alpine-linux grsecurity 安全

      gsecurity 是 Linux 內核的一組修補程序, 重點是加強安全性。除其餘外, 它容許系統管理員爲系統定義最小特權策略, 在該策略中, 每一個進程和用戶只有運行所需的最低權限。典型應用是在Web服務器和系統中接受來自不受信任位置的遠程鏈接，例如爲其用戶提供shell訪問的系統。

      同grsecurity一塊兒使用的主要組件是PaX，標記數據存儲器，如堆棧上的數據存儲器，不可執行，以及程序存儲器不可寫。 防止可執行內存頁被注入的代碼覆蓋，從而防止利用許多類型的安全漏洞，例如緩衝區溢出。 PaX還提供地址空間佈局隨機化（ASLR），它隨機化重要的內存地址，以阻止依賴這些地址的攻擊。 PaX自己不是由grsecurity開發人員開發的，能夠獨立於grsecurity。 grsecurity的另外一個組成部分是它提供了一個完整的基於角色的訪問控制（RBAC）系統。 RBAC旨在限制對一般由Unix訪問控制列表提供的系統的訪問，目的是建立一個徹底最小權限的系統，其中用戶和進程具備正常工做的絕對最小權限，僅此而已。 這樣，若是系統受到攻擊，攻擊者破壞或獲取系統上敏感信息的能力能夠大大下降。 RBAC經過一系列「角色」進行工做。 每一個角色均可以對他們能作什麼或不能作什麼有限制，這些角色和限制造成一個「政策」，能夠根據須要進行修改。grsecurity以各類方式限制chroot，以防止各類漏洞，特權升級攻擊，以及添加額外的檢查和平衡。 Chroot修改： 在chroot以外沒有附加共享內存，在chroot以外沒有kill，在chroot以外沒有ptrace（獨立架構）。 grsecurity還爲內核添加加強的審計（auditing）功能。爲審覈一個特定用戶組，審覈設備的安裝/卸載，系統時間和日期的更改，chdir日誌記錄等。其餘一些事情容許管理員也記錄被拒絕的資源嘗試，失敗的fork嘗試和帶參數的exec日誌記錄。 可信路徑執行是另外一個可選功能，可用於防止用戶執行非root用戶擁有的二進制文件，或者爲可寫的。這有助於防止用戶執行他們本身的惡意二進制文件或意外執行可能已被惡意用戶修改的系統二進制文件（可全球寫入）。 grsecurity也增強了chroot「jails」工做的方式。可使用chroot的jails將特定進程與系統的其他部分隔開來，若是服務受到損害，可使用chroot監控，完成最小化損壞的可能。 例如將dmesg和netstat命令限制爲root用戶]。 其餘功能和安全性改進： / proc限制不泄漏有關進程全部者的信息；符號連接/硬連接限制，以防止/ tmp比賽；硬連接限制及接到他們不擁有的文件；FIFO /命名管道限制dmesg（8）限制，加強了可信路徑執行的實現；基於組的套接字限制。

     使用的不一樣 術語，其中一些含義相同。咱們在此列出了其中一些術語及其定義。

訪問控制列表

     「訪問控制列表（ACL）是附加到對象的權限列表。該列表指定容許訪問對象的人員或內容以及容許對該對象執行的操做。」在這裏：ACL用於表示單個角色或主題定義，或整個策略文件。

域

     使用域，組合不屬於同一組的用戶以及組，以便他們共享單個策略。域名就像角色同樣工做。

對象

     對象是系統上運行的程序使用的系統的一部分。它能夠是文件或目錄的絕對路徑;能力;系統資源;一個PaX標誌;網絡訪問（IP ACL）。

策略

     該策略是由grsecurity強制執行的系統範圍的規則集。強制訪問控制文章中提供了很是好的描述：「任何對象的任何操做都將根據受權規則集（a.k.a. policy）進行測試，以肯定是否容許操做。」

角色

     角色是一種抽象，包含存在於Linux發行版中的傳統用戶和組以及特定於grsecurity的特殊角色。角色可用於將系統管理的職責分解爲較小的邏輯責任集，例如「數據庫管理員」或「DNS管理員」。將此方法與擁有單個超級用戶（例如root）的方法進行比較，該超級用戶用於執行系統上的每一個管理任務。

規則集

     規則集的使用方式與「訪問控制列表」的方式相同。它可能更經常使用於引用角色或主題定義，而不是整個策略文件。

主題

     主題使用和訪問對象，主題的規則集強制執行它可能使用的對象以及以何種方式使用。在實踐中，主題一般是在系統上運行的程序。在grsecurity中，主題被定義爲實際程序可執行文件（例如/ sbin / init）或目錄（例如/ lib / hal / scripts）的絕對路徑。

     最簡單的方法是經過糾正拼寫錯誤的單詞或重構句子或段落來加強現有內容，使其更具可讀性。若是您的文本不適合任何其餘頁面，也歡迎您經過展開正在開發的頁面或添加  全新頁面來添加新內容。隨着grsecurity的積極開發和添加和刪除功能，很是感謝幫助保持內容最新。

  如何努力

結構

      結構遵循grsecurity項目的原始文檔，該文檔有三個主要章節：安裝，配置和規範，以及使用gradm和學習模式。配置和規範被從新命名爲策略配置。使用gradm和學習模式被從新命名爲管理，而且在策略配置以前也被移動，由於在配置策略以前必須知道如何管理grsecurity。這就是最終的核心結構：安裝，管理，策略配置。

受益目標

     主要適用於可以自行解決各類複雜性的硬件和軟件問題以及實際閱讀本博客的人員。瞭解本身最喜歡的Linux發行版，熟悉從源代碼配置和構建軟件。

目標

     目的是提供全面，可靠和最新的grsecurity及相關工具文檔。除了知道如何作某事外，還提供了有關最佳實踐的信息以及在實踐中學到的常見缺陷。這是主要目標。

每章都有其餘目標，定義了讀者閱讀後應該知道的內容。這些目標是在大部分核心內容到位後定義的，所以在撰寫本文時，某些章節可能沒法實現其全部目標。

簡介 - 讀者必須從基本層面瞭解grsecurity是什麼，它的目標是什麼以及如何實現這些目標。應該大體瞭解grsecurity的含義。