Grsecurity

De ClissXXI.

Page officielle http://www.grsecurity.net/

Notamment le Quick-Start Guide

Ce module réalise tout un jeu de restrictions. Apparement, toutes les options sont définies lors de la compilation du noyau.

  • restrictions sur la visibilité du système (par exemple, ne pas voir les processus des autres)
  • restrictions sur des commandes sensibles telles que chroot
  • protection contre le dépassement de tampon (PaX)
  • système à base de rôle et de privilèges précis
  • mode d'apprentissage (par monitoring passif) pour définir ces associations rôles-privilèges
  • traçabilité avancée, par critère (ex: par utilisateur)

Problème: il empêche debootstrap de fonctionner. Il va falloir ou bien redémarrer le serveur sans grsecurity le temps de créer le sous-système (ou alors trouver un moyen de paramétrer grsecurity "à chaud"), ou bien transférer une archive d'un sous-système créé sur une autre machine (prévoir le reparamétrage de /etc/resolv.conf & al.).

Outils personnels