esempi concreti di vita reale in cui la grsecurity ha impedito un exploit

13

Dal punto di vista teorico, la patch del kernel grsecurity sembra un ottimo strumento di protezione. Ancora più importante, PaX sembra una buona idea.

Questi vantaggi teorici hanno effettivamente un effetto pratico nella prevenzione di attacchi / exploit / rootkit del malware?

Recentemente ci sono stati diversi problemi di sicurezza critici (Shellshock, Heartbleed, Turla, ... solo per citarne alcuni)

Qualcuno può indicare un concreto exploit che grsecurity avrebbe impedito?

    
posta Martin Vegter 28.01.2015 - 11:50
fonte

2 risposte

7

Sono [email protected] e grsec è la ragione per cui posso dormire la notte.

Come esempio di un exploit bloccato da grsec, puoi esaminare quasi tutte le vulnerabilità del kernel recenti. Gli exploit azionari semplicemente non funzionano contro un kernel grsec.

Come esempio di una vulnerabilità bloccata da grsec, e in particolare da UDEREF, hai la root locale x86_32 recente.

Grsec (meno rbac) non farà nulla contro i problemi "logici" (shellshock, hearthbleed, i problemi LD_ *) ma, insieme a una toolchain avanzata, rende alcune classi di bug molto più difficili da sfruttare.

A cosa serve sono i bug del kernel.

Allora hai RBAC. Rbac è un sistema MAC (controllo di accesso obbligatorio), come SELinux o AppArmor, che offre ulteriore protezione, anche da root.

Inoltre, grsec ti permetterà di abilitare alcune restrizioni che sono davvero utili se puoi sopportarle. I principali sono:

  • restrizioni del socket (nessun ascolto / nessuna connessione / niente)
  • / proc visibility restriction (per utente)
  • chroot più potenti
  • limita i programmi eseguibili solo a quelli root-root

Il punto è: grsec renderà il tuo sistema più sicuro, ma i bug saranno trovati anche nel sistema più sicuro.

    
risposta data 29.01.2015 - 21:51
fonte
3

La maggior parte delle vulnerabilità di escalation dei privilegi non funzionerà su un kernel grsec. Grsecurity elimina i vettori di exploit limitando i processi molto più del sistema operativo.

Questo non significa che nessuno può accedere al server più sicuro. Se qualcuno accede al server, non sarà in grado di fare nulla a causa delle restrizioni imposte da grsec.

    
risposta data 28.01.2015 - 17:12
fonte

Leggi altre domande sui tag