Grsecurity: Защита исполняемых файлов и сети.
Рубрика: Безопасность -> Управление доступом
Метки: Grsecurity | ISN | RPC
Защита исполняемых файлов (Executable Protection).
Enforce RLIMIT_NPROC on exec (CONFIG_GRKERNSEC_EXECVE) -Проверка лимитов ресурсов во время вызова exec
RLIMITN_PROC (настраивается через /etc/limits) дает возможность ограничить ресурсы пользователя. По умолчанию ресурсы проверяются только во время fork(). Включение этой опции позволяет производить проверку ресурсов во время вызова execve().
Dmesg Restriction (CONFIG GRKERNSEC DMESG) - Ограничение dmesg
Команда dmesg дает возможность пользователю просматривать последние записанные сообщения ядра. Включение этой опции позволяет выполнять программу dmesg только пользователю root.
Grsecurity: Аудит ядра.
Рубрика: Безопасность -> Управление доступом
Метки: chroot | Grsecurity | proc
Это меню дает возможность записывать некоторые системные вызовы (например, execve() и fork()). Нужно включить все эти опции:
Grsecurity: Защита файловой системы.
Рубрика: Безопасность -> Управление доступом
Метки: chroot | FIFO | Grsecurity | proc
Защита файловой системы (Filesystem Protection).
Как говорилось ранее, псевдофайловая система /prос предоставляет информацию о процессах, которую может употреблять хакер в своих целях. Эта опция дает возможность ограничить доступ к /proc двумя способами:
- Restrict /proc to User Only (CONFIG_GRKERNSEC_USER) - не root- пользователи не смогут просматривать /proc-информацию о процессах других пользователей, а также информацию о сети и информацию, относящуюся к ядру.
- Allow Special Group (CONFIGGRKERNSEC USERGROUP)
— создается специальная группа, которой можно просматривать /proc-информацию. GID этой группы должен быть указан в опции GID for Special Group (CONFIG_GRKERNSEC_PROC_GID).
Установка Grsecurity.
Рубрика: Безопасность -> Управление доступом
Метки: ACL | Grsecurity | MAC | PaX
В отличие от SELinux, которая направлена на одну задачу мандатного управления доступом, Grsecurity предоставляет более обширный диапазон технологий укрепления системы, частично перенесенных из мира Open-BSD. Grsecurity реализует мандатное управление доступом (MAC) через применение списков доступа ACL.
Одна из основных целей Grsecurity - сократить до минимума конфигурацию системы, потому что сложно настраиваемые системы часто настраиваются неправильно, что приводит к возникновению потенциальных «дыр» в системе безопасности. Grsecurity значительно проще в настройке и использовании, чем SELinux.
Некоторые основные функции Grsecurity:
Модули защиты.
Возможности root'a
Начиная с версии ядра 2.1, Linux разделяет всю мощь пользователя root на набор маленьких действий, называемых возможностями (capabilities). Каждая возможность представляет какой-то отдельный аспект власти пользователя root (например, CAP_CHOWN - возможность изменения владельца файла). Потому что возможности дискретны, надо предоставить процессу отдельные возможности - все или ни одной.
На данный момент Linux поддерживает 28 возможностей, 7 из которых соответствуют POSIX-стандарту. Полный список возможностей приведен в файле /usr/include/linux/capability.h. Рассмотрим самые интересные из них: