Личный блог Suvan`a.

Работая и играя с Linux... И что из этого иногда получается.

Безопасность

Подписаться на эту рубрику по RSS

Создание ACL - достаточно утомительная и рутинная задача, поэтому даже для опытных пользователей Grsecurity, рекомендуется употреблять встроенный режим обучения для создания начального ACL. Процесс авто­матического создания ACL был рассмотрен в предыдущей статье. Сейчас будет рассмотренно создание ACL для демона sshd.

     После долгой деятельности Grsecurity в режиме обучения был получен следующий ACL:

Далее...

Ранее было сказано, что ключевая цель (и ведущее преимущество) Grsecurity состоит в том, чтобы максимально упростить настройку системы безопасности. А тут столько разговоров о различных ACL, ролях, субъектах и объектах.

     Для автоматического создания файла правил Grsecurity предоставляет ре­жим обучения. Даже если есть охота создавать файлы правил вручную, рекомендуется употреблять режим обучения - он послужит фунда­ментом для собственного файла.

Далее...

Роли ACL.

Рубрика: Безопасность | Управление доступом
Метки: | |
Дата: 01/07/2009 11:02:15

Одна из новейших функций Grsecurity - это RBAC, предоставляющая ад­министратору дополнительный контроль над элементами. В этой реали­зации RBAC ведущим понятием представляется роль: один или более субъектов могут исполнять какую-то роль, вы можете объявить один и тот же объект несколько раз, но для различных ролей.

     Роль отображается следующим образом:

role <имя роли> - <необязательные режимы роли>

Далее...

Ограничение ресурсов.

     Ограничение ресурсов процесса задается в виде:

<имя ресурса> <"мягкий" лимит> <"жесткий" лимит>

     Доступны следующие ресурсы:

  • RES_AS — ограничение адресного пространства (в байтах).
  • RES_CORE — максимальный размер файла core (в байтах).
  • RES_CPU — максимальное процессорное время (в мс).
  • RES_DATA — максимальный размер данных (в байтах).
  • RES_FSIZE — максимальный размер файла (в байтах).
  • RES_LOCKS — максимальное число блокировок файлов.
  • RES_MEMLOCK — максимальное число блокировок памяти (в байтах).
  • RES_NOFILE — максимальное число открытых файлов. Нужно помнить, что минимально допустимое число открытых файлов равно 3 — для STDOUT, STDIN и STDERR.
  • RES_NPROC — максимальное число процессов.
  • RES_RSS — максимальный RSS (в байтах).
  • RES_STACK — максимальный размер стека (в байтах).

Далее...

Управление доступом - самый большой раздел Grsecurity, но, потому что управ­ление доступом реализуется с помощью ACL, здесь нет опций ядра, который связанны с управлением доступом, и это при том, что ACL относится к уровню ядра.

     Настройка ACL делается с помощью утилиты gradm. Применение системы RBAC необязательно, но нужно учитывать, что без ACL крекер может легко обойти некоторые функции Grsecurity.

Далее...

Защита исполняемых файлов (Executable Protection).

     Enforce RLIMIT_NPROC on exec (CONFIG_GRKERNSEC_EXECVE) -Проверка лимитов ресурсов во время вызова exec

     RLIMITN_PROC (настраивается через /etc/limits) дает возможность ограничить ресурсы пользователя. По умолчанию ресурсы проверяются только во время fork(). Включение этой опции позволяет производить проверку ресурсов во время вызова execve().

     Dmesg Restriction (CONFIG GRKERNSEC DMESG) - Ограничение dmesg

     Команда dmesg дает возможность пользователю просматривать последние записанные сообщения ядра. Включение этой опции позволяет выполнять программу dmesg только пользователю root.

Далее...

Это меню дает возможность записывать некоторые системные вызовы (например, execve() и fork()). Нужно включить все эти опции:

Далее...