grsecurity

Software skärmdump:
grsecurity
Mjukvaruinformation:
Version: 2.1.10
Ladda upp dagen: 3 Jun 15
Utvecklare: spender
Licens: Gratis
Popularitet: 27

Rating: 5.0/5 (Total Votes: 1)

GRSecurity är ett komplett säkerhetssystem för Linux 2.4 som implementerar en upptäckt / förebyggande / inneslutningsstrategi. Det förhindrar de flesta former av adressutrymme modifiering, begränsar program via sin rollbaserad åtkomst Styrsystem, hårdnar syscalls ger fullfjädrad revision, och genomför många av OpenBSD slumpmässighet funktioner.
Den skrevs för prestanda, enkel att använda, och säkerhet. Det RBAC-systemet har en intelligent inlärningsläge som kan generera minst privilegium politik för hela systemet utan konfiguration. Alla GRSecurity stöder en funktion som loggar IP av angriparen som orsakar en varning eller revision.
Här är några viktiga inslag i "GRSecurity":
Huvudsakliga terminer:
· Rollbaserad åtkomstkontroll
· Användar, grupp, och special roller
· Domän stöd för användare och grupper
· Roll övergångs tabeller
· IP-baserade roller
· Icke-root-åtkomst till speciella roller
· Särskilda roller som kräver ingen autentisering
· Kapslade ämnen
· Variabel stöd i form
· Och eller, och skillnaden sätta verksamheten på variabler i konfigurationen
· Object läge som styr skapandet av setuid och setgid filer
· Skapa och ta bort objektlägen
· Kernel tolkning av arv
· Realtids reguljära uttryck upplösning
· Möjlighet att neka ptraces till specifika processer
· Användar och gruppövergångs kontroll och tillsyn på ett inkluderande eller ensamrätt
· / Dev / grsec post för kärn autentisering och inlärningsloggar
· Nästa generations kod som producerar minst privilegium politik för hela systemet utan konfiguration
· Politiska statistik för gradm
· Arv baserat lärande
· Lära konfigurationsfil som låter administratören att möjliggöra arv baserat lärande eller inaktivera lärande på särskilda vägar
· Full sökvägar för felande process och föräldraprocessen
· RBAC statusfunktionen för gradm
· / Proc // ipaddr ger fjärr adress till den person som startade en given process
· Säker policyefterlevnad
· Stöder läsa, skriva, lägga till, utföra, visa och skrivskyddade ptrace objekt behörigheter
· Stöder dölja, skydda, och åsidosätta ämnes flaggor
· Stöder Pax flaggor
· Gemensam funktion för minnesskydd
· Integrerad lokal attack svar på alla varningar
· Ämne flagga som garanterar en process kan aldrig köra trojaned kod
· Fullfjädrad finkornig revision
· Resurs, uttag, och kapacitet stöd
· Skydd mot utnyttja bruteforcing
· / Proc / pid filedescriptor / minnesskydd
· Regler kan placeras på icke-existerande filer / processer
· Policy förnyelse på ämnen och föremål
· Konfigurerbara logg undertryckande
· Konfigurerbara processredovisning
· Läsbar konfiguration
· Inte filsystem eller arkitektur beroende
· Vågar väl: stöder så många politikområden som minne kan hantera med samma prestanda träff
· Ingen driftstid minnesallokering
· Säker SMP
· O tidseffektivitet för de flesta operationer
· Inkludera direktiv för att specificera ytterligare politik
· Aktivera, inaktivera, ladda kapacitet
· Möjlighet att dölja kärnprocesser
 
Chroot restriktioner
· Ingen fästa delat minne utanför chroot
· Ingen döda utanför chroot
· Ingen ptrace utanför chroot (arkitektur oberoende)
· Nr capget utanför chroot
· Nr setpgid utanför chroot
· Nr getpgid utanför chroot
· Nr GETSID utanför chroot
· Ingen sändning av signaler via fcntl utanför chroot
· Ingen visning av någon process utanför chroot, även om / proc är monterad
· Ingen montering eller återmontering
· Ingen pivot_root
· Ingen dubbel chroot
· Nr fchdir ur chroot
· Påtvingad chdir ("/") vid chroot
· Nej (f) chmod + s
· Ingen mknod
· Inget sysctl skriver
· Ingen höjning av schemaläggare prioritet
· Ingen anslutning till abstrakta unix domänsockets utanför chroot
· Borttagning av skadliga privilegier via funktioner
· Exec loggning inom chroot
 
Adressutrymme modifiering skydd
 
· Pax: Sida baserat genomförande av icke-exekverbara användarsidor för i386, sparc, sparc64, alpha, parisc, amd64, ia64 och ppc; försumbar prestanda träff på alla i386 processorer men Pentium 4
· Pax: Segmentebaserat genomförande av icke-exekverbara användarsidor för i386 utan prestanda träff
· Pax: Segmentebaserat genomförande av icke-körbara Kernel sidor för i386
· Pax: Mprotect begränsningar hindrar ny kod från att komma in en uppgift
· Pax: randomisering av stapeln och mmap bas för i386, sparc, sparc64, alpha, parisc, amd64, ia64, ppc, och mips
· Pax: randomisering av hög bas för i386, sparc, sparc64, alpha, parisc, amd64, ia64, ppc, och mips
· Pax: randomisering av körbara bas för i386, sparc, sparc64, alpha, parisc, amd64, ia64 och ppc
· Pax: randomisering av kernel-stacken
· Pax: emulera automatiskt sigreturn trampoliner (för libc5, glibc 2.0, uClibc, Modula-3 kompatibilitet)
· Pax: Inga ELF .text omlokaliseringar
· Pax: Trampolin emulering (GCC och Linux sigreturn)
· Pax: PLT emulering för icke-i386 archs
· Ingen kernel modifiering via / dev / mem, / dev / kmem eller / dev / port
· Möjlighet att inaktivera användningen av rå I / O
· Borttagning av adresser från / proc // [kartor | stat]
 
Revisionsfunktioner
 
· Möjlighet att ange enda grupp att granska
· Exec loggning med argument
· Denied resurs loggning
· Byt katalog loggning
· Montera och avmontera loggning
· IPC skapande / borttagning loggning
· Signa loggning
· Misslyckades gaffel loggning
· Tid förändring loggning
 
Randomisering funktioner
 
· Större entropi pooler
· Randomized TCP Initial Sequence Numbers
· Randomiserade PID
· Randomized IP-ID
· Randomiserade TCP källportar
· Randomiserade RPC XIDs
 
Andra funktioner
 
· / Proc restriktioner som inte läcker information om processägare
· Symlink / hårda länken restriktioner för att förhindra / tmp tävlingar
· FIFO restriktioner
· Dmesg (8) begränsning
· Förbättrad genomförande av Trusted Path Execution
· GID-baserade socket restriktioner
· Nästan alla alternativ är sysctl-avstämbara, med en låsmekanism
· Alla varningar och revisioner stöder en funktion som loggar IP-adressen för angriparen med log
· Stream anslutningar över unix domänsockets bär angriparens IP-adress med dem (på 2,4 endast)
· Upptäckt av lokala anslutningar: kopior angriparens IP-adress till andra uppgifter
· Automatisk avskräcka utnyttja bruteforcing
· Låg, Medium, Hög och anpassade säkerhetsnivåer
· Avstämbara översvämnings tid och brast för loggning
Vad är nytt i den här versionen:
· Fixar till PAX flagga stöd i RBAC systemet.
· PaX uppdateringar för icke-x86-arkitekturer i 2.4.34 patch.
· En setpgid i chroot problem rättats.
· Den randomiserade PID-funktionen har tagits bort.
· Den här versionen fixar / proc användning i en chroot i 2,6 patch.
· Det ger en admin roll genererade politik från hela lärande.
· Det synkroniserar Pax koden i 2,4 plåstret.
· Det har uppdaterats till Linux 2.4.34 och 2.6.19.2.

Kommentarer till grsecurity

Kommentarer hittades inte
Kommentar
Slå på bilder!