grsecurity

grsecurity adalah sistem keamanan yang lengkap untuk Linux 2.4 yang menerapkan deteksi / pencegahan / strategi penahanan. Ini mencegah kebanyakan bentuk modifikasi ruang alamat, program batas melalui sistem Access Control Peran Berbasis nya, mengeras syscalls, menyediakan audit fitur lengkap, dan mengimplementasikan banyak fitur keacakan OpenBSD.
Ini ditulis untuk kinerja, kemudahan penggunaan, dan keamanan. Sistem RBAC memiliki mode pembelajaran cerdas yang dapat menghasilkan kebijakan paling istimewa untuk seluruh sistem tanpa konfigurasi. Semua grsecurity mendukung fitur yang log IP dari penyerang yang menyebabkan peringatan atau audit.
Berikut adalah beberapa fitur kunci dari "grsecurity":
Futures utama:
· Peran Berbasis Access Control
· Pengguna, kelompok, dan peran khusus
· Dukungan Domain untuk pengguna dan kelompok
· Tabel transisi Peran
· Peran berbasis IP
· Akses Non-root untuk peran khusus
· Peran khusus yang tidak memerlukan otentikasi
· Pelajaran Bersarang
· Dukungan Variabel dalam konfigurasi
· Dan, atau, dan perbedaan mengatur operasi pada variabel dalam konfigurasi
· Obyek modus yang mengontrol penciptaan file setuid dan setgid
· Membuat dan menghapus mode objek
· Kernel interpretasi warisan
· Real-time resolusi biasa-ekspresi
· Kemampuan untuk menolak ptraces untuk proses tertentu
· Pengguna dan memeriksa transisi kelompok dan penegakan secara inklusif atau eksklusif
· / Dev / grsec entri untuk otentikasi kernel dan catatan pelajaran
· Kode Generasi yang menghasilkan kebijakan setidaknya-hak istimewa untuk seluruh sistem tanpa konfigurasi
· Statistik Kebijakan gradm
· Berbasis Warisan belajar
· Belajar file konfigurasi yang memungkinkan administrator untuk memungkinkan pembelajaran berbasis warisan atau menonaktifkan belajar pada jalur tertentu
· Nama path penuh untuk proses menyinggung dan proses induk
· Fungsi Status RBAC untuk gradm
· / Proc // ipaddr memberikan alamat terpencil orang yang memulai suatu proses
· Penegakan kebijakan Aman
· Mendukung membaca, menulis, menambahkan, mengeksekusi, pandangan, dan read-only ptrace izin objek
· Mendukung menyembunyikan, melindungi, dan menimpa bendera subjek
· Mendukung bendera PaX
· Fitur perlindungan memori bersama
· Terpadu respon serangan lokal pada semua alert
· Bendera Subjek yang menjamin proses tidak pernah dapat mengeksekusi kode trojaned
· Fitur lengkap audit halus
· Sumber Daya, soket, dan dukungan kemampuan
· Perlindungan terhadap mengeksploitasi bruteforcing
· / Proc / pid filedescriptor / perlindungan memori
· Aturan dapat ditempatkan pada file tidak ada / proses
· Kebijakan regenerasi pada subjek dan objek
· Dikonfigurasi log penekanan
· Proses akuntansi Dikonfigurasi
· Konfigurasi Manusia-dibaca
· Tidak filesystem atau tergantung arsitektur
· Timbangan baik: mendukung banyak kebijakan memori dapat menangani dengan kinerja hit yang sama
· Tidak ada alokasi memori runtime
· SMP aman
· O efisiensi waktu untuk kebanyakan operasi
· Sertakan direktif untuk menentukan kebijakan tambahan
· Aktifkan, menonaktifkan, reload kemampuan
· Pilihan untuk menyembunyikan proses kernel
 
Pembatasan chroot
· Tidak melampirkan memori bersama di luar chroot
· Tidak ada kill luar chroot
· Tidak ada ptrace luar chroot (arsitektur independen)
· Tidak ada capget luar chroot
· Tidak ada di luar setpgid dari chroot
· Tidak ada di luar getpgid dari chroot
· Tidak ada getsid luar chroot
· Tidak ada pengiriman sinyal oleh fcntl luar chroot
· Tidak ada tampilan proses apapun di luar chroot, bahkan jika / proc mount
· Tidak ada pemasangan atau remounting
· Tidak ada pivot_root
· Tidak ada chroot ganda
· Tidak ada fchdir dari chroot
· Ditegakkan chdir ("/") pada chroot
· Tidak ada (f) chmod + s
· Tidak ada mknod
· Tidak ada sysctl menulis
· Tidak ada peningkatan prioritas scheduler
· Tidak ada koneksi ke abstrak unix domain sockets luar chroot
· Penghapusan hak berbahaya melalui kemampuan
· Logging Exec dalam chroot
 
Alamat modifikasi ruang perlindungan
 
· PaX: implementasi Halaman berdasarkan halaman pengguna non-executable untuk i386, sparc, sparc64, alpha, parisc, amd64, ia64, dan ppc; diabaikan kinerja hit pada semua i386 CPU tapi Pentium 4
· PaX: implementasi berbasis Segmentasi halaman pengguna non-executable untuk i386 tanpa kinerja hit
· PaX: implementasi berbasis Segmentasi halaman KERNEL non-executable untuk i386
· PaX: pembatasan mprotect mencegah kode baru memasuki tugas
· PaX: Pengacakan dari stack dan mmap dasar untuk i386, sparc, sparc64, alpha, parisc, amd64, ia64, ppc, dan mips
· PaX: Pengacakan tumpukan dasar untuk i386, sparc, sparc64, alpha, parisc, amd64, ia64, ppc, dan mips
· PaX: Pengacakan dasar eksekusi untuk i386, sparc, sparc64, alpha, parisc, amd64, ia64, dan ppc
· PaX: Pengacakan kernel tumpukan
· PaX: Secara otomatis meniru trampolin sigreturn (untuk libc5, glibc 2.0, uClibc, Modula-3 kompatibilitas)
· PaX: Tidak ada relokasi ELF .Text
· PaX: emulasi Trampoline (GCC dan linux sigreturn)
· PaX: PLT emulasi untuk archs non-i386
· Tidak ada modifikasi kernel melalui / dev / mem, / dev / kmem, atau / dev / port
· Pilihan untuk menonaktifkan penggunaan I baku / O
· Penghapusan alamat dari / proc // [peta | Stat]
 
Fitur audit
 
· Pilihan untuk menentukan kelompok tunggal untuk mengaudit
· Logging Exec dengan argumen
· Ditolak logging sumber daya
· Chdir penebangan
· Gunung dan penebangan unmount
· Penciptaan IPC / penghapusan penebangan
· Signal penebangan
· Gagal logging garpu
· Waktu perubahan penebangan
 
Fitur pengacakan
 
· Kolam entropi yang lebih besar
· Acak TCP Nomor urutan awal
· PID acak
· Acak IP ID
· Acak sumber port TCP
· XIDs RPC Acak
 
Fitur lainnya
 
· Pembatasan / proc yang tidak membocorkan informasi tentang pemilik proses
· Pembatasan symlink / hardlink untuk mencegah / tmp ras
· Pembatasan FIFO
· Dmesg (8) pembatasan
· Pelaksanaan Peningkatan Trusted Execution Jalan
· Pembatasan socket GID berbasis
· Hampir semua pilihan yang sysctl-merdu, dengan mekanisme penguncian
· Semua peringatan dan audit mendukung fitur yang log alamat IP dari penyerang dengan log
· Koneksi Streaming di unix domain sockets membawa alamat IP penyerang dengan mereka (di 2.4 saja)
· Deteksi koneksi lokal: salinan alamat IP penyerang untuk tugas lain
· Pencegahan otomatis mengeksploitasi bruteforcing
· Tingkat keamanan rendah, sedang, tinggi, dan Custom
· Merdu banjir waktu dan meledak untuk penebangan
Apa yang Baru di Release ini:
· Perbaikan untuk PaX dukungan bendera dalam sistem RBAC.
· Update PaX untuk arsitektur non-x86 di 2.4.34 Patch.
· Sebuah setpgid di masalah chroot telah diperbaiki.
· Fitur PID acak telah dihapus.
· Penggunaan perbaikan rilis / proc ini dalam chroot di 2,6 Patch.
· Ia menambahkan peran admin kebijakan yang dihasilkan dari belajar penuh.
· Ini resynchronizes kode PaX di 2.4 Patch.
· Ini telah diperbarui untuk Linux 2.4.34 dan 2.6.19.2.