Сегодня Бред Спенглер (Brad Spengler) — единственный разработчик проекта grsecurity — ответил в списке рассылки на заданный вопрос по поводу расширенной поддержки ядра 2.6.32. Это ядро предположительно ляжет в основу Enterprise-версий дистрибутивов Linux. Вопрос заключался в том, будут ли Бред и команда PAX так же долго поддерживать свой патч для этого ядра. Вот полный ответ из списка рассылки:

Date: Thu, 21 Jan 2010 23:37:51 -0500
From: spender@grsecurity.net (Brad Spengler)
Subject: Re: [grsec] kernel.org 2.6.32 long term release
To: Brad Plant <bplant@iinet.net.au>
Cc: grsecurity@grsecurity.net
Message-ID: <20100122043751.GD791@grsecurity.net>
Content-Type: text/plain; charset=«us-ascii»

Hi Brad, (almost feels like talking to myself ;))

After some discussion and mutual agreement about future plans, the PaX
Team and I are happy to announce that we plan on supporting the 2.6.32
kernel on a long term basis, as indeed a number of major distros will
be basing their kernels off it.

The main obvious thing that concerns us with these long-term stable
kernels is the backporting of security fixes, given the continued
attempts to fix vulnerabilities silently in only the latest kernels.
We'll be sure to keep watch of the situation as we've been doing for
some time now and point out vulnerability fixes we spot that need to be
backported.

Hopefully this will provide more opportunities for organizations seeking
more stability and less unpredictability in their kernel upgrades to be
able to take advantage of the benefits of using grsecurity.

We will of course continue to follow the latest kernel releases in
addition to this long-term stable kernel support.

-Brad
— next part — A non-text attachment was scrubbed…
Name: not available
Type: application/pgp-signature
Size: 189 bytes
Desc: Digital signature
Url: grsecurity.net/pipermail/grsecurity/attachments/20100121/0e23a0dd/attachment-0001.pgp

В кратце: будет расширенная поддержка.
Поздравляю всех, кому необходима повышенная защита серверов.

Fail2Ban — простой локальный сервис, который просматривает логи на предмет попытки подоброать пароли к ssh, ftp, http-сервисам. Если такие попытки найдены, fail2ban блокирует ip-адрес источника. Сервис очень гибко настраивается — возможна блокировка через iptables или /etc/hosts.allow (deny), способен оповещать по email, писать лог, сбрасывать блокировку через заданное время и прочее.

( Читать дальше )

Denyhosts — весьма полезная утилита для пресечения попыток подобрать пароль к ssh.

Устанавливается без каких-либо проблем: emerge denyhosts в Gentoo, для других дистрибутивов пакеты также существуют и как правило находятся в основном репозитории.

( Читать дальше )

К сожалению, методика создания политик может варьироваться от дистрибутива к дистрибутиву. Здесь будет рассмотрен Debian linux.



( Читать дальше )

В данной части я рассмотрю простейшее использование SElinux без создания своих собственных политик.

Итак, для начала включим SElinux. Для этого нам надо передать ядру несколько параметров:
1)selinux=[01] — Включить или, соответственно, выключить SElinux.
2)enforcing=[01] — «0» — работать в режиме permissive, «1» — в enforcing.



( Читать дальше )

Итак, как мы прекрасно все понимаем, иногда стандартной модели безопасности (которая относится к DAC) может оказаться недостаточно для организации системы безопасности крупной системе. В разных ОС присутствуют разные расширения стандартной модели безопасности. Здесь пойдет речь о реализации расширенной модели безопасности в linux — SElinux.



( Читать дальше )