grsecurity

grsecurity est un système de sécurité complet pour Linux 2.4 qui implémente un / prévention / stratégie d'endiguement de détection. Il empêche la plupart des formes de modification de l'espace d'adressage, les programmes de confine via son système de contrôle d'accès basé sur les rôles, durcit syscalls, fournit audit complet, et met en œuvre un grand nombre des caractéristiques de l'aléatoire OpenBSD.
Il a été écrit pour la performance, la facilité d'utilisation et la sécurité. Le système RBAC dispose d'un mode d'apprentissage intelligent qui peut générer des politiques les moins de privilèges pour l'ensemble du système sans aucune configuration. Tous grsecurity en charge une fonctionnalité qui enregistre l'adresse IP de l'attaquant qui provoque une alerte ou d'audit.
Voici quelques caractéristiques principales de "grsecurity":
Futures principales:
· Contrôle d'accès basé sur les rôles
· Utilisateur, le groupe et les rôles spéciaux
· Le soutien de domaine pour les utilisateurs et les groupes
· Tables de transition de Rôle
· Rôles basés sur IP
· L'accès non-root pour des rôles spéciaux
· Rôles spéciaux qui ne nécessitent pas d'authentification
· Sujets imbriqués
· Soutien variable dans la configuration
· Et, ou, et les opérations de différence définir des variables dans la configuration
· Mode objet qui contrôle la création de fichiers setuid et setgid
· Créer et supprimer des modes d'objets
· Interprétation noyau de l'héritage
· Temps réel résolution expression régulière
· Capacité à nier ptraces aux processus spécifiques
· Utilisateur et groupe transition contrôle et leur application sur une base inclusive ou exclusive
· Entrée / dev / grsec pour l'authentification du noyau et les journaux d'apprentissage
· Code de prochaine génération qui produit des politiques moins-privilège pour l'ensemble du système sans aucune configuration
· Statistiques de politiques pour gradm
· L'apprentissage basé sur les successions-
· Apprendre fichier de configuration qui permet à l'administrateur d'activer l'apprentissage basé sur l'héritage ou désactiver l'apprentissage sur des chemins spécifiques
· Chemins d'accès complets pour le processus de la délinquance et processus parent
· Fonction d'état de RBAC pour gradm
· / Proc // ipaddr donne l'adresse distante de la personne qui a commencé un processus donné
· Application de la politique sécurisé
· Prise en charge de lire, écrire, append, exécuter, afficher et lire uniquement les autorisations d'objet de ptrace
· Supports cacher, protéger et remplacent drapeaux sujet
· Prise en charge les drapeaux PaX
· Mémoire partagée fonction de protection
· Intégré réponse d'attaque locale sur toutes les alertes
· Sujet drapeau qui garantit un processus ne peut jamais exécuter du code un cheval de Troie
· Full-vedette d'audit à grain fin
· Ressources, prise, et le soutien des capacités
· Protection contre les exploiter bruteforcing
· / Proc / pid descripteur de fichier / protection de la mémoire
· Les règles peuvent être placés sur inexistants fichiers / processus
· La régénération de la politique sur des sujets et des objets
· La suppression de journal configurable
· La comptabilité des processus configurables
· Configuration lisible
· Non système de fichiers ou dépendantes de l'architecture
· Balances bien: prend en charge autant de politiques que la mémoire peut gérer avec le même impact sur les performances
· Aucune allocation de mémoire d'exécution
· SMP sécurité
· O efficacité du temps pour la plupart des opérations
· Inclure directive pour spécifier les politiques supplémentaires
· Activer, désactiver, rechargez capacités
· Option pour cacher des processus du noyau
 
restrictions chroot
· Pas de mémoire partagée attacher à l'extérieur de chroot
· No kill extérieur du chroot
· Pas de ptrace extérieur du chroot (indépendant de l'architecture)
· Aucune capget dehors de chroot
· Aucune extérieur setpgid de chroot
· Aucune extérieur getpgid de chroot
· Aucune getsid dehors de chroot
· Aucun envoi de signaux par fcntl extérieur du chroot
· Pas de visualisation de tout processus en dehors du chroot, même si / proc est monté
· Pas de montage ou de remontage
· Pas de pivot_root
· Pas de double chroot
· Aucune fchdir sur chroot
· Chdir forcées ("/") lors de chroot
· Non (f) chmod + s
· Pas de mknod
· Pas de sysctl écrit
· Pas de relèvement de la priorité de l'ordonnanceur
· Aucune connexion à abstraites sockets Unix dehors de chroot
· Suppression des privilèges nuisibles via capacités
· L'exploitation forestière Exec au sein de chroot
 
Adresse protection de la modification de l'espace
 
· PaX: mise en œuvre sur la base de la page-pages utilisateur non-exécutables pour i386, sparc, sparc64, alpha, parisc, amd64, ia64, ppc et; négligeables baisse de performance sur tous les processeurs i386 mais Pentium 4
· PaX: mise en œuvre reposant sur la segmentation des pages utilisateur non-exécutables pour i386 sans impact sur les performances
· PaX: mise en œuvre reposant sur la segmentation des pages de noyau non-exécutables pour i386
· PaX: restrictions empêchent mprotect nouveau code de pénétrer dans une tâche
· PaX: La randomisation de pile et mmap base pour i386, sparc, sparc64, alpha, parisc, amd64, ia64, ppc, et mips
· PaX: La randomisation de la base du tas pour i386, sparc, sparc64, alpha, parisc, amd64, ia64, ppc, et mips
· PaX: La randomisation de la base exécutable pour i386, sparc, sparc64, alpha, parisc, amd64, ia64, ppc et
· PaX: La randomisation de pile du noyau
· PaX: émuler automatiquement trampolines sigreturn (pour libc5, glibc 2.0, uClibc, Modula-3 compatibilité)
· PaX: Aucun délocalisations ELF de .text
· PaX: émulation de Trampoline (CCG et linux sigreturn)
· PaX: émulation du PLT pour architectures non-i386
· Aucune modification du noyau via / dev / mem, / dev / kmem, ou / dev / port
· Option pour désactiver l'utilisation des matières premières I / O
· Suppression des adresses à partir de / proc // [cartes | stat]
 
fonctionnalités d'audit
 
· Option pour spécifier un seul groupe pour auditer
· L'exploitation forestière Exec avec des arguments
· L'exploitation forestière des ressources Denied
· L'exploitation forestière Chdir
· Monter et démonter l'exploitation forestière
· La création IPC / enregistrement de retrait
· L'exploitation forestière de Signal
· L'exploitation forestière fourchette Échec
· La journalisation des changements de temps
 
fonctions de randomisation
 
· Piscines d'entropie Agrandir
· Randomisée TCP Numéros de séquence initiale
· PID randomisés
· Randomisée ID IP
· Ports source TCP randomisés
· XIDs RPC randomisés
 
Autres caractéristiques
 
· Restrictions / proc qui ne fuient pas d'informations sur les propriétaires de processus
· Restrictions Symlink / de hardlink pour prévenir / tmp courses
· Restrictions FIFO
· Dmesg (8) de restriction
· La mise en œuvre améliorée des Trusted Execution Path
· Restrictions socket base-GID
· Presque toutes les options sont sysctl accordable, avec un mécanisme de verrouillage
· Toutes les alertes et les audits prennent en charge une fonctionnalité qui enregistre l'adresse IP de l'attaquant avec le journal
· Connexions Stream à travers des sockets Unix portent l'adresse IP de l'attaquant avec eux (sur 2.4 uniquement)
· Détection des connexions locales: des copies de l'adresse IP de l'attaquant à l'autre tâche
· Dissuasion automatique d'exploit bruteforcing
· Niveaux de sécurité basse, moyenne, haute et personnalisés
· Inondations temps accordable et à l'éclatement de l'exploitation forestière
Quoi de neuf dans cette version:
· Correction à PaX drapeau soutien dans le système RBAC.
· Mises à jour PaX pour les architectures non-x86 dans 2.4.34 patch.
· Un setpgid dans le problème de chroot a été corrigé.
· La fonction PID randomisée a été supprimé.
· Cette version corrige utilisation / proc dans un chroot dans 2,6 patch.
· Il ajoute un rôle d'admin à la politique générée par l'apprentissage complet.
· Il resynchronise le code PaX dans le patch 2.4.
· Il a été mis à jour pour Linux 2.4.34 et 2.6.19.2.