Grsecurity sistema di sicurezza per Linux kernel
Grsecurity è una soluzione di sicurezza, distribuita sotto forma di una patch per il kernel Linux che permette di effettuare molteplici controlli e verifiche in modo attivo nel nostro sistema. Questi funzionalità passano dal livello di protezione del funzionamento del kernel, dal controllo di esecuzione dei job nello stack, dal controllo delle attività degli utenti, dai permessi di esecuzione in alcune aree del sistema, agli ulteriori controlli di sicurezza imposti da chroot e molto altro. Ecco una descrizione di ogni opzione che offre questa soluzione; la traduzione delle varie sezioni è manutenuta il più possibile vicina ai testi originali. Sono lasciati i titoli originali per agevolare la loro corretta identificazione.
Grsecurity
La configurazione e l’attivazione di queste opzioni può essere fatta nel menu di configurazione (ossia quando si lancia il comando make menuconfig).
Per usare la patch di sicurezza andare in Security options > Grsecurity e selezionare Grsecurity.
L’attivazione di questa opzione consente di attivare il sistema grsecurity, che ha una vasta gamma di opzioni che possono essere configurate in modo da migliorare la sicurezza del sistema. Si consiglia vivamente di attivarla e le aiuti ci porteranno a scoprire quali sono le opzioni più interessanti.
- Low additional security
L’attivazione di questa opzione abilita una serie di opzioni di grsecurity per raggiungere un elevato livello di tutela del sistema nei confronti di un gran numero di attacchi, da usare per evitare che ci siano problemi coll’intero sistema in caso di problemi. Se si sta utilizzando alcuni software particolare o se si riscontrano problemi di prestazioni con i più elevati livelli di sicurezza, questo potrebbe essere l’opzione migliore.
Con questa opzione permetterà le seguenti caratteristiche di grsecurity:
linking restrictions
fifo restrictions
random pids enforcing nproc on execve()
restricted dmesg
random ip ids
enforced chdir(“/”) on chroot
- Medium additional security
Con l’attivazione di questa opzione, diverse caratteristiche di grsecurity oltre a quelle del livello basso saranno abilitate. Queste funzionalità forniscono una maggiore sicurezza al sistema, tuttavia, ci possono essere programmi (spesso molto vecchi) che sono incompatibili con questo livello di sicurezza.
Se hai intenzione di attivare questa opzione, assicurarsi in anticipo che il servizio di autenticazione (identd) è in esecuzione con gid 10 (di solito il gruppo wheel).
Questo livello di sicurezza si attivano le seguenti funzioni in aggiunta a quelle previste per il basso livello di sicurezza:
random tcp source ports
failed fork logging
time change logging
signal logging
deny mounts in chroot
deny double chrooting
deny sysctl writes in chroot
deny mknod in chroot
deny access to abstract AF_UNIX sockets out of chroot
deny pivot_root in chroot
denied writes of /dev/kmem, /dev/mem, and /dev/port
/proc restrictions with special gid set to 10 (generalmente wheel)
address space layout randomization
removal of addresses from /proc//[maps|stat]
- High additional security
Mediante l’attivazione di questa opzione, tante funzioni di grsecurity verranno attivate cosicché il sistema sarà protetto da numerosi attacchi.
[ad#midarticlequadr]
L’aumento della sicurezza, però, incrementa anche il numero di incompatibilità con certi software installati nel sistema.
Questo livello permette l’uso del sistema PaX; si consiglia di leggere i documenti del progetto (http://pax.grsecurity.net). Scaricare chpax dal sito web ed eseguire nei i file binari che potrebbero generare problemi di incompatibilità con PaX.
Inoltre dobbiamo ricordare che se sono attive restrizioni su /proc, si deve esegue identd con privilegio del gruppo whell (GID 10).
Questo livello di sicurezza attiva protezioni in aggiunta le seguenti attività nel medio e basso livello:
additional /proc restrictions
chmod restrictions in chroot
no signals, ptrace, or viewing processes outside of chroot capability restrictions in chrootdeny fchdir out of chroot
priority restrictions in chroot
segmentation-based implementation of PaX
mprotect restrictions
kernel stack randomization
mount/unmount/remount logging
kernel symbol hiding
- Customized additional security
Attraverso l’attivazione di questa opzione Grsecurity può essere configurato in maniera personalizzata, ciò consente di abilitare altre funzioni che non sono contemplate nell’installazione base dei livelli di sicurezza. Queste caratteristiche aggiuntive includono: TPE, socket restriction, e sysctl.
Si consiglia di leggere la guida d’aiuto al fine di valutare se l’utilità di queste funzioni aggiuntive.
In prossimi articoli, il resto della guida.