grsecurity
默认情况下,内核中未包含补丁(或其带来的安全功能)的原因是什么?当查看安全性带来的好处时,原始内核似乎并不安全。
如果这是一个折衷(某些应用程序要避免使用安全措施),则似乎grsecurity
可以选择在原始内核中启用。
在主流香草内核中有如此多的内容,我很难理解社区不愿意加入的原因grsecurity
。
这似乎是一个政治问题。看来Torvalds认为他们的某些补丁是垃圾。另请参阅OSS-Security邮件列表上的Qualys Security Advisory-堆栈冲突和更多CONFIG_VMAP_STACK漏洞,refcount_t UAF,以及忽略的安全启动旁路/ rootkit方法。
根据过去关于内核加密邮件列表的建议,我本人和其他人被放置在Torvalds标签的“疯狂”中。因此,面对问题的不仅是安全专家。另请参阅random:使编译器警告静音并修复race。该线程是关于为使用{u} random的驱动程序提供dmesg的讨论。(您可能不知道,但是许多驱动程序在正确播种之前就使用了这些设备