grsecurity

Un article de Wikipédia, l'encyclopédie libre.
Aller à : navigation, rechercher
Grsecurity
Type PatchVoir et modifier les données sur Wikidata
Licence GPLv2[1]Voir et modifier les données sur Wikidata
Site web www.grsecurity.netVoir et modifier les données sur Wikidata

grsecurity est une modification augmentant la sécurité pour le noyau Linux distribué sous la licence publique générale GNU version 2. Il inclut différents éléments, dont PaX, un système de contrôle d'accès à base de rôles et différents moyens de renforcer la sécurité générale du noyau.

Histoire[modifier | modifier le code]

À la suite de la perte de son principal sponsor, Brad Spengler annonce, le , que le développement du projet pourrait être arrêté[2],[3]. Toutefois, il semble que le développement continue à un rythme aussi soutenu qu'auparavant après une phase où les contributions se faisaient plus rares entre janvier et mars 2009.

Depuis le 9 septembre 2015, la disponibilité des modifications en stables est devenue limitée aux clients commerciaux de la société. Les versions de tests des correctifs de GRSecurity et les correctifs sur des fonctionnalités des espaces utilisateurs, restent accessibles au public. [4],[5],[6]

Depuis le 26 avril 2017, tous les correctifs sont distribués uniquement aux clients de la société. Toute utilisation des marques GRSecurity dans des produits tiers, des dérivés ou des modifications du produit sont également interdite. La licence du produit reste inchangée. (GPLv2) [7]

Fonctionnalités[modifier | modifier le code]

Contrôle d'accès à base de rôles[modifier | modifier le code]

Il s'agit d'un système de contrôle d'accès obligatoire (de l'anglais, mandatory access control). Il est utilisé par exemple dans le cas où il est utile de restreindre l'accès à certaines ressources au seul utilisateur root (qui a normalement accès à toutes les ressources).

La politique de sécurisation de grsecurity se démarque des autres modèles de sécurité en cela qu'elle ne prétend pas trouver et retirer les failles existantes, mais les rendre inutiles. Ainsi, chaque processus d'un système peut être limité à ne pouvoir effectuer que les tâches pour lesquelles l'administrateur l'y autorise, espérant ainsi éviter qu'un attaquant puisse compromettre le système tout entier. Ce patch de sécurité suppose donc que le noyau Linux est exempt de bug exploitable.

PaX[modifier | modifier le code]

De plus, grsecurity inclut PaX, un patch permettant de renforcer la sécurité du système en activant les pages non exécutables et en rendant l'espace d'adressage mémoire aléatoire.

Autres modifications[modifier | modifier le code]

grsecurity offre différents moyens d'améliorer l'audit du noyau Linux. Il est ainsi possible d'auditer certains utilisateurs ou groupes, les opérations de montage, etc.

Ce patch rend aussi possible de renforcer la sécurité lors de l'utilisation de chroot, permettant de rendre plus difficile de s'échapper de ce type de cage.

Notes et références[modifier | modifier le code]

  1. (en) « Grsecurity » (consulté le 12 septembre 2016)
  2. Brad Spengler, New (final?) grsecurity release and important announcement, 27 décembre 2008
  3. « La fin de Grsecurity ? », Linuxfr,
  4. (en) Silviu Stahie, « Grsecurity Forced by Multi-Billion Dollar Company to Release Patches Only to Sponsors », sur softpedia.com, (consulté le 21 juin 2016)
  5. (en) Brad Spengler et The PaX Team, « Important Notice Regarding Public Availability of Stable Patches », sur grsecurity.net, (consulté le 21 juin 2016)
  6. (en) « grsecurity downloads page », sur grsecurity.net (consulté le 21 juin 2016)
  7. (en) Brad Spengler & The PaX Team, « Grsecurity Passing the Baton », sur grsecurity.com, (consulté le 28 avril 2017)

Voir aussi[modifier | modifier le code]

Articles connexes[modifier | modifier le code]


Liens externes[modifier | modifier le code]