Безопасность
Подписаться на эту рубрику по RSS
Генерирование ACL.
Рубрика: Безопасность | Управление доступомМетки: ACL | SSH
Дата: 03/07/2009 08:55:17
Создание ACL - достаточно утомительная и рутинная задача, поэтому даже для опытных пользователей Grsecurity, рекомендуется употреблять встроенный режим обучения для создания начального ACL. Процесс автоматического создания ACL был рассмотрен в предыдущей статье. Сейчас будет рассмотренно создание ACL для демона sshd.
После долгой деятельности Grsecurity в режиме обучения был получен следующий ACL:
Автоматическая генерация ACL.
Рубрика: Безопасность | Управление доступомМетки: ACL | Grsecurity
Дата: 01/07/2009 11:23:24
Ранее было сказано, что ключевая цель (и ведущее преимущество) Grsecurity состоит в том, чтобы максимально упростить настройку системы безопасности. А тут столько разговоров о различных ACL, ролях, субъектах и объектах.
Для автоматического создания файла правил Grsecurity предоставляет режим обучения. Даже если есть охота создавать файлы правил вручную, рекомендуется употреблять режим обучения - он послужит фундаментом для собственного файла.
Роли ACL.
Рубрика: Безопасность | Управление доступомМетки: ACL | Grsecurity | RBAC
Дата: 01/07/2009 11:02:15
Одна из новейших функций Grsecurity - это RBAC, предоставляющая администратору дополнительный контроль над элементами. В этой реализации RBAC ведущим понятием представляется роль: один или более субъектов могут исполнять какую-то роль, вы можете объявить один и тот же объект несколько раз, но для различных ролей.
Роль отображается следующим образом:
Grsecurity: ACL, ограничение ресурсов.
Рубрика: Безопасность | Управление доступомМетки: ACL | Grsecurity | limit
Дата: 30/06/2009 09:20:29
Ограничение ресурсов.
Ограничение ресурсов процесса задается в виде:
Доступны следующие ресурсы:
- RES_AS — ограничение адресного пространства (в байтах).
- RES_CORE — максимальный размер файла core (в байтах).
- RES_CPU — максимальное процессорное время (в мс).
- RES_DATA — максимальный размер данных (в байтах).
- RES_FSIZE — максимальный размер файла (в байтах).
- RES_LOCKS — максимальное число блокировок файлов.
- RES_MEMLOCK — максимальное число блокировок памяти (в байтах).
- RES_NOFILE — максимальное число открытых файлов. Нужно помнить, что минимально допустимое число открытых файлов равно 3 — для STDOUT, STDIN и STDERR.
- RES_NPROC — максимальное число процессов.
- RES_RSS — максимальный RSS (в байтах).
- RES_STACK — максимальный размер стека (в байтах).
Grsecurity: Управление доступом с помощью ACL.
Рубрика: Безопасность | Управление доступомМетки: ACL | Grsecurity | PaX | SGID | SUID
Дата: 30/06/2009 08:50:27
Управление доступом - самый большой раздел Grsecurity, но, потому что управление доступом реализуется с помощью ACL, здесь нет опций ядра, который связанны с управлением доступом, и это при том, что ACL относится к уровню ядра.
Настройка ACL делается с помощью утилиты gradm. Применение системы RBAC необязательно, но нужно учитывать, что без ACL крекер может легко обойти некоторые функции Grsecurity.
Grsecurity: Защита исполняемых файлов и сети.
Рубрика: Безопасность | Управление доступомМетки: Grsecurity | ISN | RPC
Дата: 29/06/2009 17:41:53
Защита исполняемых файлов (Executable Protection).
Enforce RLIMIT_NPROC on exec (CONFIG_GRKERNSEC_EXECVE) -Проверка лимитов ресурсов во время вызова exec
RLIMITN_PROC (настраивается через /etc/limits) дает возможность ограничить ресурсы пользователя. По умолчанию ресурсы проверяются только во время fork(). Включение этой опции позволяет производить проверку ресурсов во время вызова execve().
Dmesg Restriction (CONFIG GRKERNSEC DMESG) - Ограничение dmesg
Команда dmesg дает возможность пользователю просматривать последние записанные сообщения ядра. Включение этой опции позволяет выполнять программу dmesg только пользователю root.
Grsecurity: Аудит ядра.
Рубрика: Безопасность | Управление доступомМетки: chroot | Grsecurity | proc
Дата: 29/06/2009 17:33:58
Это меню дает возможность записывать некоторые системные вызовы (например, execve() и fork()). Нужно включить все эти опции: