grsecurity

grsecurity bir algılama / önleme / çevreleme stratejisi uygulayan Linux 2.4 için tam bir güvenlik sistemidir. Bu, onun Rol Tabanlı Erişim Kontrolü sistemi üzerinden en adres alanı değişiklik formları, confines programları engeller syscalls sertleşen, tam özellikli denetim sağlar ve OpenBSD rasgelelik özellikleri birçok uygular.
Bu performans, kolaylığı kullanımı ve güvenlik için yazılmıştır. RBAC sistemi hiçbir yapılandırma ile tüm sistem için en az ayrıcalık politikalarını oluşturabilir akıllı öğrenme modu vardır. Grsecurity tüm uyarı veya denetim neden saldırganın IP açan bir özelliği destekler.
Burada "grsecurity" bazı temel özellikleri şunlardır:
Ana Futures:
· Rol Tabanlı Erişim Denetimi
· Kullanıcı, grup ve özel rolleri
Kullanıcılar ve gruplar için · Alan desteği
· Rol geçiş tabloları
· IP tabanlı roller
Özel rollere · Sigara kök erişimi
Hiçbir kimlik doğrulaması gerektiren · Özel rolleri
· İç içe konular
· Yapılandırmada Değişken destek
· Ve ya, ve fark set işlemleri yapılandırmasında değişkenler üzerinde
Setuid ve setgid dosyalarının oluşturulmasını kontrol · Nesne modu
· Oluşturun ve nesne modları silin
Kalıtım · Çekirdek yorumlanması
· Gerçek zamanlı düzenli ifade çözünürlüğü
Belirli süreçler ptraces inkar · Beceri
· Kapsayıcı veya münhasır bazda Kullanıcı ve grup geçiş kontrol ve uygulama
Çekirdek kimlik ve öğrenme günlükleri · / dev / grsec giriş
Hiçbir yapılandırma ile tüm sistem için en az ayrıcalık politikaları üretir · Yeni nesil kodu
Gradm için · Politika istatistikleri
· Kalıtım-tabanlı öğrenme
· Yönetici miras tabanlı öğrenme etkinleştirmek veya belirli yollarda öğrenmeyi devre dışı bırakmanızı sağlar yapılandırma dosyasını Öğrenme
Soruna neden olan süreci ve ana süreç için · Tam pathnames
Gradm için · RBAC durum fonksiyonu
· / Proc // ipaddr verilen bir süreç başladı kişinin uzaktan adresini verir
· Güvenli politika uygulama
· Yazma ekleme, yürütme, görünüm ve salt okunur ptrace nesne izinleri, okuma Destekler
Destekler gizlemek · korumak ve konu bayrakları geçersiz
· PaX bayraklarını destekler
· Paylaşılan bellek koruma özelliği
· Tüm uyarılara yerel saldırı yanıtı Entegre
Bir süreç trojansız kod yürütmesine asla sağlar · Konu bayrağı
· Tam özellikli ince taneli denetim
· Kaynak, soket ve yetenek desteği
· Karşı koruma bruteforcing istismar
· / Proc / pid Filedescriptor / bellek koruması
· Kurallar varolmayan dosya / süreçler üzerinde yerleştirilebilir
Konu ve nesneler üzerinde · Politika rejenerasyon
· Ayarlanabilir günlük bastırma
· Ayarlanabilir süreç muhasebesi
· İnsan okunabilir yapılandırma
· Dosya sistemi veya bağımlı mimari Değil
· Iyi Ölçekler: aynı performans hit işleyebilir belleğe kadar politikaları desteklemektedir
· Hiçbir çalışma zamanı bellek ayırma
· SMP kasası
Çoğu operasyonları için · O zaman verimi
· Ek politikalar belirlemek için direktifini dahil
· Yetenekleri yeniden devre dışı, etkinleştirme
· Çekirdek süreçlerini gizlemek için Seçenek
 
Chroot kısıtlamaları
· Chroot dışında hiçbir takılarak paylaşımlı bellek
· Chroot dışında hiçbir öldürme
· Chroot dışında hiçbir ptrace (mimari bağımsız)
· Chroot dışında hiçbir capget
· Chroot yok setpgid dışında
· Chroot yok getpgid dışında
· Chroot dışında hiçbir getsid
· Hiçbir chroot dışında fcntl sinyallerin gönderilmesi
· Chroot dışında herhangi bir sürecin hiçbir görüş, / proc monte edildiğinde bile
· Hiçbir montaj veya yeniden monte
· Hayır pivot_root
· Hiçbir çift chroot
· Chroot üzerinden fchdir
· Zorla chdir ("/") chroot üzerine
· Hayır (f) chmod + s
· Hayır mknod
· Hayır sysctl yazıyor
· Zamanlayıcı öncelik yok yetiştirme
· Hiçbir chroot dışında soyut unix domain soketleri bağlanırken
· Yetenekleri yoluyla zararlı ayrıcalıkların kaldırılması
· Chroot içinde Exec günlüğü
 
Adres alanı değişiklik koruması
 
· PaX: i386, SPARC, SPARC64, alfa, parisc, amd64, ia64 ve ppc olmayan yürütülebilir kullanıcı sayfalarının Sayfa-tabanlı bir uygulama; Tüm i386 CPU'lar ama Pentium 4 önemsiz performans bulunanlar
· PaX: hayır performans hit i386 olmayan yürütülebilir kullanıcı sayfalarının Segmentasyon tabanlı uygulama
· PaX: i386 olmayan yürütülebilir ÇEKİRDEK sayfaları Segmentasyon tabanlı uygulama
· PaX: Mprotect kısıtlamalar bir görev girmesini yeni kod önlemek
· PaX: i386, SPARC, SPARC64, alfa, parisc, amd64, ia64, ppc ve mips için konsol ve mmap tabanının Randomizasyon
· PaX: yığın i386 üssü, SPARC, SPARC64, alfa, parisc, amd64, ia64, ppc ve mips Randomizasyon
· PaX: i386, SPARC, SPARC64, alfa, parisc, amd64, ia64, ppc ve yürütülebilir tabanının Randomizasyon
· PaX: Çekirdek yığının Randomizasyon
· PaX: Otomatik sigreturn trambolin taklit (2.0 glibc, libc5 için, uClibc, Modula-3 uyumluluk)
· PaX: Hayır ELF .text taşınma
· PaX: Trambolin öykünme (GCC ve linux sigreturn)
· PaX: non-i386 kemerler PLT öykünmesi
· / Dev / mem, / dev / kmem veya / dev / bağlantı noktası üzerinden Hayır çekirdek değişiklik
· Opsiyon ham I kullanımını devre dışı bırakmak için G / Ç
· / Proc // [haritalar | Stat] adreslerin çıkarılması
 
Denetim özellikleri
 
· Seçeneği denetim tek grubu belirtmek için
· Argümanlarla Exec günlüğü
· Reddedildi kaynak günlüğü
· Chdir günlüğü
· Dağı ve unmount günlüğü
· IPC yaratma / kaldırma günlüğü
· Sinyal günlüğü
· Başarısız çatal günlüğü
· Zaman değişim günlüğü
 
Randomizasyon özellikleri
 
· Büyük entropi havuzları
· Randomize TCP İlk Sıra Numaraları
· Randomize PID
· Randomize IP kimlikleri
· Randomize TCP portları kaynak
· Randomize RPC XIDs
 
Diğer özellikler
 
· / Proc kısıtlamaları süreç sahipleri hakkında bilgi sızıntısı olmadığını
/ Tmp yarışları engellemek için · Symlink / hardlink kısıtlamaları
· FIFO kısıtlamaları
· Dmesg (8) kısıtlama
· Güvenilir Yolu Yürütme Geliştirilmiş uygulama
· GID-tabanlı soket sınırlamaları
· Neredeyse tüm seçenekleri bir kilitleme mekanizması ile, sysctl-ayarlanabilir vardır
· Tüm uyarılar ve denetimler günlük ile saldırganın IP adresini kaydeder bir özelliği destekleyen
· Unix domain soketleri arasında Akış bağlantıları (yalnızca 2.4 üzerine) Onlarla saldırganın IP adresini taşıyan
· Yerel bağlantı Algılama: diğer görev kopya saldırganın IP adresini
· Otomatik caydırıcılık bruteforcing istismar
· Düşük, Orta, Yüksek ve Özel güvenlik düzeyleri
· Ayarlanabilir sel zamanı ve giriş için patlama
Bu Sürümdeki Yenilikler:
· Rbac sisteminde PaX bayrak taşıyıcısı giderir.
· 2.4.34 yama olmayan x86 mimarileri için PaX güncellemeleri.
· Chroot sorun bir setpgid giderilmiştir.
· Randomize PID özelliği kaldırıldı.
· 2.6 yama bir chroot Bu sürüm düzeltmeleri / proc kullanımı.
· Tam öğrenme oluşturulan politikaya bir yönetici rol ekler.
· 2.4 yama PaX kodunu yeniden eşitler.
· Linux 2.4.34 ve 2.6.19.2 için güncellendi.