Azt tudja valaki, hogy a grsec-et miert nem teszik bele a kernel main line-ba, hogy ne keljen patch-cselni (szarakodni) allandoan ?
Hát ez elég hosszú story. Röviden arról van szó, hogy Linus nem akar ilyen hardening cuccokat látni a saját forrásfájában. Egyrészről amikor megjelentek az első ilyen patchek (pl. az első PaX verziók vagy a Solar Designer Openwall/Owl kernel patche, amelyik non-exec stack megoldást kínált), akkor azok még elég gyerek cipőben jártak és könnyen kijátszhatók voltak. Innentől kezdve pedig Linus úgy nyilatkozott, hogy ezek a megoldások alkalmatlanok bármiféle védelemre, mert az exploitok könnyen átírhatók úgy, hogy működjenek ilyen hardened kernelek alatt is. Azóta eltelt ~7 év és a PaX meglehetősen jól kiforrott lett és garantált védelmet ad a támadások _bizonyos_ fajtáira. Ennek ellenére Linus nem változtatta meg a véleményét, így az idő közben elkészült Ingo féle ExecShield is csak a RedHat forrásában szerepel (ráadásul PaX-hoz képest jóval gyengébb és a kijátszásához vannak remek megoldások). Ezeken kívül a grsec tartalmaz még RBAC-ot, amely elvileg kiváltható az SELinux segítségével, viszont utóbbinál jóval nehezebb megvalósítani bizonyos korlátozásokat. A többi megoldásra (chroot hardening, tmp race prevention és a kernellel kapcsolatos védelmek, mint a randomizált és nonexec kernel stack, etc.) meg nem tudom mi a hivatalos válasz, de biztos tudnak rá pár vicces választ adni a nagy Linux developerek. Az új PaX user ptr. deref. és hasonló védelemhez pedig először be kellene látniuk a fejlesztőknek, hogy a tűzoltás jellegű megoldások nem kifizetődők ebben a szakmában...