hum*_*ace 22 linux kernel grsecurity
grsecurity默认情况下,内核中不包含补丁(或其带来的安全功能)的原因是什么?在考虑安全性的好处时,香草内核似乎非常不安全。
如果这是一种权衡(某些应用程序您想避免安全措施),似乎grsecurity可以在 vanilla 内核中启用它。
主流 vanilla 内核中有这么多东西,我很难理解为什么社区不想包含grsecurity.
小智 23
(我是一名 grsecurity 开发人员。)
jsbillings 的回答基于LWN 文章中讨论的电子邮件帖子。
这里的重要背景是 grsecurity 和 PaX 开发人员都没有参与该邮件列表讨论。PaX 团队对 LWN 文章的评论澄清了这一点。我们从未提交补丁以供主线包含。一个简单的原因是我们拥有想法和实现,而上游无法解决这些问题。此外,我们不得不与一群非常反对安全的开发人员进行令人厌烦的邮件列表争论(请参阅我 2012 年的 H2HC 演示文稿对此的更多讨论)。我们的时间和资源有限,因此我们选择以最有效的方式来使用它:创造未来的安全技术并免费提供给所有人。正如 PaX 团队在他们的评论中提到的,我们对安全有一个特别的包容性观点,因此也不相信将单个功能拆分和上游有什么好处。