Jádro Grsecurity

Grsecurity je záplata pro jádro Linuxu, která přidává do jádra Linuxu další bezpečnostní mechanismy. Klíčovou funkcí Grsecurity je ochrana proti útokům typu memory spoofing a zlepšení bezpečnostních politik pro různé součásti systému Linux, jako jsou síťová připojení, souborové systémy, IPC a další.

Funkce Grsecurity

Hlavním cílem systému Grsecurity je chránit před zranitelnostmi určenými ke kompromitaci systémové paměti a převzetí kontroly nad počítačem nebo serverem. Za tímto účelem obsahuje Grsecurity mechanismy, které chrání jádro a uživatelské procesy před útoky, jako jsou např:

1. Ochrana proti přetečení vyrovnávací paměti.
2. Ochrana proti zranitelnostem v jádře.
3. Ochrana mezipaměti a souborového systému.
4. Rozdělení (pomocí RBAC) na přístupové oblasti pro fyzicky oddělené procesy.

Grsecurity také poskytuje nástroje pro hodnocení zabezpečení systému, jako je protokolování zabezpečení, kontrola systémových souborů a testování zranitelností.

Implementace systému Grsecurity však může vyžadovat další čas a úsilí v každé fázi vývoje a nasazení, což vyžaduje určitou úroveň odborných znalostí v oblasti zabezpečení.

Jádro má několik důležitých funkcí zabezpečení:

1. Grsecurity. Grsecurity opravuje jádro tak, aby bylo chráněno před různými známými technikami hackingu a kompromitace. Tato záplata chrání před podvržením a zneužitím a může zakázat nebo zablokovat přístup ke zranitelným funkcím jádra.
2. Sdílení přístupu. Grsecurity má mechanismus nazvaný RBAC (Role-Based Access Control), který rozdělí přístup k oblastem mezi fyzicky oddělené procesy. RBAC umožňuje přidělovat role pomocí mechanismu přístupových práv, které lze definovat pro jednotlivé uživatele nebo skupiny.
3. Zabezpečení jádra. Grsecurity chrání jádro před poškozením a neoprávněnou modifikací řízením paměti a systémových prostředků na nižší úrovni jádra. Tím je znemožněno neoprávněné spuštění kódu nebo modifikace paměti v jádře.
4. Kontrola exportovaných znaků. Grsecurity kontroluje, které funkce jádra lze volat z modulů jádra nebo z prostředí uživatelského prostoru. Uživatelé mohou nastavit, které symboly lze exportovat a používat v modulech jádra.
5. Grsecurity a ochrana zásobníku TCP/IP. Grsecurity přidává další ochranu síťového zásobníku a zásobníku TCP/IP v jádře Linuxu, která poskytuje ochranu proti útokům DDoS a také ochranu proti dalším podobným útokům.
6. Řízení žurnálování. Grsecurity kontroluje, kteří uživatelé mohou zobrazovat protokoly vyšší úrovně, k nimž lze přistupovat a které mohou obsahovat citlivé informace.

Grsecurity poskytuje lepší kontrolu nad zabezpečením systému a poskytuje pokročilejší bezpečnostní mechanismy než standardní linuxové jádro.

Výhody jádra

Mezi výhody systému Grsecurity patří:

1. Výrazně lepší zabezpečení systému, protože Grsecurity poskytuje další vrstvy ochrany, které nejsou obsaženy ve standardním linuxovém jádře.
2. Ochrana proti většině známých typů útoků, včetně útoků typu buffer overflow, útoků na paměť, útoků na plánování úloh a mnoha dalších.
3. Možnost přizpůsobit Grsecurity individuálním potřebám a požadavkům uživatele, což zvyšuje optimálnost provozu.
4. Vysoký výkon ve srovnání s jinými bezpečnostními systémy, který umožňuje používat Grsecurity na produkčních počítačích bez jejich zpomalení.
5. Podpora systému Grsecurity je dodávána jako volitelný balíček, díky čemuž je jeho použití flexibilnější než u jiných bezpečnostních systémů, které lze zabudovat do jádra systému Linux.
6. Grsecurity poskytuje režim "zpětné kompatibility", který umožňuje spouštět programy určené pro standardní jádro Linuxu v systému se zabezpečeným jádrem.

Dále se podívejme na nevýhody upraveného jádra.

Nevýhody jádra

Navzdory mnoha výhodám má Grsecurity i některé nevýhody:

1. Omezená podpora - Grsecurity není součástí standardních repozitářů linuxových distribucí a je podporován omezeným počtem vývojářů. To znamená, že pro uživatele může být obtížné jej nainstalovat a podporovat.
2. Vysoká úroveň složitosti - Konfigurace systému Grsecurity může být složitý a časově náročný proces. Některé volby výrazně omezují funkčnost linuxového jádra, takže uživatelé by měli dobře rozumět tomu, jak tyto volby ovlivní jejich systém.
3. Omezená funkčnost - některé funkce systému Linux mohou být v systému Grsecurity zablokovány nebo omezeny, aby byla zajištěna bezpečnost. To může někdy vést ke snížení výkonu nebo problémům s kompatibilitou s jiným softwarem.
4. Proprietární status - Grsecurity je vydán pod licencí, která nezaručuje volný přístup ke zdrojovému kódu. To může být problém pro ty, kteří dávají přednost používání pouze svobodného softwaru.
5. Některé směrovače s uvedeným názvem nemusí být jednoduše vhodné. Je třeba vybrat ten správný pro váš konkrétní model.

Jak nainstalovat jádro? Této otázce se budeme věnovat příště.

Postup instalace

Instalace jádra Grsecurity je o něco složitější než instalace běžného linuxového jádra a vyžaduje určité znalosti a zkušenosti s tvorbou jádra. Zde je uveden obecný postup instalace jádra Grsecurity:

• Stáhněte si jádro Linuxu a zdrojový kód Grsecurity z oficiálních webových stránek.
• Rozbalte archivy do samostatného adresáře, například /usr/src.
• Nakonfigurujte linuxové jádro pomocí make menuconfig a vyberte příslušná nastavení Grsecurity.
• Zkompilujte a nainstalujte jádro Linuxu pomocí příkazu make.
• V souboru /boot/grub/grub.cfg nakonfigurujte systém tak, aby používal nové jádro Linux.
• Restartujte systém a ověřte, zda se nové jádro Linux spustí bez chyb.

Upozorňujeme, že proces instalace Grsecurity se může lišit v závislosti na distribuci Linuxu a verzi jádra Linux. Proto je lepší si před instalací přečíst oficiální dokumentaci k programu Grsecurity a k vaší distribuci Linuxu, abyste se vyhnuli problémům a chybám.