Личный блог Suvan`a.

Работая и играя с Linux... И что из этого иногда получается.

Grsecurity

Grsecurity: Защита файловой системы.

Рубрики: Безопасность | Управление доступом
Метки: | | |
Дата: 23/06/2009 10:26:09
Подписаться на комментарии по RSS

Защита файловой системы (Filesystem Protection).

     Как говорилось ранее, псевдофайловая система /prос предоставляет информацию о процессах, которую может употреблять хакер в своих целях. Эта опция дает возможность ограничить доступ к /proc двумя способами:

  • Restrict /proc to User Only (CONFIG_GRKERNSEC_USER) - не root- пользователи не смогут просматривать /proc-информацию о процессах других пользователей, а также информацию о сети и информацию, относящуюся к ядру.
  • Allow Special Group (CONFIGGRKERNSEC USERGROUP)

    — создается специальная группа, которой можно просматривать /proc-информацию. GID этой группы должен быть указан в опции GID for Special Group (CONFIG_GRKERNSEC_PROC_GID).

Далее...

Установка Grsecurity.

Рубрики: Безопасность | Управление доступом
Метки: | | |
Дата: 19/06/2009 11:49:43
Подписаться на комментарии по RSS

В отличие от SELinux, которая направлена на одну задачу мандатного управления доступом, Grsecurity предоставляет более обширный диапазон технологий укрепления системы, частично перенесенных из мира Open-BSD. Grsecurity реализует мандатное управление доступом (MAC) через применение списков доступа ACL.

     Одна из основных целей Grsecurity - сократить до минимума конфигура­цию системы, потому что сложно настраиваемые системы часто настраива­ются неправильно, что приводит к возникновению потенциальных «дыр» в системе безопасности. Grsecurity значительно проще в на­стройке и использовании, чем SELinux.

     Некоторые основные функции Grsecurity:

Далее...

Неисполнимая память.

Рубрики: Безопасность | Укрепляем Linux
Метки: |
Дата: 03/06/2009 14:45:04
Подписаться на комментарии по RSS

Проект РаХ представляется частью большого проекта Grsecurity. РаХ предоставляет защиту памяти, делая стек неисполнимым. В дополнение к этому РаХ предоставляет несколько других важных функций: например рандомизацию размещения адресного про­странства.

Далее...