grsecurity er et komplet sikkerhedssystem til Linux 2.4, som implementerer en påvisning / forebyggelse / inddæmning strategi. Det forhindrer de fleste former for adresserum modifikation, Koncentrerer programmer via Rollebaseret adgangskontrol-system, hærder syscalls, giver komplet revision, og implementerer mange af OpenBSD tilfældighed funktioner.
Den blev skrevet for ydeevne, lethed-i-brug og sikkerhed. Det RBAC system har en intelligent læring tilstand, der kan generere mindst privilegium politikker for hele systemet uden konfiguration. Alle grsecurity understøtter en funktion, der logger IP af angriberen, der forårsager en alarm eller revision.
Her er nogle vigtige funktioner i "grsecurity":
Vigtigste Futures:
· Rollebaseret adgangskontrol
· Bruger, gruppearbejde og særlige roller
· Domæne support til brugere og grupper
· Rolle overgang tabeller
· IP-baserede roller
· Ikke-root adgang til særlige roller
· Særlige roller, som ikke kræver godkendelse
· Indlejrede emner
· Variabel støtte konfiguration
· Og eller, og forskellen sæt operationer på variabler i konfigurationen
· Objekt-mode, der styrer oprettelsen af setuid og setgid filer
· Oprette og slette objekter tilstande
· Kernel fortolkning af arv
· Real-time regulære-udtryk opløsning
· Mulighed for at nægte ptraces til specifikke processer
· Bruger og gruppe overgang kontrol og håndhævelse på en inklusiv eller eksklusiv basis
· / Dev / grsec post for kerne-godkendelse og læring logs
· Næste generations kode, der producerer mindst privilegium politikker for hele systemet uden konfiguration
· Politiske statistik for gradm
· Arv læring
· Læring konfigurationsfil, der gør det muligt for administratoren at aktivere arv læring eller deaktivere læring på bestemte stier
· Fuld stinavne for ulovlige proces og overordnede proces
· RBAC statusfunktionen for gradm
· / Proc // IpAdr giver den eksterne adresse på den person, der startede en given proces
· Sikker politik håndhævelse
· Understøtter læse, skrive, tilføje, udføre, vise og skrivebeskyttede tilladelser ptrace objekt
· Understøtter skjule, beskytte og tilsidesætte underlagt flag
· Understøtter Pax flag
· Delt hukommelse beskyttelsesfunktion
· Integreret lokal angreb svar på alle underretninger
· Emne flag, der sikrer en proces kan aldrig udføre trojaned kode
· Fuldt udstyret finkornet revision
· Ressource, socket, og evne support
· Beskyttelse mod at udnytte bruteforcing
· / Proc / pid filedescriptor / hukommelse beskyttelse
· Regler kan placeres på ikke-eksisterende filer / processer
· Politik regenerering om emner og objekter
· Konfigurerbar log undertrykkelse
· Konfigurerbar proces regnskab
· Menneske-læsbar konfiguration
· Ikke filsystem eller arkitektur afhængige
· Scales vel: understøtter så mange politikker som hukommelsen kan håndtere med den samme ydeevne hit
· Ingen tildeling runtime hukommelse
· SMP sikkert
· O tid effektivitet for de fleste operationer
· Medtag direktiv til at angive yderligere politikker
· Aktiver, deaktiver, genindlæse kapaciteter
· Mulighed for at skjule kerne processer
Chroot restriktioner
· Ingen fastgørelse delt hukommelse uden for chroot
· Ingen kill uden for chroot
· Ingen ptrace uden for chroot (arkitektur uafhængig)
· Ingen capget uden for chroot
· Ingen setpgid uden for chroot
· Ingen getpgid uden for chroot
· Ingen GETSID uden for chroot
· Ingen afsendelse af signaler ved FCNTL uden for chroot
· Ingen visning af enhver proces uden for chroot, selvom / proc er monteret
· Ingen montering eller genmontering
· Ingen pivot_root
· Ingen dobbelt chroot
· Ingen fchdir ud af chroot
· Tvungen chdir ("/") ved chroot
· Nej (f) chmod + s
· Ingen mknod
· Ingen sysctl skriver
· Ingen forhøjelse af scheduler prioritet
· Ingen tilslutning til abstrakte Unix domæne-sockets uden for chroot
· Fjernelse af skadelige privilegier via kapaciteter
· Exec logning inden chroot
Adresserum modifikation beskyttelse
· PaX: Side-baseret implementering af ikke-eksekverbare brugergrupper sider til i386, SPARC, sparc64, alfa, parisc, amd64, ia64 og ppc; ubetydelig præstation hit på alle i386 CPU'er men Pentium 4
· PaX: Segmentering-baseret implementering af ikke-eksekverbare brugergrupper sider til i386 med ingen ydeevne hit
· PaX: Segmentering-baseret implementering af ikke-eksekverbare kerne sider til i386
· PaX: Mprotect restriktioner forhindrer ny kode i at komme ind en opgave
· PaX: Randomisering af stakken og mmap base for i386, SPARC, sparc64, alfa, parisc, amd64, ia64, ppc, og mips
· PaX: Randomisering af heap base for i386, SPARC, sparc64, alfa, parisc, amd64, ia64, ppc, og mips
· PaX: Randomisering af eksekverbare base for i386, SPARC, sparc64, alfa, parisc, amd64, ia64 og ppc
· PaX: Randomisering af kernel stack
· PaX: efterligne Automatisk sigreturn trampoliner (for libc5, glibc 2.0, uClibc, Modula-3 kompatibilitet)
· PaX: Ingen ELF .text flytninger
· PaX: Trampolin emulering (GCC og linux sigreturn)
· PaX: PLT emulering for ikke-i386 arkitekturer
· Ingen kernel modifikation via / dev / mem, / dev / kmem, eller / dev / havnen
· Mulighed for at deaktivere brugen af rå I / O
· Fjernelse af adresser fra / proc // [maps | stat]
Revisionsstandarder funktioner
· Mulighed for at angive enkelt gruppe til at revidere
· Exec logning med argumenter
· Nægtet ressource logning
· Chdir logning
· Isæt eller fjern logning
· IPC oprettelse / fjernelse logning
· Signal logning
· Mislykket gaffel logning
· Tid skift logning
Randomisering funktioner
· Større entropi pools
· Randomiseret TCP Initial sekvensnumre
· Randomiserede PID'er
· Randomiseret IP-id'er
· Randomiserede TCP kildeporte
· Randomiserede RPC XIDs
Andre funktioner
· / Proc restriktioner, der ikke lække oplysninger om procesejerne
· Symlink / hardlink restriktioner for at forhindre / tmp racer
· FIFO restriktioner
· Dmesg (8) begrænsning
· Forbedret gennemførelse af Trusted Path Execution
· GID-baserede socket restriktioner
· Næsten alle muligheder er sysctl-justerbar, med en låsemekanisme
· Alle advarsler og revision understøtter en funktion, der logger IP-adressen på angriberen med loggen
· Stream forbindelser på tværs af Unix domæne-sockets bære hackerens IP-adresse med dem (på 2,4 kun)
· Påvisning af lokale tilslutninger: kopier angriberens IP-adresse til den anden opgave
· Automatisk afskrækkelse af udnytte bruteforcing
· Lav, Medium, Høj, og brugerdefinerede sikringsniveauer
· Tunable oversvømmelse-tid og brast for logning
Hvad er nyt i denne version:
· Rettelser til PAX flag støtte RBAC system.
· Pax opdateringer til ikke-x86-arkitekturer i 2.4.34 patch.
· En setpgid i chroot problem er blevet løst.
· Det randomiserede PID'erne funktion er blevet fjernet.
· Denne release rettelser / proc brug i et chroot i 2.6 patch.
· Den tilføjer en admin rolle genereret politik fra fuld læring.
· Det resynchronizes PAX koden i 2.4 patch.
· Det er blevet opdateret til Linux 2.4.34 og 2.6.19.2.
- Hjemmeside
- Linux
- grsecurity
Søg efter kategori
- Audio software
- Browsere
- Business & kontorsoftware
- Desktop ekstraudstyr
- Digital foto software
- Disk & fil software
- Drivers
- Grafisk design software
- Hjem & familie software
- Internet software
- Kommunikationssoftware
- Netværkssoftware
- Produktivitet software
- Screensavers
- Sikkerhedssoftware
- Spil
- Systemværktøjer
- Uddannelsesmæssige og videnskab software
- Udviklingsværktøjer
- Video software
- Webudvikling software
Populære software
-
Elastix 2 Oct 16
-
KAVClient 3 Jun 15
-
Macpup 19 Feb 15
-
qNotesManager 17 Feb 15
-
Xfburn 17 Feb 15
-
Simple Scan 2 Dec 17
-
Damn Small Linux 17 Feb 15
grsecurity
Kommentarer til grsecurity
Søg efter kategori
- Audio software
- Browsere
- Business & kontorsoftware
- Desktop ekstraudstyr
- Digital foto software
- Disk & fil software
- Drivers
- Grafisk design software
- Hjem & familie software
- Internet software
- Kommunikationssoftware
- Netværkssoftware
- Produktivitet software
- Screensavers
- Sikkerhedssoftware
- Spil
- Systemværktøjer
- Uddannelsesmæssige og videnskab software
- Udviklingsværktøjer
- Video software
- Webudvikling software
Populære software
-
GChemPaint 2 Jun 15
-
Elastix 2 Oct 16
-
LMule 4 Jun 15
-
LXLE 22 Jun 18
-
Elementary OS 17 Aug 18
-
Absolute Linux 22 Jun 18
-
W-Packager 20 Feb 15
Kommentarer ikke fundet