Grsecurity: Аудит ядра.
Рубрика: Безопасность -> Управление доступом
Метки: chroot | Grsecurity | proc
Понедельник, 29 июня 2009 г.
Просмотров: 1822
Подписаться на комментарии по RSS
Метки: chroot | Grsecurity | proc
Понедельник, 29 июня 2009 г.
Просмотров: 1822
Подписаться на комментарии по RSS
Это меню дает возможность записывать некоторые системные вызовы (например, execve() и fork()). Нужно включить все эти опции:
- Single Group for Auditing (CONFIG_ GRKERNSEC_AUDIT GROUP) - Grsecurity дает возможность протоколировать действия пользователя (в частности, exec, chdir, mount/unmount и IPC). Записываются действия не всех пользователей, а только пользователей, которые входят в определенную группу, GID которой указан в опции GID for Auditing (CONFIG_GRKERNSEC AUDIT GID). Чтобы записывать действия конкретного пользователя, его можно добавить в эту группу.
- Exec Logging (CONFIG GRKERNSECJEXELOG) - записывает все системные вызовы execve(), сделанные пользовательским процессом. Опция дает возможность администратору отслеживать все программы, запускаемые пользователем.
- Resource Logging (CONFIG_GRKERNSEC RESLOG) - записывает попытки пользователя превысить лимит ресурса (например, максимальное число процессов).
- Log execs Within chroot (CONFIG_GRKERNSEC_CHROOT
EXELOG)
— протоколирует вызовы execve() в пределах chroot-окружения. - Chdir Logging (CONFIG_ GRKERNSEC_AUDIT_CHDIR) - позволяет записывать вызовы chdir().
- (Un)Mount Logging (CONFIG_GRKERNSEC_AUDIT_MOUNT) - записывает монтирование и размонтирование файловых систем.
- IPC Logging (CONFIG_GRKERNSEC_AUDIT_IPC): записывает разделяемую память, семафоры и очереди сообщений - все это относится к межпроцессному взаимодействию.
- Signal Logging (CONFIG_GRKERNSEC_SIGNAL) - записывает важные сигналы, например SIGSERV (Segmentation Fault), которые могут сигнализировать о попытке взлома приложения.
- Fork Failure Logging (CONFIG_GRKERNSEC_FORKFAIL) - записывает неудачные попытки системного вызова fork(). Чаще всего вызов fork() проваливается, если превышен лимит ресурса - это может быть признаком атаки "fork bomb", когда крекер вызывает большое количество fork'oв, чтобы не дать возможности системе запустить свой процесс.
- Time Change Logging (CONFIGGRKERNSEC TIME) - записывает изменения системных часов.
- /proc/<pid>/paddler Support (CONFIG_GRKERNSEC_PROC_IPADDR) - при включении данной опции для каждого нового процесса в файловой системе /рrос появится новый элемент paddler, содержащий IP-адрес пользователя, использующего процесс.