grsecurity

grsecurity に含ふくまれる主要しゅようコンポーネントは PaX である。これは、スタックなどに使つかわれているメモリを実行じっこう不可能ふかのうとし、プログラムコードが書かかれているメモリを書かき込こみ不能ふのうと設定せっていする。これによってバッファオーバーランなどの脆弱ぜいじゃく性せいを利用りようした攻撃こうげきに対たいする防御ぼうぎょとする。また、ASLR (Address Space Layout Randomization) によって仮想かそう空間くうかん内ないの配置はいちを無作為むさくいに変化へんかさせ、特定とくていの内容ないようが特定とくていのアドレスにあることに依存いぞんした攻撃こうげきを防ふせぐ。PaX 自体じたいは grsecurity の開発かいはつ者しゃらが開発かいはつしているわけではなく、grsecurity とは別べつに入手にゅうしゅ可能かのうである。

grsecurity には、完全かんぜんなロールベースアクセス制御せいぎょ (RBAC) システムを提供ていきょうするコンポーネントも含ふくまれる。RBAC は従来じゅうらいのUNIXのアクセス制御せいぎょリストよりも厳密げんみつなアクセス制限せいげんが可能かのうで、完全かんぜんな最小さいしょう権限けんげんシステム（ユーザーやプロセスが動作どうさに必要ひつような最小限さいしょうげんの権限けんげんのみを持もち、余分よぶんな権限けんげんを持もたせないシステム）を構築こうちくする基礎きそとなる。これにより、攻撃こうげき者しゃがシステムの機密きみつ情報じょうほうを入手にゅうしゅまたは破壊はかいする可能かのう性せいは劇的げきてきに削減さくげんできる。RBAC は「役割やくわり(role)」の集合しゅうごうを通とおして動作どうさする。各かく役割やくわりには何なにができて何なにができないかという制限せいげんを個々ここに設定せっていでき、これによってポリシーが形成けいせいされる（ポリシーは修正しゅうせい可能かのう）。

grsecurity では、Linuxカーネルの監査かんさ機能きのうも拡張かくちょうしている。特定とくていのユーザーのグループを監査かんさするよう設定せっていしたり、デバイスのmount/unmountを監査かんさしたり、システムの日時にちじの変更へんこうを監査かんさしたりといった設定せっていが可能かのうである。

trusted path execution は、誰だれでも書かき込こめる状態じょうたいの実行じっこうファイルの実行じっこうを防ふせぐオプション機能きのうである。ユーザーが誤あやまって（あるいは故意こいに）持もち込こんだマルウェアの実行じっこうを防ふせぐことができる。

grsecurity はまた、chroot「監獄かんごく」のセキュリティを強化きょうかする。chroot監獄かんごくは特定とくていのプロセスをシステムの他ほかの部分ぶぶんから隔離かくりするのに使つかわれ、何なんらかのダメージが他たに及およばないようにする。しかし、chroot監獄かんごくを破やぶる方法ほうほうも存在そんざいする。grsecurity はそれらの方法ほうほうを使つかえないようにする。

他ほかにも、dmesg や netstat コマンドをスーパーユーザー以外いがいは実行じっこうできないようにし、一般いっぱんユーザーがシステムについて余分よぶんな知識ちしきを獲得かくとくできないようにする機能きのうもある。

• PaX
• Linux Security Modules (LSM) grsecurityの作者さくしゃはLSMを使用しようしないことに言及げんきゅうしている。[1]
• Exec Shield
• Security-Enhanced Linux

• 公式こうしきサイト
• grsecurity on freshmeat