Grsecurity core

Grsecurity on korjaus Linux-ytimeen, joka lisää Linux-ytimeen uusia turvamekanismeja. Grsecurityn keskeisin toiminto on suojautua muistin väärentämishyökkäyksiltä ja parantaa Linux-järjestelmän eri osien, kuten verkkoyhteyksien, tiedostojärjestelmien, IPC:n ja muiden, turvallisuuskäytäntöjä.

Grsecurityn ominaisuudet

Grsecurityn päätavoitteena on suojautua haavoittuvuuksilta, joiden tarkoituksena on vaarantaa järjestelmän muisti ja ottaa tietokone tai palvelin hallintaansa. Tätä tarkoitusta varten Grsecurity sisältää mekanismeja, jotka suojaavat ydintä ja käyttäjäprosesseja esimerkiksi seuraavilta hyökkäyksiltä:

1. Puskurin ylivuodon suojaus.
2. Suojaus ytimen haavoittuvuuksia vastaan.
3. Välimuistin ja tiedostojärjestelmän suojaus.
4. erottelu (RBAC:n avulla) fyysisesti erillisten prosessien käyttöalueisiin.

Grsecurity tarjoaa myös työkaluja järjestelmän turvallisuuden arviointiin, kuten tietoturvalokitusta, järjestelmätiedostojen tarkastusta ja haavoittuvuustestausta.

Grsecurityn toteuttaminen voi kuitenkin vaatia lisäaikaa ja -panostusta jokaisessa kehitys- ja käyttöönottovaiheessa, mikä edellyttää tiettyä tietoturvaosaamista.

Ytimessä on useita tärkeitä tietoturvaominaisuuksia:

1. Grsecurity. Grsecurity korjaa ytimen suojaamaan sitä useilta tunnetuilta hakkerointi- ja vaarantamistekniikoilta. Tämä korjaustiedosto suojaa väärennöksiltä ja hyväksikäytöiltä, ja se voi poistaa käytöstä tai estää pääsyn haavoittuviin ytimen ominaisuuksiin.
2. Pääsyn jakaminen. Grsecurityssä on mekanismi nimeltä RBAC (Role-Based Access Control), joka jakaa pääsyn alueille fyysisesti erillisten prosessien kesken. RBAC:n avulla voit määrittää rooleja käyttöoikeuskoneistolla, joka voidaan määritellä käyttäjäkohtaisesti tai ryhmäkohtaisesti.
3. Ytimen turvallisuus. Grsecurity suojaa ydintä korruptoitumiselta ja luvattomalta muokkaamiselta valvomalla muistia ja järjestelmäresursseja alemmalla ydintasolla. Tämä tekee mahdottomaksi koodin suorittamisen tai muistin muokkaamisen ytimessä ilman lupaa.
4. Vietyjen merkkien valvonta. Grsecurity valvoo, mitä ytimen toimintoja voidaan kutsua ytimen moduuleista tai käyttäjäympäristöstä. Käyttäjät voivat määrittää, mitä symboleja voidaan viedä ja käyttää ytimen moduuleissa.
5. Grsecurity ja TCP/IP-pinon suojaus. Grsecurity lisää lisäsuojausta Linux-ytimen verkkopinolle ja TCP/IP-pinolle, mikä suojaa DDoS-hyökkäyksiltä sekä muilta vastaavilta hyökkäyksiltä.
6. Journalisoinnin valvonta. Grsecurity valvoo, ketkä käyttäjät voivat tarkastella korkeamman tason lokitietoja, joihin voidaan päästä käsiksi ja jotka voivat sisältää arkaluonteisia tietoja.

Grsecurity tarjoaa paremman järjestelmän turvallisuuden valvonnan ja kehittyneempiä turvamekanismeja kuin tavallinen Linux-ydin.

Ytimen edut

Grsecurityn etuja ovat mm:

1. Merkittävästi parannettu järjestelmän turvallisuus, koska Grsecurity tarjoaa lisäsuojakerroksia, joita ei ole sisällytetty tavalliseen Linux-ytimeen.
2. Suojaus useimpia tunnettuja hyökkäystyyppejä vastaan, mukaan lukien puskurin ylivuoto- ja muistihyökkäykset, tehtävien aikataulutushyökkäykset ja monet muut.
3. Mahdollisuus mukauttaa Grsecurityä käyttäjän yksilöllisiin tarpeisiin ja vaatimuksiin, mikä lisää toiminnan optimaalisuutta.
4. Korkea suorituskyky verrattuna muihin tietoturvajärjestelmiin, minkä ansiosta Grsecurityä voidaan käyttää tuotantokoneissa hidastamatta niitä.
5. Grsecurityn tuki tulee valinnaisena pakettina, mikä tekee sen käytöstä joustavampaa kuin muiden Linux-ytimeen sisällytettävien turvajärjestelmien.
6. Grsecurity tarjoaa "taaksepäin yhteensopivuuden" tilan, jonka avulla tavalliselle Linux-ytimelle suunniteltuja ohjelmia voidaan käyttää järjestelmässä, jossa on turvallinen ydin.

Seuraavaksi tarkastellaan muutetun ytimen haittoja.

Ytimen haitat

Monista eduistaan huolimatta Grsecurityllä on myös joitakin haittoja:

1. Rajoitettu tuki - Grsecurity ei sisälly Linux-jakeluiden vakiovarastoihin, ja sitä tukee vain rajallinen määrä kehittäjiä. Tämä tarkoittaa, että käyttäjien voi olla vaikea asentaa ja tukea sitä.
2. Suuri monimutkaisuus - Grsecurityn konfigurointi voi olla monimutkainen ja aikaa vievä prosessi. Jotkin vaihtoehdot rajoittavat huomattavasti Linux-ytimen toiminnallisuutta, joten käyttäjillä on oltava hyvä käsitys siitä, miten nämä vaihtoehdot vaikuttavat heidän järjestelmiinsä.
3. Rajoitetut toiminnot - Jotkin Linux-ominaisuudet voidaan estää tai rajoittaa Grsecurityssä turvallisuuden varmistamiseksi. Tämä voi joskus johtaa suorituskyvyn heikkenemiseen tai yhteensopivuusongelmiin muiden ohjelmistojen kanssa.
4. Omistusoikeudellinen asema - Grsecurity on julkaistu lisenssillä, joka ei takaa vapaata pääsyä lähdekoodiin. Tämä voi olla ongelma niille, jotka haluavat käyttää vain vapaita ohjelmistoja.
5. Jotkin reitittimet, joiden nimi on määritelty, eivät ehkä yksinkertaisesti sovellu. Sinun on valittava omaan malliisi sopiva malli.

Miten asennan ytimen? Tätä kysymystä käsitellään seuraavaksi.

Asennusprosessi

Grsecurityn asentaminen on hieman monimutkaisempaa kuin tavallisen Linux-ytimen asentaminen, ja se vaatii jonkin verran tietoa ja kokemusta ytimen rakentamisesta. Seuraavassa on yleiset vaiheet Grsecurityn asentamiseksi:

• Lataa Linux-ydin ja Grsecurityn lähdekoodi viralliselta verkkosivustolta.
• Pura arkistot erilliseen hakemistoon, esimerkiksi /usr/src.
• Konfiguroi Linux-ydin make menuconfig-ohjelmalla ja valitse sopivat Grsecurity-asetukset.
• Käännä ja asenna Linux-ydin komennolla make.
• Määritä järjestelmä käyttämään uutta Linux-ydintä tiedostossa /boot/grub/grub.cfg.
• Käynnistä järjestelmä uudelleen ja tarkista, että uusi Linux-ydin käynnistyy ilman virheitä.

Huomaa, että Grsecurityn asennusprosessi voi vaihdella Linux-jakelusta ja Linux-ytimen versiosta riippuen. Siksi on parempi lukea Grsecurityn ja Linux-jakelusi virallinen dokumentaatio ennen asennusta ongelmien ja virheiden välttämiseksi.