たGrsecurityを検知/防止/封じ込め戦略を実装のLinux 2.4のための完全なセキュリティシステムです。それは、そのロールベースのアクセス制御システムを介してアドレス空間の変更、境界プログラムのほとんどの形態を防止するシステムコールを硬化する、フル機能の監査を提供し、OpenBSDのランダム機能の多くを実装しています。
これは、パフォーマンス、使いやすさ、およびセキュリティのために書かれました。 RBACシステムは、何も構成されていないシステム全体の最小特権ポリシーを生成することができるインテリジェントな学習モードを持っています。たGrsecurityのすべては、警告や監査が行われ、攻撃者のIPをログに記録する機能をサポートしています。
ここで、「たGrsecurity」のある主要な機能は次のとおりです。
メイン先物:
·役割ベースのアクセス制御
·ユーザ、グループ、および特別な役割
ユーザーおよびグループのドメイン·サポート
·ロール遷移表
·IPベースのロール
特別な役割に·非ルートアクセス
認証を実行しない·特別な役割
·ネストされた被験者
·コンフィギュレーションにおける変数のサポート
·AND、OR、および差分環境設定の変数の操作を設定
setuidとsetgidのファイルの作成を制御·オブジェクトモード
·オブジェクトのモードを作成および削除
継承の·カーネルの解釈
·リアルタイム正規表現の解像度
特定のプロセスにptracesを拒否する·能力
·包括的または排他的に基づいて、ユーザとグループの移行のチェックと施行
·は/ dev /カーネル認証と学習ログのgrsecエントリ
設定なしでシステム全体の最小特権ポリシーを生成·次世代コード
gradm用·ポリシーの統計情報
·継承ベースの学習
·管理者は、継承ベースの学習を有効にするか、特定のパスでの学習を無効にすることができ、設定ファイルを学びます
問題のあるプロセスと親プロセスのための·フルパス名
gradm用·RBACステータス機能
·は/ proc // ipaddrが指定されたプロセスを開始した人のリモートアドレスを提供します
·セキュアポリシーの適用
·読んサポート、追加、書き込み、実行、表示、および読み取り専用のptraceのオブジェクト権限
·非表示、保護、および対象のフラグをオーバーライドサポート
·のPAXフラグをサポート
·共有メモリ保護機能
·すべてのアラートのローカル攻撃レスポンスを統合
プロセスはトロイの木馬のコードを実行することはできません保証する·件名フラグ
·フル機能のファイングレイン監査
·リソース、ソケット、および機能のサポート
·に対する保護bruteforcingを利用
·は/ proc / PIDファイル記述子/メモリ保護
·ルールは、存在しないファイル/プロセスに置くことができます
サブジェクトとオブジェクト上·ポリシーの再生
·設定可能なログの抑制
·設定可能なプロセスアカウンティング
·人間が読み取り可能な構成
·ファイルシステムのありませんかアーキテクチャに依存
·適切に拡張:メモリなどの多くの政策が同じパフォーマンスヒットに扱うことができるようにサポートしています
·なしランタイムメモリ割り当てはありません
·SMPセーフ
ほとんどの操作·O時間効率
·追加のポリシーを指定するためのディレクティブを含めます
·有効化、無効化、機能をリロード
·カーネルプロセスを非表示にするオプション
chrootの制限
·chroot環境の外に取り付ける共有メモリはありません
·chroot環境の外では死滅しません
·chroot環境の外ではありませんのptrace(アーキテクチャに依存しません)
·chroot環境の外ませcapgetありません
·chroot環境の外ではありませんsetpgidに
·chroot環境のいかなるgetpgid外ません
·chroot環境の外ませGETSIDありません
·なしchroot環境の外でのfcntlによる信号の送信
·chroot環境の外のプロセスの無視を、PROCが搭載されていても/場合
·無装着したり、再マウント
·なしはpivot_rootありません
·いいえ二重のchrootありません
·chroot環境の外ませfchdirにはありません
chrootの時·強制のchdir( "/")
·いいえ(F)はchmod + S
·なしはmknod
·なしのsysctlは書いてありません
·スケジューラ優先度の無調達を
·いいえchroot環境の外で抽象UNIXドメインソケットに接続していません
·機能を介して有害な権限の削除
chroot環境内·Execのログ
アドレス空間変形保護
·人数:I386、SPARC、SPARC64、アルファ、PARISC、AMD64、IA64およびPPCのための非実行ユーザページのページベースの実装。すべてのi386のCPUが、Pentium 4プロセッサにはほとんどパフォーマンスヒット
·人数:無パフォーマンスヒットとi386用非実行ユーザページのセグメンテーションベースの実装
·人数:i386用の非実行可能カーネル·ページのセグメンテーションベースの実装
·人数:MPROTECT制限がタスクに入るの新しいコードを防ぎます
·人数:I386、SPARC、SPARC64、アルファ、PARISC、AMD64、IA64、PPC、およびMIPSのスタックとmmapベースのランダム化
·人数:ヒープi386用ベース、SPARC、SPARC64、アルファ、PARISC、AMD64、IA64、PPC、およびMIPSのランダム化
·人数:I386、SPARC、SPARC64、アルファ、PARISC、AMD64、IA64およびPPCの実行ベースのランダム化
·人数:カーネルスタックのランダム化
·人数:自動的sigreturnのトランポリンをエミュレート(2.0 glibcを、libc5のために、uClibcを、のModula-3互換)
·人数:無ELFの.textの再配置
·人数:トランポリンエミュレーション(GCCおよびLinux sigreturn)
·人数:非I386のarch用PLTエミュレーション
·は/ dev / memのは、/ dev / kmemを、または/ dev /ポート経由ませカーネルの修正はありません
ローIの使用を無効にする·オプション/ O
·/ procの// [マップ|スタット]からのアドレスの削除
監査機能
·監査への単一のグループを指定するオプション
·引数を持つExecのログ
·拒否されたリソースのログ
·にchdirロギング
·マウントとアンマウントロギング
·IPC作成/削除のロギング
·信号のログ
·失敗したフォーク·ロギング
·時間変更のログ
ランダム化機能
·大きなエントロピー·プール
·ランダムTCP初期シーケンス番号
·ランダム化のPID
·ランダムIP IDが
·ランダム化のTCP送信元ポート
·ランダム化RPCのXID
その他の機能
プロセス所有者に関する情報を漏洩しない·/ procの制限
·シンボリックリンク/ / tmpにレースを防止するために、ハードリンクの制限
·FIFOの制限
·dmesgの(8)制限
·トラステッドパスの実行の強化実装
·GIDベースソケットの制限
·ほとんどすべてのオプションには、ロック機構で、sysctlを調整可能です
·すべてのアラートおよび監査ログを持つ攻撃者のIPアドレスをログに記録する機能をサポート
·UNIXドメインソケットの両端のストリーム接続は(のみ2.4に)彼らと攻撃者のIPアドレスを運びます
·ローカル接続の検出:他のタスクにコピー攻撃者のIPアドレスを
·自動抑止bruteforcingを利用
·低、中、高、およびカスタムセキュリティレベル
·調整可能な洪水時およびロギング用バースト
このリリースの新機能:
·RBACシステム内のPAXフラグのサポートに修正しました。
·2.4.34パッチ内の非x86アーキテクチャ用のPAX更新。
·chroot環境問題におけるsetpgidが修正されました。
·ランダム化されたPID機能が削除されました。
·2.6パッチでchroot環境でこのリリースの修正の/ proc使用。
·これは、完全な学習から生成されたポリシーの管理者ロールを追加します。
·これは、2.4パッチ内のPAXコードを再同期します。
·これは、Linux 2.4.34および2.6.19.2に更新されています。
カテゴリから探す
人気のソフトウェア
-
Pear OS 14 Nov 16
-
BackBox Linux 16 Aug 18
-
BlackArch Linux 22 Jun 18
-
Papa Louie: When Pizzas Attack! 14 Apr 15
-
Absolute Linux 22 Jun 18
-
Adobe Developer Connection Developer Desktop 3 Jun 15
-
WhatsApp for Desktop 18 Jul 15
grsecurity
へのコメント grsecurity
カテゴリから探す
人気のソフトウェア
-
Parrot security OS 23 Oct 17
-
Porteus MATE 12 Jan 17
-
GnackTrack 12 May 15
-
Oracle Solaris 22 Jun 18
-
Zorin OS Ultimate 16 Aug 18
-
MultiSystem 17 Feb 15
-
ed2k-gtk-gui 4 Jun 15
コメントが見つかりません