grsecurity เป็นระบบรักษาความปลอดภัยที่สมบูรณ์แบบสำหรับลินุกซ์ 2.4 ที่ดำเนินการตรวจสอบ / การป้องกัน / กลยุทธ์การบรรจุ จะป้องกันไม่ให้รูปแบบที่สุดของการปรับเปลี่ยนพื้นที่ที่อยู่โปรแกรมขอบเขตผ่านตามบทบาทของระบบการควบคุมการเข้าถึง, แข็งตัว syscalls ให้ตรวจสอบเต็มรูปแบบและดำเนินการหลายคุณสมบัติสุ่ม OpenBSD
มันถูกเขียนขึ้นสำหรับประสิทธิภาพการทำงานความสะดวกในการใช้งานและการรักษาความปลอดภัย ระบบอาร์แบคมีโหมดการเรียนรู้มีความคิดสร้างสรรค์ที่สามารถสร้างน้อยนโยบายสิทธิพิเศษสำหรับระบบทั้งหมดที่มีการกำหนดค่าไม่มี ทั้งหมด grsecurity สนับสนุนคุณลักษณะที่บันทึก IP ของผู้บุกรุกที่เป็นสาเหตุของการแจ้งเตือนหรือตรวจสอบ
ที่นี่มีคุณสมบัติที่สำคัญของ "grsecurity" เป็น:
ฟิวเจอร์หลัก:
·การควบคุมการเข้าถึงตามบทบาท
·ผู้ใช้กลุ่มและบทบาทพิเศษ
·รองรับโดเมนสำหรับผู้ใช้และกลุ่ม
·ตารางการเปลี่ยนแปลงบทบาท
·บทบาท IP-based
·การเข้าถึงไม่รากบทบาทพิเศษ
·บทบาทพิเศษที่จำเป็นต้องมีการตรวจสอบไม่มี
·เรื่องที่ซ้อนกัน
·สนับสนุนตัวแปรในการกำหนดค่า
·และหรือการตั้งค่าและการดำเนินงานที่แตกต่างกันกับตัวแปรในการกำหนดค่า
·โหมดวัตถุที่ควบคุมการสร้างไฟล์ setuid และ setgid
·การสร้างและลบโหมดวัตถุ
·การตีความเคอร์เนลของมรดก
·เวลาจริงความละเอียดปกติแสดงออก
·ความสามารถในการปฏิเสธ ptraces กระบวนการที่เฉพาะเจาะจง
·ผู้ใช้และการตรวจสอบการเปลี่ยนแปลงของกลุ่มและการบังคับใช้บนพื้นฐานรวมหรือ แต่เพียงผู้เดียว
· / dev / รายการ grsec สำหรับการตรวจสอบเคอร์เนลและบันทึกการเรียนรู้
·รหัสรุ่นถัดไปที่ผลิตนโยบายอย่างน้อยสิทธิพิเศษสำหรับระบบทั้งหมดที่มีการกำหนดค่าไม่มี
·สถิตินโยบาย gradm
·การเรียนรู้ที่สืบทอดตาม
·เรียนรู้การตั้งค่าไฟล์ที่ช่วยให้ผู้ดูแลระบบเพื่อช่วยให้การเรียนรู้มรดกหรือปิดการใช้งานการเรียนรู้เกี่ยวกับเส้นทางที่เฉพาะเจาะจง
· pathnames เต็มรูปแบบสำหรับกระบวนการที่กระทำผิดกฎหมายและการปกครอง
·ฟังก์ชั่นสำหรับสถานะอาร์แบค gradm
· proc / // ipaddr ให้อยู่ห่างไกลจากคนที่เริ่มต้นกระบวนการที่กำหนด
·การบังคับใช้นโยบายการรักษาความปลอดภัย
·รองรับการอ่านเขียนผนวกดำเนินการดูและอ่านอย่างเดียวสิทธิ์วัตถุ ptrace
·รองรับซ่อนป้องกันและแทนที่ธงเรื่อง
·รองรับธงท่าน
·คุณสมบัติการป้องกันหน่วยความจำที่ใช้ร่วมกัน
·แบบบูรณาการการตอบสนองต่อการโจมตีของท้องถิ่นในการแจ้งเตือนทั้งหมด
·ธงเรื่องที่ช่วยให้กระบวนการที่ไม่สามารถรันโค้ด trojaned
·เต็มรูปแบบการตรวจสอบอย่างละเอียด
·ทรัพยากรซ็อกเก็ตและการสนับสนุนความสามารถในการ
·ป้องกันการใช้ประโยชน์จาก bruteforcing
· / proc / pid filedescriptor / ป้องกันหน่วยความจำ
·กฎที่สามารถวางบนไฟล์ที่ไม่มีอยู่จริง / กระบวนการ
·การฟื้นฟูในเรื่องนโยบายและวัตถุ
·การปราบปรามการเข้าสู่ระบบที่กำหนด
·การบัญชีขั้นตอนที่กำหนด
·การกำหนดค่าของมนุษย์ที่สามารถอ่านได้
·ระบบแฟ้มหรือไม่ขึ้นอยู่กับสถาปัตยกรรม
·เครื่องชั่งกัน: นโยบายสนับสนุนมากที่สุดเท่าที่เป็นหน่วยความจำที่สามารถจัดการกับการตีเดียวกัน
·ไม่จัดสรรหน่วยความจำรันไทม์
·ปลอดภัย SMP
· O ประสิทธิภาพเวลาสำหรับการดำเนินการส่วนใหญ่
·รวมคำสั่งสำหรับการระบุนโยบายเพิ่มเติม
·เปิดใช้งานการปิดการใช้งาน, ความสามารถในการโหลด
·ตัวเลือกที่จะซ่อนกระบวนการเคอร์เนล
ข้อ จำกัด chroot
·ไม่ติดหน่วยความจำที่ใช้ร่วมกันนอก chroot
·ไม่ฆ่านอก chroot
·ไม่ ptrace นอก chroot (สถาปัตยกรรมอิสระ)
·ไม่ capget นอก chroot
·ไม่นอก setpgid ของ chroot
·ไม่นอก getpgid ของ chroot
·ไม่ getsid นอก chroot
·ไม่มีการส่งสัญญาณโดย fcntl นอก chroot
·ไม่มีการดูกระบวนการใด ๆ นอก chroot แม้ว่า proc / ติดตั้ง
·ไม่มีการติดตั้งหรือ remounting
·ไม่ pivot_root
·ไม่ chroot คู่
·ไม่ fchdir จาก chroot
·บังคับ chdir ("/") เมื่อ chroot
·ไม่ (ฉ) chmod + S
·ไม่ mknod
·ไม่ sysctl เขียน
·ไม่ยกระดับความสำคัญการจัดตารางเวลา
·ไม่มีการเชื่อมต่อกับซ็อกเก็ตนามธรรมยูนิกซ์โดเมนนอก chroot
·การกำจัดสิทธิพิเศษที่เป็นอันตรายผ่านทางความสามารถ
·การเข้าสู่ระบบ Exec ภายใน chroot
ที่อยู่การป้องกันการปรับเปลี่ยนพื้นที่
·ท่าน: การดำเนินการตามหน้าหน้าผู้ใช้ที่ไม่ใช่ปฏิบัติการสำหรับ i386, SPARC, SPARC64, อัลฟา parisc, amd64, ia64 และ PPC; การตีเล็กน้อยในซีพียู i386 แต่ Pentium 4
·ท่าน: การดำเนินการแบ่งกลุ่มตามหน้าผู้ใช้ที่ไม่ใช่ปฏิบัติการสำหรับ i386 กับการตีไม่มี
·ท่าน: การดำเนินการแบ่งกลุ่มตามหน้าเมล็ดที่ไม่ปฏิบัติสำหรับ i386
·ท่าน: ข้อ จำกัด Mprotect ป้องกันรหัสใหม่เข้ามาในงาน
·ท่าน: การสุ่มตัวอย่างของสแต็คและฐาน mmap สำหรับ i386, SPARC, SPARC64, อัลฟา parisc, amd64, ia64, PPC และ MIPS
·ท่าน: สุ่มตัวอย่างฐานกองสำหรับ i386, SPARC, SPARC64, อัลฟา parisc, amd64, ia64, PPC และ MIPS
·ท่าน: การสุ่มตัวอย่างของฐานปฏิบัติการสำหรับ i386, SPARC, SPARC64, อัลฟา parisc, amd64, ia64 และ PPC
·ท่าน: การสุ่มตัวอย่างของสแต็คเคอร์เนล
·ท่านโดยอัตโนมัติเลียนแบบ trampolines sigreturn (สำหรับ libc5, glibc 2.0 uClibc, Modula-3 เข้ากันได้)
·ท่าน: ไม่มีเอลฟ์ย้าย .Text
·ท่าน: จำลอง Trampoline (GCC และลินุกซ์ sigreturn)
·ท่าน: จำลอง PLT สำหรับ archs ที่ไม่ i386
·ไม่มีการปรับเปลี่ยนเคอร์เนลผ่าน / dev / ข่าว / dev / kmem หรือ / dev / พอร์ต
·ตัวเลือกที่จะปิดการใช้งานการใช้งานของผมดิบ / O
·การกำจัดที่อยู่จาก proc / // [แผนที่ | สถิติ]
การตรวจสอบคุณสมบัติ
·ตัวเลือกที่จะระบุกลุ่มเดียวที่จะตรวจสอบ
·การเข้าสู่ระบบ Exec มีข้อโต้แย้ง
·การเข้าสู่ระบบทรัพยากรที่ถูกปฏิเสธ
·การเข้าสู่ระบบ chdir
·ภูเขาและยกเลิกการต่อเชื่อมเข้าสู่ระบบ
·สร้าง IPC / การเข้าสู่ระบบการกำจัด
·การเข้าสู่ระบบสัญญาณ
·การเข้าสู่ระบบไม่สามารถแยก
·การเข้าสู่ระบบการเปลี่ยนแปลงเวลา
คุณสมบัติการสุ่มตัวอย่าง
·สระว่ายน้ำขนาดใหญ่เอนโทรปี
·สุ่ม TCP หมายเลขลำดับเริ่มต้น
·สุ่ม PIDs
·สุ่มหมายเลข IP
·สุ่มพอร์ต TCP แหล่งที่มา
·สุ่ม RPC XIDs
คุณสมบัติอื่น ๆ
·ข้อ จำกัด / proc ที่ไม่รั่วไหลข้อมูลเกี่ยวกับเจ้าของกระบวนการ
· symlink / Hardlink ข้อ จำกัด เพื่อป้องกัน / การแข่งขัน tmp
·ข้อ จำกัด FIFO
· dmesg (8) ข้อ จำกัด
·การดำเนินงานที่เพิ่มขึ้นของการดำเนินการเส้นทางที่เชื่อถือได้
· GID ตามข้อ จำกัด ซ็อกเก็ต
·เกือบทั้งหมดเป็นตัวเลือก sysctl-พริ้งมีกลไกการล็อค
·การแจ้งเตือนและการตรวจสอบการสนับสนุนคุณสมบัติที่บันทึกอยู่ IP ของผู้โจมตีที่มีการเข้าสู่ระบบ
·การเชื่อมต่อกระแสข้ามซ็อกเก็ตโดเมนยูนิกซ์ดำเนินการที่อยู่ IP ของผู้โจมตีกับพวกเขา (ใน 2.4 เท่านั้น)
·การตรวจสอบการเชื่อมต่อท้องถิ่น: สำเนาที่อยู่ IP ของผู้โจมตีกับงานอื่น ๆ
·ยับยั้งโดยอัตโนมัติใช้ประโยชน์จาก bruteforcing
·ต่ำกลางสูงและระดับการรักษาความปลอดภัยที่กำหนดเอง
·พริ้งน้ำท่วมเวลาและระเบิดสำหรับการเข้าสู่ระบบ
มีอะไรใหม่ในรุ่นนี้:
·การแก้ไขที่จะสนับสนุนท่านธงในระบบของอาร์แบค
·การปรับปรุงท่านสำหรับสถาปัตยกรรมที่ไม่ใช่ x86 ในแพทช์ 2.4.34
· setpgid ใน chroot ปัญหาได้รับการแก้ไข
·คุณลักษณะ PIDs สุ่มได้ถูกลบออก
·นี้รุ่นแก้ไข / proc การใช้งานใน chroot ในแพทช์ 2.6
·จะเพิ่มบทบาทผู้ดูแลนโยบายที่เกิดจากการเรียนรู้อย่างเต็มรูปแบบ
·มัน resynchronizes รหัสสันติภาพในแพทช์ 2.4
·มันได้รับการปรับปรุงและลินุกซ์ 2.4.34 2.6.19.2.
ความคิดเห็นที่ไม่พบ