grsecurity

grsecurity è un sistema di sicurezza completo per Linux 2.4 che implementa un rilevamento / prevenzione / strategia di contenimento. Previene la maggior parte delle forme di modificazione spazio di indirizzamento, programmi confini attraverso il suo sistema di controllo di accesso basato sui ruoli, indurisce chiamate di sistema, offre il controllo completo, e implementa molte delle caratteristiche casualità OpenBSD.
È stato scritto per le prestazioni, facilità d'uso e la sicurezza. Il sistema RBAC dispone di una modalità di apprendimento intelligente in grado di generare politiche meno privilegi per l'intero sistema senza alcuna configurazione. Tutto grsecurity supporta una funzionalità che registra l'IP dell'attaccante che provoca un allarme o di revisione contabile.
Qui sono alcune caratteristiche chiave di "grsecurity":
Principali Futures:
· Role-Based Access Control
· Utente, gruppo, e ruoli speciali
· Supporto di dominio per utenti e gruppi
· Tabelle di transizione di ruolo
· Ruoli basati su IP
· L'accesso non-root per ruoli speciali
· Ruoli speciali che non richiedono l'autenticazione
· Soggetti nidificati
· Supporto variabile in configurazione
· E, o, e le operazioni di differenza impostata su variabili in configurazione
· Modalità Object che controlla la creazione di file setuid e setgid
· Creare ed eliminare i modi di oggetti
· Kernel interpretazione di eredità
· In tempo reale risoluzione espressioni regolari
· Capacità di negare ptraces a processi specifici
· Utente e la verifica di transizione del gruppo e applicazione su base inclusiva o esclusiva
· / Dev / ingresso grsec per l'autenticazione del kernel e tronchi di apprendimento
· Codice di nuova generazione che produce politiche meno privilegi per l'intero sistema senza alcuna configurazione
· Statistiche politiche per gradm
· Apprendimento basato Eredità-
· Imparare file di configurazione che consente all'amministratore di abilitare l'apprendimento basato eredità-o disattivare learning su percorsi specifici
· Percorsi completi per il processo di offendere e processo padre
· Funzione di stato di RBAC per gradm
· / Proc // indirizzo_ip dà l'indirizzo remoto della persona che ha iniziato un dato processo
· Sicura applicazione delle policy
· Supporta la lettura, scrivere, aggiungere, eseguire, vista, e di sola lettura autorizzazioni per gli oggetti ptrace
· Supporta nascondere, proteggere, e sovrascrivono bandiere soggetto
· Supporta le bandiere PaX
· Funzione di protezione della memoria condivisa
· Integrato risposta attacco locale su tutti gli allarmi
· Bandiera Soggetto che assicura un processo non può mai eseguire codice un trojan
· Completa funzionalità-auditing a grana fine
· Risorse, presa, e il supporto capacità
· Protezione da sfruttare bruteforcing
· / Proc / pid filedescriptor / protezione della memoria
· Le regole possono essere immessi sul file inesistenti / processi
· Politica rigenerazione soggetti e oggetti
· Soppressione log configurabile
· Contabilità processo configurabile
· Configurazione Human-leggibile
· Non filesystem o architettura dipendente
· Scala bene: supporta come molte politiche la memoria in grado di gestire con la stessa calo di prestazioni
· Nessun allocazione di memoria di runtime
· SMP sicuro
· O efficienza tempo per la maggior parte delle operazioni
· Includere direttiva per la definizione delle politiche aggiuntive
· Attivare, disattivare, ricaricare le capacità
· Opzione per nascondere processi del kernel
 
Restrizioni chroot
· Non collegare la memoria condivisa al di fuori della chroot
· No Kill di fuori del chroot
· Nessun ptrace al di fuori del chroot (architettura indipendente)
· Nessun capget al di fuori del chroot
· Nessun esterno setpgid di chroot
· Nessun esterno getpgid di chroot
· Nessun getsid al di fuori del chroot
· Nessun invio di segnali da fcntl al di fuori della chroot
· Nessun visione di qualsiasi processo al di fuori della chroot, anche se / proc è montato
· Nessun montaggio o rimontaggio
· Nessun pivot_root
· Divieto di doppio chroot
· Nessun fchdir di chroot
· Chdir forzata ("/") al chroot
· No (f) chmod + s
· Nessun mknod
· Nessun sysctl scrive
· Nessun innalzamento della priorità di pianificazione
· Nessun collegamento ad astratte unix socket di dominio al di fuori della chroot
· Rimozione dei privilegi nocivi grazie a capacità
· Registrazione Exec entro chroot
 
Indirizzo Protezione modifica spazio
 
· PaX: implementazione Pagina a base di pagine utente non eseguibili per i386, sparc, sparc64, alpha, parisc, amd64, ia64, e ppc; trascurabile calo di prestazioni in tutte le CPU i386 ma Pentium 4
· PaX: implementazione basata Segmentazione-of pagine utente non eseguibili per i386, senza calo di prestazioni
· PaX: implementazione basata Segmentazione-of pagine kernel non-eseguibili per i386
· PaX: restrizioni mprotect impediscono nuovo codice di entrare in un compito
· PaX: randomizzazione della pila e mmap base per i386, sparc, sparc64, alpha, parisc, amd64, ia64, ppc, e MIPS
· PaX: randomizzazione della base heap per i386, sparc, sparc64, alpha, parisc, amd64, ia64, ppc, e MIPS
· PaX: randomizzazione della base eseguibile per i386, sparc, sparc64, alpha, parisc, amd64, ia64, e ppc
· PaX: La randomizzazione di stack del kernel
· PaX: emulare automaticamente trampolini sigreturn (per libc5, glibc 2.0, uClibc, Modula-3 compatibilità)
· PaX: No delocalizzazioni ELF .text
· PaX: emulazione Trampolino (GCC e linux sigreturn)
· PaX: emulazione PLT per archi non-i386
· Nessuna modifica del kernel via / dev / mem, / dev / kmem, o / dev / port
· Opzione per disabilitare l'uso di I / O non elaborato
· Rimozione di indirizzi da / proc // [Mappe | stat]
 
Funzioni di controllo
 
· Opzione per specificare unico gruppo per la revisione
· Registrazione Exec con argomenti
· Registrazione risorsa negato
· Registrazione Chdir
· Montare e smontare la registrazione
· Creazione IPC registrazione / rimozione
· La registrazione del segnale
· Impossibile registrazione forchetta
· Registrazione Cambiamento di tempo
 
Caratteristiche randomizzazione
 
· Grandi piscine entropia
· Randomized TCP numeri di sequenza iniziale
· PID randomizzati
· Randomized IP ID
· Randomizzati porte di origine TCP
· XIDs RPC randomizzati
 
Altre caratteristiche
 
· Restrizioni / proc che non perdite informazioni su process owner
· Restrizioni Symlink / hardlink per evitare corse / tmp
· Restrizioni FIFO
· Dmesg (8) restrizione
· Realizzazione avanzata del percorso Trusted Execution
· Restrizioni presa a base di GID
· Quasi tutte le opzioni sono sysctl-sintonizzabile, con un meccanismo di bloccaggio
· Tutti gli allarmi e verifiche supportano una funzione che registra l'indirizzo IP dell'attaccante con il registro
· Collegamenti streaming attraverso socket unix portano indirizzo IP dell'attaccante con loro (su 2.4 solo)
· Rilevazione di connessioni locali: copia l'indirizzo IP dell'attaccante all'altro compito
· Deterrenza automatica di sfruttare bruteforcing
· Livelli di sicurezza basso, medio, alto, e personalizzati
· Sintonizzabile inondazioni tempo e scoppiò per la registrazione
Cosa c'è di nuovo in questo rilascio:
· Correzioni al supporto bandiera PaX sistema RBAC.
· Aggiornamenti pax per architetture non-x86 a 2.4.34 patch.
· Un setpgid in chroot problema è stato risolto.
· La funzione randomizzato PID è stata rimossa.
· Questo utilizzo correzioni di rilascio / proc in un chroot in 2.6 patch.
· Aggiunge un ruolo di amministratore alla politica generata da un apprendimento completo.
· Si risincronizza il codice PaX nella patch 2.4.
· E 'stato aggiornato per Linux 2.4.34 e 2.6.19.2.