grsecurity

grsecurity ist ein komplettes Sicherheitssystem für Linux 2.4, die eine Detektion / Prävention / Eindämmungsstrategie implementiert. Es verhindert, dass die meisten Formen der Adressraum Änderung, Grenzen Programme über ihre Role-Based Access Control System, härtet syscalls bietet voll funktionsfähige Revision und implementiert viele der OpenBSD Zufälligkeit Funktionen.
Es wurde für die Leistung, einfache Bedienbarkeit und Sicherheit geschrieben. Die RBAC-System verfügt über einen intelligenten Lernmodus, die geringsten Rechte Politik für das gesamte System ohne Konfiguration erzeugen kann. Alle grsecurity unterstützt ein Feature, die IP des Angreifers, die eine Warnung oder Prüfung verursacht protokolliert.
Hier sind einige der wichtigsten Features von "grsecurity":
Haupt Futures:
· Rollenbasierte Zugriffskontrolle
· Benutzer, Gruppen und besondere Rollen
· Domain Unterstützung für Benutzer und Gruppen
· Rollenübergangstabellen
· IP-basierte Rollen
· Nicht-Root-Zugang zu speziellen Rollen
· Besondere Rollen, die keine Authentifizierung erforderlich
· Verschachtelte Themen
· Variable Unterstützung in der Konfiguration
· Und, oder, und Differenz gesetzt Operationen auf Variablen in der Konfiguration
· Objektmodus, der die Schaffung von setuid und setgid-Dateien steuert
· Erstellen und Löschen von Objektarten
· Kernel Interpretation der Vererbung
· Echtzeit-regulären Ausdrücken Auflösung
· Fähigkeit, ptraces um bestimmte Prozesse zu verweigern
· Benutzer und Gruppenübergangsprüfung und Durchsetzung auf einer inklusive oder exklusive Basis
· / Dev / grsec Eintrag für Kernel-Authentifizierung und Lernprotokolle
· Next-Generation-Code, der geringsten Rechte Politik ohne Konfiguration produziert für das gesamte System
· Politische Statistiken für gradm
· Inheritance-basiertes Lernen
· Lernen Konfigurationsdatei, die es dem Administrator, Erbschaft-basiertes Lernen aktivieren oder deaktivieren Sie das Lernen auf bestimmte Pfade erlaubt
· Volle Pfadnamen für säumige Prozess und übergeordneten Prozess
· RBAC-Status-Funktion für gradm
· / Proc // ipaddr gibt die Remote-Adresse der Person, die einen bestimmten Prozess gestartet
· Sichere Richtliniendurchsetzung
· Unterstützt lesen, zu schreiben, zu ergänzen, ausführen, anzeigen und Nur-Lese-ptrace Objektberechtigungen
· Supports zu verbergen, zu schützen und zu überschreiben Thema flags
· Unterstützt die PaX flags
· Gemeinsame Speicherschutzfunktion
· Integrierte lokale Angriff Antwort auf alle Warnungen
· Betreff Flagge, die ein Prozess kann niemals manipulierte Code ausführen wird sichergestellt,
· Voll ausgestattete feinkörnigem Wirtschaftsprüfung
· Ressourcen, Buchse, und die Fähigkeit Unterstützung
· Schutz vor Exploit bruteforcing
· / Proc / pid FileDescriptor / Speicherschutz
· Regeln können auf nicht vorhandene Dateien / Prozesse gelegt werden
· Politik Regeneration auf Subjekte und Objekte
· Konfigurierbare Protokollunterdrückung
· Konfigurierbare Prozessabrechnung
· Lesbare Konfigurations
· Nicht Dateisystem oder architekturabhängig
· Waagen auch: unterstützt bis Politik als Speicher kann mit der gleichen Performance-Einbußen zu behandeln
· Keine Laufzeitspeicherzuweisung
· SMP sicher
· O Zeiteffizienz für die meisten Operationen
· Include Anweisung zur Angabe zusätzlicher Richtlinien
· Aktivieren, Deaktivieren laden Fähigkeiten
· Option, um Kernel-Prozesse verbergen
 
Chroot Beschränkungen
· Keine Befestigung gemeinsamen Speicher außerhalb des chroot
· No Kill Außenseite des chroot
· Kein ptrace außerhalb chroot (Architektur unabhängig)
· Kein capget außerhalb chroot
· Kein setpgid außerhalb chroot
· Kein getpgid außerhalb chroot
· Kein getsid außerhalb chroot
· Kein Senden von Signalen durch fcntl außerhalb der chroot
· Keine Wiedergabe jedes beliebigen Prozesses außerhalb des chroot, auch wenn / proc montiert
· Keine Montage oder erneuten Montage
· Kein pivot_root
· Keine Doppel chroot
· Kein fchdir von chroot
· Durchgeführte chdir ("/") auf chroot
· Nein (f) chmod + s
· Kein mknod
· Kein sysctl schreibt
· Keine Anhebung der Scheduler Priorität
· Keine Verbindung zu abstrakten Unix-Domain-Sockets außerhalb der chroot
· Entfernung von schädlichen Privilegien über Fähigkeiten
· Exec Logging in chroot
 
Adressraum Modifikation Schutz
 
· Gäste: Seite-basierte Implementierung von nicht ausführbaren Benutzerseiten für i386, sparc, sparc64, alpha, parisc, amd64, ia64, ppc und; vernachlässigbare Leistungseinbußen auf allen i386 CPUs aber Pentium 4
· Gäste: Segmentation-basierte Implementierung von nicht ausführbaren Benutzerseiten für i386 ohne Leistungseinbußen
· Gäste: Segmentation-basierte Implementierung von nicht ausführbaren KERNEL Seiten für i386
· Gäste: mprotect Einschränkungen verhindern, dass neue Code aus der Eingabe einer Aufgabe
· Gäste: Randomisierung von Stack und mmap Basis für i386, sparc, sparc64, alpha, parisc, amd64, ia64, ppc und MIPS
· Gäste: Randomisierung von heap Basis für i386, sparc, sparc64, alpha, parisc, amd64, ia64, ppc und MIPS
· Gäste: Randomisierung von ausführbaren Basis für i386, sparc, sparc64, alpha, parisc, amd64, ia64, ppc und
· Gäste: Randomisierung der Kernel-Stack
· Gäste: Automatisch emulieren sigreturn Trampoline (für libc5, glibc 2.0, uClibc, Modula-3-Kompatibilität)
· Gäste: Keine ELF .text Verlagerungen
· Gäste: Trampolin-Emulation (GCC und Linux sigreturn)
· Gäste: PLT-Emulation für nicht-i386 archs
· Keine Änderung Kernel über / dev / mem, / dev / kmem oder / dev / port
· Option zum Einsatz von Roh- deaktiviere ich / O-
· Entfernung von Adressen aus / proc // [Pläne | stat]
 
Überwachungsfunktionen
 
· Option, um einzelne Gruppe angeben, um zu prüfen
· Exec Protokollierung mit Argumenten
· Verweigert Ressourcenprotokollierungs
· Chdir Protokollierung
· Bereitstellen oder Bereitstellung Protokollierung
· Schaffung IPC / Entfernen Protokollierung
· Signalprotokollierung
· Fehlgeschlagen Gabel Protokollierung
· Zeitwechsel Protokollierung
 
Randomisierung Funktionen
 
· Größere Entropie-Pools
· Randomisierte TCP Initial Sequence Numbers
· Randomisierte PIDs
· Randomisierte IP IDs
· Randomisierte TCP Quellports
· Randomisierte RPC XIDs
 
Andere Eigenschaften
 
· / Proc Beschränkungen, die keine Informationen über Prozessverantwortlichen dicht sind
· Symlink / Hardlink Einschränkungen / tmp Rennen verhindern
· FIFO Beschränkungen
· Dmesg (8) Einschränkung
· Verbesserte Umsetzung der Trusted Execution-Pfad
· GID-basierte Buchse Beschränkungen
· Fast alle Optionen sysctl-abstimmbaren, mit einem Verriegelungsmechanismus
· Alle Warnungen und Audits unterstützt ein Feature, das die IP-Adresse des Angreifers mit dem Log protokolliert
· Stream-Verbindungen über Unix-Domain-Sockets tragen IP-Adresse des Angreifers mit ihnen (auf 2.4 nur)
· Erkennen von lokalen Verbindungen: Kopien IP-Adresse des Angreifers in die andere Aufgabe
· Automatische Abschreckung nutzen bruteforcing
· Niedrig, Mittel, Hoch und kundenspezifische Sicherheitsstufen
· Tunable Flutzeit und brach für die Protokollierung
Was ist neu in dieser Version:
· Fehlerbehebungen zu PAX flag Unterstützung in RBAC-System.
· Gäste Updates für nicht-x86-Architekturen in 2.4.34 Patch.
· A setpgid in chroot Problem wurde behoben.
· Die randomisierte PIDs Funktion wurde entfernt.
· Diese Version behebt / proc Verwendung in einer chroot-in 2.6 Patch.
· Es fügt eine Admin-Rolle erzeugt Politik von Voll Lernen.
· Es synchronisiert die PaX Code in das 2.4 Patch.
· Es wurde in Linux 2.4.34 und 2.6.19.2 aktualisiert.