Исходное сообщение
"Анонсирован Openwall GNU/*/Linux 3.1-stable" Отправлено Аноним, 12-Янв-15 16:58
PAX & Grsecurity занимаются почти исключительно ядром Linux и компилятором GCC. Пока утверждают и доказывают, что этого хватает для закрытия всех возможных уязвимостей, или препятствию развития атаки! Когда другие спешно обновляются, чтобы закрыть одну дыру, или пишут антивирусник защищающий дыру, то https://grsecurity.net/ внедряют в ядро Linux технологию которая закрывает сразу от всего подобного класса атак и делает невозможным эксплуатацию всех подобных (ещё публично неизвестных) дыр. > ....В Owl же мы изначально сделали упор на переделку userland'а, в частности для privilege separation, в чем и достигли успехов.... Сравнительная таблица grsecurity, selinux, apparmor: https://grsecurity.net/compare.php интересно было увидеть также Owl.. для разграничения привилегий в пользовательском окружении используются разные техники: 1. приямые и явные политики на основе списков доступа до косвенных 2. неявные - рандомизация памяти (PAX), адресов линковки (PIE), списка процессов (скрытие proc), ... и предоставление процессу только необходимой и достаточной информации. Если процесс не угадал с адресом или ещё чем, то его ядро убивает. > Теперь вопрос - стоит ли нам потратить еще время и объединить лучшие наработки? И в рамках какого проекта (или каких проектов)? Не готов дать совет:( В мире линукс выбор между Hardened Gentoo https://wiki.gentoo.org/wiki/Project:Hardened Hardened Debian https://wiki.debian.org/Hardening последний мертвый, может в https://devuan.org/ пойдут дела быстрее... Если у вас переделан сильно юзерленд, то лучше наверно общатся с разрабами конкретных прог... слать им падчи и обяснять им необходимость усиления privilege separation. Но по моему печальному опыту проще уболтать разрабов процов добавить ещё инструкцию для ускорение обработки каких-то систем безопасности чем закомитить патчи в апстрим.