Личный блог Suvan`a.

Работая и играя с Linux... И что из этого иногда получается.

Grsecurity: Аудит ядра.

Рубрика: Безопасность -> Управление доступом
Метки: | |
Понедельник, 29 июня 2009 г.
Просмотров: 4958
Подписаться на комментарии по RSS

Это меню дает возможность записывать некоторые системные вызовы (например, execve() и fork()). Нужно включить все эти опции:


  • Single Group for Auditing (CONFIG_ GRKERNSEC_AUDIT GROUP) - Grsecurity дает возможность протоколировать действия поль­зователя (в частности, exec, chdir, mount/unmount и IPC). Записываются действия не всех пользователей, а только пользователей, которые входят в определенную группу, GID которой указан в опции GID for Auditing (CONFIG_GRKERNSEC AUDIT GID). Чтобы записывать действия конкретного пользователя, его можно доба­вить в эту группу.
  • Exec Logging (CONFIG GRKERNSECJEXELOG) - записывает все системные вызовы execve(), сделанные пользовательским процессом. Опция дает возможность администратору отслеживать все про­граммы, запускаемые пользователем.
  • Resource Logging (CONFIG_GRKERNSEC RESLOG) - записывает попытки пользователя превысить лимит ресурса (например, максимальное число процессов).
  • Log execs Within chroot (CONFIG_GRKERNSEC_CHROOT

    EXELOG) — протоколирует вызовы execve() в пределах chroot-окружения.

  • Chdir Logging (CONFIG_ GRKERNSEC_AUDIT_CHDIR) - позволяет записывать вызовы chdir().
  • (Un)Mount Logging (CONFIG_GRKERNSEC_AUDIT_MOUNT) - записывает монтирование и размонтирование файловых сис­тем.
  • IPC Logging (CONFIG_GRKERNSEC_AUDIT_IPC): записывает разделяемую память, семафоры и очереди сообщений - все это относится к межпроцессному взаимодействию.
  • Signal Logging (CONFIG_GRKERNSEC_SIGNAL) - записывает важные сигналы, например SIGSERV (Segmentation Fault), которые могут сигнализировать о попытке взлома приложения.
  • Fork Failure Logging (CONFIG_GRKERNSEC_FORKFAIL) - записывает неудачные попытки системного вызова fork(). Чаще всего вызов fork() проваливается, если превышен лимит ресурса - это может быть признаком атаки "fork bomb", когда крекер вызывает большое количество fork'oв, чтобы не дать возможности системе запустить свой процесс.
  • Time Change Logging (CONFIGGRKERNSEC TIME) - записывает изменения системных часов.
  • /proc/<pid>/paddler Support (CONFIG_GRKERNSEC_PROC_IPADDR) - при включении данной опции для каждого нового процесса в файловой системе /рrос появится новый элемент paddler, содержащий IP-адрес пользователя, использующего процесс.

Оставьте комментарий!

Не регистрировать/аноним

Используйте нормальные имена.

Если вы уже зарегистрированы как комментатор или хотите зарегистрироваться, укажите пароль и свой действующий email.
(При регистрации на указанный адрес придет письмо с кодом активации и ссылкой на ваш персональный аккаунт, где вы сможете изменить свои данные, включая адрес сайта, ник, описание, контакты и т.д.)



(обязательно)