grsecurity項目是Linux 2.4一個完整的安全系統,該系統實現了檢測/防禦/遏制戰略。它可以防止大多數形式的地址空間的修改,束縛計劃通過其基於角色的訪問控制系統,系統調用變硬,提供全功能的審核,並實現了許多OpenBSD的隨機性特徵。
它是為便於使用性能,以及安全寫入。該RBAC系統具有智能學習模式,可以產生對整個系統沒有配置最小特權政策。所有的Grsecurity的支持功能,日誌,導致警報或審計攻擊者的IP。
這裡是“grsecurity項目”的一些主要特點:
主力期貨:
·基於角色的訪問控制
·用戶,組和特殊角色
·用戶和組域支持
·角色轉換表
·基於IP的角色
·非根訪問特殊角色
·需要任何身份驗證特殊角色
·嵌套科目
·在配置變量支持
·與,或,和差集操作在配置變量
·控制創造setuid和setgid文件對象模型
·創建和刪除對象的方式
繼承·內核解讀
·實時的正則表達式解析
·能夠否認ptraces具體流程
·用戶和組過渡檢查和執法上的包容性或獨占的基礎
內核認證和學習日誌·的/ dev / grsec進入
·產生最小特權政策,對整個系統沒有配置下一代代碼
·對於gradm政策統計
·繼承為基礎的學習
·學習配置文件,允許管理員啟用繼承為基礎的學習或禁用對學習特定路徑
·全路徑名有問題的進程和父進程
·RBAC狀態功能gradm
·的/ proc // IPADDR給人的人誰開始一個給定的過程中,遠程地址
·安全策略實施
·支持讀,寫,追加,執行,查看和只讀ptrace的對象權限
·支持隱藏,保護,並覆蓋主體標誌
·支持大同標誌
·共享內存保護功能
·集成的所有警報本地攻擊響應
·主題標誌,確保了過程不能執行木馬代碼
·全功能細粒度審計
·資源,插座和功能的支持
·防止利用暴力破解
·/ proc /進程文件描述符/內存保護
·規則可以放在不存在的文件/進程
對主體和客體·再生政策
·配置日誌抑制
·配置進程記帳
·人類可讀的配置
·不是文件系統或體系結構相關
·很好地進行擴展:支持多達政策內存可以處理相同的性能損失
·沒有運行時內存分配
·SMP安全
對於大多數操作·O時間效率
·include指令以指定其他政策
·啟用,禁用,重新加載能力
·選項隱藏內核進程
chroot環境的限制
·chroot環境之外沒有附加共享內存
·chroot環境之外沒有殺
·chroot環境之外沒有ptrace的(平台無關的)
·chroot環境之外沒有capget
·沒有setpgid chroot環境之外的
·無getpgid chroot環境之外的
·chroot環境之外沒有GETSID
·無發送信號,通過chroot環境的fcntl之外
·沒有任何觀看過程的chroot環境之外,即使是在/ proc安裝
·不安裝或重新安裝
·無pivot_root
·無雙重的chroot
·沒有fchdir出來的chroot的
·強制CHDIR在chroot環境(“/”)
·否(六)搭配chmod + S
·沒有用mknod
·沒有寫的sysctl
·調度優先級提高無
·沒有連接到抽象的UNIX域套接字chroot環境之外
·通過能力清除有害特權
·在chroot環境Exec的日誌
地址空間修飾保護
·PaX的:基於頁面的不可執行的用戶頁面的i386,SPARC,SPARC64,阿爾法,PARISC,AMD64,IA64,和PPC的執行情況;在所有的i386的CPU,但奔騰4性能可以忽略不計命中
·PaX的:分割為基礎實現非可執行用戶頁面的i386的,沒有性能損失
·PaX的:細分化實施的非執行內核頁,I386
·PaX的:MPROTECT限制,防止新的代碼進入任務
·PaX的:為I386,SPARC,SPARC64,阿爾法,PARISC,AMD64,IA64,PPC和MIPS堆棧和MMAP隨機化基地
·PaX的:堆基地的i386,SPARC,SPARC64,阿爾法,PARISC,AMD64,IA64,PPC和MIPS的隨機
·PaX的:可執行基地的i386,SPARC,SPARC64,阿爾法,PARISC,AMD64,IA64,和PPC的隨機
·PaX的:隨機內核堆棧
·PaX的:自動仿真sigreturn蹦床(為libc5的,2.0的glibc,uClibc的,Modula-3語言兼容)
·PaX的:沒有ELF的.text搬遷
·PaX的:蹦床仿真(GCC及Linux的sigreturn)
·PaX的:PLT仿真非i386的archs
·通過的/ dev / MEM中,/ dev / kmem的,或/ dev /端口號修改內核
·選項來禁用使用原始I / O
·除去從/ proc // [地圖|統計]地址
審計功能
·選項來指定單個組審核
·Exec的記錄與參數
·拒絕資源記錄
·CHDIR記錄
·安裝和卸載記錄
·IPC創建/移除日誌
·信號記錄
·失敗叉記錄
·時間更改日誌記錄
隨機化功能
·較大的熵池
·隨機TCP初始序列號
·隨機的PID
·IP隨機編號
·隨機TCP源端口
·隨機RPC的XID
其他特性
·/ proc限制不洩漏有關流程所有者信息
·建立/硬連接限制,以防止/ tmp目錄比賽
·FIFO限制
·dmesg的(8)限制
·可信路徑的執行落實增強
·GID型插座限制
·幾乎所有的選項的sysctl可調,帶鎖定裝置
·所有的警報和審計支持功能,記錄攻擊者的IP地址與日誌
·在UNIX域套接字流連接進行攻擊者的IP地址與他們(2.4只)
·檢測本地連接的:副本攻擊者的IP地址等任務
·自動威懾利用暴力破解
·低,中,高和自定義安全級別
·可調洪水的時間和突發記錄
什麼是新的,在此版本:
·修正了在RBAC系統PaX的標誌的支持。
·PaX的更新為2.4.34補丁非x86架構。
·在chroot環境問題的一個setpgid已得到修復。
·在隨機的PID功能已被刪除。
·該版本修正的/ proc使用在2.6補丁一個chroot。
·它增加了一個管理角色,從全員學習生成的策略。
·它重新同步,在2.4補丁大同代碼。
·它已經更新到Linux 2.4.34和2.6.19.2。
按類別搜索
熱門軟件
-
ed2k-gtk-gui 4 Jun 15
-
HP Linux Imaging and Printing 1 Dec 17
-
K3b 17 Aug 18
-
Super Grub2 Disk 20 Jan 18
-
Unity Linux 15 Apr 15
-
Google Music Manager 15 Apr 15
-
Quirky Linux 22 Jun 18
grsecurity
意見 grsecurity
按類別搜索
熱門軟件
-
Yandex Browser 17 Feb 15
-
HP Linux Imaging and Printing 1 Dec 17
-
Cub Linux 11 Apr 16
-
OpenShot Video Editor 17 Aug 18
-
Return To Castle Wolfenstein Coop 20 Feb 15
-
HardInfo 3 Jun 15
-
Tiny Core Linux 2 Sep 17
評論沒有發現