>> ........В дистрибутиве по умолчанию применяются передовые методы обеспечения защиты........

... но далеко не все. По ряду показателей Owl сейчас отстает от других hardened дистрибутивов Linux, но и те, в свою очередь отстают от Owl по другим показателям. Я недавно упомянул это здесь - http://www.openwall.com/lists/owl-users/2014/12/30/1

"Finally, as to the future of Owl itself, we need to know why we'd be
continuing to put effort into Owl.  Do we have more new approaches to
demo to others in this way, or would we be playing catch-up?  I think it
might be mostly the latter.  There are things other hardened distros did
and we didn't do yet, so we can merge those in and create a distro that
is in some ways better overall.  (In fact, this was the plan a couple of
years ago, but we didn't proceed to execute on it much yet.)  However,
we would not demo much new in this way, except for the combination of
what we already had and what others already had, and along with newer
upstream software versions.  Is demo'ing this combination worth the
effort?  Would it inspire others to do anything better?  Is it worth the
effort merely for actual use of it during the period that we'd be
maintaining it and keeping it up-to-date?"

> Интересует также результат прохождение передовых тестов:
> paxtest http://pax.grsecurity.net/
> checksec http://tk-blog.blogspot.ru/search/label/checksec.sh
> hardening-check https://wiki.debian.org/Hardening
> scanelf http://hardened.gentoo.org/pax-utils.xml

Эти тесты направлены на hardening от memory corruption атак. Это область которой в том числе и я занимался до начала проекта Owl. В Owl же мы изначально сделали упор на переделку userland'а, в частности для privilege separation, в чем и достигли успехов, но при этом мы уже почти не занимались дальнейшим hardening'ом от memory corruption атак. Появившиеся за эти годы другие hardened-дистрибутивы достигли успехов в той области. Теперь вопрос - стоит ли нам потратить еще время и объединить лучшие наработки? И в рамках какого проекта (или каких проектов)?

По paxtest результаты должны быть аналогичны RHEL 5.11 на соответствующих архитектурах - т.е. до PaX'а далеко, но и не совсем ужасно. Кому не нужна поддержка OpenVZ, могут использовать наш userland с ядром grsecurity и получить соответствующие ему результаты этого теста. По checksec, типичный бинарник из нашей сборки сейчас покажет Full RELRO и NX enabled, но пока что No canary found и No PIE - это собираемся поправить.