grsecurity

Tela Software:
grsecurity
Detalhes de Software:
Versão: 2.1.10
Data de upload: 3 Jun 15
Revelador: spender
Licença: Livre
Popularidade: 27

Rating: 5.0/5 (Total Votes: 1)

grsecurity é um sistema de segurança completa para o Linux 2.4 que implementa a / prevenção estratégia de detecção / contenção. Ela impede que a maioria das formas de modificação espaço de endereço, programas confins através do seu sistema de controle de acesso baseado em função, endurece syscalls, fornece auditoria completo, e implementa muitas das características aleatoriedade do OpenBSD.
Ele foi escrito para o desempenho, facilidade de uso e segurança. O sistema RBAC tem um modo de aprendizagem inteligente que pode gerar políticas privilégio mínimo para todo o sistema sem nenhuma configuração. Todos grsecurity suporta um recurso que registra o IP do invasor que faz com que um alerta ou auditoria.
Aqui estão algumas características-chave de "grsecurity":
Futuros principais:
· Controle de acesso baseado em função
· Usuário, grupo e papéis especiais
· Apoio de domínio para usuários e grupos
· Tabelas de transição Papel
· Papéis baseados em IP
· O acesso não-root para papéis especiais
· Papéis especiais que não necessitam de autenticação
· Indivíduos aninhados
· Apoio variável na configuração
· E, ou, e operações de diferença de conjunto de variáveis ​​na configuração
· O modo de objeto que controla a criação de arquivos setuid e setgid
· Criar e excluir modos de objeto
· Interpretação Kernel de herança
· Resolução de expressão regular em tempo real
· Capacidade para negar ptraces para processos específicos
· Usuário e grupo verificação de transição e execução em uma base inclusiva ou exclusiva
· / Dev / entrada grsec para autenticação kernel e registros de aprendizado
· Código de próxima geração que produz as políticas menos privilégios para todo o sistema sem nenhuma configuração
· Estatísticas de política para gradm
· Aprendizagem baseada Inheritance
· Aprender arquivo de configuração que permite que o administrador para permitir a aprendizagem baseada em herança ou desativar a aprendizagem em caminhos específicos
· Caminhos completos para processo ofensivo e processo pai
· Função do estado RBAC para gradm
· / Proc // ipaddr dá o endereço remoto da pessoa que iniciou um determinado processo
· Aplicação de políticas de seguro
· Suporta ler, escrever, anexe, executar, ver e ler somente permissões de objeto ptrace
· Apoia esconder, proteger e substituir bandeiras sujeitas
· Suporta as bandeiras PaX
· O recurso de proteção de memória compartilhada
· Integrado resposta ataque local em todos os alertas
· Assunto bandeira que garante um processo que nunca pode executar código trojaned
·-Featured completa auditoria de grão fino
· Recursos, socket, e apoio capacidade
· Proteção contra explorar bruteforcing
· / Proc / pid FileDescriptor / proteção de memória
· As regras podem ser colocados em arquivos inexistentes / processos
· Política de regeneração em sujeitos e objetos
· Supressão log configurável
· Contabilidade processo configurável
· Configuração legível
· Não filesystem ou arquitetura dependente
· Escalas bem: suporta tantas políticas como a memória pode lidar com o mesmo impacto no desempenho
· Nenhuma alocação de memória de tempo de execução
· Seguro SMP
· O eficiência de tempo para a maioria das operações
· Incluir directiva para a especificação de políticas adicionais
· Ativar, desativar recarregar capacidades
· Opção para esconder processos de kernel
 
Restrições chroot
· Não anexar memória compartilhada fora do chroot
· Nenhuma matança fora do chroot
· Não ptrace fora do chroot (independente de arquitetura)
· Não capget fora do chroot
· Não fora setpgid de chroot
· Não fora getpgid de chroot
· Não getsid fora do chroot
· Não envio de sinais por fcntl fora do chroot
· Sem visualização de qualquer processo fora do chroot, mesmo que / proc está montado
· Sem montagem ou remontagem
· Não pivot_root
· Nenhuma dupla chroot
· Não fchdir de chroot
· Chdir Forçados ("/") em cima do chroot
· Não (f) chmod + s
· Não mknod
· Não sysctl escreve
· No levantamento de prioridade programador
· Não ligar para abstrair sockets de domínio unix fora do chroot
· Remoção de privilégios nocivos por meio de recursos
· Logging Exec dentro de chroot
 
Endereço protecção modificação de espaço
 
· Pax: aplicação com base em páginas de páginas de usuários não-executáveis ​​para i386, sparc, sparc64, alpha, parisc, amd64, ia64, e ppc; acerto de desempenho insignificante em todas as CPUs i386 mas Pentium 4
· Pax: implementação baseada em Segmentação de páginas de usuários não-executáveis ​​para i386 sem impacto no desempenho
· Pax: implementação baseada em segmentação de páginas do kernel não-executáveis ​​para i386
· Pax: restrições MProtect evitar novo código de entrar em uma tarefa
· Pax: Randomization de pilha e mmap base para i386, sparc, sparc64, alpha, parisc, amd64, ia64, ppc, e mips
· Pax: Randomization da base de pilha para i386, sparc, sparc64, alpha, parisc, amd64, ia64, ppc, e mips
· Pax: Randomization da base executável para i386, sparc, sparc64, alpha, parisc, amd64, ia64, e ppc
· Pax: Randomization de pilha do kernel
· Pax: emular automaticamente trampolins sigreturn (para libc5, glibc 2.0, uClibc, Modula-3 de compatibilidade)
· PaX: Sem deslocalizações ELF .text
· Pax: emulação de Trampolim (GCC e linux sigreturn)
· Pax: emulação PLT para arquiteturas não-i386
· Nenhuma modificação do kernel via / dev / mem, / dev / kmem ou / dev / porto
· Opção para desativar o uso de E / S bruta
· Remoção de endereços de / proc // [mapas | estatística]
 
Recursos de auditoria
 
· Opção para especificar único grupo para auditar
· Logging Exec com argumentos
· Logging recurso negado
· Logging Chdir
· Montar e desmontar o registo
· Criação IPC / log remoção
· Logging Signal
· Falha de registro garfo
· Mudança do tempo de registro
 
Características randomização
 
· Maiores piscinas de entropia
· Os números de sequência inicial TCP Randomized
· PIDs randomizados
· Randomized IP IDs
· Randomizados portas de origem TCP
· Randomizados XIDs RPC
 
Outras características
 
· Restrições / proc que não vazar informações sobre proprietários de processos
· Restrições Symlink / hardlink para prevenir / raças tmp
· Restrições FIFO
· Dmesg (8) restrição
· Implementação aprimorada de Execução Caminho Confiável
· Restrições Tomada baseados em GID
· Quase todas as opções são sysctl-ajustável, com um mecanismo de bloqueio
· Todos os alertas e auditorias suporta um recurso que registra o endereço IP do atacante com o log
· Conexões Córrego através sockets de domínio unix transportar o endereço IP do atacante com eles (no 2.4 apenas)
· Detecção de conexões locais: cópias de endereço IP do atacante para a outra tarefa
· Dissuasão automática de explorar bruteforcing
· Níveis de segurança Baixo, Médio, Alto e Personalizado
· Tempo de inundação Tunable e explodiu para o registo
O que há de novo nesta versão:
· Correções para apoio bandeira PaX no sistema RBAC.
· Atualizações pax para arquiteturas não-x86 em 2.4.34 patch.
· A setpgid em chroot problema foi corrigido.
· A característica PIDs randomizado foi removido.
· Esse uso correções de libertação / proc em um chroot em 2,6 patch.
· Ele adiciona uma função admin à política gerada a partir de aprendizado completo.
· Ele sincroniza novamente o código PaX no patch 2.4.
· Ele foi atualizado para Linux 2.4.34 e 2.6.19.2.

Comentário para grsecurity

Comentários não encontrado
Adicionar comentário
Ligue imagens!