Grsecurity šerdis

"Grsecurity" - tai "Linux" branduolio pataisa, kuria į "Linux" branduolį įtraukiami papildomi saugumo mechanizmai. Pagrindinė "Grsecurity" funkcija - apsisaugoti nuo atminties suklastojimo atakų ir patobulinti įvairių "Linux" sistemos komponentų, pavyzdžiui, tinklo jungčių, failų sistemų, IPC ir kitų, saugumo politiką.

Grsecurity funkcijos

Pagrindinis "Grsecurity" tikslas - apsaugoti nuo pažeidžiamumų, skirtų pažeisti sistemos atmintį ir perimti kompiuterio ar serverio valdymą. Šiuo tikslu į Grsecurity įtraukti mechanizmai, apsaugantys branduolį ir naudotojo procesus nuo tokių atakų kaip:

1. apsauga nuo buferio perpildymo.
2. Apsauga nuo branduolio pažeidžiamumų.
3. Spartinančiosios atmintinės ir failų sistemos apsauga.
4. Atskyrimas (naudojant RBAC) į fiziškai atskirų procesų prieigos sritis.

"Grsecurity" taip pat siūlo sistemos saugumo vertinimo priemones, tokias kaip saugumo žurnalų registravimas, sistemos failų tikrinimas ir pažeidžiamumo testavimas.

Tačiau "Grsecurity" įgyvendinimas gali pareikalauti papildomo laiko ir pastangų kiekviename kūrimo ir diegimo etape, o tam reikia tam tikro lygio saugumo žinių.

Branduolys turi keletą svarbių saugumo funkcijų:

1. Grsecurity. Grsecurity pataiso branduolį, kad apsaugotų jį nuo įvairių žinomų įsilaužimo ir kompromitavimo metodų. Šis pataisymas apsaugo nuo klastojimo ir išnaudojimo, taip pat gali išjungti arba užblokuoti prieigą prie pažeidžiamų branduolio funkcijų.
2. Prieigos dalijimasis. Grsecurity turi mechanizmą, vadinamą RBAC (vaidmenimis pagrįsta prieigos kontrolė), kuris padalys prieigą prie sričių fiziškai atskiriems procesams. RBAC leidžia priskirti vaidmenis su prieigos teisių mechanizmu, kuriuos galima apibrėžti vienam naudotojui arba grupei.
3. Branduolio saugumas. Grsecurity apsaugo branduolį nuo sugadinimo ir neleistinų pakeitimų kontroliuodamas atmintį ir sistemos išteklius žemesniu branduolio lygmeniu. Dėl to branduolyje neįmanoma vykdyti kodo ar keisti atminties be leidimo.
4. Eksportuojamų simbolių kontrolė. Grsecurity kontroliuoja, kurias branduolio funkcijas galima kviesti iš branduolio modulių arba iš vartotojo erdvės aplinkos. Vartotojai gali nustatyti, kuriuos simbolius galima eksportuoti ir naudoti branduolio moduliuose.
5. Grsecurity ir TCP/IP kamino apsauga. Grsecurity prideda papildomą "Linux" branduolio tinklo kamino ir TCP/IP kamino apsaugą, kuri užtikrina apsaugą nuo DDoS atakų, taip pat apsaugą nuo kitų panašių atakų.
6. Žurnalų kontrolė. Grsecurity kontroliuoja, kurie naudotojai gali peržiūrėti aukštesnio lygio žurnalus, kuriuose gali būti konfidencialios informacijos.

Grsecurity užtikrina geresnę sistemos saugumo kontrolę ir suteikia pažangesnius saugumo mechanizmus nei standartinis "Linux" branduolys.

Branduolio privalumai

Grsecurity privalumai:

1. Ženkliai pagerintas sistemos saugumas, nes "Grsecurity" suteikia papildomų apsaugos lygių, kurių nėra standartiniame "Linux" branduolyje.
2. Apsauga nuo daugumos žinomų tipų atakų, įskaitant buferio perpildymo atakas, atminties atakas, užduočių planavimo atakas ir daugelį kitų.
3. Galimybė pritaikyti "Grsecurity" pagal individualius naudotojo poreikius ir reikalavimus, o tai padidina veikimo optimalumą.
4. Didelis našumas, palyginti su kitomis saugumo sistemomis, todėl "Grsecurity" galima naudoti gamybiniuose kompiuteriuose jų nestabdant.
5. Grsecurity palaikymas teikiamas kaip pasirenkamas paketas, todėl jo naudojimas yra lankstesnis nei kitų saugumo sistemų, kurios gali būti integruotos į "Linux" branduolį.
6. Grsecurity užtikrina "atgalinio suderinamumo" režimą, leidžiantį standartiniam "Linux" branduoliui sukurtoms programoms veikti sistemoje su saugiu branduoliu.

Toliau apžvelgsime modifikuoto branduolio trūkumus.

Branduolio trūkumai

Nepaisant daugybės privalumų, "Grsecurity" turi ir trūkumų:

1. Ribotas palaikymas - "Grsecurity" nėra įtrauktas į standartines "Linux" distributyvų saugyklas, jį palaiko ribotas kūrėjų skaičius. Tai reiškia, kad naudotojams gali būti sunku ją įdiegti ir palaikyti.
2. Didelis sudėtingumas - "Grsecurity" konfigūravimas gali būti sudėtingas ir daug laiko reikalaujantis procesas. Kai kurios parinktys smarkiai apriboja "Linux" branduolio funkcionalumą, todėl naudotojai turėtų gerai suprasti, kaip šios parinktys paveiks jų sistemas.
3. Apribotas funkcionalumas - siekiant užtikrinti saugumą, kai kurios "Linux" funkcijos gali būti užblokuotos arba apribotos "Grsecurity". Dėl to kartais gali sumažėti našumas arba kilti suderinamumo su kita programine įranga problemų.
4. Nuosavybės statusas - "Grsecurity" išleista pagal licenciją, kuri neužtikrina laisvos prieigos prie pirminio kodo. Tai gali būti problema tiems, kurie nori naudoti tik laisvą programinę įrangą.
5. Kai kurie maršrutizatoriai su nurodytu pavadinimu gali tiesiog netikti. Turite pasirinkti tinkamą savo konkrečiam modeliui.

Kaip įdiegti branduolį? Šis klausimas bus nagrinėjamas toliau.

Diegimo procesas

Įdiegti "Grsecurity" šiek tiek sudėtingiau nei įprastą "Linux" branduolį, todėl reikia tam tikrų žinių ir patirties branduolio kūrimo srityje. Toliau pateikiami bendri "Grsecurity" diegimo žingsniai:

• Atsisiųskite "Linux" branduolį ir "Grsecurity" išeities kodą iš oficialios svetainės.
• Išpakuokite archyvus į atskirą katalogą, pavyzdžiui, /usr/src.
• Sukonfigūruokite "Linux" branduolį naudodami make menuconfig, pasirinkdami atitinkamus "Grsecurity" nustatymus.
• Sukompiluokite ir įdiekite "Linux" branduolį naudodami komandą make.
• Konfigūruokite sistemą, kad ji naudotų naująjį "Linux" branduolį /boot/grub/grub.cfg faile.
• Perkraukite sistemą ir patikrinkite, ar naujasis "Linux" branduolys paleidžiamas be klaidų.

Atkreipkite dėmesį, kad "Grsecurity" diegimo procesas gali skirtis priklausomai nuo jūsų "Linux" distributyvo ir "Linux" branduolio versijos. Todėl prieš diegiant geriau perskaityti oficialią "Grsecurity" ir savo "Linux" distributyvo dokumentaciją, kad išvengtumėte problemų ir klaidų.