grsecurity

たGrsecurityを検知/防止/封じ込め戦略を実装のLinux 2.4のための完全なセキュリティシステムです。それは、そのロールベースの​​アクセス制御システムを介してアドレス空間の変更、境界プログラムのほとんどの形態を防止するシステムコールを硬化する、フル機能の監査を提供し、OpenBSDのランダム機能の多くを実装しています。
これは、パフォーマンス、使いやすさ、およびセキュリティのために書かれました。 RBACシステムは、何も構成されていないシステム全体の最小特権ポリシーを生成することができるインテリジェントな学習モードを持っています。たGrsecurityのすべては、警告や監査が行われ、攻撃者のIPをログに記録する機能をサポートしています。
ここで、「たGrsecurity」のある主要な機能は次のとおりです。
メイン先物：
·役割ベースのアクセス制御
·ユーザ、グループ、および特別な役割
ユーザーおよびグループのドメイン·サポート
·ロール遷移表
·IPベースのロール
特別な役割に·非ルートアクセス
認証を実行しない·特別な役割
·ネストされた被験者
·コンフィギュレーションにおける変数のサポート
·AND、OR、および差分環境設定の変数の操作を設定
setuidとsetgidのファイルの作成を制御·オブジェクトモード
·オブジェクトのモードを作成および削除
継承の·カーネルの解釈
·リアルタイム正規表現の解像度
特定のプロセスにptracesを拒否する·能力
·包括的または排他的に基づいて、ユーザとグループの移行のチェックと施行
·は/ dev /カーネル認証と学習ログのgrsecエントリ
設定なしでシステム全体の最小特権ポリシーを生成·次世代コード
gradm用·ポリシーの統計情報
·継承ベースの学習
·管理者は、継承ベースの学習を有効にするか、特定のパスでの学習を無効にすることができ、設定ファイルを学びます
問題のあるプロセスと親プロセスのための·フルパス名
gradm用·RBACステータス機能
·は/ proc // ipaddrが指定されたプロセスを開始した人のリモートアドレスを提供します
·セキュアポリシーの適用
·読んサポート、追加、書き込み、実行、表示、および読み取り専用のptraceのオブジェクト権限
·非表示、保護、および対象のフラグをオーバーライドサポート
·のPAXフラグをサポート
·共有メモリ保護機能
·すべてのアラートのローカル攻撃レスポンスを統合
プロセスはトロイの木馬のコードを実行することはできません保証する·件名フラグ
·フル機能のファイングレイン監査
·リソース、ソケット、および機能のサポート
·に対する保護bruteforcingを利用
·は/ proc / PIDファイル記述子/メモリ保護
·ルールは、存在しないファイル/プロセスに置くことができます
サブジェクトとオブジェクト上·ポリシーの再生
·設定可能なログの抑制
·設定可能なプロセスアカウンティング
·人間が読み取り可能な構成
·ファイルシステムのありませんかアーキテクチャに依存
·適切に拡張：メモリなどの多くの政策が同じパフォーマンスヒットに扱うことができるようにサポートしています
·なしランタイムメモリ割り当てはありません
·SMPセーフ
ほとんどの操作·O時間効率
·追加のポリシーを指定するためのディレクティブを含めます
·有効化、無効化、機能をリロード
·カーネルプロセスを非表示にするオプション
 
chrootの制限
·chroot環境の外に取り付ける共有メモリはありません
·chroot環境の外では死滅しません
·chroot環境の外ではありませんのptrace（アーキテクチャに依存しません）
·chroot環境の外ませcapgetありません
·chroot環境の外ではありませんsetpgidに
·chroot環境のいかなるgetpgid外ません
·chroot環境の外ませGETSIDありません
·なしchroot環境の外でのfcntlによる信号の送信
·chroot環境の外のプロセスの無視を、PROCが搭載されていても/場合
·無装着したり、再マウント
·なしはpivot_rootありません
·いいえ二重のchrootありません
·chroot環境の外ませfchdirにはありません
chrootの時·強制のchdir（ "/"）
·いいえ（F）はchmod + S
·なしはmknod
·なしのsysctlは書いてありません
·スケジューラ優先度の無調達を
·いいえchroot環境の外で抽象UNIXドメインソケットに接続していません
·機能を介して有害な権限の削除
chroot環境内·Execのログ
 
アドレス空間変形保護
 
·人数：I386、SPARC、SPARC64、アルファ、PARISC、AMD64、IA64およびPPCのための非実行ユーザページのページベースの実装。すべてのi386のCPUが、Pentium 4プロセッサにはほとんどパフォーマンスヒット
·人数：無パフォーマンスヒットとi386用非実行ユーザページのセグメンテーションベースの実装
·人数：i386用の非実行可能カーネル·ページのセグメンテーションベースの実装
·人数：MPROTECT制限がタスクに入るの新しいコードを防ぎます
·人数：I386、SPARC、SPARC64、アルファ、PARISC、AMD64、IA64、PPC、およびMIPSのスタックとmmapベースのランダム化
·人数：ヒープi386用ベース、SPARC、SPARC64、アルファ、PARISC、AMD64、IA64、PPC、およびMIPSのランダム化
·人数：I386、SPARC、SPARC64、アルファ、PARISC、AMD64、IA64およびPPCの実行ベースのランダム化
·人数：カーネルスタックのランダム化
·人数：自動的sigreturnのトランポリンをエミュレート（2.0 glibcを、libc5のために、uClibcを、のModula-3互換）
·人数：無ELFの.textの再配置
·人数：トランポリンエミュレーション（GCCおよびLinux sigreturn）
·人数：非I386のarch用PLTエミュレーション
·は/ dev / memのは、/ dev / kmemを、または/ dev /ポート経由ませカーネルの修正はありません
ローIの使用を無効にする·オプション/ O
·/ procの// [マップ|スタット]からのアドレスの削除
 
監査機能
 
·監査への単一のグループを指定するオプション
·引数を持つExecのログ
·拒否されたリソースのログ
·にchdirロギング
·マウントとアンマウントロギング
·IPC作成/削除のロギング
·信号のログ
·失敗したフォーク·ロギング
·時間変更のログ
 
ランダム化機能
 
·大きなエントロピー·プール
·ランダムTCP初期シーケンス番号
·ランダム化のPID
·ランダムIP IDが
·ランダム化のTCP送信元ポート
·ランダム化RPCのXID
 
その他の機能
 
プロセス所有者に関する情報を漏洩しない·/ procの制限
·シンボリックリンク/ / tmpにレースを防止するために、ハードリンクの制限
·FIFOの制限
·dmesgの（8）制限
·トラステッドパスの実行の強化実装
·GIDベースソケットの制限
·ほとんどすべてのオプションには、ロック機構で、sysctlを調整可能です
·すべてのアラートおよび監査ログを持つ攻撃者のIPアドレスをログに記録する機能をサポート
·UNIXドメインソケットの両端のストリーム接続は（のみ2.4に）彼らと攻撃者のIPアドレスを運びます
·ローカル接続の検出：他のタスクにコピー攻撃者のIPアドレスを
·自動抑止bruteforcingを利用
·低、中、高、およびカスタムセキュリティレベル
·調整可能な洪水時およびロギング用バースト
このリリースの新機能：
·RBACシステム内のPAXフラグのサポートに修正しました。
·2.4.34パッチ内の非x86アーキテクチャ用のPAX更新。
·chroot環境問題におけるsetpgidが修正されました。
·ランダム化されたPID機能が削除されました。
·2.6パッチでchroot環境でこのリリースの修正の/ proc使用。
·これは、完全な学習から生成されたポリシーの管理者ロールを追加します。
·これは、2.4パッチ内のPAXコードを再同期します。
·これは、Linux 2.4.34および2.6.19.2に更新されています。