grsecurity هو نظام أمني كامل لينكس 2.4 التي تطبق / الوقاية / استراتيجية الاحتواء الكشف. يمنع معظم أشكال تعديل مساحة العنوان، برامج حدود عبر المستندة إلى دور نظام التحكم في الوصول لها، يصلب syscalls، يوفر التدقيق كامل المواصفات، وتنفيذ العديد من الميزات العشوائية اكبر برهان.
وقد كتب عن الأداء، وسهولة الاستخدام، والأمن. نظام RBAC لديه واسطة التعلم الذكي الذي يمكن أن تولد أقل سياسات امتياز للنظام بأكمله مع أي تكوين. كل grsecurity يدعم ميزة الذي يسجل IP المهاجم الذي يسبب تنبيها أو المراجعة.
وهنا بعض الملامح الرئيسية "grsecurity":
العقود الآجلة رئيسية هي:
· المستندة إلى دور التحكم في الوصول
· المستخدم، المجموعة، والأدوار الخاصة
· دعم المجال للمستخدمين والمجموعات
· الجداول الانتقال دور
· الأدوار القائمة على بروتوكول الإنترنت
· الوصول غير الجذرية لأدوار خاصة
· الأدوار الخاصة التي لا تحتاج إلى مصادقة
· موضوعات متداخلة
· دعم المتغير في التكوين
· و، أو، والاختلاف مجموعة العمليات على المتغيرات في التكوين
· وضع الكائن الذي يسيطر على إنشاء ملفات setuid وsetgid
· إنشاء وحذف وسائط الكائن
· تفسير نواة من الميراث
في الوقت الحقيقي الدقة التعبير العادي
· القدرة على إنكار ptraces لعمليات محددة
· المستخدم وفحص الانتقال مجموعة وإنفاذ على أساس شامل أو خاص
· / ديف / دخول grsec للمصادقة نواة وسجلات التعلم
شفرة الجيل التالي التي تنتج سياسات الأقل امتياز للنظام بأكمله مع أي تكوين
· إحصاءات السياسة لgradm
· التعلم القائم على الوراثة
· التعلم ملف التكوين الذي يسمح المسؤول لتمكين التعلم القائم على الميراث أو تعطيل التعلم على مسارات محددة
· اسم الدليل الكامل لعملية المخالف وعملية الأصل
· وظيفة وضع RBAC لgradm
· / إجراءات // ipaddr يعطي عنوان بعيد عن الشخص الذي بدأ عملية معينة
· تطبيق سياسة تأمين
· يدعم القراءة والكتابة، إلحاق، وتنفيذ، والرأي، وأذونات كائن ptrace للقراءة فقط
ويدعم إخفاء وحماية وتجاوز الأعلام تخضع
ويدعم أعلام باكس
· ميزة حماية الذاكرة المشتركة
· المتكاملة استجابة هجوم المحلية على كافة التنبيهات
· موضوع العلم الذي يضمن أن عملية أبدا تنفيذ قانون trojaned
· كامل المواصفات التدقيق غرامة الحبيبات
· الموارد، ومأخذ، ودعم القدرة
· الحماية من استغلال bruteforcing
· / بروك / PID filedescriptor / حماية الذاكرة
· قوانين يمكن وضعها على الملفات غير موجودة / العمليات
· تجديد السياسة على الموضوعات والأشياء
· قمع سجل شكلي
· عملية المحاسبة شكلي
· تكوين قراءة الإنسان
· ليس نظام ملفات أو الهندسة المعمارية التي تعتمد
· الميزان أيضا: يدعم العديد من السياسات وذاكرة قادرة على التعامل مع نفسه ضرب الأداء
· لا تخصيص الذاكرة وقت التشغيل
· آمنة SMP
· O الكفاءة الوقت بالنسبة لمعظم العمليات
· تضمين التوجيه لتحديد سياسات إضافية
· تمكين أو تعطيل قدرات تحميل
الخيار لإخفاء عمليات النواة
القيود استجذار
· لا ربط الذاكرة المشتركة خارج استجذار
· لا تقتل خارج استجذار
· لا ptrace خارج الاستجذار (عمارة مستقلة)
· لا capget خارج استجذار
· لا خارج setpgid من استجذار
· لا خارج getpgid من استجذار
· لا GETSID خارج استجذار
· لا ترسل الإشارات التي كتبها fcntl خارج استجذار
· لا عرض من أي عملية خارج الاستجذار، حتى لو تم تركيب / إجراءات
· لا التركيب أو إعادة التنضيد
· لا pivot_root
· لا استجذار مزدوج
· لا fchdir من استجذار
· CHDIR القسري ("/") عند الاستجذار
· لا (و) شمود + الصورة
· لا mknod
· لا sysctl يكتب
· لا رفع أولوية جدولة
· لا تتصل مجردة مآخذ مجال يونكس خارج استجذار
· الحرمان من الامتيازات الضارة عبر قدرات
· تسجيل إكسيك داخل استجذار
عنوان تعديل الفضاء الحماية
· باكس: تنفيذ القائم على صفحة من صفحات المستخدم غير قابلة للتنفيذ ل i386، سبارك، sparc64، ألفا، parisc، AMD64، IA64، وقدرة شرائية. ضرب الأداء يذكر على جميع I386 وحدات المعالجة المركزية ولكن بنتيوم 4
· باكس: تنفيذ القائم على تقسيم الصفحات مستخدم غير القابلة للتنفيذ ل i386 مع أي ضرب الأداء
· باكس: تنفيذ القائم على تقسيم الصفحات KERNEL غير قابلة للتنفيذ ل i386
· باكس: القيود Mprotect منع القانون الجديد من دخول مهمة
· باكس: التوزيع العشوائي من المكدس وmmap قاعدة ل i386، سبارك، sparc64، ألفا، parisc، AMD64، IA64، وقدرة شرائية، وMIPS
· باكس: التوزيع العشوائي للقاعدة كومة ل i386، سبارك، sparc64، ألفا، parisc، AMD64، IA64، وقدرة شرائية، وMIPS
· باكس: التوزيع العشوائي للقاعدة قابلة للتنفيذ ل i386، سبارك، sparc64، ألفا، parisc، AMD64، IA64، وقدرة شرائية
· باكس: التوزيع العشوائي من كومة النواة
· باكس: محاكاة تلقائيا الترامبولين sigreturn (لlibc5، سي العمومية 2.0، uClibc، MODULA-3 التوافق)
· باكس: لا الترحيل ELF .text
· باكس: مضاهاة الترامبولين (دول مجلس التعاون الخليجي وينكس sigreturn)
· باكس: مضاهاة معاهدة قانون البراءات لالأقواس غير I386
· لا تعديل نواة عبر / ديف / م، / ديف / kmem أو / ديف / المنفذ
الخيار لتعطيل استخدام I الخام / O
· إزالة عناوين من / إجراءات // [خرائط | القانون الأساسي]
ميزات التدقيق
الخيار لتحديد مجموعة واحدة لتدقيق
· تسجيل إكسيك بحجج
قطع الأشجار الموارد مرفوض
· تسجيل تشدر
· جبل وقطع الأشجار إلغاء تحميل
· إنشاء IPC / إزالة قطع الأشجار
· تسجيل الإشارات
· فشل تسجيل شوكة
· تسجيل تغيير الوقت
ميزات العشوائي
· حمامات الكون أكبر
· العشوائية TCP أرقام تسلسل الأولي
· PIDS العشوائية
· العشوائية IP معرفات
· العشوائية منافذ المصدر TCP
· XIDs RPC العشوائية
ميزات أخرى
· القيود / إجراءات التي لا تسرب المعلومات حول أصحاب العملية
· قيود الارتباط الرمزي / hardlink لمنع سباقات / تمة
· القيود FIFO
· Dmesg (8) تقييد
· تعزيز تنفيذ الموثوق بها تنفيذ مسار
· القيود مأخذ على أساس دائرة المخابرات العامة،
خيارات · تقريبا كلها sysctl-الانضباطي، مع وجود آلية قفل
· جميع التنبيهات والتدقيق تدعم ميزة الذي يسجل عنوان IP للمهاجمين مع سجل
· الاتصالات ستريم عبر مآخذ مجال يونكس تحمل عنوان IP المهاجم معهم (على 2.4 فقط)
· الكشف عن الاتصالات المحلية: نسخ عنوان IP المهاجم إلى مهمة أخرى
· الردع التلقائي للاستغلال bruteforcing
· مستويات الأمان منخفضة، متوسطة، عالية، والعرف
· الانضباطي الفيضانات الوقت وانفجر لتسجيل
ما هو الجديد في هذا الإصدار:
· يحدد لباكس العلم الدعم في نظام RBAC.
· التحديثات باكس للأبنية غير إلى x86 2.4.34 في التصحيح.
· تم إصلاح A setpgid في مشكلة الاستجذار.
· تم إزالة ميزة PIDS العشوائية.
· هذا الاستخدام إصلاحات الإفراج / إجراءات في استجذار في 2.6 التصحيح.
· وتضيف دورا الادارية لسياسة الناتجة عن التعلم الكامل.
· وإعادة مزامنة رمز باكس في التصحيح 2.4.
· تم تحديثها لينكس 2.4.34 و2.6.19.2.
لم يتم العثور على التعليقات