Корень / Программы для администратора / Безопасность / Патчи для улучшения безопасности

Systrace - Interactive Policy Generation for System Calls (доп. ссылка 1) (доп. ссылка 2) (Версия: 1.6 от 2006-03-25) [+] [обсудить]   Программа для контроля за выполнением системных вызовов в программе, позволяет отследить все системные вызовы производимые программой и заблокировать или сгенерировать предупреждение при обнаружении определенного действия. Прекрасно подходит для ограничения разрешенных системных вызовов с лимитированием их параметров. Например, позволяет определить разрешенные для программы вызовы и маскируя параметры запретить выход за пределы определенной директории, прием сетевых соединений или коннекты ко внешним IP. Systrace for Linux kernel systrace port for FreeBSD   GCC extension for protecting applications from stack-smashing attacks (Версия: 4.8.1 от 2013-06-04) [+] [обсудить]   Патчи для gcc под FreeBSD и Linux для предотвращения атак направленных на переполнение буфера. Технология защиты состоит в том, что при компиляции к каждой программе добавляется участок кода для защиты от переполнения. На сайте представлены понятные инструкции по использованию системы под FreeBSD и Linux.   suidcontrol - experimental utility for managing suid/sgid policy under FreeBSD [+] Experimental Authentication and Authorization Token Management Extensions in the FreeBSD Kernel [+] POSIX.1E: Auditing Support for FreeBSD [+] POSIX.1E: Mandatory Access Control Support for FreeBSD [+] POSIX.1e Access Control Lists (ACLs) for FreeBSD [+] FreeBSD Hardening Project (Версия: 9.2 от 2013-11-07) [+] [обсудить]   Проект по внедрению рекомендаций POSIX.1e в FreeBSD, т.е. превращению в суперзащищенную систему. Базовыми компонентами являются suidcontrol, Kernel Tokens, Capabilities, file system ACLs, Information Labels, Mandatory Access Control, Auditing.   Stack noexec and symlink security fix by Solar Designer. [+] [обсудить]   Патч для linux, помогающий предотвратить попытки несанкционированного доступа (запрещение симлинков и fifo в /tmp, noexec стек, ограничение видимости /proc для пользователей и т.д.).   arp_antidote - патч для Linux ядра для предотвращения arp spoofing атак. [+] [обсудить]   loop-GOST - Linux модуль для создания loop-устройств для шифрования. [+] [есть мнение]   Модуль позволяет создать зашифрованное по модификации алгоритма ГОСТ 28147-89 блочное устройство, на котором впоследствии может быть создана зашифрованная файловая система. Длина ключа (без учета матрицы замен) 256 бит, дополнительная ключевая информация состоит из узла замен в 512 бит и значения разброса размером 512 байт. dm-crypt - device-mapper crypto target (замена Cryptoloop) loop-AES - Fast and transparent file system and swap encryption package. LUKS (Linux Unified Key Setup) - позволяет хранить параметры шифрования в заголовке зашифрованного раздела, что позволяет менять ключ без перестройки всех зашифрованных данных и поддерживать несколько разных ключей для доступа к зашифрованному разделу; TrueCrypt - бесплатное и открытое средство для создания шифрованных разделов доступных под Windows и Linux. FreeOTFE - позволяет монтировать под Windows разделы созданные через cryptoloop , dm-crypt и LUKS;   libparanoia - library which wraps calls to insecure functions [+] [обсудить]   Подменяет функции стандартной библиотеки strcpy, strcat, gets, sprintf, scanf для предотвращения атак нацеленных на переполнение буфера.   Kernel Hardening - пакет с настройками ядра Linux для усиления безопасности [+] [обсудить]   Коллекция настроек к ядру Linux, нацеленные на усиление защищённости системы, блокирования BruteForce-атак, усиления надёжности генератора псевдослучайных чисел. Для быстрого применения настроек формируются пакеты в форматах DEB и RPM.   FreeBSD/SSP - ProPolice stack-smashing protection (SSP) for FreeBSD [+] [обсудить]   Адаптация gcc расширения ProPolice/SSP для работы c FreeBSD. Наработки позволяют выполнить "make world" во FreeBSD с включенной защитой от атак направленных переполнения стека. Потеря производительности при этом составляет всего 2-3 процента.   AppArmor - application security tool [+] [обсудить]   AppArmor предназначен для контроля за выполнением программ в Linux, в соответствии с заданной политикой безопасности (задается система ограничений, к каким файлам и сетевым портам есть доступ, какие системные вызовы можно выполнять и т.д.). По сути, он выполняет те же функции, что и SELinux или Systrace. Главное преимущество - прозрачная и простая настройка профайла безопасности. При установке модуль ядра AppArmor использует интерфейс LSM (Linux Security Modules), т.е. никаких патчей накладывать не нужно.   DebianHardened - brings to Debian GNU/Linux high security features (Версия: 2.4.28-pre3-hardened (dhkp) от 2004-09-24) [+] [обсудить]   Набор пакетов для увеличения безопасности типовой поставки Debian GNU/Linux. В комплекте пакеты с Linux ядром (как 2.4.x, так и 2.6.x) на которое наложено ряд патчей, таких как RSBAC (acl), grSecurity PaX (no-exec области памяти для защиты от переполнения буфера), SSP/ProPolice (защита от подрыва стэка) и т.д. Разработка базируется на проекте Adamantix - попытке создать сверхбезопасный Linux дистрибутив на основе Debian Linux.   Cerb - system firewall mechanism (Версия: 6.7.7 от 2014-06-17) [+] [обсудить]   Модуль ядра для FreeBSD позволяющий контролировать и ограничивать набор системных вызовов (включая анализ параметров) для определенного процесса. Например, можно определить для процесса список разрешенных системных вызовов, ограничив при этом передаваемые в них параметры.   suPHP - executing PHP scripts with the permissions of their owners (Версия: 0.6.3 от 2008-04-01) [+] [есть мнение]   ПО позволяющие выполнять php скрипты под привилегиями пользователя владеющего ими (наподобие suexec). Реализован в виде apache модуля mod_suphp и suid root выполняемого файла suphp обеспечивающего запуск PHP интерпретатора.   noexec - preventing process from executing exec sysem call (Версия: 1.1.0 от 2004-01-25) [+] [обсудить]   Утилита и библиотека подгружаемая через LD_PRELOAD позволяющая запретить выполнение исполняемых файлов соответствующих заданной маске (актуально только для динамически слинкованных программ, на статически собранные выполняемые файлы не окажет влияния).   Патч для борьбы с "ARP spoofing" в FreeBSD (доп. ссылка 1) [+] [обсудить]   Патч для FreeBSD, решающий проблему апдейта arp таблицы при поступлении arp ответа без предварительного запроса (в логе это отражается). Решение заключается в дополнительной проверке существования старого MAC адреса, перед заменой в ARP таблице на новое значение. Ранее, подобный патч был выпущен для Linux ядер 2.4.x.   heap_protection - Патч для защиты от переполнения "кучи" в glibc [+] [обсудить]   Патч для защиты "кучи" от "heap overflow" эксплоитов. Возможно использование через LD_PRELOAD без изменения кода glibc.   ReadRequestTimeout patch for Apache 1.3.x [+] [обсудить]   Патч добавляет опцию в конфигурацию апача ReadRequestTimeout - время ожидания запроса клиента в секундах. Помогает бороться при большой нагрузке на сервер в связи с DDoS.   ERUP - enchanced regular user privileges [+] [обсудить]   Модуль для Linux ядер 2.2.x и 2.4.x позволяющий делегировать непривилегированным пользователей возможность выполнения привилегированных операций. Например, можно определенному пользователю позволить устанавливать квоты, выполнять вызов chroot или изменять uid/gid. В комплекте с mod_diffprivs может быть полезен для организации массового хостинга.   pspa - Linux 2.x port/socket pseudo ACLs. (Версия: 2.4.22-19 от 2003-08-30) [+] [обсудить]   Патч для Linux ядер серий 2.2.x и 2.4.x, позволяющий открыть доступ к привилегированным сетевым операциям (bind на первые 1024 порта, работа с raw sockets, packet sockets) для непривилегированных пользователей, что позволяет запускать некоторые сервисы не из-под пользователя root.   ULD - User Level Networking [+] [обсудить]   ULD - патч для Linux ядра, позволяющий динамически выделять отдельным пользователям в системе отдельные IP адреса, которые будут закреплены за ними. IP привязывается к uid пользователя. Закрепление IP за пользователем может потребоваться, например, для создания виртуальных окружений или для жесткого контроля сетевой активности пользователей.   kNoX - implementation of non-executable page protection mechanism [+] [обсудить]   Патч для Linux 2.2.x ядер работающий на архитектуре i386. Не отражается на производительности системы и является одним из самых быстрых механизмов защиты в своем классе. Управление производится через sysctl интерфейс. Дополнительные функции реализованы на базе патча Openwall.   RSX - Runtime addressSpace eXtender. [+] [обсудить]   Потч для Linux ядра 2.4.x реализующий ремапинг страниц памяти на лету для предотвращения возможности запуска shell-кода в стэке или "куче" после переполнения буфера.   PaX [+] [обсудить]   Динамично развивающийся патч для Linux kernel 2.2.x и 2.4.x использующий несколько технологий по предотвращению атак связанных с переполнением буфера (non-executable pages/stack, userland/kernel/mmap stack & address space randomization и т.д.).   Exec Shield - protection against stack, buffer or function pointer overflow [+] [обсудить]   Патч для 2.4.x ядра затрудняющий выполнение shell-кода при атаках направленных на переполнение буфера или срыв стэка.   Cryptographic Disk for OpenBSD (доп. ссылка 1) [+] [обсудить]   Патч для создания шифрованного диска в FreeBSD и OpenBSD (через псевдо-устройство cgp).   LinSec - Linux Security Protection System (Версия: 0.8.1 от 2002-11-10) [+] [обсудить]   Реализация Mandatory Access Control (MAC) механизма разграничения доступа для Linux. LinSec базируется на четырех составляющих: Capabilities - предоставление отдельных, выборочных, root полномочий для конкретной программы или пользователя; Filesystem Access Domains - списки доступа к файловой системе, например, программе или пользователю можно разрешить только доступ к mailbox и домашней директории; IP Labeling Lists - списки доступа на уровне сетевых сервисов, можно граничить программу или пользователя только для обслуживания входящих запросов к определенному порту. Socket Access Control - ограничения по созданию сетевых соединений.   Stephanie - OpenBSD Hardening for Multiuser Environments [+] [обсудить]   Набор патчей превращающих OpenBSD в настоящий бастион безопасности. В комплект входит: TPE (Trusted Path Execution) - программы могут запускаться только в указанных директориях, ACL (Access Control List) - гибкая система управления доступом к файлам, Binary integrity verification - проверка контрольных сумм запускаемых программ, защита /dev/kmem - пользователи могут увидеть только свои процессы, Restricted symbolic links, полный лог запуска всех программ через execve(), защита переменных окружения для ld.so.   Trojanproof - Anti-Trojan and Trojan Detection kernel patches for OpenBSD and FreeBSD. [+] [обсудить]   Патчи для OpenBSD и FreeBSD позволяющие определить и присечь распространение в системе "троянских" программ (проверяются также библиотеки и модули ядра, проверка осуществляется через сравнение сигнатур).   Linux Security Modules (Версия: 3.11.1 от 2013-09-21) [+] [обсудить]   Набор патчей построенных на базе POSIX.1e Capabilities, SELinux, Openwall и LIDS.   SELinux - Security-Enhanced Linux (Версия: 2004110116 от 2004-11-04) [+] [обсудить]   Разрабатываемая NSA (Национальное агентство безопасности США) версия Linux. Система состоит из набора патчей к linux ядру и набора программ для управления доступом к различным компонентам системы (mandatory access control). Список статей и документации имеющих отношение к SELinux seedit (SELinux Policy Editor) - GUI интерфейс для редактирования правил SELinux. selinuxnews.org Новости проекта SELinux. См. также подборку блогов Planet SELinux. Другие открытые реализации архитектуры Flask (Flux Advanced Security Kernel): OpenSolaris Flexible MAC, SEDarwin, SEBSD, SE-PostGreSQL, Labeled NFS.   TrustedBSD - provides a set of trusted operating system extensions to the FreeBSD [+] [обсудить]   Набор патчей и дополнений к FreeBSD, направленных на увеличение безопасности системы: модули для расширенной авторизации, capabilities - гибкое ограничение и предоставление прав, ACL, IDS.   jailNG - From-scratch reimplementation of the jail code on FreeBSD [+] [обсудить]   Альтернативная реализация Jail окружения для FreeBSD. От стандартного FreeBSD Jail отличается более гибким управлением (добавлено более восьми системных вызова), возможностью помещения новых процессов в уже работающую Jail среду и т.д.   pspa - Linux Port/Socket Pseudo ACLs patch [+] [обсудить]   Патч для linux 2.2.x и 2.4.x позволяет предоставить доступ для не привилегированных пользователей к таким, доступным только для root, ресурсам, как создание Raw и Packet сокетов, использование портов меньше 1024.   grsecurity - Linux kernel patch for security enhancements and LIDS (Версия: 2.1.9 от 2006-08-15) [+] [есть мнение]   Патч для 2.4.x linux ядер объединяющий в себе множество разрозненных патчей (как собственной разработки, так и сторонних авторов: Openwall non-executable stack, PaX и т.д.), направленных на увеличение безопасности системы, обнаружение и предотвращение атак злоумышленников. Кратко: ограничения на /proc, fifo, запуск процессов и манипуляции с файловыми линками, широкие возможности ведения логов (запускаемые процессы, смена uid, сигналы, ошибки fork), дополнительные ограничения для пользователей, изменение технологии chroot, увеличение безопасности TCP/IP стека.   HAP-Linux - Hank Approved Paranoia Linux Kernel Patches (доп. ссылка 1) [+] [обсудить]   Коллекция security патчей для linux 2.2.x, является дополнением к патчам от Solar Designer. Произведенные дополнения: улучшена информативность log сообщений, более защищенный chroot, некоторые изменения в сетевой подсистеме.   Libsafe - library which defends against buffer overflow attacks (Версия: 2.0-13 от 2002-04-17) [+] [обсудить]   Библиотека-wrapper для Linux, котрая подменяет оригинальные обработчики потенциально опасных функций и предотвращает возможность атак направленных на переполнение буфера.   SecureBSD introduces several key kernel-based security enhancements [+] [обсудить]   Патчи для ядра FreeBSD позволяют отследить и защитить систему от попыток несанкционированного доступа.   Linux Intrusion Detection System Patch (lids) (Версия: 3.11.1 от 2013-09-23) [+] [обсудить]   Патч для Linux ядер 2.2.*, позволяет ограничить доступ к физическим устройствам, вести подробные логи активности процессов в системе, ввести дополнительные ограничения на уровне файловой системы, и многое другое. (Руководство по LIDS на русском языке ч.1, ч.2)   IDS Patch (lids) for Linux kernel 2.2.x (Версия: 0.82 от 2003-06-27) [+] [обсудить]   Патч организующий защиту от модификации root'ом группы файлов или директорий.   POSIX Access Control Lists (ACLs) for Linux [+] [обсудить]   Реализация ACL для linux. В комплект входят: ACL System Calls Patch, Ext2fs-ACL Patch, ACL Utilities Package, e2fsprogs Patch.   auditd - linux kernel auditing daemon (доп. ссылка 1) [+] [обсудить]   Демон позволяющий отслеживать следующие системные вызовы: сonnect, accept, listen, open, execve, setuid, modinit .   DSI - Distributed Security Infrastructure [+] [обсудить]   Модуль для Linux ядра и набор утилит реализующих идею использования цифровых подписей для защиты целостности исполняемых файлов (на данной системе, могут исполняться только подписанные файлы, что исключает возможность появления вирусов и троянских программ).