grsecurity

Скріншот програми:
grsecurity
Дані програми:
Версія: 2.1.10
Дата завантаження: 3 Jun 15
Розробник: spender
Ліцензія: Безкоштовно
Популярність: 27

Rating: 5.0/5 (Total Votes: 1)

Grsecurity це повноцінна система безпеки для Linux 2.4, який реалізує виявлення / запобігання / стратегії стримування. Це запобігає більшість форм адресний простір модифікації, обмежує програми за допомогою своїй основі ролей системи контролю доступу, твердне системні виклики, забезпечує повнофункціональний аудит і реалізує багато функцій випадковості OpenBSD.
Вона була написана для виконання, простота у використанні і безпеку. Система RBAC має інтелектуальний режим навчання, який може генерувати найменших привілеїв політики для всієї системи з без зміни. Всі Grsecurity підтримує функцію, яка реєструє IP атакуючого, що викликає тривогу або аудиту.
Ось деякі ключові особливості "Grsecurity":
Основні Ф'ючерси:
· На основі ролей управління доступом
· Користувач, група, і особливої ​​ролі
· Підтримка домену для користувачів і груп
· Столи Роль переходу
· Роль IP-основі
· Номери для кореневої доступ до спеціальних ролям
· Спеціальні ролей, які не вимагають аутентифікації
· Вкладені предмети
· Підтримка змінних в конфігурації
· І, або й різниця встановити операції на змінних в конфігурації
· Режим об'єкта, який управляє створення Setuid і setgid файли
· Створення та видалення об'єктів режими
· Ядро інтерпретація спадкування
· У режимі реального часу дозвіл регулярних виразів
· Можливість заборонити ptraces в конкретних процесів
· Користувач і група перевірка переходу та органів по інклюзивної або ексклюзивній основі
· / DEV / grsec запис для аутентифікації ядра і журналів навчання
· Наступне покоління код, який виробляє політики найменш привілеїв для всієї системи без налаштування
· Статистика політики для gradm
· Спадкування на основі навчання
· Вивчення файл конфігурації, що дозволяє адміністратору включити спадкування на основі навчання або відключити навчання на конкретних шляхів
· Повні імена для процесу порушника і батьківського процесу
· Функція статус RBAC для gradm
· / Праці // IPADDR дає віддалений адресу людини, який почав цей процес
· Безпечне застосування політики
· Підтримка читати, писати, додавати, виконувати перегляд і тільки для читання дозволу для об'єктів ptrace
· Підтримка приховати, захистити, і перевизначити за умови прапори
· Підтримка прапори PAX
· Функція захисту Спільна пам'ять
· Вбудований місцеву реакцію атаки на всіх попереджень
· Тема прапор, який забезпечує процес ніколи не може виконати trojaned код
· Повнофункціональний детальний аудит
· Ресурс, розетка, і підтримка здатність
· Захист від експлуатації bruteforcing
· / Праці / PID FileDescriptor / захист пам'яті
· Правила можуть бути розміщені на неіснуючі файли / процеси
· Політика регенерації на суб'єктів і об'єктів
· Настроюваний придушення журналу
· Настроюваний процес обліку
· Конфігурація легкий для читання
· Чи не файлової системи або залежить від архітектури
· Ваги добре: підтримує стільки політики, як пам'ять може працювати з тією ж продуктивністю хіт
НЕ · Немає виділення пам'яті під час виконання
· СМП безпечно
· Про тимчасова ефективність для більшості операцій
· Включити директиву вказівки додаткових політики
· Включення, відключення перезавантажити можливості
· Можливість приховати процесів ядра
 
Обмеження CHROOT
· Немає кріплення розділяється пам'яті за межами Chroot
· Ні вбивств за межами Chroot
· Ні ptrace межами Chroot (залежить від архітектури)
· Ні capget межами Chroot
· Ні setpgid межами Chroot
· Ні getpgid межами Chroot
· Ні getsid межами Chroot
НЕ · Немає відправки сигналів FCNTL межами Chroot
· Немає перегляд будь-якого процесу поза Chroot, навіть якщо / Праці не встановлений
НЕ · Ні монтажу або перемонтажа
НЕ · Ні pivot_root
НЕ · Ні подвійний кореневим
· Ні fchdir з Chroot
· Насильницькі ChDir ("/") по Chroot
НЕ · Ні (е) CHMOD + S
НЕ · Ні mknod
· Ні Sysctl не пише
· Ні підвищення пріоритету планувальника
НЕ · Немає підключення до абстрактних сокетов Unix межами Chroot
· Видалення шкідливих привілеїв за допомогою можливостей
· Exec реєстрації в Chroot
 
Адреса захист простір модифікація
 
· PaX: Сторінка основі реалізація невиконувані користувальницьких сторінок для i386, SPARC, sparc64, альфа, parisc, amd64, ia64, і КПП; незначним хітом продуктивність на всіх процесорах i386, але Pentium 4
· PaX: Сегментація на основі реалізації невиконувані користувальницьких сторінок для i386 без будь-яких втрати продуктивності
· PaX: Сегментація на основі реалізації невиконувані сторінок ядра для i386
· PaX: Mprotect обмеження перешкоджають новий код від входу завдання
· PaX: рандомизация стека і ТСМА бази для i386, SPARC, sparc64, альфа, parisc, amd64, ia64, PPC, MIPS і
· PaX: Рандомизация купи бази для i386, SPARC, sparc64, альфа, parisc, amd64, ia64, PPC, MIPS і
· PaX: Випадковість виконуваного бази для i386, SPARC, sparc64, альфа, parisc, amd64, ia64, і КПП
· PaX: рандомизация стека ядра
· PaX: Автоматично наслідувати sigreturn батути (для libc5, GLibC 2.0, uClibc, Модула-3 сумісність)
· PaX: Ні ELF .text переселення
· PaX: емуляція Батут (ССЗ і Linux sigreturn)
· PaX: PLT емуляції для не-i386 арками
· Ні модифікація ядра за допомогою / DEV / MEM /, Dev / kmem, або / Dev / порт
· Можливість відключити використання прямого введення / виводу
· Видалення адрес з / Proc // [карти | статистика]
 
Особливості аудиту
 
· Можливість задати одну групу для проведення аудиту
· Exec реєстрації з аргументами
· Відмова реєстрації ресурсів
· Реєстрація Chdir
· Монтувати і демонтувати реєстрації
· Створення IPC / реєстрація видалення
· Реєстрація сигналу
· Не вдалося вилка реєстрації
· Час реєстрації змін
 
Особливості рандомизации
 
· Великі басейни ентропія
· Рандомизированное TCP Числа вихідної послідовності
· Рандомізовані ПІД
· Рандомизированное IP-ідентифікатори
· Рандомізовані порти TCP джерела
· Рандомізовані RPC XIDs
 
Інші особливості
 
· Обмеження / Proc, що не пропускають інформацію про власників процесу
· Посиланням / Hardlink обмеження для запобігання / TMP гонки
· FIFO обмеження
· Dmesg (8) обмеження
· Покращена реалізація Trusted Execution Path
· Обмеження гніздо GID основі
· Майже всі варіанти Sysctl перебудовуються, із запірним механізмом
· Всі оповіщення та перевірки підтримки особливість, яка реєструє IP-адреса зловмисника з журналом
· З'єднання потік через доменні сокети Unix здійснювати IP-адреса атакуючого з ними (на 2,4 тільки)
· Виявлення локальних з'єднань: IP-адреса копій атакуючого на інші завдання
· Автоматична стримування використовувати bruteforcing
· Низький рівень, середній, високий та замовлення безпеки
· Настроюваний повені час і увірвалися для реєстрації
Що нового в цій версії:
· Виправлення для підтримки прапора PaX в системі RBAC.
· Оновлення PAX для не-x86 архітектур в 2.4.34 патч.
· Setpgid в задачі CHROOT була виправлена.
· Рандомизированное особливість ПІД був видалений.
· Це використання реліз виправляє / Proc в ізольованому оточенні в 2,6 патча.
Це додає адміністратора, роль генерованого політики від повної навчання.
· Це синхронізує код PAX в 2,4 патча.
· Він був оновлений, щоб Linux 2.4.34 і 2.6.19.2.

grsecurity

Коментар не знайдено
додати коментар
Включіть картинки!