Lines 23-29
Link Here
|
23 |
</abstract> |
23 |
</abstract> |
24 |
|
24 |
|
25 |
<version>1</version> |
25 |
<version>1</version> |
26 |
<date>2010-01-05</date> |
26 |
<date>2010-11-28</date> |
27 |
|
27 |
|
28 |
<chapter> |
28 |
<chapter> |
29 |
<title>A proposito di Grsecurity</title> |
29 |
<title>A proposito di Grsecurity</title> |
Lines 68-81
Link Here
|
68 |
In questo documento vogliamo parlare della configurazione del kernel parlando |
68 |
In questo documento vogliamo parlare della configurazione del kernel parlando |
69 |
in termini di variabili del kernel quali |
69 |
in termini di variabili del kernel quali |
70 |
<c>CONFIG_GRKERNSEC_PAX_NO_ACL_FLAGS</c>. Queste sono le variabili che il |
70 |
<c>CONFIG_GRKERNSEC_PAX_NO_ACL_FLAGS</c>. Queste sono le variabili che il |
71 |
processo di compilazione del kernel usa per determinare se certe carateristiche |
71 |
processo di compilazione del kernel usa per determinare se certe |
72 |
devono o meno essere compilate. |
72 |
caratteristiche devono o meno essere compilate. |
73 |
</p> |
73 |
</p> |
74 |
|
74 |
|
75 |
<p> |
75 |
<p> |
76 |
Quando si procede alla configurazione del kernel attraverso <c>make |
76 |
Quando si procede alla configurazione del kernel attraverso <c>make |
77 |
menuconfig</c> o simili si riceve una interfaccia utente attraverso la quale |
77 |
menuconfig</c> o simili si riceve un'interfaccia utente attraverso la quale |
78 |
è possibile selezionare le varie opzioni del kernel. Se si selezione il bottone |
78 |
è possibile selezionare le varie opzioni del kernel. Se si seleziona il bottone |
79 |
di <e>Help</e> su qualsiasi caratteristica del kernel è possibile vedere nella |
79 |
di <e>Help</e> su qualsiasi caratteristica del kernel è possibile vedere nella |
80 |
parte superiore della schermata la corrispettiva variabile. |
80 |
parte superiore della schermata la corrispettiva variabile. |
81 |
</p> |
81 |
</p> |
Lines 227-233
Link Here
|
227 |
<p> |
227 |
<p> |
228 |
Se si sta utilizzando un sistema non-x86 si osserva che |
228 |
Se si sta utilizzando un sistema non-x86 si osserva che |
229 |
CONFIG_GRKERNSEC_PAX_NOEXEC è assente. Si dovrebbe, quindi, selezionare |
229 |
CONFIG_GRKERNSEC_PAX_NOEXEC è assente. Si dovrebbe, quindi, selezionare |
230 |
CONFIG_GRKERNSEC_PAX_PAGEEXEC poichè è l'unica implementazione non-exec |
230 |
CONFIG_GRKERNSEC_PAX_PAGEEXEC poiché è l'unica implementazione non-exec |
231 |
disponibile. |
231 |
disponibile. |
232 |
</p> |
232 |
</p> |
233 |
|
233 |
|
Lines 342-348
Link Here
|
342 |
tecnologia come ProPolice/SSP |
342 |
tecnologia come ProPolice/SSP |
343 |
</li> |
343 |
</li> |
344 |
<li> |
344 |
<li> |
345 |
Non c'è "randomisation" (casualità) per PAGEEXEC. Questo è normale poichè, |
345 |
Non c'è "randomisation" (casualità) per PAGEEXEC. Questo è normale poiché, |
346 |
come suggerito, la configurazione del kernel per x86 non ha attiva |
346 |
come suggerito, la configurazione del kernel per x86 non ha attiva |
347 |
l'impostazione PAGEEXEC. Tuttavia su architetture che supportano un reale |
347 |
l'impostazione PAGEEXEC. Tuttavia su architetture che supportano un reale |
348 |
NX (non-executable) bit (la maggior parte, incluso x86_64), PAGEEXEC è il |
348 |
NX (non-executable) bit (la maggior parte, incluso x86_64), PAGEEXEC è il |
Lines 477-485
Link Here
|
477 |
</pre> |
477 |
</pre> |
478 |
|
478 |
|
479 |
<p> |
479 |
<p> |
480 |
Adesso usiamo il nostro sistena facendo le cose che faremmo normalmente. |
480 |
Adesso usiamo il nostro sistema facendo le cose che faremmo normalmente. |
481 |
Cerchiamo di evitare operazioni di rsync, eseguire il locate e ogni altra |
481 |
Cerchiamo di evitare operazioni di rsync, eseguire il locate e ogni altra |
482 |
operazione che faccio uso pesante dell'I/O e che possa rallentare il tempo si |
482 |
operazione che faccia uso pesante dell'I/O e che possa rallentare il tempo di |
483 |
processamento. |
483 |
processamento. |
484 |
</p> |
484 |
</p> |
485 |
|
485 |
|
Lines 504-510
Link Here
|
504 |
</pre> |
504 |
</pre> |
505 |
|
505 |
|
506 |
<p> |
506 |
<p> |
507 |
Adesso si dovrebbe essere in grado di abilitare il prorpio sistema RBAC con le |
507 |
Adesso si dovrebbe essere in grado di abilitare il proprio sistema RBAC con le |
508 |
policy apprese. |
508 |
policy apprese. |
509 |
</p> |
509 |
</p> |
510 |
|
510 |
|