Grsecurity является полной системой безопасности для Linux 2.4, который реализует обнаружения / предотвращения / стратегии сдерживания. Это предотвращает большинство форм адресное пространство модификации, ограничивает программы с помощью своей основе ролей система контроля доступа, затвердевает системные вызовы, обеспечивает полнофункциональный аудит и реализует многие функции случайности OpenBSD.
Она была написана для исполнения, простота в использовании и безопасность. Система RBAC имеет интеллектуальный режим обучения, который может генерировать наименьших привилегий политики для всей системы с без конфигурации. Все Grsecurity поддерживает функцию который записывает IP атакующего, что вызывает тревогу или аудита.
Вот некоторые ключевые особенности "Grsecurity":
Основные Фьючерсы:
· На основе ролей управления доступом
· Пользователь, группа, и особой роли
· Поддержка домена для пользователей и групп
· Столы с переходной экономикой роль
· Роль IP-основе
· Номера для корневой доступ к специальным ролям
· Специальные роли, которые не требуют аутентификации
· Вложенные субъекты
· Поддержка переменных в конфигурации
· И, ИЛИ, и разница установить операции на переменных в конфигурации
· Режим объекта, который управляет создание Setuid и setgid файлы
· Создание и удаление объектов режимы
· Ядро интерпретация наследования
· В режиме реального времени разрешение регулярных выражений
· Возможность запретить ptraces в конкретных процессов
· Пользователь и группа проверка перехода и органов по инклюзивной или эксклюзивной основе
· / DEV / grsec запись для аутентификации ядра и журналов обучения
· Следующее поколение код, который производит политики наименее привилегий для всей системы без настройки
· Статистика политики для gradm
· Наследование на основе обучения
· Изучение файл конфигурации, что позволяет администратору включить наследование на основе обучения или отключить обучения на конкретных путей
· Полные имена для процесса нарушителя и родительского процесса
· Функция статус RBAC для gradm
· / Труды // IPADDR дает удаленный адрес человека, который начал данный процесс
· Безопасное применение политики
· Поддержка читать, писать, добавлять, выполнять просмотр и только для чтения разрешения для объектов ptrace
· Поддержка скрыть, защитить, и переопределить при условии флаги
· Поддержка флаги PAX
· Функция защиты Общая память
· Встроенный местную реакцию атаки на всех предупреждений
· Тема флаг, который обеспечивает процесс никогда не может выполнить код trojaned
· Полнофункциональный детальный аудит
· Ресурс, розетка, и поддержка способность
· Защита от эксплуатации bruteforcing
· / Труды / PID FileDescriptor / защита памяти
· Правила могут быть размещены на несуществующие файлы / процессы
· Политика регенерации на субъектов и объектов
· Настраиваемый подавление журнала
· Настраиваемый процесс учета
· Конфигурация удобочитаемое
· Не файловой системе или зависит от архитектуры
· Весы хорошо: поддерживает, как много политики, как память может работать с той же производительностью хит
Не · Нет выделение памяти во время выполнения
· СМП безопасно
· О временная эффективность для большинства операций
· Включить директиву указания дополнительных политики
· Включение, отключение возможности перезагрузить
· Возможность скрыть процессов ядра
Ограничения CHROOT
· Нет крепления разделяемой памяти за пределами Chroot
· Нет убийств за пределами Chroot
· Нет ptrace пределами Chroot (зависит от архитектуры)
· Нет capget пределами Chroot
· Нет setpgid пределами Chroot
· Нет getpgid пределами Chroot
· Нет getsid пределами Chroot
Не · Нет отправки сигналов FCNTL пределами Chroot
· Нет просмотр любого процесса вне Chroot, даже если / Труды не установлен
Не · Нет монтажа или перемонтажа
Не · Нет pivot_root
Не · Нет двойной корневым
· Нет fchdir из Chroot
· Насильственные ChDir ("/") по Chroot
Не · Нет (е) CHMOD + S
Не · Нет MKNOD
· Нет Sysctl пишет
· Нет повышение приоритета планировщика
Не · Нет подключения к абстрактным сокетов Unix пределами Chroot
· Удаление вредных привилегий с помощью возможностей
· Exec регистрации в Chroot
Адрес защита пространство модификация
· PaX: Страница основе реализация неисполняемые пользовательских страниц для i386, SPARC, sparc64, альфа, parisc, amd64, ia64, и КПП; незначительным хитом производительность на всех процессорах i386, но Pentium 4
· PaX: Сегментация на основе реализации неисполняемые пользовательских страниц для i386 с без снижения производительности хит
· PaX: Сегментация на основе реализации неисполняемые страниц ядра для i386
· PaX: Mprotect ограничения препятствуют новый код от входа задачи
· PaX: рандомизации стека и ТСМА базы для i386, SPARC, sparc64, альфа, parisc, amd64, ia64, PPC, MIPS и
· PaX: Рандомизация кучи базы для i386, SPARC, sparc64, альфа, parisc, amd64, ia64, PPC, MIPS и
· PaX: Случайность исполняемого базы для i386, SPARC, sparc64, альфа, parisc, amd64, ia64, и КПП
· PaX: рандомизации стека ядра
· PaX: Автоматически подражать sigreturn батуты (для libc5, GLibC 2.0, uClibc, Модула-3 совместимость)
· PaX: Нет ELF .text переселения
· PaX: эмуляция Батут (ССЗ и Linux sigreturn)
· PaX: PLT эмуляции для не-i386 арками
· Нет модификация ядра с помощью / DEV / MEM /, Dev / kmem, или / Dev / порт
· Возможность отключить использование сырья I / O
· Удаление адресов из / Proc // [карты | статистика]
Особенности аудита
· Возможность задать одну группу для проведения аудита
· Exec регистрации с аргументами
· Отказ регистрация ресурс
· Регистрация Chdir
· Монтировать и демонтировать регистрации
· Создание IPC / регистрация удаление
· Регистрация сигнала
· Не удалось вилка регистрации
· Время регистрации изменений
Особенности рандомизации
· Большие бассейны энтропия
· Рандомизированное TCP Числа исходной последовательности
· Рандомизированные ПИД
· Рандомизированное IP-идентификаторы
· Рандомизированные порты TCP источника
· Рандомизированные RPC XIDs
Другие особенности
· Ограничения / Proc, что не пропускают информацию о владельцах процесса
· Ссылках / Hardlink ограничения для предотвращения / TMP гонки
· FIFO ограничения
· Dmesg (8) ограничение
· Улучшенная реализация Trusted Execution Path
· Ограничения гнездо GID основе
· Почти все варианты Sysctl перестраиваемых, с запорным механизмом
· Все оповещения и проверки поддержки особенность, которая регистрирует IP-адрес злоумышленника с журналом
· Соединения поток через доменные сокеты Unix осуществлять IP-адрес атакующего с ними (на 2,4 только)
· Выявление локальных соединений: IP-адрес копий атакующего к другой задачи
· Автоматическая сдерживание использовать bruteforcing
· Низкий уровень, средний, высокий и безопасности Пользовательские
· Настраиваемый наводнения время и ворвались для регистрации
Что нового в этой версии:
· Исправления для поддержки флага PaX в системе RBAC.
· Обновления PAX для не-x86 архитектур в 2.4.34 патч.
· Setpgid в задаче CHROOT была исправлена.
· Рандомизированное функция ПИД был удален.
· Это использование релиз исправляет / Proc в изолированном окружении в 2,6 патча.
Это добавляет администратора, роль генерируемого политики от полной обучения.
· Это синхронизирует код PAX в 2,4 патча.
· Он был обновлен, чтобы Linux 2.4.34 и 2.6.19.2.
Поиск по категориям
Популярные программы
-
Syslinux 17 Feb 15
-
W-Packager 20 Feb 15
-
GTK VNC Viewer 2 Jun 15
-
Oracle Solaris 22 Jun 18
-
ALT Linux (School Junior) 2 Jun 15
-
Google Music Manager 15 Apr 15
-
Cub Linux 11 Apr 16
grsecurity
Комментарии к grsecurity
Поиск по категориям
Популярные программы
-
Autodesk Homestyler 15 Apr 15
-
Sophos UTM 17 Feb 15
-
Zuma Deluxe 20 Feb 15
-
Xfburn 17 Feb 15
-
LXLE 22 Jun 18
-
Linpus Linux Lite 17 Feb 15
-
Elementary OS 17 Aug 18
Комментарии не найдены