grsecurity

grsecurity е цялостна система за сигурност за Linux 2.4, който реализира за откриване / предотвратяване / ограничаване стратегия. Тя не позволява повечето форми на адресно пространство модификация, пределите програми чрез своя Role-базирана система за контрол на достъпа, втвърдява syscalls, предвижда пълнофункционален одит, и изпълнява много от случайността функции OpenBSD.
Тя е написана за изпълнение, лекота на използване и сигурността. Системата за RBAC е интелигентен режим обучение, който може да генерира най-слабо политики привилегия за цялата система, без конфигурация. Всички grsecurity поддържа една възможност, която трупа на ПР на нападателя, който причинява на сигнал или одит.
Ето някои основни характеристики на "grsecurity":
Основни Характеристики:
· Role-базиран контрол на достъп
· Потребител, група, както и специални роли
· Подкрепа за домейни за потребители и групи
· Role Непреходен маси
· IP-базирани роли
· Non-корен достъп до специални функции
· Специални роли, които не изискват удостоверяване
· Вложени теми
· Variable подкрепа в конфигурация
· И, или, и определяне на разликата операции на променливи в конфигурация
· Режим Object, който контролира създаването на имащи нужда и setgid файлове
· Създаване и изтриване на режима обектни
· Kernel интерпретация на наследството
· В реално време резолюция редовен-експресия
· Способност да се отрече ptraces към специфичните процеси
· Потребителя и група проверка на прехода и изпълнението на база инклузив или изключително
· / Dev / grsec запис за ядрото автентификация и учебните дневници
· Next-генериране на код, който произвежда политики малко-привилегия за цялата система, без конфигурация
· Статистика Политика за gradm
· Обучение Наследствено-базирани
· Обучение конфигурационен файл, който позволява на администратора да се даде възможност на наследството-базирано обучение или забраните за обучение по конкретни пътища
· Пълен пътища и файлове за процес нарушител и родителски процес
· Функция статут RBAC за gradm
· / Proc // ipaddr дава дистанционно адреса на лицето, което започна даден процес
· Прилагане Secure политика
· Поддържа четене, писане, добави, изпълнява, изглед, и само за четене ptrace обектни разрешения
· Поддържа се крият, защита и замените подлежат знамена
· Поддържа знамената PAX
· Функция защита Обща памет
· Интегрирано местно атака отговор на всички сигнали
· Тема флаг, който да гарантира процес никога не може да изпълни trojaned код
· Пълнофункционален фин одит
· Resource, сокет, както и подкрепа способност
· Защита срещу експлоатира bruteforcing
· / Proc / PID filedescriptor / защита на паметта
· Правила могат да бъдат пуснати на несъществуващи файлове / процеси
· Възстановяване на политиката в областта на субекти и обекти
· КОНФИГУРИРУЕМИ дневник супресия
· КОНФИГУРИРУЕМИ счетоводна процес
· Конфигурация четима за човека
· Не е файлова система или зависими архитектура
· Везни добре: поддържа, много политики като памет може да се справи с една и съща производителност хит
· Не разпределение по време на работа на паметта
· Безопасна SMP
· O ефективност време за повечето операции
· Включване на директива за определяне на допълнителни политики
· Активиране, деактивиране, презареди възможности
· Възможност за скриване на процеси на ядрото
 
Ограничения Chroot
· Не закрепване споделена памет извън Chroot
· Не убие извън Chroot
· Не ptrace извън Chroot (архитектура независим)
· Не capget извън Chroot
· Не setpgid извън Chroot
· Не getpgid извън Chroot
· Не getsid извън Chroot
· Не изпращане на сигнали чрез fcntl извън Chroot
· Не гледане на всеки процес извън Chroot, дори и ако / Proc е монтирана
· Не монтаж или remounting
· Не pivot_root
· Забрана за двойно Chroot
· Не fchdir от Chroot
· Принудително CHDIR ("/") при Chroot
· Не (е) коригирате + S
· Не mknod
· Не Sysctl пише
· Не отглеждане на планировчика приоритет
· Не се свързвате с абстрактни гнезда домейни UNIX извън Chroot
· Премахване на вредни привилегии чрез възможности
· Exec дърводобив в Chroot
 
Адрес защита пространство модификация
 
· Pax: Page-базирани изпълнението на не-изпълними страници на потребителите за i386, SPARC, sparc64, алфа, parisc, amd64, ia64 и НПК; пренебрежимо хит изпълнение на всички i386 процесори но Pentium 4
· Pax: сегментиране на базата на изпълнението на не-изпълними страници на потребителите за i386, без представяне хит
· Pax: сегментиране на базата на изпълнението на не-изпълними ядрото страници за i386
· Pax: Mprotect ограничения пречат на нов код от навлизане на задача
· Pax: Произволна от стака и mmap база за i386, SPARC, sparc64, алфа, parisc, amd64, ia64, НПК и MIPS
· Pax: Произволна на грамада база за i386, SPARC, sparc64, алфа, parisc, amd64, ia64, НПК и MIPS
· Pax: Произволна на изпълнимия база за i386, SPARC, sparc64, алфа, parisc, amd64, ia64 и НПК
· Pax: Произволна на стека на ядрото
· Pax: Автоматично подражават sigreturn трамплина (за библиотеката libc5, Glibc 2.0, uClibc, Modula-3 съвместимост)
· Pax: Не ELF .text премествания
· Pax: Батут емулация (GCC и Linux sigreturn)
· Pax: PLT емулация за не-i386 арки
· Не модификация на ядрото чрез / Dev / MEM, / Dev / kmem или / Dev / пристанище
· Опция за забрана използването на сурово I / O
· Премахване на адреси от / Proc // [карти | Stat]
 
Одиторски функции
 
· Вариант да се уточни и съща група за одит
· Exec сеч с аргументи
· Отказан ресурс сеч
· CHDIR сеч
· Mount и демонтирате сеч
· IPC създаване / отстраняване сеч
· Сеч Signal
· Неуспешно вилица сеч
· Време за промяна сеч
 
Рандомизацията функции
 
· По-голяма ентропия басейни
· Рандомизирано TCP начална последователност на Numbers
· Рандомизираните PID-ове
· Рандомизирано IP IDs
· Рандомизираните изходни портове TCP
· Рандомизираните RPC XIDs
 
Други характеристики
 
· Ограничения / PROC, че да не изпускат информация за притежателите на процесите
· Ограничения Символична връзка / твърда връзка за предотвратяване / ТМР състезания
· FIFO ограничения
· Dmesg (8) ограничение
· Засилено прилагане на Trusted Execution Path
· GID-базирани ограничения гнездо
· Почти всички опции са Sysctl-регулиращи се, със заключващ механизъм
· Всички сигнали и одити поддържат функция, която трупа на IP адреса на нападателя с дневника
· Поток връзки в цяла гнезда домейни UNIX носят IP адрес на нападателя с тях (на 2.4 само)
· Откриване на местни връзки: копия IP адрес на нападателя на другата задача
· Автоматично сдържане на експлоатират bruteforcing
· Нива ниско, средно, високо, и по поръчка за сигурност
· Регулиращи наводнения време и избухна за сеч
Какво е новото в тази версия:
· Поправките Pax подкрепа флаг в RBAC система.
· Актуализации Pax за не-x86 архитектури в 4.2.34 пластир.
· A setpgid в Chroot проблем е фиксиран.
· В рандомизирано функцията PID-ове е била отстранена.
· Тази употреба поправки освобождаване / Proc в Chroot в 2.6 кръпка.
· Тя добавя администратор роля да генерира политика от пълно обучение.
· Тя resynchronizes кода Pax в 2.4 кръпка.
· Тя е актуализирана към Linux 4.2.34 и 2.6.19.2.