Nucleo di sicurezza

Grsecurity è una patch per il kernel Linux che aggiunge ulteriori meccanismi di sicurezza al kernel Linux. La funzionalità principale di Grsecurity è quella di proteggere dagli attacchi di memory spoofing e di migliorare le politiche di sicurezza per vari componenti di un sistema Linux, come connessioni di rete, file system, IPC e altri.

Caratteristiche di Grsecurity

L'obiettivo principale di Grsecurity è quello di proteggere dalle vulnerabilità progettate per compromettere la memoria del sistema e prendere il controllo di un computer o di un server. A questo scopo, Grsecurity include meccanismi che proteggono il kernel e i processi utente da attacchi quali:

1. Protezione contro l'overflow del buffer.
2. Protezione contro le vulnerabilità del kernel.
3. Protezione della cache e del file system.
4. Separazione (tramite RBAC) in aree di accesso per processi fisicamente separati.

Grsecurity fornisce anche strumenti per valutare la sicurezza del sistema, come la registrazione della sicurezza, l'ispezione dei file di sistema e la verifica delle vulnerabilità.

Tuttavia, l'implementazione di Grsecurity può richiedere tempo e sforzi aggiuntivi in ogni fase dello sviluppo e della distribuzione, il che richiede un certo livello di competenza in materia di sicurezza.

Il kernel ha diverse importanti funzioni di sicurezza:

1. Grsecurity. Grsecurity applica una patch al kernel per proteggerlo da una serie di tecniche note di hacking e compromissione. Questa patch protegge da spoofing ed exploit e può disabilitare o bloccare l'accesso alle funzioni vulnerabili del kernel.
2. Condivisione degli accessi. Grsecurity dispone di un meccanismo chiamato RBAC (Role-Based Access Control) che divide l'accesso alle aree tra processi fisicamente separati. RBAC consente di assegnare ruoli con un motore di diritti di accesso che possono essere definiti per utente o per gruppo.
3. Sicurezza del kernel. La sicurezza del kernel protegge il kernel da corruzione e modifiche non autorizzate controllando la memoria e le risorse di sistema a un livello inferiore del kernel. In questo modo è impossibile eseguire codice o modificare la memoria del kernel senza autorizzazione.
4. Controllo dei caratteri esportati. Grsecurity controlla quali funzioni del kernel possono essere chiamate dai moduli del kernel o dall'ambiente dello spazio utente. Gli utenti possono configurare quali simboli possono essere esportati e utilizzati nei moduli del kernel.
5. Grsecurity e protezione dello stack TCP/IP. Grsecurity aggiunge una protezione aggiuntiva per lo stack di rete e lo stack TCP/IP nel kernel Linux, che fornisce protezione contro gli attacchi DDoS e contro altri attacchi simili.
6. Controllo del Journaling. Grsecurity controlla quali utenti possono visualizzare i registri di livello superiore a cui si può accedere e che possono contenere informazioni sensibili.

Grsecurity offre un controllo migliore sulla sicurezza del sistema e fornisce meccanismi di sicurezza più avanzati rispetto al kernel Linux standard.

Vantaggi del kernel

I vantaggi di Grsecurity includono:

1. Sicurezza del sistema notevolmente migliorata, perché Grsecurity fornisce livelli di protezione aggiuntivi che non sono inclusi nel kernel Linux standard.
2. Protezione contro la maggior parte dei tipi di attacchi conosciuti, compresi gli attacchi di buffer overflow, gli attacchi alla memoria, gli attacchi di pianificazione delle attività e molti altri.
3. Possibilità di personalizzare Grsecurity in base alle esigenze e ai requisiti dei singoli utenti, il che aumenta l'ottimizzazione del funzionamento.
4. Prestazioni elevate rispetto ad altri sistemi di sicurezza, che consentono di utilizzare Grsecurity sulle macchine di produzione senza rallentarle.
5. Il supporto di Grsecurity viene fornito come pacchetto opzionale, rendendo il suo utilizzo più flessibile rispetto ad altri sistemi di sicurezza che possono essere integrati nel kernel Linux.
6. Grsecurity offre una modalità di "compatibilità all'indietro" che consente ai programmi progettati per il kernel Linux standard di funzionare su un sistema con un kernel sicuro.

Vediamo ora gli svantaggi del kernel modificato.

Svantaggi del kernel

Nonostante i suoi numerosi vantaggi, Grsecurity presenta anche alcuni svantaggi:

1. Supporto limitato - Grsecurity non è incluso nei repository standard delle distribuzioni Linux ed è supportato da un numero limitato di sviluppatori. Ciò significa che gli utenti potrebbero trovare difficile l'installazione e il supporto.
2. Alto livello di complessità - La configurazione di Grsecurity può essere un processo complesso e lungo. Alcune opzioni limitano fortemente la funzionalità del kernel Linux, quindi gli utenti devono avere una buona comprensione di come queste opzioni influiranno sui loro sistemi.
3. Funzionalità limitate - Alcune funzioni di Linux possono essere bloccate o limitate in Grsecurity per garantire la sicurezza. Questo a volte può portare a una riduzione delle prestazioni o a problemi di compatibilità con altri software.
4. Stato proprietario - Grsecurity è rilasciato sotto una licenza che non garantisce il libero accesso al codice sorgente. Questo può essere un problema per chi preferisce utilizzare solo software libero.
5. Alcuni router con il nome specificato potrebbero semplicemente non essere adatti. È necessario scegliere quello giusto per il proprio modello.

Come si installa il kernel? Questa domanda sarà trattata in seguito.

Processo di installazione

L'installazione di Grsecurity è un po' più complicata di quella di un normale kernel Linux e richiede una certa conoscenza ed esperienza nella creazione di kernel. Ecco i passi generali per installare Grsecurity:

• Scaricare il kernel Linux e il codice sorgente di Grsecurity dal sito ufficiale.
• Decomprimere gli archivi in una directory separata, come ad esempio /usr/src.
• Configurare il kernel Linux con make menuconfig, selezionando le impostazioni appropriate di Grsecurity.
• Compilare e installare il kernel Linux usando il comando make.
• Configurare il sistema per utilizzare il nuovo kernel Linux nel file /boot/grub/grub.cfg.
• Riavviare il sistema e verificare che il nuovo kernel Linux si avvii senza errori.

Si noti che il processo di installazione di Grsecurity può variare a seconda della distribuzione Linux e della versione del kernel Linux. Pertanto, è meglio leggere la documentazione ufficiale di Grsecurity e della propria distribuzione Linux prima dell'installazione per evitare problemi ed errori.