Grsecurity
grsecurity – łata nakładana na kod źródłowy jądra Linux, zwiększająca jego bezpieczeństwo.
Początkowo łatka była jedynie portem łaty dla jąder serii 2.4 tworzonej przez Solar Designera. Jako że Solar opracowywał łatki jedynie dla serii 2.2 i starszych, zadania ich przeniesienia na nowszą gałąź podjął się Brad Spengler. Obecnie zaimplementowano w nim wiele nowych rozwiązań, a grsecurity dostępny jest dla jąder najnowszych gałęzi. Od 2015 roku, ze względu na liczne łamanie licencji, publicznie dostępne są jedynie testowe wersje grsecurity. Wersje finalne dostępne są tylko dla klientów komercyjnych[1].
Niektóre z cech grsecurity
Łata zwiększa bezpieczeństwo poprzez:
- tworzenie list kontroli dostępu opartych na role Role-Based Access Control (RBAC)
- nałożenie restrykcji na środowisko chroot, uniemożliwiających wyrwanie się z niego (nawet rootowi)
- rozbudowane logowanie, ułatwiające audyt (możliwość zapisu adresu IP osoby dla określonych zdarzeń)
- losowość stosu TCP (numerów sekwencyjnych, portów źródłowych, IP ID)
- restrykcje nakładane na /proc oraz losowość numerów PID
- zapobieganie sytuacjom wyścigu poprzez restrykcje dla /tmp
- działania zapobiegające atakom siłowym (ang. bruteforce attack)
Dzięki wykorzystaniu osiągnięć projektu PaX, umożliwia także:
- oznaczenie stosu jako niewykonywalnego (ochrona przed wykonywaniem kodu w zapisywalnych obszarach pamięci)
- nałożenie ograniczeń dla mprotect, losowości dla mmap() oraz stosu i sterty
- ochronę przed modyfikacją jądra przez /dev/mem, /dev/kmem i /dev/port
Podsumowanie
Grsecurity może być jedną z warstw ochrony przed intruzami, zarówno wewnętrznymi, jak i zewnętrznymi. W połączeniu z innymi narzędziami (jak dynamicznie linkowana biblioteka libsafe), restrykcyjną zaporą sieciową i poważnym podejściem do zagadnień z dziedziny zabezpieczeń, pozwoli osiągnąć zadowalający poziom bezpieczeństwa.
Obsługa
Niektóre z dystrybucji Linuksa oferujących obsługę grsecurity:
Zobacz też
Przypisy
- ↑ grsecurity [online], grsecurity.net [dostęp 2017-05-09] (ang.).
Linki zewnętrzne
Content Disclaimer
Informasi ini disarikan dari Wikipedia dan disajikan kembali untuk tujuan edukasi. Konten tersedia di bawah lisensi CC BY-SA 3.0. Kami tidak bertanggung jawab atas ketidakakuratan data yang bersumber dari kontribusi publik tersebut.
- The information displayed on this website is sourced in part or in whole from Wikipedia and has been adapted for the purpose of restating it. We strive to provide accurate and relevant information, however:
- There is no guarantee of absolute accuracy. Wikipedia is an open, collaborative project that can be edited by anyone, so information is subject to change.
- It is not intended to constitute professional advice. The content displayed is for informational and educational purposes only. For important decisions (e.g., medical, legal, or financial), please consult a professional.
- Content copyright. Wikipedia is licensed under the Creative Commons Attribution-ShareAlike License (CC BY-SA). This means that content may be reused with appropriate attribution and shared under a similar license.
- Responsible use. Any risk arising from the use of information from this website is entirely the responsibility of the user.