Grsecurity

grsecurity to łatka na kernel Linuksa, która zwiększa bezpieczeństwo systemu. Początkowo owa łata była tylko portem łaty dla jąder 2.4 tworzonej przez Solar Designer. Solar opracowywał patche jedynie dla serii 2.2 i starszych, więc zadania przeniesienia ich na nowszą gałąź podjął się Brad Spengler. W chwili obecnej zaimplementowano w nim dużo nowych rozwiązań, a grsecurity dostępny jest dla kernela linii 2.4 jak i 2.6.
Niektóre z dystrybucji Linuksa oferują wsparcie dla grsecurity. Są to między innymi Gentoo i PLD

Możliwości patcha:

  • losowość stosu TCP
  • tworzenie list kontroli dostępu, będących opartymi o role
  • działania zapobiegające atakom siłowym typu bruteforce
  • zapobieganie sytuacjom wyścigu poprzez restrykcje dla /tmp
  • nałożenie restrykcji na chroot, uniemożliwiających wyrwanie się z niego (nawet rootowi)
  • rozbudowane logowanie ułatwiające audyt
  • restrykcje nakładane na /proc i losowość numerów PID
  • zapobieganie sytuacjom wyścigu poprzez restrykcje dla /tmp

Dzięki użyciu osiągnięć projektu PAX, umożliwia również:

  • ochronę przed modyfikacją jądra przez /dev/mem, /dev/port i /dev/kmem
  • oznaczanie stosu jako niewykonywalnego (ochrona przed wykonywaniem w zapisywalnych obszarach pamięci)
  • nakładanie ograniczeń dla mprotect, losowości dla mmap oraz stosu i sterty

Linki zewnętrzne

Strona główna grsecurity
Dość wiekowy, jednak wart przeczytania artykuł na NEWBIE

O ile nie zaznaczono inaczej, treść tej strony objęta jest licencją Creative Commons Attribution-Share Alike 2.5 License.