grsecurity

grsecurity on täydellinen turvajärjestelmä Linux 2.4, joka toteuttaa tunnistus / ehkäisy / suojarakennuksen strategia. Se estää lähes kaiken osoiteavaruuden muutoksen, rajoittuu ohjelmien kautta Role-Based Access Control-järjestelmä, kovettuu syscalls, tarjoaa täysin varustellun tilintarkastus, ja toteuttaa monia OpenBSD satunnaisuuden ominaisuuksia.
Se oli kirjoitettu suorituskykyä, helppokäyttöisyys, käytön ja turvallisuutta. RBAC järjestelmä on älykäs oppimisen tila, joka voi tuottaa vähiten etuoikeus politiikkaa koko järjestelmän ilman kokoonpano. Kaikki grsecurity tukee ominaisuus, joka kirjaa IP hyökkääjä, joka aiheuttaa hälytyksen tai tilintarkastusta.
Tässä muutamia keskeisiä piirteitä "grsecurity":
Main Futures:
· Rooli-Based Access Control
· Käyttäjä, ryhmä, ja erityiset roolit
· Domain tukea käyttäjille ja ryhmille
· Role siirtyminen pöydät
· IP-pohjainen roolit
· Ei-pääkäyttäjän oikeudet erityisiä rooleja
· Erityiset roolit eivät vaadi todennusta
· Sisäkkäiset kohteet
· Variable tuki kokoonpano
· Ja, tai, ja ero asettaa toimintansa muuttujien kokoonpano
· Object tila, joka ohjaa luominen setuid ja setgid tiedostot
· Luo ja poistaa objekti tilat
· Kernel tulkinta perintö
· Reaaliaikainen säännöllisen-lauseke päätöslauselma
· Kyky kieltää ptraces tiettyihin prosesseihin
· Käyttäjän ja konsernin siirtyminen tarkastus ja valvonta on osallistava tai yksinoikeudella
· / Dev / grsec merkintä ytimen todennus ja oppiminen lokit
· Seuraavan sukupolven koodia, joka tuottaa vähiten etuoikeus politiikkaa koko järjestelmän ilman kokoonpano
· Politiikan tilastot gradm
· Perintö oppiminen
· Learning asetustiedosto, jonka avulla järjestelmänvalvoja, jotta perintö oppimiseen tai poistaa oppimisen tiettyjä reittejä
· Koko polkunimissä varten rikoksen prosessi ja äitiprosessin
· RBAC tila -toiminto gradm
· / Proc // IPaddr antaa kauko kenelle jotka aloittivat tietyn prosessin
· Secure politiikan täytäntöönpano
· Tukee lukea, kirjoittaa, liittää, suorita, katsella, ja vain luku-ptrace objektin käyttöoikeudet
· Tukee piilottaa, suojella, ja ohittaa aihe liput
· Tukee PaX liput
· Jaettu muistin suojaustoiminto
· Integroitu paikallinen hyökkäys vastauksen kaikkiin hälytykset
· Aihe lippu, jolla varmistetaan prosessi voi koskaan suorittaa trojaned koodia
· Monipuolinen hienorakeinen tilintarkastusta
· Resource, pistorasia, ja kyky tukea
· Suojaus hyödyntää bruteforcing
· / Proc / pid filedescriptor / muistinsuojaus
· Säännöt voidaan sijoittaa olematonta tiedostoja / prosesseja
· Politiikan uudistaminen aiheista ja esineet
· Configurable log tukahduttaminen
· Configurable prosessi kirjanpito
· Ihmisen luettavissa kokoonpano
· Ei FileSystem tai arkkitehtuuri riippuvaisia
· Scales hyvin: tukee niin monet vakuutukset muisti voi käsitellä samalla suorituskykyä osuma
· Ei runtime muistin jakamista
· SMP turvallinen
· O aika tehokkuutta useimpien toimintojen
· Sisällyttää direktiivi yksilöidään myös muita politiikkoja
· Ota käyttöön, poista, lataa valmiuksia
· Vaihtoehto piilottaa ytimen prosessien
 
Chroot rajoitukset
· Ei kiinnität jaettua muistia ulkopuolella chroot
· Ei tappaa ulkopuolella chroot
· Ei ptrace ulkopuolella chroot (arkkitehtuuri riippumaton)
· Ei capget ulkopuolella chroot
· Ei setpgid ulkopuolella chroot
· Ei getpgid ulkopuolella chroot
· Ei getsid ulkopuolella chroot
· Ei lähettämällä signaaleja fcntl ulkopuolella chroot
· Ei katselun tahansa prosessin ulkopuolella chroot, vaikka / proc asennetaan
· Ei asennus tai uudelleenasennusta
· Ei pivot_root
· Ei kaksinkertainen chroot
· Ei fchdir pois chroot
· Tahdonvastaiset chdir ("/"), kun chroot
· Ei (f) chmod + s
· Ei mknod
· Ei sysctl kirjoittaa
· Ei nostaminen ajastimella ensisijaisten
· Ei yhteyden abstraktin unix domain pistorasiat ulkopuolella chroot
· Poistaminen haitallisten etuoikeuksia via ominaisuuksia
· Exec hakkuiden chroot
 
Osoiteavaruus muutos suoja
 
· PaX: Page perustuva täytäntöönpano ei suoriteta käyttäjälle sivut i386, sparc, sparc64, alfa, parisc, amd64, ia64, ja ppc; merkityksetön suorituskyky osuma kaikissa i386 suorittimia mutta Pentium 4
· PaX: segmentointi-pohjainen toteuttamista ei suoriteta käyttäjälle sivuja i386 ilman suorituskykyä osuma
· PaX: segmentointi-pohjainen toteuttamista ei suoriteta KERNEL sivut i386
· PaX: Mprotect rajoitukset estävät uusi koodi pääsemästä tehtävästä
· PaX: Satunnaistaminen pino ja mmap tukikohta i386, sparc, sparc64, alfa, parisc, amd64, ia64, PPC, ja mips
· PaX: Satunnaistaminen kasaan pohjan i386, sparc, sparc64, alfa, parisc, amd64, ia64, PPC, ja mips
· PaX: Randomization ajettavan pohjan i386, sparc, sparc64, alfa, parisc, amd64, ia64 ja ppc
· PaX: Satunnaistaminen ydinpinosta
· PaX: Automaattisesti matkia sigreturn trampoliinit (varten libc5, glibc 2.0, uClibc, Modula-3 yhteensopivuus)
· PaX: Ei ELF .text siirrot
· PaX: Trampoliini emulointi (GCC ja linux sigreturn)
· PaX: PLT emulointia ei-i386 archs
· Ei kernel muutos kautta / dev / mem, / dev / kmem, tai / dev / portti
· Vaihtoehto poistaa käytöstä raaka I / O-
· Poisto osoitteiden / proc // [karttoihin | stat]
 
Tilintarkastus ominaisuudet
 
· Mahdollisuus määrittää yksittäisen ryhmän tarkastaa
· Exec puunkorjuun argumenteilla
· Denied resurssi puunkorjuu
· CHDIR hakkuut
· Mount ja poista käytöstä puunkorjuu
· IPC luominen / poistaminen puunkorjuun
· Signal hakkuut
· Epäonnistui haarukka puunkorjuu
· Aika muutos hakkuut
 
Satunnaistaminen ominaisuudet
 
· Suurempi entropia altaat
· Randomized TCP Initial järjestysnumerot
· Satunnaistettu PID
· Randomized IP tunnukset
· Satunnaistettu TCP lähdeportteja
· Satunnaistettu RPC XIDs
 
Muita ominaisuuksia
 
· / Proc rajoituksia, jotka eivät vuoda tietoja vastuuhenkilöt
· Symlink / hardlink rajoituksia estääkseen / tmp kilpailuista
· FIFO rajoitukset
· Dmesg (8) rajoitus
· Parannettu täytäntöönpano Trusted Path Execution
· GID-pohjainen socket rajoitukset
· Lähes kaikki vaihtoehdot ovat sysctl-viritettävät, jossa lukitusmekanismi
· Kaikki hälytykset ja tarkastukset tukevat toimintoa, joka kirjaa IP-osoitteen hyökkääjä kanssa log
· Stream yhteydet ympäri unix domain pistorasiat kantaa hyökkääjän IP-osoite niiden kanssa (2,4 vain)
· Havaitseminen paikallisten yhteyksien: kappaletta hyökkääjän IP-osoitteen toiselle tehtävään
· Automaattinen ehkäisevän vaikutuksen hyödyntämiseksi bruteforcing
· Matala, Normaali, Korkea, ja Custom turvatasoja
· Viritettävät tulva-aika ja purskahti hakkuiden
Mitä uutta tässä julkaisussa:
· Korjauksia PaX lipun tukea RBAC järjestelmässä.
· PaX päivitykset kuin x86 arkkitehtuurit 04.02.34 patch.
· Setpgid chroot Ongelma on korjattu.
· Satunnaistettu PIDit ominaisuus on poistettu.
· Tämä julkaisu korjaa / proc käyttö chroot 2.6 patch.
· Se lisää admin rooli syntyy politiikan täyteen oppimiseen.
· Se uudelleen synkronisoituu PaX koodin 2.4 patch.
· Se on päivitetty Linux 4.2.34 ja 2.6.19.2.