Личный блог Suvan`a.

Работая и играя с Linux... И что из этого иногда получается.

Поиск по сайту с помощью Yandex

Яndex
 

Grsecurity: ACL, ограничение ресурсов.

Вторник, 30 июня 2009 г.
Рубрика: Безопасность -> Управление доступом
Метки: | |

Ограничение ресурсов.

     Ограничение ресурсов процесса задается в виде:

<имя ресурса> <"мягкий" лимит> <"жесткий" лимит>

     Доступны следующие ресурсы:

  • RES_AS — ограничение адресного пространства (в байтах).
  • RES_CORE — максимальный размер файла core (в байтах).
  • RES_CPU — максимальное процессорное время (в мс).
  • RES_DATA — максимальный размер данных (в байтах).
  • RES_FSIZE — максимальный размер файла (в байтах).
  • RES_LOCKS — максимальное число блокировок файлов.
  • RES_MEMLOCK — максимальное число блокировок памяти (в байтах).
  • RES_NOFILE — максимальное число открытых файлов. Нужно помнить, что минимально допустимое число открытых файлов равно 3 — для STDOUT, STDIN и STDERR.
  • RES_NPROC — максимальное число процессов.
  • RES_RSS — максимальный RSS (в байтах).
  • RES_STACK — максимальный размер стека (в байтах).

Далее...

Grsecurity: Управление доступом с помощью ACL.

Вторник, 30 июня 2009 г.
Рубрика: Безопасность -> Управление доступом
Метки: | | | |

Управление доступом - самый большой раздел Grsecurity, но, потому что управ­ление доступом реализуется с помощью ACL, здесь нет опций ядра, который связанны с управлением доступом, и это при том, что ACL относится к уровню ядра.

     Настройка ACL делается с помощью утилиты gradm. Применение системы RBAC необязательно, но нужно учитывать, что без ACL крекер может легко обойти некоторые функции Grsecurity.

Далее...

Grsecurity: Защита исполняемых файлов и сети.

Понедельник, 29 июня 2009 г.
Рубрика: Безопасность -> Управление доступом
Метки: | |

Защита исполняемых файлов (Executable Protection).

     Enforce RLIMIT_NPROC on exec (CONFIG_GRKERNSEC_EXECVE) -Проверка лимитов ресурсов во время вызова exec

     RLIMITN_PROC (настраивается через /etc/limits) дает возможность ограничить ресурсы пользователя. По умолчанию ресурсы проверяются только во время fork(). Включение этой опции позволяет производить проверку ресурсов во время вызова execve().

     Dmesg Restriction (CONFIG GRKERNSEC DMESG) - Ограничение dmesg

     Команда dmesg дает возможность пользователю просматривать последние записанные сообщения ядра. Включение этой опции позволяет выполнять программу dmesg только пользователю root.

Далее...

Grsecurity: Аудит ядра.

Понедельник, 29 июня 2009 г.
Рубрика: Безопасность -> Управление доступом
Метки: | |

Это меню дает возможность записывать некоторые системные вызовы (например, execve() и fork()). Нужно включить все эти опции:

Далее...

Grsecurity: Защита файловой системы.

Вторник, 23 июня 2009 г.
Рубрика: Безопасность -> Управление доступом
Метки: | | |

Защита файловой системы (Filesystem Protection).

     Как говорилось ранее, псевдофайловая система /prос предоставляет информацию о процессах, которую может употреблять хакер в своих целях. Эта опция дает возможность ограничить доступ к /proc двумя способами:

  • Restrict /proc to User Only (CONFIG_GRKERNSEC_USER) - не root- пользователи не смогут просматривать /proc-информацию о процессах других пользователей, а также информацию о сети и информацию, относящуюся к ядру.
  • Allow Special Group (CONFIGGRKERNSEC USERGROUP)

    — создается специальная группа, которой можно просматривать /proc-информацию. GID этой группы должен быть указан в опции GID for Special Group (CONFIG_GRKERNSEC_PROC_GID).

Далее...