Grsecurity
Сравнение технологий.
Метки: ACL | Grsecurity | LIDS | PaX | RSBAC | SELinux
Дата: 15/07/2009 10:09:39
Подписаться на комментарии по RSS
Учитывая популярность вышеописанных систем, можно сказать, какая наиболее подходит для защиты конкретной системы. DTE является наименее распространенной, поэтому можно сконцентрировать все внимание на хорошо опробованных технологиях - SELinux, Grsecurity, LIDS и RSBAC.
SELinux - самая сложная в настройке системы. Чтобы понять, как работает SELinux, надо заново воспринять фундаментальные Unix-концепции пользователей, групп и прав доступа. Масла в огонь добавляет язык описания правил - он очень сложен, хотя таким он кажется на первый взгляд, пока не разберешся с ним. Однако, несмотря на сложность настройки, SELinux - наверное, самая мощная и защищенная реализация МАС-модели.
LIDS, RSBAC и Grsecurity основаны на ACL, благодаря чему данные системы заметно проще изучать, чем SELinux. Кроме данного, они содержат много дополнительных функций, к примеру определение сканирования портов (LIDS), защиту памяти РаХ (Grsecurity и RSBAC), и «укрепление» chroot (Grsecurity).
Автоматическая генерация ACL.
Метки: ACL | Grsecurity
Дата: 01/07/2009 11:23:24
Подписаться на комментарии по RSS
Ранее было сказано, что ключевая цель (и ведущее преимущество) Grsecurity состоит в том, чтобы максимально упростить настройку системы безопасности. А тут столько разговоров о различных ACL, ролях, субъектах и объектах.
Для автоматического создания файла правил Grsecurity предоставляет режим обучения. Даже если есть охота создавать файлы правил вручную, рекомендуется употреблять режим обучения - он послужит фундаментом для собственного файла.
Роли ACL.
Метки: ACL | Grsecurity | RBAC
Дата: 01/07/2009 11:02:15
Подписаться на комментарии по RSS
Одна из новейших функций Grsecurity - это RBAC, предоставляющая администратору дополнительный контроль над элементами. В этой реализации RBAC ведущим понятием представляется роль: один или более субъектов могут исполнять какую-то роль, вы можете объявить один и тот же объект несколько раз, но для различных ролей.
Роль отображается следующим образом:
Grsecurity: ACL, ограничение ресурсов.
Метки: ACL | Grsecurity | limit
Дата: 30/06/2009 09:20:29
Подписаться на комментарии по RSS
Ограничение ресурсов.
Ограничение ресурсов процесса задается в виде:
Доступны следующие ресурсы:
- RES_AS — ограничение адресного пространства (в байтах).
- RES_CORE — максимальный размер файла core (в байтах).
- RES_CPU — максимальное процессорное время (в мс).
- RES_DATA — максимальный размер данных (в байтах).
- RES_FSIZE — максимальный размер файла (в байтах).
- RES_LOCKS — максимальное число блокировок файлов.
- RES_MEMLOCK — максимальное число блокировок памяти (в байтах).
- RES_NOFILE — максимальное число открытых файлов. Нужно помнить, что минимально допустимое число открытых файлов равно 3 — для STDOUT, STDIN и STDERR.
- RES_NPROC — максимальное число процессов.
- RES_RSS — максимальный RSS (в байтах).
- RES_STACK — максимальный размер стека (в байтах).
Grsecurity: Управление доступом с помощью ACL.
Метки: ACL | Grsecurity | PaX | SGID | SUID
Дата: 30/06/2009 08:50:27
Подписаться на комментарии по RSS
Управление доступом - самый большой раздел Grsecurity, но, потому что управление доступом реализуется с помощью ACL, здесь нет опций ядра, который связанны с управлением доступом, и это при том, что ACL относится к уровню ядра.
Настройка ACL делается с помощью утилиты gradm. Применение системы RBAC необязательно, но нужно учитывать, что без ACL крекер может легко обойти некоторые функции Grsecurity.
Grsecurity: Защита исполняемых файлов и сети.
Метки: Grsecurity | ISN | RPC
Дата: 29/06/2009 17:41:53
Подписаться на комментарии по RSS
Защита исполняемых файлов (Executable Protection).
Enforce RLIMIT_NPROC on exec (CONFIG_GRKERNSEC_EXECVE) -Проверка лимитов ресурсов во время вызова exec
RLIMITN_PROC (настраивается через /etc/limits) дает возможность ограничить ресурсы пользователя. По умолчанию ресурсы проверяются только во время fork(). Включение этой опции позволяет производить проверку ресурсов во время вызова execve().
Dmesg Restriction (CONFIG GRKERNSEC DMESG) - Ограничение dmesg
Команда dmesg дает возможность пользователю просматривать последние записанные сообщения ядра. Включение этой опции позволяет выполнять программу dmesg только пользователю root.
Grsecurity: Аудит ядра.
Метки: chroot | Grsecurity | proc
Дата: 29/06/2009 17:33:58
Подписаться на комментарии по RSS
Это меню дает возможность записывать некоторые системные вызовы (например, execve() и fork()). Нужно включить все эти опции: