n  medium

n  hard

n  custom

Выбираем уровень custom, после его активации станут доступными несколько подменю:

Рисунок 1

PaX Control (Настройка PaX)

В этом разделе указываем методы пометки бинарных файлов для использования PaX.

n  Support soft mode OFF – эта опция задает работу PaX в «мягком» (soft) режиме. В этом режиме опции PaX не прописаны по умолчанию и относятся только к явно отмеченным выполняемым файлам. Также надо определить поддержку PT_PAX_FLAGS, поскольку это единственный метод отметки выполняемых файлов в мягком режиме работы. Мягкий режим можно активировать с помощью команды загрузчику «pax_softmode=1». Кроме того, можно управлять различными особенностями PaX через /proc/sys/kernel/pax.

n  Use legacy ELF header marking ON – позволяет управлять опциями PaX с помощью утилиты chpax, доступной по адресу http://pax.grsecurity.net. Флаги управления будут читаться из зарезервированной части заголовка ELF-файла. Эта маркировка имеет многочисленные недостатки – нет поддержки мягкого режима, инструментарий не знает о нестандартном использовании заголовка ELF-файла.

n  Use ELF program header marking ON – дает возможность управлять настройками PaX с помощью утилиты paxctl. Флаги управления будут читаться из определенной PaX части заголовка ELF-файла. Этот способ маркировки поддерживает оба режима работы, к тому же существует патч для binutils, позволяющий инструментарию работать с этими заголовками.

n  MAC system integration NONE – эта опция нужна только для разработчиков.

Address Space Protection (Защита адресного пространства)

В данном разделе надо сконфигурировать PaX как часть GRSecurity. PaX – это сторонний проект, включенный в GRSecurity, поскольку является важным компонентом философии безопасности. PaX предотвращает переполнение буфера и обеспечивает случайное размещение процесса в памяти, что является эффективной защитой от атак, основанных на срыве стека.

n  Enforce Non-executable pages ON – некоторые архитектуры не защищают страницы памяти, но даже если и защищают – сам Linux не обеспечивает такую защиту. Это означает, что если страница доступна для чтения, то она также доступна и для выполнения кода. Существует известная технология взлома, когда атакующий может подставить свой код в память атакуемой программы, и этот код будет выполнен. Если атакуемая программа была запущена с более высокими привилегиями, то злоумышленник может поднять свои привилегии до уровня привилегий пораженной программы. Включение этой опции позволит манипулировать разными опциями, предотвращающими такие взломы.

n  Paging based non-executable page ON – эта функция основана на использовании особенности CPU. На i386 это имеет разное воздействие на приложения в зависимости от способа использования памяти.

n  Segmentation based non-executable page ON – включение этой опции позволит использовать особенности сегментации CPU, однако приложения будут ограничены адресным пространством в 1.5 Гб вместо 3 Гб.

n  Emulate trampolines OFF – некоторые программы и библиотеки по той или иной причине пытаются выполнить специальные небольшие куски кода, находящиеся внутри невыполнимой страницы памяти. Наиболее известные примеры – сообщения о коде возврата обработчика, генерированные непосредственно ядром. Если вы указали опции CONFIG_GRKERNSEC_PAX_PAGEEXEC или CONFIG_GRKERNSEC_PAX_SEGMEXEC, то такие программы не будут работать с вашим ядром.

n  Restrict mprotect() ON – использование этой опции запретит программам:

n  изменение состояния страниц памяти, созданных только для чтения (запрет выполнения);

n  давать доступ на запись страницам с правами чтения и выполнения;