Executable Protections (Защита бинарных файлов)

Здесь надо указать опции, относящиеся к созданию процессов и доступу бинарных файлов к системе.

n  Enforce RLIMIT_NPROC on execs ON – для пользователей с ограничениями на количество процессов значения этих ограничений будут проверяться в процессе вызова execve(). Без этой опции система будет проверять значения ограничений только при вызове fork().

n  Dmesg(8) restriction ON – запрет на пользование dmesg пользователям без прав root.

n  Randomized PIDs ON – генерирование PID случайным образом.

n  Trusted path execution OFF – включение этой опции позволяет определить недоверенных пользователей. Эти пользователи не будут способны запускать файлы, находящиеся вне принадлежащей root директории, но доступной на запись только root. Вот простой пример. Возьмем Linux-машину, в которой есть пользователь admin. Файловая система для этого пользователя смонтирована с опцией noexec. Пользователь скачивает эксплоит «local kernel panic». Если он запустит этот эксплоит (/lib/...so ~/exploit), то ядро упадет. Однако если включена опция TPE, то ядро выдаст segmentation fault, машина будет продолжать нормально работать, а в логах появится такая запись:

denied untrusted exec of “~/exploit”: “admin”’s uid...

Network Protection (Сетевая защита)

Здесь надо указать опции, отвечающие за генерацию случайных чисел, используемых при работе с TCP/IP-стеком и защиту сокетов.

n  Lager entropy pools ON – увеличение в два раза пула энтропии, используемой для многих функций Linux и GRSecurity.

n  Truly random TCP ISN selection ON – использование случайных TCP ISN, взято из OpenBSD.

n  Randomized IP IDs ON – случайные id пакетов.

n  Randomized TCP source ports ON – использование случайного порта источника.

n  Randomized RPC XIDs ON – случайный XID в RCP-запросе.

n  Socket restrictions OFF – ограничение сокетов.

Sysctl support

В этом разделе можно включить поддержку sysctl для GRSecurity. Это позволит изменять конфигурацию GRSecurity во время выполнения без перекомпиляции ядра. Поскольку по умолчанию при запуске все опции GRSecurity будут отключены, потребуются изменения инициализирующего скрипта, в который придется прописывать включение всех необходимых опций, и делать его недоступным для чтения обычным пользователям. Поэтому включение поддержки sysctl не рекомендуется.

Logging options

Определяем параметры протоколирования.

n  Seconds in between log messages (minimum) 10 – время между регистрацией сообщений.

n  Number of messages in a burst (maximum) 4 – максимальное число сообщений, регистрируемое за время, определенное предыдущей опцией.

Компилируем ядро, перегружаемся.

Конфигурирование

Подготовительный этап закончен, теперь разберем конфигурацию GRSecurity.

Центральным понятием является Role (роль), которая может быть нескольких типов:

n  A – административная роль;

n  N – не требует авторизации, для доступа к ней применяется команда gradm –n <rolename>;

n  s – специальная роль;

n  u – пользовательская роль;