grsecurityJak lepiej zabezpieczyć swojego linux-a ?
Odpowiedz wydaje się prost, grsecurity.

grsecurity jest łatą na jądro linux-a która zwiększą bezpieczeństwo przez:

* list kontroli dostępu opartych o role (RBAC – Role-Based Access Control)
* nałożenie restrykcji na środowisko chroot, uniemożliwiających wyrwanie się z niego (nawet rootowi)
* rozbudowane logowanie, ułatwiające audyt (możliwość zapisu adresu IP osoby dla określonych zdarzeń)
* losowość stosu TCP (numerów sekwencyjnych, portów źródłowych, IP ID)
* restrykcje nakładane na /proc oraz losowość numerów PID
* zapobieganie sytuacjom wyścigu poprzez restrykcje dla /tmp
* działania zapobiegające atakom siłowym (bruteforce)

Dzięki wykorzystaniu osiągnięć projektu PAX, umożliwia także:

* oznaczenie stosu jako niewykonywalnego (ochrona przed wykonywaniem kodu w zapisywalnych obszarach pamięci)
* nałożenie ograniczeń dla mprotect, losowości dla mmap() oraz stosu i sterty
* ochronę przed modyfikacją jądra przez /dev/mem, /dev/kmem i /dev/port

Nie jest to może 100% zabezpieczenie, bo takiego nie ma, ale na pewno nie zaszkodzi je mieć.

Instalacja jest stosunkowo prosta:

Kod:
cd /usr/src

Pobieramy możliwie najnowsze jajko:

Kod:
wget http://www.kernel.org/pub/linux/kernel/v2.6/linux-2.6.19.3.tar.bz2

rozpakowywujemy

Kod:
tar -xjf linux-2.6.19.3.tar.bz2
cd linux-2.6.19.3

ściągamy patch odpowiedni dla naszego jajka

Kod:
wget http://www.grsecurity.net/~spender/grsecurity-2.1.10-2.6.19.3-200702201828.patch

zakładamy patch

Kod:
patch -p1 < grsecurity-2.1.10-2.6.19.3-200702201828.patch

Odpalamy konfigurację jajka

Kod:
make menuconfig

Dobrze jest mieć już jakiś config od którego zaczniemy, często są one dostarczane wraz z jądrem przez różne dystrybucje jeżeli go nie ma to trzeba robić wszystko od początku.
Aby tego dokonać dobrze jest wiedzieć co mamy w komputerze oraz za co ma on ma służyć.

Jeżeli już uda się nam skonfigurować przystępujemy do ustawienia grsecurity, w tym celu w menu wybieramy:

Security options —> Security options —> [*] Grsecurity

Wygląda to tak:
make menuconfig

Możemy ustawiać każdą opcję indywidualnie (Custom) lub też zdać się na jeden z trzech poziomów zabezpieczenia jaki oferują na autorzy: Low, Medium, High
W 99% przypadków dla komputerów typu desktop wystarczy zaznaczyć Low, na desktop-ach nie ma większego sensu wybieranie Medium lub High, bo mogą wyniknąć niepotrzebne problemy np. korzystanie z jakiegoś urządzenia peryferyjnego.

Po zakończeniu ustawiania zapisujemy konfiguracje jądra i wychodzimy.

Aby skompilować jadro trzeba wykonać komendę „make” a czasem gdy jadro było już kiedyś kompilowane trzeba poprzedzić ja komenda „make clean” w celu wyczyszczenia rezultatów poprzedniej kompilacji.

Jajka z serii 2.6.X mają własny skrypt instalacyjny tak że wystarczy wykonać „make install” aby zainstalować kernel. Ja dla pewności poprzedzam to jeszcze komenda „make modules_install” która instaluje moduły.

Teraz rebootujemy komputer i po ponownym odpaleniu mamy już nowy zabezpieczony system.

Grsecurity: http://www.grsecurity.net/
PaX Team: http://pax.grsecurity.net/ (aktualnie część grsec)
Podstrona Spender-a: http://www.grsecurity.net/~spender/ (można tu znaleźć testowe wersje patch-y które często bez zmian stają się stabilnymi)
Strona z wszystkimi Kernel-ami Linux-a: http://www.kernel.org/

Tagged with:
 


Portal Bezpieczna Sieć - Forum komputerowe, Informatyka śledcza, bezpieczeństwo, backtrack, kali - Kali Linux Polska Edycja - Polska Edycja Backtrack - Poradnik dla gracza - Praca oparta na wiedzy i edukacji - Seriws Laptopów Katowice - Sklep Komputerowy Katowice - Odzyskiwanie Danych Katowice - Parking BETA przy lotnisku Pyrzowice - miejsce Run w sieci - Prawda od promocjach ,Informatyka, promocje, ceny, ekonomia, ekologia, filozofia - Prawda na tematy informatyki, ekonomii, ekologii - Wróżka, Poezja - eMono-cykl, SegWay, AirWheel, SoloWheel

stat4u