grsecurityがエクスプロイトを防止した具体的な実例
理論的な観点から見ると、 grsecurity カーネルパッチは優れた強化ツールのように見えます。最も重要なのは、 PaX が良い考えのように思われることです。
これらの理論的な利点は、マルウェア攻撃/エクスプロイト/ルートキットの防止に実際に効果がありますか?
最近いくつかの重大なセキュリティ問題がありました(ほんの数例を挙げると、Shellshock、Heartbleed、Turlaなど)。
誰かがgrsecurityが防げたであろう具体的なエクスプロイトを指摘できますか?
私は[email protected]です。夜間に眠れる理由はgrsecです。
Grsecによってブロックされたエクスプロイトの例として、最近のカーネルの脆弱性のほとんどすべてを見ることができます。ストックエクスプロイトは単にgrsecカーネルに対しては機能しません。
Grsec、特にUDEREFによってブロックされた脆弱性の例として、最近のx86_32ローカルルートがあります。
Grsec(rbacを差し引いたもの)は、「論理的な」問題(Shellshock、hearthbleed、LD_ *の問題)に対して何もしませんが、強化されたツールチェーンとともに、いくつかのクラスのバグの悪用をはるかに困難にします。
何行うカーネルのバグに対する支援。
次に、RBACがあります。 Rbacは、SELinuxやAppArmorのようなMAC(必須のアクセス制御)システムであり、ルートからでもさらに保護を提供します。
さらに、grsecを使用すると、気の利いた制限を有効にできます。主なものは次のとおりです。
- ソケット制限(リッスンなし/接続なし/なし)
- / proc可視性制限(ユーザーごと)
- より強力なchroot
- 実行可能なプログラムをルート承認済みのものだけに制限する
ポイントは次のとおりです:grsecはシステムをより安全にしますが、最も安全なシステムでもバグが見つかります。
特権昇格の脆弱性のほとんどはgrsecカーネルでは機能しません。 Grsecurityは、OSよりもプロセスを制限することにより、エクスプロイトベクターを排除します。
これは、強化されたサーバーに誰もアクセスできないという意味ではありません。誰かがサーバーに侵入した場合、grsecが課している制限のため、彼は何もできなくなります。