grsecurity

Informations
Créateur	Brad Spengler
Première version	2001
Dépôt	grsecurity.net/download
État du projet	en développement actif
Écrit en	C
Système d'exploitation	Linux
Type	Patch
Licence	GPLv2
Documentation	https://en.wikibooks.org/wiki/Grsecurity
Site web	https://grsecurity.net/

Cet article est une ébauche concernant la sécurité informatique.

Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.

grsecurity est une modification augmentant la sécurité pour le noyau Linux distribué sous la licence publique générale GNU version 2. Il inclut différents éléments, dont PaX, un système de contrôle d'accès à base de rôles et différents moyens de renforcer la sécurité générale du noyau.

Histoire

Cette section est vide, insuffisamment détaillée ou incomplète. Votre aide est la bienvenue ! Comment faire ?

Le projet grsecurity a vu le jour en février 2000, sous le nom de "GRKERNSEC", sous forme de mises a jour des modifications de sécurité du projet Openwall pour des noyaux Linux plus récents. En 2001, grsecurity se met a inclure PaX, puis se dote d'un système d'ACL nommé "Oblivion", écrit par Michael Dalton, qui fut amélioré pour se doter d'un mode d'auto-apprentissage, puis se transformera en Contrôle d'accès à base de rôles en 2003^[1].

À la suite de la perte de son principal sponsor, Brad Spengler annonce, le 27 décembre 2008, que le développement du projet pourrait être arrêté^[2]^,^[3]. Toutefois, il semble que le développement continue à un rythme aussi soutenu qu'auparavant après une phase où les contributions se faisaient plus rares entre janvier et mars 2009.

Depuis le 9 septembre 2015, la disponibilité des modifications en stables est devenue limitée aux clients commerciaux de la société. Les versions de tests des correctifs de grsecurity et les correctifs sur des fonctionnalités des espaces utilisateurs, restent accessibles au public^[4]^,^[5]^,^[6].

Depuis le 26 avril 2017, tous les correctifs sont distribués uniquement aux clients de la société. Toute utilisation des marques grsecurity dans des produits tiers, des dérivés ou des modifications du produit sont également interdites. La licence du produit reste inchangée. (GPLv2) ^[7]

Fonctionnalités

Contrôle d'accès à base de rôles

Il s'agit d'un système de contrôle d'accès obligatoire (de l'anglais, mandatory access control). Il est utilisé par exemple dans le cas où il est utile de restreindre l'accès à certaines ressources au seul utilisateur root (qui a normalement accès à toutes les ressources).

La politique de sécurisation de grsecurity se démarque des autres modèles de sécurité en cela qu'elle ne prétend pas trouver et retirer les failles existantes, mais les rendre inutiles. Ainsi, chaque processus d'un système peut être limité à ne pouvoir effectuer que les tâches pour lesquelles l'administrateur l'y autorise, espérant ainsi éviter qu'un attaquant puisse compromettre le système tout entier. Ce correctif de sécurité suppose donc que le noyau Linux est exempt de bug exploitable.

PaX

De plus, grsecurity inclut PaX, un correctif permettant de renforcer la sécurité du système en activant les pages non exécutables et en rendant l'espace d'adressage mémoire aléatoire.

Autres modifications

grsecurity offre différents moyens d'améliorer l'audit du noyau Linux. Il est ainsi possible d'auditer certains utilisateurs ou groupes, les opérations de montage, etc.

Ce correctif rend aussi possible de renforcer la sécurité lors de l'utilisation de chroot, permettant de rendre plus difficile de s'échapper de ce type de cage.

Usages historiques notables

Suite à l'indisponibilité publique de grsecurity, le usagers cités citées ci-dessous n'en font plus usage, sans mention explicite.

Skype^[8]

Hebergeurs

DreamHost^[9]
Gandi^[10]
OVH^[11]

Distributions Linux

Adamantix
Alpine Linux^[12]
Arch Linux, via le paquet linux-grsec
Debian, via le paquet linux-image-grsec^[13]
Gentoo, dans sa variante "hardened"^[14]
Subgraph OS^[15]
Wind River Linux^[16]

Notes et références

↑ (en) Bradley Spengler, « The case for grsecurity » [PDF]
↑ Brad Spengler, New (final?) grsecurity release and important announcement, 27 décembre 2008
↑ « La fin de Grsecurity ? », Linuxfr, 6 janvier 2009
↑ (en) Silviu Stahie, « Grsecurity Forced by Multi-Billion Dollar Company to Release Patches Only to Sponsors », sur softpedia.com, 28 août 2015 (consulté le 21 juin 2016)
↑ (en) Brad Spengler et The PaX Team, « Important Notice Regarding Public Availability of Stable Patches », sur grsecurity.net, 26 août 2015 (consulté le 21 juin 2016)
↑ (en) « grsecurity downloads page », sur grsecurity.net (consulté le 21 juin 2016)
↑ (en) Brad Spengler & The PaX Team, « Grsecurity Passing the Baton », sur grsecurity.com, 26 avril 2017 (consulté le 28 avril 2017)
↑ (en-US) Dan Goodin, « Skype replaces P2P supernodes with Linux boxes hosted by Microsoft (updated) », sur Ars Technica, 1^er mai 2012 (consulté le 20 décembre 2023)
↑ (en-US) « Introducing the DreamShield (formerly Malware Remover) - Website Guides, Tips & Knowledge », sur DreamHost, 27 septembre 2016 (consulté le 20 décembre 2023)
↑ (en-US) « Important updates to our hosted kernels - Gandi News », sur https://news.gandi.net/, 4 février 2016 (consulté le 20 décembre 2023)
↑ (en) Open Source Security Inc, « Open Source Security Inc's grsecurity Project Gains Sponsorship from OVH », sur www.prweb.com (consulté le 20 décembre 2023)
↑ alpinelinux/linux-stable-grsec, Alpine Linux, 27 septembre 2021 (lire en ligne)
↑ « grsecurity - Debian Wiki », sur wiki.debian.org (consulté le 20 décembre 2023)
↑ « Project:Hardened — Gentoo Wiki », sur wiki.gentoo.org (consulté le 20 décembre 2023)
↑ « Hardening », sur subgraph.com (consulté le 20 décembre 2023)
↑ « Wind River Documentation », sur docs.windriver.com (consulté le 20 décembre 2023)

Voir aussi

Articles connexes

Liens externes

(en) Site officiel

[1] (en) Bradley Spengler, « The case for grsecurity » [PDF]

[2] Brad Spengler, New (final?) grsecurity release and important announcement, 27 décembre 2008

[3] « La fin de Grsecurity ? », Linuxfr, 6 janvier 2009

[4] (en) Silviu Stahie, « Grsecurity Forced by Multi-Billion Dollar Company to Release Patches Only to Sponsors », sur softpedia.com, 28 août 2015 (consulté le 21 juin 2016)

[5] (en) Brad Spengler et The PaX Team, « Important Notice Regarding Public Availability of Stable Patches », sur grsecurity.net, 26 août 2015 (consulté le 21 juin 2016)

[6] (en) « grsecurity downloads page », sur grsecurity.net (consulté le 21 juin 2016)

[7] (en) Brad Spengler & The PaX Team, « Grsecurity Passing the Baton », sur grsecurity.com, 26 avril 2017 (consulté le 28 avril 2017)

[8] (en-US) Dan Goodin, « Skype replaces P2P supernodes with Linux boxes hosted by Microsoft (updated) », sur Ars Technica, 1^er mai 2012 (consulté le 20 décembre 2023)

[9] (en-US) « Introducing the DreamShield (formerly Malware Remover) - Website Guides, Tips & Knowledge », sur DreamHost, 27 septembre 2016 (consulté le 20 décembre 2023)

[10] (en-US) « Important updates to our hosted kernels - Gandi News », sur https://news.gandi.net/, 4 février 2016 (consulté le 20 décembre 2023)

[11] (en) Open Source Security Inc, « Open Source Security Inc's grsecurity Project Gains Sponsorship from OVH », sur www.prweb.com (consulté le 20 décembre 2023)

[12] ux/linux-stable-grsec, Alpine Linux, 27 septembre 2021 (lire en ligne)

[13] « grsecurity - Debian Wiki », sur wiki.debian.org (consulté le 20 décembre 2023)

[14] « Project:Hardened — Gentoo Wiki », sur wiki.gentoo.org (consulté le 20 décembre 2023)

[15] « Hardening », sur subgraph.com (consulté le 20 décembre 2023)

[16] « Wind River Documentation », sur docs.windriver.com (consulté le 20 décembre 2023)

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]