Herdening
Páginas: 30 (7487 palabras)
Publicado: 20 de septiembre de 2012
GRSECURITY - Seguridad en sistemas Linux mediante Detección, Prevención y Contención
Submitted by freed0m on Wed, 25/05/2005 - 11:06.Aplicaciones Grsecurity es una solución de seguridad a modo de parche de kernel que permite establecer múltiples comprobaciones, verificaciones y controles de una forma activa en nuestro sistema. Estos mecanismos van desde la protección a nivel de funcionamientodel kernel, control de ejecución de las tareas en el stack, control de las actividades de los usuarios, permisos de ejecución en determinadas áreas del sistema, controles adicionales a la seguridad impuesta por chroot, y un largo etc. A continuación vamos a comentar cada una de las opciones que permite esta solución, la traducción de los distintos apartados ha intentado ceñirse en lo posible a lostextos originales. Se conservan los títulos originales de los apartados para facilitar su correcta identificación. GRSECURITY Activando esta opción, nos permitirá habilitar el sistema Grsecurity, con lo cual dispondremos de un amplio abanico de posibilidades que podremos ir configurando para aumentar la seguridad del sistema. Es altamente recomendable activarla y consultar la ayuda para saberque opciones nos resultan interesantes. Low additional security - Seguridad Adicional Baja Activando esta opción, activaremos varias de las opciones de grsecurity que permitirán alcanzar una elevada protección del sistema frente a un gran número de ataques, evitando que no exista ningún tipo de conflicto con el resto del sistema. Si se esta empleando algún software poco habitual, o si seencontrarán problemas de funcionamiento con niveles de seguridad más elevados, quizás esta sea la mejor opción. Con esta opción, se habilitan las siguientes características de Grsecurity:
linking restrictions fifo restrictions random pids enforcing nproc on execve() restricted dmesg random ip ids enforced chdir("/") on chroot
Medium additional security - Seguridad Adicional Media Activando esta opción,varias características más de grsecurity además de las incluidas en el nivel bajo de seguridad serán habilitadas. Estas características proporcionan más seguridad al sistema, sin embargo en un porcentaje mínimo de
los casos pueden ser incompatibles con software muy antiguo o incorrectamente escrito. Si se va a activar esta opción, hay que asegurarse previamente de que el servicio auth(identd) esta ejecutándose con gid 10 (habitualmente el grupo wheel). con esta nivel de seguridad, se activarán las siguientes características, además de las proporcionadas por el nivel bajo de seguridad adicional:
random tcp source ports failed fork logging time change logging signal logging deny mounts in chroot deny double chrooting
deny sysctl writes in chroot deny mknod in chroot deny access toabstract AF_UNIX sockets out of chroot deny pivot_root in chroot denied writes of /dev/kmem, /dev/mem, and /dev/port /proc restrictions with special gid set to 10 (generalmente wheel) address space layout randomization removal of addresses from /proc//[maps|stat] High additional security - Seguridad Adicional Alta Activando esta opción, muchas de las características de grsecurity se habilitarán,con lo cual el sistema quedará protegido frente a muchos tipos de ataques. El aumento de la seguridad incrementa también el número de incompatibilidades con software poco habitual que se encuentre en el sistema. Este nivel activa el sistema PaX, es recomendable leer pax.grsecurity.net y documentarse sobre el proyecto PaX. Descarga chpax desde la web y ejecútalo en aquellos binarios que puedansuponer problemas de incompatibilidad con PaX. Además hay que recordar que con las restricciones de /proc activadas, has de ejecutar identd en el grupo whell (gid 10). Este nivel de seguridad activa las siguientes protecciones además de las activadas en los niveles bajo y medio:
additional /proc restrictions chmod restrictions in chroot no signals, ptrace, or viewing processes outside of chroot...
Submitted by freed0m on Wed, 25/05/2005 - 11:06.Aplicaciones Grsecurity es una solución de seguridad a modo de parche de kernel que permite establecer múltiples comprobaciones, verificaciones y controles de una forma activa en nuestro sistema. Estos mecanismos van desde la protección a nivel de funcionamientodel kernel, control de ejecución de las tareas en el stack, control de las actividades de los usuarios, permisos de ejecución en determinadas áreas del sistema, controles adicionales a la seguridad impuesta por chroot, y un largo etc. A continuación vamos a comentar cada una de las opciones que permite esta solución, la traducción de los distintos apartados ha intentado ceñirse en lo posible a lostextos originales. Se conservan los títulos originales de los apartados para facilitar su correcta identificación. GRSECURITY Activando esta opción, nos permitirá habilitar el sistema Grsecurity, con lo cual dispondremos de un amplio abanico de posibilidades que podremos ir configurando para aumentar la seguridad del sistema. Es altamente recomendable activarla y consultar la ayuda para saberque opciones nos resultan interesantes. Low additional security - Seguridad Adicional Baja Activando esta opción, activaremos varias de las opciones de grsecurity que permitirán alcanzar una elevada protección del sistema frente a un gran número de ataques, evitando que no exista ningún tipo de conflicto con el resto del sistema. Si se esta empleando algún software poco habitual, o si seencontrarán problemas de funcionamiento con niveles de seguridad más elevados, quizás esta sea la mejor opción. Con esta opción, se habilitan las siguientes características de Grsecurity:
linking restrictions fifo restrictions random pids enforcing nproc on execve() restricted dmesg random ip ids enforced chdir("/") on chroot
Medium additional security - Seguridad Adicional Media Activando esta opción,varias características más de grsecurity además de las incluidas en el nivel bajo de seguridad serán habilitadas. Estas características proporcionan más seguridad al sistema, sin embargo en un porcentaje mínimo de
los casos pueden ser incompatibles con software muy antiguo o incorrectamente escrito. Si se va a activar esta opción, hay que asegurarse previamente de que el servicio auth(identd) esta ejecutándose con gid 10 (habitualmente el grupo wheel). con esta nivel de seguridad, se activarán las siguientes características, además de las proporcionadas por el nivel bajo de seguridad adicional:
random tcp source ports failed fork logging time change logging signal logging deny mounts in chroot deny double chrooting
deny sysctl writes in chroot deny mknod in chroot deny access toabstract AF_UNIX sockets out of chroot deny pivot_root in chroot denied writes of /dev/kmem, /dev/mem, and /dev/port /proc restrictions with special gid set to 10 (generalmente wheel) address space layout randomization removal of addresses from /proc//[maps|stat] High additional security - Seguridad Adicional Alta Activando esta opción, muchas de las características de grsecurity se habilitarán,con lo cual el sistema quedará protegido frente a muchos tipos de ataques. El aumento de la seguridad incrementa también el número de incompatibilidades con software poco habitual que se encuentre en el sistema. Este nivel activa el sistema PaX, es recomendable leer pax.grsecurity.net y documentarse sobre el proyecto PaX. Descarga chpax desde la web y ejecútalo en aquellos binarios que puedansuponer problemas de incompatibilidad con PaX. Además hay que recordar que con las restricciones de /proc activadas, has de ejecutar identd en el grupo whell (gid 10). Este nivel de seguridad activa las siguientes protecciones además de las activadas en los niveles bajo y medio:
additional /proc restrictions chmod restrictions in chroot no signals, ptrace, or viewing processes outside of chroot...
Leer documento completo
Regístrate para leer el documento completo.