Личный блог Suvan`a.

Работая и играя с Linux... И что из этого иногда получается.

Grsecurity

Сравнение технологий.

Рубрики: Безопасность | Управление доступом
Метки: | | | | |
Дата: 15/07/2009 10:09:39
Подписаться на комментарии по RSS

Учитывая популярность вышеописанных систем, можно сказать, какая наиболее подходит для защиты конкретной системы. DTE является наименее распространенной, поэтому можно скон­центрировать все внимание на хорошо опробованных технологиях - SE­Linux, Grsecurity, LIDS и RSBAC.

     SELinux - самая сложная в настройке системы. Чтобы понять, как работа­ет SELinux, надо заново воспринять фундаментальные Unix-концепции пользователей, групп и прав доступа. Масла в огонь добавляет язык опи­сания правил - он очень сложен, хотя таким он кажется на первый взгляд, пока не разберешся с ним. Однако, несмотря на сложность настройки, SELinux - наверное, самая мощная и защищенная реализация МАС-модели.

     LIDS, RSBAC и Grsecurity основаны на ACL, благодаря чему данные системы заметно проще изучать, чем SELinux. Кроме данного, они содержат много дополнительных функций, к примеру определение сканирования портов (LIDS), защиту памяти РаХ (Grsecurity и RSBAC), и «укрепление» chroot (Grsecurity).

Далее...

Автоматическая генерация ACL.

Рубрики: Безопасность | Управление доступом
Метки: |
Дата: 01/07/2009 11:23:24
Подписаться на комментарии по RSS

Ранее было сказано, что ключевая цель (и ведущее преимущество) Grsecurity состоит в том, чтобы максимально упростить настройку системы безопасности. А тут столько разговоров о различных ACL, ролях, субъектах и объектах.

     Для автоматического создания файла правил Grsecurity предоставляет ре­жим обучения. Даже если есть охота создавать файлы правил вручную, рекомендуется употреблять режим обучения - он послужит фунда­ментом для собственного файла.

Далее...

Роли ACL.

Рубрики: Безопасность | Управление доступом
Метки: | |
Дата: 01/07/2009 11:02:15
Подписаться на комментарии по RSS

Одна из новейших функций Grsecurity - это RBAC, предоставляющая ад­министратору дополнительный контроль над элементами. В этой реали­зации RBAC ведущим понятием представляется роль: один или более субъектов могут исполнять какую-то роль, вы можете объявить один и тот же объект несколько раз, но для различных ролей.

     Роль отображается следующим образом:

role <имя роли> - <необязательные режимы роли>

Далее...

Grsecurity: ACL, ограничение ресурсов.

Рубрики: Безопасность | Управление доступом
Метки: | |
Дата: 30/06/2009 09:20:29
Подписаться на комментарии по RSS

Ограничение ресурсов.

     Ограничение ресурсов процесса задается в виде:

<имя ресурса> <"мягкий" лимит> <"жесткий" лимит>

     Доступны следующие ресурсы:

  • RES_AS — ограничение адресного пространства (в байтах).
  • RES_CORE — максимальный размер файла core (в байтах).
  • RES_CPU — максимальное процессорное время (в мс).
  • RES_DATA — максимальный размер данных (в байтах).
  • RES_FSIZE — максимальный размер файла (в байтах).
  • RES_LOCKS — максимальное число блокировок файлов.
  • RES_MEMLOCK — максимальное число блокировок памяти (в байтах).
  • RES_NOFILE — максимальное число открытых файлов. Нужно помнить, что минимально допустимое число открытых файлов равно 3 — для STDOUT, STDIN и STDERR.
  • RES_NPROC — максимальное число процессов.
  • RES_RSS — максимальный RSS (в байтах).
  • RES_STACK — максимальный размер стека (в байтах).

Далее...

Grsecurity: Управление доступом с помощью ACL.

Рубрики: Безопасность | Управление доступом
Метки: | | | |
Дата: 30/06/2009 08:50:27
Подписаться на комментарии по RSS

Управление доступом - самый большой раздел Grsecurity, но, потому что управ­ление доступом реализуется с помощью ACL, здесь нет опций ядра, который связанны с управлением доступом, и это при том, что ACL относится к уровню ядра.

     Настройка ACL делается с помощью утилиты gradm. Применение системы RBAC необязательно, но нужно учитывать, что без ACL крекер может легко обойти некоторые функции Grsecurity.

Далее...

Grsecurity: Защита исполняемых файлов и сети.

Рубрики: Безопасность | Управление доступом
Метки: | |
Дата: 29/06/2009 17:41:53
Подписаться на комментарии по RSS

Защита исполняемых файлов (Executable Protection).

     Enforce RLIMIT_NPROC on exec (CONFIG_GRKERNSEC_EXECVE) -Проверка лимитов ресурсов во время вызова exec

     RLIMITN_PROC (настраивается через /etc/limits) дает возможность ограничить ресурсы пользователя. По умолчанию ресурсы проверяются только во время fork(). Включение этой опции позволяет производить проверку ресурсов во время вызова execve().

     Dmesg Restriction (CONFIG GRKERNSEC DMESG) - Ограничение dmesg

     Команда dmesg дает возможность пользователю просматривать последние записанные сообщения ядра. Включение этой опции позволяет выполнять программу dmesg только пользователю root.

Далее...

Grsecurity: Аудит ядра.

Рубрики: Безопасность | Управление доступом
Метки: | |
Дата: 29/06/2009 17:33:58
Подписаться на комментарии по RSS

Это меню дает возможность записывать некоторые системные вызовы (например, execve() и fork()). Нужно включить все эти опции:

Далее...