web-dev-qa-db-ja.com

grsecurityがエクスプロイトを防止した具体的な実例

理論的な観点から見ると、 grsecurity カーネルパッチは優れた強化ツールのように見えます。最も重要なのは、 PaX が良い考えのように思われることです。

これらの理論的な利点は、マルウェア攻撃/エクスプロイト/ルートキットの防止に実際に効果がありますか?

最近いくつかの重大なセキュリティ問題がありました(ほんの数例を挙げると、Shellshock、Heartbleed、Turlaなど)。

誰かがgrsecurityが防げたであろう具体的なエクスプロイトを指摘できますか?

13
Martin Vegter

私は[email protected]です。夜間に眠れる理由はgrsecです。

Grsecによってブロックされたエクスプロイトの例として、最近のカーネルの脆弱性のほとんどすべてを見ることができます。ストックエクスプロイトは単にgrsecカーネルに対しては機能しません。

Grsec、特にUDEREFによってブロックされた脆弱性の例として、最近のx86_32ローカルルートがあります。

Grsec(rbacを差し引いたもの)は、「論理的な」問題(Shellshock、hearthbleed、LD_ *の問題)に対して何もしませんが、強化されたツールチェーンとともに、いくつかのクラスのバグの悪用をはるかに困難にします。

行うカーネルのバグに対する支援。

次に、RBACがあります。 Rbacは、SELinuxやAppArmorのようなMAC(必須のアクセス制御)システムであり、ルートからでもさらに保護を提供します。

さらに、grsecを使用すると、気の利いた制限を有効にできます。主なものは次のとおりです。

  • ソケット制限(リッスンなし/接続なし/なし)
  • / proc可視性制限(ユーザーごと)
  • より強力なchroot
  • 実行可能なプログラムをルート承認済みのものだけに制限する

ポイントは次のとおりです:grsecはシステムをより安全にしますが、最も安全なシステムでもバグが見つかります。

7
miniBill

特権昇格の脆弱性のほとんどはgrsecカーネルでは機能しません。 Grsecurityは、OSよりもプロセスを制限することにより、エクスプロイトベクターを排除します。

これは、強化されたサーバーに誰もアクセスできないという意味ではありません。誰かがサーバーに侵入した場合、grsecが課している制限のため、彼は何もできなくなります。

3
mzz