¿Cuáles son las razones por las cuales los grsecurity
parches (o las características de seguridad que trae) no están incluidos en el núcleo de forma predeterminada? Al observar los beneficios para la seguridad, parece que el núcleo de vainilla es bastante inseguro.
Si esto es una compensación (algunas aplicaciones en las que desea evitar las medidas de seguridad), parece que grsecurity
podría ser una opción para habilitar en el núcleo de vainilla.
Con tantas cosas en el núcleo de vainilla convencional, me cuesta entender las razones por las que la comunidad no quiere incluir grsecurity
.
linux
kernel
grsecurity
humanidad y paz
fuente
fuente
Respuestas:
(Soy un desarrollador de seguridad).
La respuesta de jsbillings se basa en una publicación de correo electrónico discutida en un artículo de LWN .
El contexto importante aquí es que ni la seguridad ni los desarrolladores de PaX estuvieron involucrados en esa discusión de la lista de correo. El comentario del equipo de PaX al artículo de LWN aclara esto. Nunca hemos enviado los parches para su inclusión en la línea principal. Una razón simple es que somos nosotros los que tenemos las ideas y las implementaciones, que la solución no resolvería. Además, tendríamos que entablar discusiones pesadas en la lista de correo con un grupo de desarrolladores que son muy anti-seguridad (ver mi presentación H2HC 2012)para más discusión sobre esto). Tenemos tiempo y recursos limitados, por lo que elegimos gastarlo de la manera más efectiva posible: crear la tecnología de seguridad del mañana y ponerla a disposición de todos de forma gratuita. Como el equipo de PaX menciona en su comentario, tenemos una visión particular de la seguridad y, por lo tanto, tampoco creemos que haya mucho mérito en la división y la transmisión de características individuales.
fuente
Parece que los desarrolladores de grsecurity han tenido problemas en el pasado para convencer a Linus de aceptar cambios en el kernel. Los problemas parecen ser:
fuente