grsecurity
grsecurity nie jest softem samo w sobie, jest to zestaw poprawek i zmian, które służą do zwiększenia bezpieczeństwa maszyny do której jest zdalny dostęp z miejsc o niepotwierdzonym statusie bezpieczeństwa np. logowanie do shell’a.
po co mi to wszystko
Zainstalowanie pakietu poprawek zwiększa bezpieczeństwo systemu i jest kolejnym elementem zabezpieczenia przed atakami zarówno z zewnątrz jaki i z wewnątrz systemu.
- losowo przydzielane: uid, gid i pid
- zabezpieczenie /proc przed pokazywaniem właścicieli procesów
- zabezpieczenie symlinków przed wyścigiem/tmp
- zabezpiczenie FIFO
- zabezpieczenie dmesg(8)
- audyty i alerty mogą logować IP atakującego
Użycie tego zestawu do środowiska w którym używamy chroot’ów pozwala na
- uniemożliwia wyjście z chroota, nawet rootowi
- zabezpiecza pamięć używaną przez chrooty
- uniemożliwia killowanie procesów nie należących do chroota
- uniemożliwia wykonania z zewnątrz chroota poleceń: ptrace, capget, setpgid, getpgid, getsid
- brak możliwości przeglądania procesów z poza chroota
- uniemożliwia mount i remount
- wyłącza komendę pivot_root
- zabezpiecza przed podwójnym chrootowaniem
- wyłącz fchdir poza chrootem
- inne…
instalacja i konfiguracja
Proces instalacji wygląda dość ciekawie, ponieważ nie polega na „zwykłym” instalowaniu pakietów, tylko na przekompilowaniu kernela wraz z poprawkami grsecurity. W tym celu należy ściągnąć grsecurity, gradm oraz niezmodyfikowane, oficjalne źródło kernela. Ważne jest to aby wybrać wersję dokładnie zgodne ze sobą.
Ze względów bezpieczeństwa (chcemy przecież je zwiększyć) należy po ściągnięciu zweryfikować archiwa za pomocą GPG i dostępnych sygnatur. Proces weryfikacji plików jest dokładnie opisany po angielsku i nie ma sensu go przepisywać.
Następnym krokiem jest nałożenie patcha na źródła kernela i skompilowanie go. Mamy do wybory trzy poziomy od niskiego do wysokiego oraz wybór ręczny dla zaawansowanych użytkowników.
Po skompilowaniu najłatwiej użyć nowego jądra na debianowatych, po prostu poprzez stworzenie deb’a i jego instalację, co również opisane jest na wikibooks.
Szukaj
Tagi
ostatnio popularne wpisy
- Jak używać w odnośnikach użyć mailto
- WordPress na wiele języków
- Ostatnia wersja WPML na licencji GPL
- WPML stał się komercyjną wtyczką
- WordPress: Jak ustawić strony z wpisami?
- Wyświetlanie jednej kategorii wpisów na stronie głównej
- WordPress 3.3.2
- Tworzenie layoutu – krok po kroku
- Testy motywu – skąd treść?
- WordPress: blokowanie w robots.txt kilku rzeczy
ostatnie komentarze
- Tropienie błędów – 7 technik, które ułatwią życie programiście WordPressa | Webfaces blog o WordPress: klasa css dla tagu body
- Kasia o Jak zapytać facebook’a o liczbę „lubię to” dla konkretnego adresu?
- Marcin o WordPress: klasa css dla tagu body
- benek o WordPress: klasa css dla tagu body
- Mariusz o Jak zapytać facebook’a o liczbę „lubię to” dla konkretnego adresu?
- Marcin o WordPress 3.3.2
- Jakub Milczarek o WordPress 3.3.2
- jboss o O polskiej wersji WordPressa 3.3
- Marcin o Ostatnia wersja WPML na licencji GPL
- Marcin o Ostatnia wersja WPML na licencji GPL
Na razie nie ma żadnych komentarzy.
Dodaj komentarz
Należy wpełnić pola oznaczone znakiem gwiazdki "*". Proszę zapoznać się z zasadami komentowania.