34 תיקון.
· Setpgid בבעיה chroot תוקן.
· תכונת PIDs האקראי הוסרה.
· שימוש בתיקוני שחרור / proc זה בchroot 2.6 תיקון.
· זה מוסיף תפקיד מנהל למדיניות שנוצרה מלמידה מלאה.
· זה resynchronizes קוד PAX בתיקון 2.4.
· זה עודכן ללינוקס 2.4.34 ו2.6.19.2.
תגובות לא נמצא