ВУЗ:
Составители:
Рубрика:
60 Д. С. КУЛЯБОВ
3.2.4. GRSECURITY
Grsecurity [15] — это набор патчей для 2.4.x и 2.6.x linux ядер, объ-
единяющий в себе множество разрозненных патчей (как собственной раз-
работки, так и сторонних авторов: Openwall non-executable stack, PaX и
т.д.), направленных на увеличение безопасности системы, обнаружение и
предотвращение атак злоумышленников.
В Grsecurity реализованы ограничения на /proc, fifo, запуск про-
цессов и манипуляции с файловыми ссылками, широкие возможности ве-
дения логов (запускаемые процессы, смена uid, сигналы, ошибки fork),
дополнительные ограничения для пользователей, изменение технологии
chroot, увеличение безопасности TCP/IP стека.
Grsecurity поддерживает следующие функции Openwall: non-executable
stack, PaX, the Oblivion ACL system, /proc restrictions, chroot restrictions,
linking and FIFO restrictions, exec и set*id logging, secure file descriptors,
trusted path execution, randomized IP IDs, randomized PIDs, randomized
TCP source ports, altered ping ids, randomized TTL, better IP stack ran-
domness, socket restrictions, fork-bomb protection, sysctl поддержка всех
опций, secure keymap loading, stealth networking enhancements, signal log-
ging, failed fork logging, time change logging и др.
3.2.5. LINSEC — LINUX SECURITY PROTECTION SYSTEM
LinSec является реализацией мандатного механизма разграничения до-
ступа для Linux. LinSec базируется на четырех составляющих:
— Capabilities — предоставление отдельных, выборочных полномочий
для конкретной программы или пользователя;
— Filesystem Access Domains — списки доступа к файловой системе,
например, программе или пользователю можно разрешить только до-
ступ к mailbox и домашней директории;
— IP Labeling Lists — списки доступа на уровне сетевых сервисов, мож-
но граничить программу или пользователя только для обслуживания
входящих запросов к определенному порту.
— Socket Access Control — ограничения по созданию сетевых соедине-
ний.
3.2.6. LIDS
LIDS (Linux Intrusion Detection/Defence System) [12] — система обна-
ружения и защиты от вторжения. Это патч для ядра Linux, добавляющий
много новых возможностей для увеличения безопасности.
LIDS позволяет запретить или ограничить доступ к файлам, к памяти,
блочным устройствам, сетевым интерфейсам, запущенным программам и
т.д. даже для пользователя root. Правильнее сказать, именно для пользо-
вателя root, так как ограничить доступ для простого пользователя можно
и стандартными средствами Linux. Данная система предназначена для за-
щиты от взломщика, который воспользовавшись «дырой» в какой-нибудь
программе, получил права пользователя root.
Страницы
- « первая
- ‹ предыдущая
- …
- 58
- 59
- 60
- 61
- 62
- …
- следующая ›
- последняя »
