grsecurity

grsecurity는 검출 / 예방 / 억제 전략을 구현 리눅스 2.4 완벽한 보안 시스템이다. 그것은, 그 역할 기반 액세스 제어 시스템을 통해 대부분의 주소 공간 변형 형태, 경계 프로그램을 방지 콜을 경화, 완전한 기능을 갖춘 감사를 제공하고, 오픈 BSD 임의성의 많은 기능을 구현합니다.
그것은 성능, 사용 편의성, 보안을 위해 작성되었습니다. RBAC 시스템이없는 구성으로 전체 시스템에 대한 최소 권한 정책을 생성 할 수있는 지능형 학습 모드가 있습니다. grsecurity의 모든 경고 또는 감사를 일으키는 공격자의 IP를 기록 기능을 지원합니다.
여기에 "grsecurity"의 일부 주요 기능은 다음과 같습니다
주요 선물 :
· 역할 기반 액세스 제어
· 사용자, 그룹 및 특별한 역할
사용자 및 그룹에 대한 · 도메인 지원
· 역할 전이 테이블
· IP 기반 역할
특별한 역할 · 비 루트 액세스
에는 인증이 필요하지 않습니다 · 특수 역할
· 중첩 된 주제
· 구성 변수 지원
· AND, OR, 그리고 차이 설정 작업 구성 변수에
이 setuid 및 setgid 파일의 생성을 제어 · 대상 모드
· 만들기 및 개체 모드를 삭제
상속 · 커널 해석
· 실시간 정규 표현식 해상도
특정 프로세스에 ptraces를 거부 · 능력
· 포괄적 또는 배타적 기준으로 사용자 및 그룹 전이 검사 및 집행
커널 인증 및 학습 로그 ·은 / dev는 / grsec 항목
구성없이 시스템 전체 최소 권한 정책을 생성 · 차세대 코드
gradm에 대한 정책 · 통계
· 상속 기반 학습
· 관리자가 상속 기반 학습을 사용하거나 특정 경로에 학습을 비활성화 할 수 있습니다 구성 파일을 학습
잘못된 과정과 부모 프로세스 · 전체 경로 이름
gradm 대한 · RBAC 상태 기능
· / PROC // ipaddr을 주어진 프로세스를 시작한 사람의 리모트 주소를 준다
· 보안 정책 적용
· 쓰기 추가, 실행,보기, 읽기 전용의 ptrace 개체 권한을 읽기 지원합니다
지원하는 숨기 · 보호하고, 대상 플래그를 오버라이드 (override)
· 팍스 플래그 지원
· 공유 메모리 보호 기능
· 모든 경고 로컬 공격 대응을 통합
프로세스가 트로이 목마의 코드를 실행할 수 없다 보장 · 제목 플래그
· 전체 기능을 갖춘 세밀한 감사
· 자원, 소켓 및 기능 지원
· 대한 보호 bruteforcing의 악용
· / proc 디렉토리 / PID의 FileDescriptor에 / 메모리 보호
· 규칙은 존재하지 않는 파일 / 프로세스에 배치 될 수있다
주체와 객체에 대한 정책 · 재생
· 구성 로그 억제
· 구성 프로세스 계정
· 사람이 읽을 수있는 구성
· 파일 시스템에 또는 의존 구조 없음
· 잘 저울 : 같은 성능 저하로 처리 할 수​​있는 메모리 많은 정책을 지원
· 어떤 런타임 메모리 할당하지
· SMP의 안전
대부분의 작업 · O 시간 효율
· 추가 정책을 지정하기위한 지침을 포함
· 기능을 다시로드, 중지,
· 커널 프로세스를 숨길 수있는 옵션
 
chroot를 제한
· chroot를 외부의 어떤 연결 공유 메모리 없음
· chroot를 외부의 어떤 죽일
· chroot를 외부 없음의 ptrace (아키텍처 독립)
· chroot를 외부의 어떤 capget 없습니다
·는 chroot의 어떤 setpgid를 외부 없습니다
·는 chroot의 어떤 getpgid 밖에 없습니다
· chroot를 외부의 어떤 GETSID 없습니다
· 어떤 chroot를 외부 fcntl을하여 신호를 보내는 없습니다
· chroot를 외부의 모든 프로세스의 어떤보기는 / proc 디렉토리가 장착되지 않은 경우에도
· 아니 설치하거나 다시 마운트
· 어떤 pivot_root이 없습니다
· 없음 더블 chroot를하지
· chroot를 밖으로 없음 fchdir에서하지
· 강제 CHDIR ( "/")는 chroot시
· 아니오 (F) chmod를하지 +​​ S
· 어떤 mknod를하지
· 어떤 sysctl을 쓴다 없습니다
· 스케줄러 우선 순위의 어떠한 모금 없습니다
· 어떤 chroot를 외부 추상적 인 유닉스 도메인 소켓에 연결하지
· 기능을 통해 유해 권한 제거
· chroot를 내 Exec에서 로깅
 
주소 공간 개질 보호
 
· 인원 : I386, SPARC, SPARC64, 알파, parisc, AMD64, IA64 및 PPC에 대한 비 실행 사용자 페이지의 페이지 기반 구현; 모든 I386 CPU를하지만 펜티엄 4에 무시할 성능 저하
· 인원 : 없음 성능 저하와 I386에 대한 비 실행 사용자 페이지의 분할 기반 구현
· 인원 : I386에 대한 비 실행 커널 페이지의 분할 기반 구현
· 인원 : mprotect는 제한이 작업에 들어가는 새로운 코드를 방지
· 인원 : I386, SPARC, SPARC64, 알파, parisc, AMD64, IA64, PPC, 그리고 MIPS에 대한 스택과의 mmap베이스의 무작위
· 인원 : 힙 i386을위한 기본, SPARC, SPARC64, 알파, parisc, AMD64, IA64, PPC, 및 MIPS의 무작위
· 인원 : I386, SPARC, SPARC64, 알파, parisc, AMD64, IA64 및 PPC에 대한 실행 기반의 무작위
· 인원 : 커널 스택의 무작위
· 인원 : 자동 sigreturn의 트램폴린을 에뮬레이션 (2.0 glibc가, libc5의를 위해, uClibc가, 모듈라 3 호환)
· 인원 : 없음의 ELF는 .text 재배치
· 인원 : 트램펄린 에뮬레이션 (GCC 및 리눅스 sigreturn)
· 인원 : 비 I386 아치를위한 PLT 에뮬레이션
·는 / dev / MEM,는 / dev / kmem을, 또는 / dev / 포트를 통해 어떤 커널 수정하​​지
· 옵션은 원시 I의 사용을 해제하는 / O
· / PROC // [지도 | 통계]에서 주소 제거
 
감사 기능
 
· 옵션은 감사 하나의 그룹을 지정합니다
· 인수 Exec에서 로깅
· 거부 자원 로깅
· CHDIR 로깅
· 마운트 및 마운트 해제 로깅
· IPC 생성 / 제거 로깅
· 신호 로깅
· 실패 포크 로깅
· 시간 변경 로깅
 
랜덤 기능
 
· 큰 엔트로피 풀
· 무작위 TCP 초기 시퀀스 번호
· 무작위의 PID
· 무작위 IP ID를
· 무작위 TCP 소스 포트
· 무작위 RPC의 XID를
 
다른 기능
 
· / proc 디렉토리 제한 프로세스 소유자에 대한 정보를 누설하지 않는
/ tmp에 경주를 방지하기 · 심볼릭 링크 / 하드 링크 제한
· FIFO 제한
·에 dmesg (8) 제한
· 신뢰할 수있는 경로 실행의 향상된 구현
· GID 기반의 소켓 제한
· 거의 모든 옵션은 록킹기구와, sysctl에 동조 아르
· 모든 경고 및 감사 로그에 공격자의 IP 주소를 기록 기능을 지원
· 유닉스 도메인 소켓에서 스트림 연결 (2.4에서) 그들과 함께 공격자의 IP 주소를 가지고
· 로컬 연결의 인식 : 다른 작업에 복사 공격자의 IP 주소를
· 자동 억제 bruteforcing의 악용
· 낮음, 중간, 높음, 사용자 보안 수준
· 조정 홍수 타임 및 로깅 버스트
이 릴리스의 새로운 기능 :
· RBAC 시스템에서 팍스 플래그 지원 수정.
· 2.4.34 패치 x86 이외의 아키텍처에 대한 팍스 업데이트.
· chroot를 문제에 setpgid를가 수정되었습니다.
· 무작위의 PID 기능이 제거되었습니다.
· 2.6 패치에서 chroot에서이 릴리스의 수정 / PROC 사용.
·이 전체 학습에서 생성 된 정책 관리 역할을 추가합니다.
·이 2.4 패치 팍스 코드를 동기화합니다.
· 이것은 리눅스 2.4.34 및 2.6.19.2으로 업데이트되었습니다.