grsecurity este un sistem de securitate complet pentru Linux 2.4, care pune în aplicare o / prevenire / strategie de izolare detectare. Previne majoritatea formelor de modificare spațiu de adrese, programe limitele prin intermediul sistemului de baza, Role Access Control, intareste syscalls, oferă full-featured de audit, și implementează multe din caracteristicile dezordine OpenBSD.
Acesta a fost scris pentru performanta, usurinta de utilizare, și de securitate. Sistemul RBAC are un mod de învățare inteligent care poate genera politici mai puțin de drepturi pentru întregul sistem, cu nici o configurare. Toate Grsecurity suporta o caracteristică care înregistrează adresa IP a atacatorului care provoacă o alertă sau de audit.
Iată câteva caracteristici cheie ale "Grsecurity":
Principalele Futures:
· Pe-rol de control acces
· Utilizatorului, de grup, și roluri speciale
· Sprijin domeniu pentru utilizatori și grupuri
· Mese Rolul de tranziție
· Roluri bazate pe IP
· Acces non-root pentru roluri speciale
· Roluri speciale care nu necesită autentificare
· Subiecte imbricate
· Sprijin variabilă în configurație
· Și, sau, și operațiunile diferența setat pe variabile în configurație
· Modul Object care controleaza crearea de fișiere setuid și bit- ul setgid
· Crearea și ștergerea moduri obiect
· Interpretarea Kernel de moștenire
· În timp real rezolutie regulate de expresie
· Abilitatea de a nega ptraces la procese specifice
· Utilizator și verificarea tranziție de grup și aplicarea în mod inclusive sau exclusive
· / Dev / intrare grsec pentru autentificare kernel si busteni de învățare
· Codul Urmatoarea generatie care produce politicile putin de drepturi pentru întregul sistem, cu nici o configurare
· Statisticile de politică pentru gradm
· Învățarea bazată pe Moștenirea
· Învățarea fișier de configurare care permite administratorului pentru a permite învățarea bazată pe moștenire sau a dezactiva de învățare pe căi specifice
· Cai de acces complete pentru procesul ofensatoare și procesul părinte
· Funcția de stare RBAC pentru gradm
· / Proc // IPaddr dă adresa de la distanță a persoanei care a început un proces dat
· Aplicarea politicii Secure
· Suporta citi, scrie, anexează, executa, vedere, și a citit-numai permisiuni obiect ptrace
· Sprijină ascunde, proteja, și trece steaguri subiect
· Suporta steagurile PAX
· Caracteristică de protecție de memorie partajată
· Integrat răspuns atac locală pe toate alertele
· Pavilion Subiect care asigură un proces nu poate executa cod trojaned
· Full-featured de audit cu granulație fină
· Resource, soclu, și de sprijin capacitate
· Protecție împotriva exploata bruteforcing
· / Proc / PID descriptorii fisierului / protecție de memorie
· Regulile pot fi plasate pe fișiere inexistente / procese
· Regenerare Politica privind subiecte și obiecte
· Suprimarea log configurabile
· Contabilitate proces configurabile
· De configurare poate fi citit-umane
· Nu sistemul de fișiere sau de arhitectura dependentă
· Cântare și: suportă cât mai multe politici ca de memorie pot ocupa cu aceeași lovit de performanță
· Nu alocare de memorie de execuție
· Sigur SMP
· O eficiență timp pentru cele mai multe operațiuni
· Includerea directivă pentru a specifica politici suplimentare
· Activează, dezactivează, reîncărcați capabilități
· Opțiunea de a ascunde procese kernel
Restricții chroot
· Nu atașarea memorie partajată în afara chroot
· Nu ucide afara chroot
· Nu ptrace afara chroot (arhitectură independent)
· Nu capget afara chroot
· Nu în afara setpgid de chroot
· Nu în afara getpgid de chroot
· Nu GETSID afara chroot
· Nu trimiterea de semnale de fcntl afara chroot
· Nu vizualizarea oricărui proces în afara chroot, chiar dacă / proc este montată
· Nu montaj sau remontarea
· Nu pivot_root
· Nu dublu chroot
· Nu fchdir din chroot
· Chdir forțată ("/") pe chroot
· Nu (f) chmod + s
· Nu mknod
· Nu sysctl scrie
· Nu ridicarea de prioritate scheduler
· Nu conectarea la abstracte UNIX prize domenii din afara chroot
· Eliminarea privilegiilor dăunătoare prin capabilități
· Logare Exec în chroot
Adresa protecție modificare spațiu
· PaX: punerea în aplicare a pagini non-executabile pentru i386, sparc, sparc64, alfa, Parisc, amd64, ia64 și ppc pe bază Page; lovit de performanță neglijabil pe toate procesoarele i386 dar Pentium 4
· PaX: punerea în aplicare pe baza Segmentarea pagini non-executabile pentru i386 cu nici hit de performanță
· PaX: punerea în aplicare pe baza Segmentarea pagini Kernel non-executabile pentru i386
· PaX: restricții Mprotect preveni nou cod de înregistrare a unei sarcini
· PaX: randomizare de stivă și mmap bază pentru i386, sparc, sparc64, alfa, Parisc, amd64, ia64, ppc, și MIPS
· PaX: randomizare de bază heap pentru i386, sparc, sparc64, alfa, Parisc, amd64, ia64, ppc, și MIPS
· PaX: randomizare de bază executabil pentru i386, sparc, sparc64, alfa, Parisc, amd64, ia64 și ppc
· PaX: randomizare de stivă nucleu
· PaX: imite automat Batute sigreturn (pentru libc5, glibc 2.0, uClibc, Modula-3 Compatibilitate)
· PaX: Nu relocări ELF .text
· PaX: emulare Trampoline (CCG și linux sigreturn)
· PaX: emulare PLT pentru arci non-i386
· Nu modificare kernel via / dev / mem, / dev / KMEM, sau / dev / port
· Opțiunea de a dezactiva utilizarea I prime / O
· Eliminarea adrese din / proc // [hărți | Stat]
Caracteristici de audit
· Opțiunea de a specifica grup unic de audit
· Logare Exec cu argumente
· Logare resurse Denied
· Logare Chdir
· Muntele și exploatare forestieră demontează
· Crearea IPC / îndepărtare de logare
· Logare Signal
· Logare furcă eșuat
· Schimbare de logare timp
Caracteristici randomizare
· Piscine entropie mai mari
· Randomizat TCP numere de secventa initial
· PID randomizate
· Randomizat IP ID-uri
· Porturile sursa TCP randomizate
· XIDs RPC randomizate
Alte caracteristici
· Restricții / proc care nu scurgeri de informații despre proprietarii de proces
· Restricții symlink / hardlink pentru a preveni / tmp curse
· Restricții FIFO
· Dmesg (8) restricții
· Punerea în aplicare îmbunătățită a Trusted Execution Path
· Restricții soclu GID bazate
· Aproape toate opțiunile sunt sysctl-acordabile, cu un mecanism de blocare
· Toate alertele și audituri susține o caracteristică care înregistrează adresa IP a atacatorului cu jurnalul
· Conexiuni Stream pe teritoriul unix prize domenii transporta adresa IP a atacatorului cu ei (la 2.4 numai)
· Detectarea conexiuni locale: copii adresa IP atacator celorlalte sarcina
· Descurajarea automata a exploata bruteforcing
· Niveluri de securitate scăzut, mediu, ridicat, și personalizate
· Acordabile inundații timp și izbucni pentru logare
Ce este nou în această versiune:
· Fixat la sprijin pavilion PaX în sistem RBAC.
· Actualizări PAX pentru arhitecturi non-x86 în 2.4.34 patch.
· O setpgid în problema chroot a fost stabilit.
· Caracteristica randomizat PIDs a fost eliminat.
· Această utilizare remedieri eliberare / proc în chroot în 2.6 patch.
· Se adaugă un rol admin la politica generate de învățare complet.
· Se resynchronizes codul PaX în 2.4 patch-uri.
· Acesta a fost actualizat la Linux 2.4.34 și 2.6.19.2.
Detalii soft:
Versiune: 2.1.10
Incarca data: 3 Jun 15
Licenţă: Gratuit
Popularitate: 27
Comentariile nu a fost găsit