grsecurity项目是Linux 2.4一个完整的安全系统,该系统实现了检测/防御/遏制战略。它可以防止大多数形式的地址空间的修改,束缚计划通过其基于角色的访问控制系统,系统调用变硬,提供全功能的审核,并实现了许多OpenBSD的随机性特征。
它是为便于使用性能,以及安全写入。该RBAC系统具有智能学习模式,可以产生对整个系统没有配置最小特权政策。所有的Grsecurity的支持功能,日志,导致警报或审计攻击者的IP。
这里是“grsecurity项目”的一些主要特点:
主力期货:
·基于角色的访问控制
·用户,组和特殊角色
·用户和组域支持
·角色转换表
·基于IP的角色
·非根访问特殊角色
·需要任何身份验证特殊角色
·嵌套科目
·在配置变量支持
·与,或,和差集操作在配置变量
·控制创造setuid和setgid文件对象模型
·创建和删除对象的方式
继承·内核解读
·实时的正则表达式解析
·能够否认ptraces具体流程
·用户和组过渡检查和执法上的包容性或独占的基础
内核认证和学习日志·的/ dev / grsec进入
·产生最小特权政策,对整个系统没有配置下一代代码
·对于gradm政策统计
·继承为基础的学习
·学习配置文件,允许管理员启用继承为基础的学习或禁用对学习特定路径
·全路径名有问题的进程和父进程
·RBAC状态功能gradm
·的/ proc // IPADDR给人的人谁开始一个给定的过程中,远程地址
·安全策略实施
·支持读,写,追加,执行,查看和只读ptrace的对象权限
·支持隐藏,保护,并覆盖主体标志
·支持大同标志
·共享内存保护功能
·集成的所有警报本地攻击响应
·主题标志,确保了过程不能执行木马代码
·全功能细粒度审计
·资源,插座和功能的支持
·防止利用暴力破解
·/ proc /进程文件描述符/内存保护
·规则可以放在不存在的文件/进程
对主体和客体·再生政策
·配置日志抑制
·配置进程记帐
·人类可读的配置
·不是文件系统或体系结构相关
·很好地进行扩展:支持多达政策内存可以处理相同的性能损失
·没有运行时内存分配
·SMP安全
对于大多数操作·O时间效率
·include指令以指定其他政策
·启用,禁用,重新加载能力
·选项隐藏内核进程
chroot环境的限制
·chroot环境之外没有附加共享内存
·chroot环境之外没有杀
·chroot环境之外没有ptrace的(平台无关的)
·chroot环境之外没有capget
·没有setpgid chroot环境之外的
·无getpgid chroot环境之外的
·chroot环境之外没有GETSID
·无发送信号,通过chroot环境的fcntl之外
·没有任何观看过程的chroot环境之外,即使是在/ proc安装
·不安装或重新安装
·无pivot_root
·无双重的chroot
·没有fchdir出来的chroot的
·强制CHDIR在chroot环境(“/”)
·否(六)搭配chmod + S
·没有用mknod
·没有写的sysctl
·调度优先级提高无
·没有连接到抽象的UNIX域套接字chroot环境之外
·通过能力清除有害特权
·在chroot环境Exec的日志
地址空间修饰保护
·PaX的:基于页面的不可执行的用户页面的i386,SPARC,SPARC64,阿尔法,PARISC,AMD64,IA64,和PPC的执行情况;在所有的i386的CPU,但奔腾4性能可以忽略不计命中
·PaX的:分割为基础实现非可执行用户页面的i386的,没有性能损失
·PaX的:细分化实施的非执行内核页,I386
·PaX的:MPROTECT限制,防止新的代码进入任务
·PaX的:为I386,SPARC,SPARC64,阿尔法,PARISC,AMD64,IA64,PPC和MIPS堆栈和MMAP随机化基地
·PaX的:堆基地的i386,SPARC,SPARC64,阿尔法,PARISC,AMD64,IA64,PPC和MIPS的随机
·PaX的:可执行基地的i386,SPARC,SPARC64,阿尔法,PARISC,AMD64,IA64,和PPC的随机
·PaX的:随机内核堆栈
·PaX的:自动仿真sigreturn蹦床(为libc5的,2.0的glibc,uClibc的,Modula-3语言兼容)
·PaX的:没有ELF的.text搬迁
·PaX的:蹦床仿真(GCC及Linux的sigreturn)
·PaX的:PLT仿真非i386的archs
·通过的/ dev / MEM中,/ dev / kmem的,或/ dev /端口号修改内核
·选项来禁用使用原始I / O
·除去从/ proc // [地图|统计]地址
审计功能
·选项来指定单个组审核
·Exec的记录与参数
·拒绝资源记录
·CHDIR记录
·安装和卸载记录
·IPC创建/移除日志
·信号记录
·失败叉记录
·时间更改日志记录
随机化功能
·较大的熵池
·随机TCP初始序列号
·随机的PID
·IP随机编号
·随机TCP源端口
·随机RPC的XID
其他特性
·/ proc限制不泄漏有关流程所有者信息
·建立/硬连接限制,以防止/ tmp目录比赛
·FIFO限制
·dmesg的(8)限制
·可信路径的执行落实增强
·GID型插座限制
·几乎所有的选项的sysctl可调,带锁定装置
·所有的警报和审计支持功能,记录攻击者的IP地址与日志
·在UNIX域套接字流连接进行攻击者的IP地址与他们(2.4只)
·检测本地连接的:副本攻击者的IP地址等任务
·自动威慑利用暴力破解
·低,中,高和自定义安全级别
·可调洪水的时间和突发记录
什么是新的,在此版本:
·修正了在RBAC系统PaX的标志的支持。
·PaX的更新为2.4.34补丁非x86架构。
·在chroot环境问题的一个setpgid已得到修复。
·在随机的PID功能已被删除。
·该版本修正的/ proc使用在2.6补丁一个chroot。
·它增加了一个管理角色,从全员学习生成的策略。
·它重新同步,在2.4补丁大同代码。
·它已经更新到Linux 2.4.34和2.6.19.2。
按类别搜索
热门软件
-
MultiSystem 17 Feb 15
-
Yandex Browser 17 Feb 15
-
Google Music Manager 15 Apr 15
-
antiX MX 1 Dec 17
-
Xfburn 17 Feb 15
-
Redis 28 Sep 15
-
Kali Linux 22 Jun 18
评论没有发现