Учитывая популярность вышеописанных систем, можно сказать, какая наиболее подходит для защиты конкретной системы. DTE является наименее распространенной, поэтому можно скон­центрировать все внимание на хорошо опробованных технологиях - SE­Linux, Grsecurity, LIDS и RSBAC.

     SELinux - самая сложная в настройке системы. Чтобы понять, как работа­ет SELinux, надо заново воспринять фундаментальные Unix-концепции пользователей, групп и прав доступа. Масла в огонь добавляет язык опи­сания правил - он очень сложен, хотя таким он кажется на первый взгляд, пока не разберешся с ним. Однако, несмотря на сложность настройки, SELinux - наверное, самая мощная и защищенная реализация МАС-модели.

     LIDS, RSBAC и Grsecurity основаны на ACL, благодаря чему данные системы заметно проще изучать, чем SELinux. Кроме данного, они содержат много дополнительных функций, к примеру определение сканирования портов (LIDS), защиту памяти РаХ (Grsecurity и RSBAC), и «укрепление» chroot (Grsecurity).

Далее...

Rule-Set Based Access Control (RSBAC).

     Rule-Set Based Access Control (RSBAC) - контроль доступа на основании набора правил - такое название еще у одной системы безопасности, доступной по адресу: http: //www.rsbac.org - которая появилась на свет в 1996 г. как несложной университетский проект. Как и другие проекты безо­пасности, со временем RSBAC набирала силу и становилась более гибкой и мощной.

     RSBAC использует общий интерфейс управления доступом (Generalized Framework for Access Control, GFAC), который позволяет употреблять много альтернативных методов управления доступом. Поддерживаются следующие методы:

Далее...

Управление доступом - самый большой раздел Grsecurity, но, потому что управ­ление доступом реализуется с помощью ACL, здесь нет опций ядра, который связанны с управлением доступом, и это при том, что ACL относится к уровню ядра.

     Настройка ACL делается с помощью утилиты gradm. Применение системы RBAC необязательно, но нужно учитывать, что без ACL крекер может легко обойти некоторые функции Grsecurity.

Далее...

В отличие от SELinux, которая направлена на одну задачу мандатного управления доступом, Grsecurity предоставляет более обширный диапазон технологий укрепления системы, частично перенесенных из мира Open-BSD. Grsecurity реализует мандатное управление доступом (MAC) через применение списков доступа ACL.

     Одна из основных целей Grsecurity - сократить до минимума конфигура­цию системы, потому что сложно настраиваемые системы часто настраива­ются неправильно, что приводит к возникновению потенциальных «дыр» в системе безопасности. Grsecurity значительно проще в на­стройке и использовании, чем SELinux.

     Некоторые основные функции Grsecurity:

Далее...

     Функции ASLR очень полезны, но они не гарантируют 100% защиты - не­смотря на то, что применяется рандомизация, теоретически существует вероятность переполнения буфера.

     Так как некорректное изменение памяти, сделанное хакером, приводит к краху приложения, сведения о частых перезапусках сервисов (которые после краха автоматически перезапускаются) говорят о том, что хакер пытается переполнить буфер.

     Для предотвращения возможности изменения хакером размеще­ния памяти в ASLR-защищенном процессе надо задать ограничение на количество перезапусков демона за определенный период времени.

     Для данного может употребляться утилита Segvguard, доступная по адресу: ftp://ftp.pl.openwall.com/misc/segvguard/. Segvguard состоит из двух частей:

Далее...

Установка.

     РаХ не требует пересборки приложений, но, так как реализован в виде патча ядра, требует пересборки самого ядра. РаХ-патч мож­но загрузить с сайта: http://pax.grsecurity.net/, на этом сайте до­ступны версии для ядер 2.4 и 2.6. Загрузите соответствующее ядро с сайта kernel.org, распакуйте его, перейдите в только что созданный каталог и примените РаХ-патч:

Далее...

Рандомизация адресного пространства применяется для усложнения про­цесса вычисления расположения в памяти стека и DLL. Вычислить адрес стека и DLL хакеру стало значительно сложнее, чем без рандомизации.

     Если хакер неправильно «угадает» адрес памяти, то приложение будет аварийно завершено - как и без рандомизации. Но когда хакер вторично запустит приложение, адресное пространство будет вторично изменено.

Далее...